「電子ネットワークと個人情報保護」(ベータ版)

Hisamichi Okamura

初出 1998/5/24

最終更新 03/04/17

(C) copyright Hisamichi Okamura, 1998, 1999, All Rights Reserved.


INDEX

1 はじめに

2 個人情報と電子ネットワーク

3 最近の不正流出事件

4 1970年代の個人情報保護法

5 OECDプライバシー・ガイドライン

6 欧州の対応

7 米国の動向

8 わが国の対応

9 わが国の民間部門における個人情報保護制度の内容


 はじめに


 今日、「電子ネットワークとプライバシー」という言葉は、サイバー法の分野において解決されるべき最も重要な課題の一つであると考えられている。

 しかし、この課題は決して単一の問題ではない。実際には、複合的に相互関連を有しつつ異なった諸種の問題が含まれている。

 例えば、ネットワーク・サーバに対する不正アクセスによるデータの「のぞき見」は、「セキュリティ」という言葉との関連で語られることも多い。しかし、不正アクセスの対象となるデータに個人情報が含まれていれば、それはプライバシーに対する脅威として評価されることになろう。

 同様に、ネットワークを流れている送信途上のデータに対する盗聴も、プライバシーに対する重大な脅威であると解されてきた。すなわち、送信データの暗号化という技術は、送信途上の「のぞき見」を防止することを可能にするが、電子商取引分野における送信中のクレジットカード番号の盗難防止などのセキュリティー確保を超えて、プライバシーを保護するための重要なツールであることに注意しなければならない。

 このような観点は、Phil Zimmermann が作成した世界的に著名な暗号ソフが、"Pretty Good Privacy"(PGP)と命名されていることにも如実に示されている。

 この文脈上で考えると、米国のクリッパーチップからキーリカバリーへと続く暗号技術に対する法規制も、一方においては暗号技術の輸出規制に伴う米国ハイテク企業の国際競争力減殺という視点で捉えられるだけでなく、他の多くの論者からは「個人のプライバシーに対する国家による侵害の危険」という視点で捉えられることになる。

 しかし、伝統的にプライバシー問題の中心として語られてきたのは、かかる多くの問題よりも、ネットに集積された個人情報との関係において、どのようにしてプライバシーを保護すべきかという問題である。

 他方、このような問題は「個人情報保護」という文脈で語られることも多い。この「情報保護」という観点からは、電子データベースの財産権的保護という視点と、プライバシー保護との視点が存在することを指摘する論者もいる(藤原静雄「個人データの保護」岩波講座現代の法10(1997年))。その結果、セキュリティは、財産権的保護とプライバシー保護との両面において問題となる。

 以上のような複合的に入り組んだ諸問題の中において、セキュリティ関連や財産権的保護の問題は別稿に譲り、本稿ではネットに集積された個人情報とプライバシー保護の問題を中心に説明を加える。

 



 個人情報と電子ネットワーク



 SF作家オーウェルの名著「1984」には、ネットワークを利用して「すべてを見、すべてを聞き、すべてを知る」という独裁者の「ビッグ・ブラザー」が登場する。

 このSF小説が書かれた時期(1948年)を想起すれば明らかであるとおり、この作品に登場する独裁者は、直接的にはスターリンやヒットラーの陰がつきまとっているものであって、今日の情報化社会自体を対象としたものではない。

 しかし、現代のような情報化社会では、コンピュータによる大量・迅速な情報処理が本格化しているのも事実である。

 その結果として、預金情報・クレジットカード決済情報などの信用情報、本籍地・住所・生年月日・学歴などの情報、大病院の内部に蓄積された個人の治療歴などといった各種の個人情報が、本人の知らない間に収集され、コンピュータなどの情報機器の中に大量に蓄積されて、場合によっては本人の予想しなかった目的に使用されるという事態も発生している。

 また、コンピュータに蓄積された大量の個人情報が不正に漏洩したり、改ざん・悪用されるといった事態に対する危険性も自覚されるようになっている。

 さらに、ネットワーク社会が進展して、多くのコンピュータがインターネットに代表されるオープンな電子ネットワークで結ばれるようになると、蓄積された個人情報が電子ネットワークを通じて簡単に流通することになり、場合によっては一瞬のうちに国境をも越えて広範囲に流通することも想定されるので、この危険性は一層高まるものと考えられている。

