#忘れるためのニュースメモ

ITpro Watcher：IT弁護士の眼「効果より弊害が大きい？　個人情報保護法改正案」
　情報漏洩罪が出てきた背景には，従業員が個人情報を漏洩するケースが多く，かつ技術による防御には限界があるという認識がある。情報セキュリティに完璧はありえない。完璧を求めなくとも情報セキュリティ対策にはコストがかかり，個人情報保護法の施行以来，企業は多大なコスト負担に泣いているという現状がある。
　現行の個人情報保護法 第21条には「従業者に対する必要かつ適切な監督を行わなければならない」という規定がある。しかしそれに違反した場合でも，勧告，命令という段階を踏み，命令に違反して初めて処罰の対象になる。しかもその処罰の対象になるのは命令に違反した監督担当者と企業自身であり，もともと違法行為を行った従業者は処罰の対象にならないことが一般的だ。多くの場合，その従業者は退職して所在もつかめない。このような状況をなんとかして欲しい，というのが改正案に至る流れである。
　第三者による意図的な漏洩は，159件で全体の17.8％を占める。しかし，第三者が意図的にデータを入手したということはデータに不正にアクセスしたケースが通常であり，それは不正アクセス禁止法による処罰の対象となる。第三者による意図的な漏洩を抑止するには不正アクセス禁止法の罰則引き上げを検討すればよい。
　金融庁が2005年7月22日，金融機関における個人情報管理に関する一斉点検の結果を発表している（http://www.fsa.go.jp/news/newsj/17/f-20050722-4.html）。1069金融機関中287機関，26.8%に個人情報漏洩が見つかっているが，99.9%が過失である（表2●紛失等が発覚した機関数と紛失等が発生した資料の類型，表3●紛失等が発覚した個人情報の先数，ともに金融庁「金融機関における個人情報管理態勢に係る一斉点検の結果等について」(平成17年7月22日)より引用）。
　このように見てくると，今回の改正案はピント外れではないかと思われる。
　不注意による漏洩を防止するために有効なのは，処罰ではなくPDCA（Plan-Do-Check-Action）サイクルの徹底であり，社内におけるルール化と従業員教育，そして点検と見直しである。言うまでもなく，過失による情報漏洩にまで罰則を適用すれば大変なことになる。


　改正原案の情報漏洩罪に関し，最も大きな問題は別にある。何が処罰の対象になる「個人データ」なのかなどの点が不明確なことだ。このことが個人情報保護法に対する過剰反応を悪化させるおそれがある。
　企業活動の中で個人データを扱うことは日常茶飯事である。にもかかわらず処罰の対象がこのように不明確なままでは，どうしてよいかわからない。車を止めてはいけない場所が明確に示されていないにもかかわらず駐車違反を問われるようなものだ。
　あるべき姿のヒントになるのが不正競争防止法における営業秘密の扱いである。営業秘密の漏洩は不正競争防止法によってすでに処罰の対象となっているが，営業秘密として保護されるためには，秘密として管理されていなくてはならない。裁判例によれば，営業秘密とされるための要件は「営業秘密として認識できること」。すなわち「社外秘」など，明確にわかるように示されていなければならない。何が第三者に見せてはいけない情報なのか，はっきりしていなければ，従業者としては，怖くて扱うことができないからだ。もう一つの要件は，きちんとしたアクセス制限が行われていること。紙であれば施錠したロッカーなどに収納されていなければならず，電子データならパスワードやアクセス権限の設定，プリントアウトの制限などが行われていなければならない。
　法律で保護されるためには，常日ごろからきちんと情報を管理していなければならない。そこに，セキュリティを高めようというインセンティブが発生し，好循環が生まれる。事業者も従業者も行政も全員がハッピーになる。