〔研究者コラム〕ー「マイナンバーで何が変わるか(第2回)」管理する側(組織)とされる側(「私」「本人」「個人」)との関係ー

全5回シリーズでお届けしているコラム「マイナンバーで何が変わるか」の第2回です。コラムを担当するのは、井上禎男准教授(法学部)です。

井上准教授は、法学部で行政法、情報法を担当しています。行政法の中でも、特に情報法・情報政策が専門分野です。社会的には、経済産業省(原子力関係)や 福岡市などの情報公開・情報保全に関する委員、佐賀県や福岡県内の各自治体での個人情報保護に関する委員、プライバシーマークの審査委員等を歴任していま す。また、個人情報保護に関する審議会・審査会委員の立場から、複数の自治体でマイナンバー、特定個人情報保護に関する評価やその支援業務に携わっています。

00_line-top.gif

20150908-3.jpg

■マイナンバーを管理する側が意識すべきこととは

端的には、管理される側(「私」「本人」「個人」)の立場に立ったルールの策定と運用、特にその内容の一端となる安全管理措置(セキュリティーのみならず、委託先や従業員の監督・教育をも含む)の徹底に尽きます。このことは「特定個人情報」に限らず、「個人情報」(個人情報保護法上では、第2条1項で、"生存する個人に関する情報であって、その情報に含まれる氏名、生年月日その他の記述等により、特定の個人を識別することができるもの"を指します。さらに"その情報自体によって特定の個人を識別できるもの"のほか、"他の情報と容易に照合することができ、それによって特定の個人が識別できるもの"も含みます)一般にも当てはまります。

国や自治体の場合には「法律」(「行政機関個人情報保護法」など)や「個人情報保護条例」が"ルール"になりますが、民間事業者にとっての"ルール"は、まず法律(「個人情報保護法」)であり、さらに独自に定めた「規程」や「規則」の類になります。ここでは"プライバシーポリシー"や"セキュリティーポリシー"をウェブサイトなどで公表しておくことも大切です。

行政の場合には法律や条例に従った、さらには個人情報保護審査会のような第三者機関による不服申立てへの対応が図られます。しかし民間事業者の場合には、個人情報保護法第4章で課せられる義務を果たす必要とは別に、問題が生じた場合の内部的な救済体制の構築や規範化をも含めた実際の"ルール"の策定・運用には、事業者ごとの温度差や意識の希薄さが認められます。今回の特定個人情報への対策についても同様で、残念なことに、行政に比べれば、現時点での対応の遅れは顕著です。

「ベネッセ事件」が提起したこと――"パートナー"の選択と信頼

しかしここでさらに考えるべきは、個人情報の漏えい等が事業者にとっての経済的な損失やイメージダウンを招くといった観点に終始しないことでしょう。実際にインターネットのような媒体での漏えいや流出が生じた場合には、(二次的・三次的あるいは潜在的なものも含めて)情報の拡散は防ぎようがありません。(特定)個人情報の主体(被害者)の実質的な救済を図ることはおそらく困難でしょう。そして、事業者自らでは対応が難しいので何かしらの"プロ"に対応を委ねる、契約に基づいた特定の業務委託を行うことも一般によく行われていますが、そのことだけで安心してしまうことも非常に危険です。昨年(2014年)7月に発覚した「ベネッセ事件」でも明らかになりましたが、そうしたパートナー・委託先の慎重な選択、継続的な監督の徹底が求められることも、本来は自らが取得・保有・管理すべき個人情報を外に投げる・預ける(委託する)以上は、当然のことといえます。

時や人が変わっても組織が存続する限りは、あくまで「私」「本人」「個人」の立場に立った"ルール"の策定や運用の徹底を、その都度、事業者自らが自覚的に継続しなければなりません。その責務は極めて重たいものです。こうした事業者の対応問題については、第4回と第5回でふれることにします。その前に、次回第3回は、行政の効率化と行政サービスの利便性向上という観点から、マイナンバー制度を眺めてみることにします。

01_line-under.gif