 また、インターネットは誰で接続が可能なオープン・ネットワーク・システムであること、現時点では基本技術も確立されていないこと、分散型ネットワークであるため全体の統一的な管理者も存在していないことなどに起因して、必ずしもセキュリティが確立されていない状態である。このように、電子ネットワークには脆弱性があるので、不正アクセスなどを手段とした漏洩の危険が増大するという問題が常につきまとっている。

 さらに、ネットワーク上に散在する個々のサーバに蓄えられた個人情報を統合することによって、特定の個人に関するデータを集積させることが極めて容易になる。

 たとえば、現実空間の店舗で商品を現金で買う場合には購入履歴は残らない。これに対し、電子店舗で特定の個人が購入した商品のデータがコンピュータに蓄積されネット上で流通して結合されると、その個人の趣味、嗜好、思想に至るまで人格のアウトラインが見えてくる。また、クレジットカードの使用履歴を入手すれば、その人が、いつ、どこで、何をしていたかという事実すら、丸裸にされてしまいかねない。

 デジタル情報であるためコピーや加工が容易であり、電子ネットワーク経由で個人情報の収集・蓄積・利用が容易であるという特質を有しているし(http://www.iijnet.or.jp/fmmc/501.html)、ネットワーク上に個々に散在するサーバに蓄えられた個人情報のクラスタ(断片)を統合することによって、特定の個人に関するデータを集積させることが極めて容易になるからである。さらに、一部のウェブで、Cookie(クッキー)などを使って収集した個人情報を売買しているという事実も指摘されている。

 このような意味での個人情報保護に対する対応の必要性は、米国のアル・ゴア副大統領が、オンライン上で個人を守るための「電子的権利章典(electronic bill of rights)」の制定を求めて、1998年5月14日、ニューヨーク大学で発表した次の声明に代表されている( http://www.news.com/News/Item/0,4,22123,00.html?feed.cnetbriefs 日本語訳はhttp://cnet.sphere.ne.jp/News/1998/Item/980516-4.html )。

 すなわち、「米国人は自己の個人情報を開示するか否かにつき選択する権利を持たなければならない。その情報が、どのように、いつ、いくらで利用されているかを知る権利を持たなければならず、それが正確か否かを知るために自らその情報を確認する権利を持たなければならない」というものである。

 ゴア副大統領の言葉は、単に米国主導の電子商取引に対する障害物を除去するためのものにすぎないという見解もある。しかし、それにしても、それだけ個人情報保護に対する必要性が緊急であるというコンセンサスが、少なくとも米国内において形成されるに至っていることには変わりはない。

 マスメディアが発達した時代には、プライバシーは、「みだりに私生活を公表されない権利」として考えられてきた。これに対し、コンピュータや、電子ネットワークが発達した時代が到来し、プライバシーは、「自己に関する情報の流通をコントロールできる権利」として考えられるようになったのだ([図1]参照)。

kojinj2.gif (15859 バイト)

[図1] 図をクリック


 最近の不正流出事件

 

  米国では、1999年だけを見ても、次のような事件が発生している。

インテルのチップID事件

 1999年1月、インテルが出荷開始するPentium IIIに電子的なチップID番号が組み込まれ、ソフトウェアを使ってアクセスが可能であり、インターネットで伝送可能というものであったことが、プライバシー侵害の危険があるとして、プライバシー保護団体などから「“Big Brother”Inside」なる標語で非難の的になった事件。

ウィンドウズ 98のオンライン登録に関する事件

 1999年3月、マイクロソフトが、ウィンドウズ98のオンライン登録の際に、ユーザーが知らないうちにユーザーの個人情報を収集し、収集したデータを「Microsoft.com」に転送していたことが発覚したという事件。

AT&T顧客メールアドレス誤送信事件

http://cnet.sphere.ne.jp/News/1999/Item/990417-5.html

1999年4月、AT&Tが顧客1800人のメールアドレスを、メールのBCC欄に列記すべきところを誤って宛先に列挙して送信して苦情を受けた事件。

Hotmail利用者のプライバシー露出事件

 1999年8月、無料メールサービス「Hotmail」ユーザーの数百万に及ぶプライベート・アカウントに容易に侵入できるセキュリティホールが存在することが発覚し、プライバシーが露出したとして非難を受けた事件。

