個人情報保護法入門 ２

（３）行政と民間の対話によるルール形成機能
　個人情報取扱事業者は、法律の成立から今日までの間、まさに総務省ガイドライン、経済産業省ガイドライン、金融庁ガイドライン、厚生労働省のガイドラインなど、それぞれの業種業界を主管している主務大臣が作るガイドラインをじっと待っていた。
　ところが、その待ちに待っていたガイドラインを見ても、実は、まだよくわからないところが残っている。経済産業省ガイドラインは、産業界を横断して所掌している関係から、どうしても法律同様の包括規制の構造をそのままひきずっており、主務大臣のガイドラインの段階まできても具体化できない。業務により即したルールを示すことができない。もはやじっと待っていても主務大臣からは安全なルールはでてこない。ここで“安全なルール”というのは、“役所から怒られない予見可能性の高いルール”という意味で言っているのですが。
　ではどうすればいいかというと、自社が所属している業界団体に、認定個人情報保護団体として手を挙げてもらい、主務大臣の認定を得る。そして、「個人情報保護指針」を作成すればいいわけです。「個人情報保護指針」を作成するといっても、これは当然に主務大臣が公益的観点から関与しますから、“業界エゴ”と評価されるようなルール形成はできないわけです。とはいえ、その業界には、それぞれその道何十年という業務に精通したビジネスマンが現場に多数いるわけですから、その意見を反映してルール作りをした方がいい。業界慣行には、一見不合理に見える処理があっても、そこには、営利追及の観点においても、消費者保護の観点においても、実は合理的なルールというのが潜んでいるということは少なからずあるものですから。役人がその全てに精通することはできない以上、民間と役所が共にルール形成をしていかなければならないのだろうと思います。きれいに言うならば、この法律は認定個人情報保護団体制度を通じて行政と民間の対話によるルール形成機能を期待しているということがいえるのだろうと思います。
　ところで、「個人情報保護指針」とは、いったい何なのでしょう。法的に意味のあるルールなのでしょうか。「告示」ですら、裁判規範性はないのに、「告示」ですらない「指針」は、ましてや裁判所を拘束するものではないでしょう。行政機関では全く無い、民間団体でその構成は民間人であります。そこを公的に認定したわけですが、そこが作る「指針」というルールは、一体法的にどう評価されるのかという疑問が出てくるわけです。従来の業界ガイドラインとどこが違うのだろうということですが。たぶん形式的には、従来の「告示」とも違いますから、新たな類型ということもいえますね。これは行政法の観点からも面白いのではないかと思っているのですが。
　では、実質的な意義はどこにあるかといいますと、行政と民間との対話によって形成されたルールですから、それに反するような行政作用を主務大臣は行い得ないという期待が民間に生まれます。行政法関係においても、信義誠実の原則が妥当するでしょうから、主務大臣が「このルールでいい」と言っておいて、後日それに矛盾するような行政指導、行政処分は為し得ないと考えられます。たとえ、たんなる「個人情報保護指針」であっても、一旦合意されたルールに反する権力行政は、法の一般原則からみて違法性を帯びるものだと。そこに行政救済の可能性があるのだというロジックを背景に持たなければなりません。そう解することなしには、「個人情報保護指針」の法的意味は非常に空疎なものになりますし、民間側における指針作成のインセンティブは大きく損なわれます。もちろん、こうした考え方には、いかようにも批判することはできますが、民間側としては、「個人情報保護指針」の法的性質をきちんと打ち立てていく、少なくとも指針に対する事実上の期待をより確固たるものにしていく努力が重要であろうということを申し上げたいわけです。
　もちろん主務大臣には個人情報保護指針を変えるよう命ずることができます。例えば、利用目的をホームページに掲載するという習慣はもうできあがっただろう、だったらもう少し消費者保護に軸足をずらすので、例えばDMを出すか出さないかということも、今後は利用目的の中に含めてくださいというように。そのあたりの判断の裁量は法律上、主務大臣に委ねられているのでありますから、主務大臣はもちろん個人の権利利益の保護という究極の目的に向かって行政を行う責務があるわけです。ただし、不意打ち的にいきなり行政処分がくるのではなくて、個人情報保護指針の改訂を命じるという、いわば予告を行う。われわれ事業者は指針の改訂を待って、それを見て対応できるのだろうと考えています。
　そう意味では、こうした仕組みを作っていただいたわけですから、民間としては、これを使うかどうか、すでに球が投げられている状態にあるということもいえるのではないかと思います。
この法律は、このような仕組みを通じて、民間の包括規制することによる副作用を緩和することを考えたのだろうと。ですから、法律が抽象的に過ぎるという批判は、この法律が生まれたときからあったわけでありまして、今頃その批判を繰り返しても、実はあまり建設的ではないと思います。現状をベースにして考えるとしたら、いかに認定個人情報保護団体を作るか、いかに「個人情報保護指針」を作成するかということに知恵を絞るというのが非常に前向きな対応だろうと思います。