 

 他方、最近では日本でも、次のような個人情報の不正流出事件が相次いで報道されている。

「ソニー系オンライン証券のマネックス、メール配信ミスで会員情報流す」(biztechの報道)

http://biztech.nikkeibp.co.jp/wcs/leaf?CID=onair/biztech/print_biz/79711

1999年8月20日、ソニー系オンライン証券のマネックスが、インターネットで募集した一般会員向けにメールを配信した際、会員約1400人分のメールアドレスを、ミスで送付したという事件。

「顧客情報流出元は代理店 東京デジタルホン」 (毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/archive/199909/07-1.html

東京デジタルホン(J-PHONE)の携帯電話利用者の顧客情報リスト146人分が流出していた事実が1999年7月末ころに発覚し、同社の内部調査の結果、都内の代理店から漏えいしたことが9月に判明したという事件。

「宇治市、差し止め仮処分を検討 データ流出事件で販売業者に対し」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/archive/199905/25-1.html

1999年5月宇治市の住民票データ約22万人分が流出し、ネット上で販売されていたという事件。

「日本のマニア、情報員リスト流す HP閉鎖措置後も増殖中」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/archive/199905/21-3.html

インターネットに英国情報局秘密情報部の情報員リストが流れたという事件。

「『NTT法にのっとって指導も』 情報漏えい事件で野田郵政相」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/archive/199905/11-1.html

1999年5月、NTTの職員が、社内ネットを悪用して収集した非公開の個人情報を外部に漏洩し、見返りに現金を受け取った容疑で千葉県警に逮捕された事件。漏洩された情報はネット上で販売されていたという。

「東京芸大に不正侵入 教官、学生のIDなど盗難」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/jamjam/9902/08-2.html

東京芸術大学で、学生、教職員約1300人分のIDとパスワードが外部流出し、IDを悪用し教官名で海外のインターネットの「掲示板」に掲載されたという被害が出たことが、199928日までに判明した。

「ID、パスワード3000人分流出?近畿大学に不正アクセス」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/jamjam/9812/01-2.html

近畿大学のサーバが不正アクセスを受けて、理工学部学生約3000人分のIDとパスワードを入れたパスワードファイルが盗まれていたことが、1998121日に判明した。

「ジオシティーズでPW漏れ 約1800人分、作業中のミスが要因」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/jamjam/9811/25-3.html

199811月ころ、会員制ホームページ開設サービス業者が、開設ユーザーがページを更新する際に使用するパスワード約1800人分を含んだログを、サーバの保守作業中に、アクセス可能な場所に置いてしまったため漏洩していた。これに気づいたサービス業者は、前記ログにアクセスできないようにするとともに、会員1800人分のパスワードを強制的に変更し、対象となった会員宛に事情説明の電子メールを送信したが、そのメール本文に新パスワードを記載していたので、セキュリティーに反するという抗議を会員から受けた。

「79人分が掲示板に掲載 東京の調査会社に不正侵入」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/jamjam/9810/26-1.html

199810月ころ、インターネットを使った市場調査会社のサーバが不正アクセスされ、79人分の会員情報(氏名、住所、電話番号、銀行口座など)が流出し、他のホームページ上に掲載される等の被害を受けた。

「ウェブで個人情報を公開 オリコンのサイトから入手し無断で」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/jamjam/9810/08-1.html

「法的手続きへ、ページは閉鎖 個人情報の公開問題」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/jamjam/9810/09-2.html

エンターテインメント市場調査大手企業のホームページで行っている懸賞付きアンケートに回答したユーザーの住所、電話番号などの個人情報約2500人分のリストが、サーバーから持ち出され、無関係のホームページで公開されていたという事実が、199810月ころ明らかになった。

「ドコモ千葉支店でもアドレスもれ、漢字表記の名前で」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/jamjam/9808/25-1.html

19986月ころ、ホームページ懸賞に応募してきた28人分の電子メールアドレスをメールの宛先に列挙して送信して漏洩させ、多くの苦情を受け謝罪した。

「KDD系プロバイダーもアドレスもれ、謝罪メールでも」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/jamjam/9808/24-2.html

19986月ころ、インターネット接続プロバイダーが、ユーザー約50人分の電子メールアドレスをメールの宛先に列挙して送信して漏洩させ、多くの苦情を受け、謝罪のメールを送ったが、この謝罪メールでも再度同様のミスを犯し、さらに苦情を受けた。

「接続業者もアドレスもれ 東急CATVのネット顧客1000人分」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/jamjam/9808/21-1.html

インターネット接続サービスを行っているケーブルテレビ会社が、メールの宛先に顧客全員分(1000人)のアドレスを列挙して送信して漏洩させ、顧客から多くの苦情を受けた。

「顧客メールアドレスもれる 東海丸万証券、CCをBCCと誤用」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/jamjam/9808/17-3.html

19988月ころ、証券会社が、株式のインターネット売買を行っている顧客宛の電子メールのCC欄に、顧客約120人分のメールアドレスを列記して送信してしまったため、顧客相互にメールアドレスが分かってしまうという事件が起き、多くの顧客から苦情を受けた。

「クラブメッドの名簿流出 ネットで資料請求した個人データ」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/jamjam/9806/30-1.html

ホームページ上で一般を対象に実施していた資料請求サービスに申し込んだユーザー約70人分の個人情報(住所、氏名、電話番号など)が、外部公開用サーバ上に置かれたままになっていたため漏洩し、無関係なホームページの掲示板に掲載されていたという事実が、19986月ころ明らかになった。その結果、カードの利用は中止されている。

「クレジット番号が流出 プロバイダー会員のカード停止」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/jamjam/9805/26-1.html

プロバイダーが会員299人分のクレジットカード番号を含む個人情報リスト(住所、氏名、電話番号など)を、会員全員がアクセス可能なテルネットサーバ上に置いてしまったため、漏洩の危険が生じていたという事実が、19985月ころ明らかになった。

「個人情報が流出 調査会社のサイトから」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/jamjam/9805/20-1.html

東京の市場調査会社がホームページで実施していた懸賞付きのアンケートに応募したユーザー約100人分の住所や電話番号などの個人情報が、外部公開用サーバ上に置かれたままになっていたため、インターネット上に流出していたという事実が、19985月ころ明らかになった。

「トヨタの顧客アドレスもれ 自動車販売店に苦情相次ぐ」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/jamjam/9808/20-1.html

「トヨタがカタログ請求者名簿漏れで対策へ」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/jamjam/9803/25-3.html

自動車会社のホームページ上で乗用車のカタログを請求したユーザー名簿18人分の住所、氏名、電話番号情報が、同社のサーバから不正コピーされて持ち出され、無関係のホームページで公開されていた事実が、19983月ころ明らかになった。

「人材派遣業者の登録名簿が流出、ネットで販売」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/jamjam/9801/28-2.html

大手人材派遣業者に登録されていた女性約9万人分の個人データを、外部から派遣されていたプログラマーが自分のパソコンにコピーして持ち出し、そのデータが「容姿ランク付きリスト」としてインターネットのホームページ上で販売されていた事実が、19981月ころ明らかになった。

「東京のプロバイダーの会員名簿がネットに流出」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/jamjam/9801/13.html

「会員名簿流出のプロバイダーが落ち度認める」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/jamjam/9801/19-1.html

「郵政事業庁、会員名簿ネット流出でプロバイダーを聴取」(毎日新聞「インターネット事件を追う」の報道)

http://www.mainichi.co.jp/digital/netfile/jamjam/9801/16.html

東京都内のプロバイダーのインターネット・サーバが不正アクセスを受け、約450人の会員の実名、現住所、会員ID、パスワードなどが記載された一覧名簿が流出し、無関係な複数のホームページに掲載されていたことが、19981月ころ明らかになった。

 



 1970年代の個人情報保護法


 先進国では、1970年代に入ると、コンピュータに関する個人情報保護を目的とした立法化が進められてきた。諸国でコンピュータを利用したデータ・バンク構想に類するものが取り上げられて議論を呼んだということが、その背景に存在している。

 その具体例が、スウェーデンのデータ法(1973年)、米国の1974年プライバシー法(後述)、ドイツの連邦データ保護法(1977年)、フランスのデータ処理・データファイル及び個人の自由に関する法律(1978年)、ノルウェーの個人データファイルに関する法律(1978年)、オーストリアの個人データ保護に関する連邦法律(1978年)、ルクセンブルクの電子計算機処理に係る個人データ利用規制(1979年)などである。

 ドイツなどの場合には総合的な法令に基づく法制が作られているのに対し、米国の場合には、必要に即して各分野ごとに規制を加える方式が採用されている。前者はオムニバス方式と呼ばれるのに対し、後者はセグメント方式と呼ばれている。

kojinj3.gif (13723 バイト)

[図2] 図をクリック

 

kojinj4.gif (15456 バイト)

[図3] 図をクリック

 



 OECDプライバシー・ガイドライン


 1980年、OECDは「プライバシー保護と個人データの流通についてのガイドラインに関する理事会勧告」を採択した。

 この勧告は、「OECDプライバシー・ガイドライン」と呼ばれているが、本問題が広く自覚されるための端緒となったものであり、インターネット上でも参照することができる(*http://www.cpsr.org/cpsr/privacy/privacy_international/international_laws/1980_oecd_privacy_guidelines.txt)。

 この勧告の中では、個人情報保護に関する次の8原則が示されている(以下の要約は(財)日本情報処理開発協会の<http://www.jipdec.or.jp/security/MarkSystem.html>を参照した)。

(1) 収集制限の原則

個人データの収集は適法かつ公正な手段によるべきであり、適当な場合にはデータ主体に通知又は同意を得て行うべき

(2) データの正確性の原則

個人データは、その利用目的に沿ったものであるべきであり、利用目的に必要な範囲内で正確、完全、最新に保たれねばならない

(3) 目的明確化の原則

収集目的は収集時より遅くない時期に明確化されなければならず、その後の利用は収集目的と両立し、かつ明確化されたものに制限するべき

(4) 利用制限の原則

個人データは明確化された目的以外に使用されるべきではない

(5) 安全保護の原則

個人データは紛失・破壊・修正・開示等の危険に対し、合理的な安全保護措置により保護されなければならない

(6) 公開の原則

個人データに係る開発、実施、政策は一般に公開されなければならない。また、データ管理者を明示する手段を容易に利用できなければならない

(7) 個人参加の原則
自己に関するデータの所在を確認し、知らしめられるべき。また、自己に関するデータについて異議申立ができ、異議が認められた場合には、データの消去、修正、完全化、補正ができなければならない

(8) 責任の原則

データ管理者は、以上の原則を実施するための措置に従う責任を有するべき

 


 

 欧州の対応

 

 その後、1995年10月にEU指令「個人データ処理に係る個人情報保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」(http://www.privacy.org/pi/intl_orgs/ec/eudp.html)が採択される。

 この指令によると、一方で、加盟各国に対し1998年10月までに個人情報保護のための法制化を図ることを求めるとともに、加盟各国以外(第三国)への個人情報移転は、当該第三国が十分なレベルの保護措置を講じている場合に限定されるとしており(第25条)(*http://www.privacy.org/pi/intl_orgs/ec/eudp.html)、したがって、わが国や米国を含めた対応が必要となっている。

 この指令を受けて、既にイタリアやギリシャが個人情報保護法を制定している。

 

 


 

 米国の動向

 

 米国における個人情報保護法制は、1974年プライバシー法に起源を発している。

 しかし、この法律は政府部門だけを対象としており、民間部門については適用対象外であった。この法律によると、政府部門は、原則として個人情報を当該個人の承諾を得ることなく開示することが禁止されている。

 次に、1978年の財産プライバシーについての連邦の権利に関する法律(Federal Right to Financial Privacy Act)は、連邦政府に対し金融機関が顧客情報を開示することを規制している。

 1997年6月10日から、FTC(連邦取引委員会)が、インターネット上のプライバシー保護に関する公聴会を開いている。FTCは、自らのウェブに "How To Protect Your Privacy"(http://www.ftc.gov/privacy/)というページを開設している。

 また、コンピュータ業界団体のTRUSTe(http://www.truste.org/)は、"Trustmarks"というマークを使った個人情報保護活動を行っている。

 米国では、数十に及ぶプライバシー保護法案が提出されているが成立に至らない状態であり、前記のとおり、アル・ゴア副大統領は、1998年5月14日、オンラインで個人を守るための「電子的権利章典」の制定を求める旨の声明を公表していた(http://www.news.com/News/Item/0,4,22289,00.html?feed.cnetbriefs)。

 インターネットネットの仕様標準化団体であるW3Cは、プライバシー保護のためにP3P(Platform for Privacy Preferences)Projectを推進しているが、ゴア声明の直後である1998年5月19日、プライバシー・システムのワーキングドラフト(http://www.w3.org/TR/1998/WD-P3P10-syntax-19980519.html)を公表した。

 このドラフトは、ウェブを訪問する者のブラウザに、当該サイトのデータ収集とプライバシーに関するプラクティスが表示され、そして訪問者がブラウザにセットした内容に基づき、サイトが自動的にユーザー個人の選択を登録するというものである。

 このドラフトは、ゴア副大統領の支持を得ているものと伝えられているが、他方で、電子プライバシー情報センターの Marc Rotenberg氏は、P3Pは、個人情報伝達を諦めない人をウェブサイトが閉め出すことを非常に容易にするものであって、正当なアプローチとは思えない、プライバシー保護のための最良の技術は、個人情報について収集を制限したり排除する技術であると述べ、このドラフトに反対している(http://www.news.com/News/Item/0,4,22289,00.html?feed.cnetbriefs 日本語訳はhttp://cnet.sphere.ne.jp/News/1998/Item/980520-5.html)。この電子プライバシー情報センター (Electronic Privacy Information Center)は、EPIC の通称で呼ばれている(http://www.epic.org/)。

 



 わが国の対応


 わが国に目を転じると、ようやく1988年になって、「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が制定されている。この法律は総務庁が中心となって作成したものであり、総務庁のウェブ・サイトに説明が掲載されている(http://www.somucho.go.jp/gyoukan/kanri/a_05.htm)。第1条によると、「行政機関の保有する電子計算機処理に係る個人情報の取扱いに関する基本的事項を定めることにより、行政の適正かつ円滑な運営を図りつつ、個人の権利利益を保護することを目的」としている。

 ところが、この法律は、題名からも理解できるように、あくまで公的部門を対象にしており、民間部門については対象外とされている。なお、この法律の問題点については、日本弁護士連合会「個人情報保護法大綱」(1998年3月19日)を参照のこと(http://www.nichibenren.or.jp/sengen/iken/980319.htm)。

 しかし、プライバシーの重要性に対する認識が高まるほどに、民間部門に関しても個人情報を保護する必要性が認められなければならないと考えられている。

 また、仮に公的部門に対して個人情報を保護するためにも、民間部門に関する個人情報保護の必要性は存在している。なぜなら、民間部門に蓄積された個人情報を公的部門が容易に利用することができるとすると、公的部門に対し規制を加えた意味が減殺されるからである(藤原静雄「個人データの保護」岩波講座現代の法10(1997年)203頁)。

 民間部門については、1988年、(財)日本情報処理開発協会(JIPDEC)が「民間部門における個人情報保護のためのガイドライン」を策定し、このガイドラインは、1989年、通商産業省の告示として採用されている。また1991年には、郵政事業庁が「電気通信事業者における個人情報保護に関するガイドライン」を策定し、1994年2月には、電子ネットワークの業界団体である電子ネットワーク協議会が「電子ネットワーク運営における個人情報保護に関するガイドライン」を公開している。

 しかし、当然のことながら、これらは法的拘束力を有するものではなかった。

 さらに、通産省は、1995年7月、セキュリティ・プライバシー問題検討委員会報告書 「セキュリティ・プライバシー関連施策の展開について」を公表した(http://www.meti.go.jp/past/b50714hc.html)。

 この報告書では、「プライバシー保護対策」として、民間事業者による個人情報保護についての社内規定等(コンプライアンス・プログラム)策定の促進、認証マーク付与制度の創設、コンプライアンス・プログラム及び認証マーク付与に関する広報周知徹底策の実施といった民間事業者による自主的措置の充実・補完、個人情報保護の法制化を提唱していた。

 その後、前述のとおり、1995年10月にEU指令「個人データ処理に係る個人情報保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」が採択され、加盟各国以外(第三国)への個人情報移転は、当該第三国が十分なレベルの保護措置を講じている場合に限定されるとされたため、わが国における対応が要請された。

 そのため、わが国では、EU指令に添った個人情報保護の推進を図る必要性から、次の措置が執られている。

(1) 前記ガイドラインの改訂作業が行われ、「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」(平成9年3月4日通商産業省告示第98号)が公表された(http://www.gip.jipdec.or.jp/policy/infopoli/privacy.html)。

(2) 前記1のガイドラインの活用、周知を図るため、通商産業省が、1998年(平成10年)2月に「個人情報保護ハンドブック」を策定して配布を始めた。

(3) 1998年3月25日、「プライバシーマーク制度」の創設・運用開始が公表された(http://www.jipdec.or.jp/security/MarkSystem.html)。

 これは「個人情報の取扱いについて適切な保護措置を講ずる体制を整備している民間事業者等に対し、その旨を示すマークとしてプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認容する制度」である。

 この制度は、「個人情報の取扱いが適切であることを示す“マーク”を民間事業者に付与することによって保護策の推進にインセンティブを与えるための制度や、個人からの苦情処理を統一的に行う機能」を検討のうえ具体化したものとされている。

(4) ところが、郵政事業庁系列の(財)日本データ通信協会も、「個人情報保護登録センター」を開設し、「適正な個人情報保護措置を講じている事業者の登録を行い、その旨をマーク表示できるようにすることにより、事業者及び利用者の個人情報保護意識の向上を図ることとし」て、1998年4月30日から事業者からの登録申請の受付けを開始した(http://www.dekyo.or.jp/hogo/center.htm)。

「インターネットの普及等により、個人情報の流通、蓄積が加速される一方で、その不正な利用、漏えい、改ざん等のおそれが高まってい」ること、「ナンバーディスプレイなどの発信者情報通知サービスの利用に伴い蓄積された電話番号が二次利用される懸念も指摘されてい」ることが、その理由とされている。

 それゆえ、民間部門の個人情報保護に関しては、わが国では2組のマークが並立することになってしまった。


 (社)情報サービス産業協会も、「情報サービス事業者が個人情報を取り扱う上での基本的なルールを示したものであり、情報サービス事業者の企業別コンプライアンス・プログラム(中略)策定の基礎となるもの」として、「情報サービス産業 個人情報保護ガイドライン」(平成9年11月26日 理事会承認)(http://www.jisa.or.jp/activity/guideline/pre_individual-j.html)を公表している。

 電子ネットワーク協議会も、1995年10月のEU指令及び平成9年3月4日通商産業省告示第98号を踏まえ、1994年2月に同団体が公表したガイドラインを改訂した「電子ネットワーク運営における『個人情報保護に関するガイドライン』(解説付き暫定版)」(http://www.nmda.or.jp/enc/privacy-tmp.html)を、1997年12月3日に公表している。

  サイバービジネス協議会も、1997年12月、「サイバービジネスに係る個人情報の保護に関するガイドライン」(http://www.iijnet.or.jp/fmmc/501.html)を策定している。


 

 わが国の民間部門における個人情報保護制度の内容

 

 わが国の民間部門における個人情報保護制度は、前述の通商産業省の告示をベースとして、通産省管轄の事業者団体が業種別のガイドラインを策定し、事業者団体ガイドラインを基として個別の企業が企業別コンプライアンス・プログラムを策定するという構造がとられている(電子商取引実証推進協議会プライバシー問題検討WG「電子商取引における個人情報保護に関する調査研究報告書」(1998年3月)3頁)。プライバシーマークは、その推進にインセンティブを与えるための制度として位置付けられてきたが、これを一歩押し進め、1999年320日、「個人情報保護」の日本工業規格(JIS)が誕生した。

kojinj6.gif (18788 バイト)

 しかし、このJISも、自主規制の枠内にとどまっている。

 これに対し、法律による直接的な規制はどのように考えられるであろうか。

 まず、現行法制による規制の可否を検討する必要がある。

 この点で最初に想起されるのが、不正競争防止法である。この法律は「営業秘密」を保護対象としている。しかし、それは企業間での不正行為を対象としているだけであって、情報の対象となる個人を救済するための法制度ではない。つまり、当該個人が裁判所等に対し救済を申し立てることはできない。この点で、不正競争防止法では十分といえないのである。

 

(未完) 




以 上

homeg.gif (3829 バイト) menu.gif (3652 バイト)