現場からの発想が解決に導く
個人情報保護法をめぐり、ビジネスの現場が混乱している。
「規制の範囲が広すぎる」という問題によって、情報が自由に流れないのだ。
「組織が息苦しくなった」。多くの人がこうした感想を抱いている。
問題点を整理して、企業の自衛策を探ってみた。
構成=石井孝明 写真=鰐部春雄
社内から批判
「儲けにつながるのか」
「社員の名刺はどのように管理すればよいのか」
「顧客の電話番号を記録していないか外務員の携帯電話の中身をチェックしたら『人権侵害』か」
保険会社の法務部門に勤務する枝口和夫氏(仮名)は、
2005年4月に施行された個人情報保護法(以下、保護法)をめぐって
現場からの問い合わせの対応に最近まで追われた。
ちなみに、名刺については従来どおりの使用を認め、
携帯チェックは止めさせたが、電話番号の消去を口頭で命じるようにさせた。
枝口氏の部門は管理職向けのぶ厚いマニュアル、社員向けのわかりやすいパンフレットを作った。
けれども現場からは不評で、営業部門担当の幹部から
「君たちの仕事は儲けにつながるのか」と言われた。
「努力したのに評価されず、徒労感を感じます」と話す。
「誰もが一生懸命なのに、利益に結びついていない」。
「リアルを創るIT企業」と自社を紹介するリアリットの大原孝治社長は、
保護法への対策を行う企業の現場でこんな感想を抱くことが多いという。
どの企業も保護法に従って真面目に情報管理の問題に取り組むが、
社員教育や手続きの整備でコストが増えるのに売り上げ増加に結びつかない。
一方で、店頭や営業拠点ではさまざまな人が出入りするために、
顧客情報が漏れかねないのだ。
同社は小売業大手のドン・キホーテのシステム部門から独立した会社で、
大原社長は本体の営業幹部だった。「現場の苦労と、お客さまを守ることを中心に考えたらいいのに……。企業をみると、そんな提案をしたくなることも、たまにあります」。
内閣府の国民生活審議会では、保護法をめぐるヒアリングを行った。
それで紹介された職場の声を抜粋しよう。
「取引ごとに個人情報の利用に同意書を出してくれとお願いするので、顧客はうんざりしている」
「退出の際に上司が私用かばんまでチェックする」
「監視カメラが持ち込まれた」
「保護法への対応が会社と自らの身を守るための『作業』と化しており、
従業員に『やらされ感』が蔓延(まんえん)している」
こんな職場で、快適に仕事ができるだろうか。
被災者の住所が
わからない!
自分の情報がおかしなことに使われるのではないか」。
誰もが持つ不安を背景に、高度情報化社会での個人情報使用のルールづくりを目指して、
保護法は制定された。
しかし、その存在を理由に「必要性を無視して、個人情報を公開しない」という過剰反応が
一部にはあるようだ。
今年7月に起こった新潟県中越沖地震では、
同県柏崎市が個人情報保護法を理由に「要援護者」の名簿を、
地元自治会や消防に事前に提供していなかった。要介護状態の男性など
4人の死亡者が名簿に掲載されており、批判が起きた(産経新聞07年7月19日)。
05年4月の「JR西日本福知山線列車脱線事故」では、
護法の規定を理由に、家族側に死傷者の情報を明かさない病院があった。
地域社会や学校での名簿の消滅、公的機関への情報提供拒否などが起こり、
身近なところで不便を感じる人も多いだろう。保護法は生命にかかわる情報や公益性の
高い情報については、公開を可能とする例外措置を認めている。
三菱総合研究所で情報についての企業コンサルティングと研究を
行う松尾正浩主席研究員は話す。
「法の解釈では、合法、違法という黒白で分かれる領域に加え、グレー部分が存在します。
これは社会通念の形成や判例の積み重ねで解決するもの。過
剰反応は次第に落ち着くのではないでしょうか」
個人情報の範囲が
広くとらえられすぎた
しかし、法律自体に内在する問題で、混乱が生まれていると指摘する識者もいる。
保護法でいう個人情報とは「生存する個人に関する情報であって、
当該情報に含まれる氏名、生年月日、その他の記述等により、
特定の個人を識別することができるもの」(第2条)。
条文を字義通りに解釈すれば、個人を識別するものがすべて対象になる。
たとえば「名刺」は個人情報を記載した文書として扱われてしまう。
すべてを一緒にして、全部規制の対象にした。これが問題です」。
青柳武彦国際大学グローバル・コミュニケーション・センター(グローコム)客員教授は指摘した。
個人情報には、流通させるべき「公共財」的なものもある。たとえば災害弱者の住所、学術研究で必要な統計に使われる情報などだ。
一方で人生に影響を与えかねない個人情報には、厳格な管理が必要になるだろう。
「個人情報にはいろいろな種類とレイヤー(機密度の違いによる階層)があります。
それぞれに応じた利用法と使用規制のガイドラインを作るべきでした」と
青柳教授は政府の対応を批判する。
保護法の規制する「個人情報取扱事業者」の範囲も広い。
「個人データによって識別される人数が5000件を超えるデータベースを持つもの」を事業者とみなし、
「適正な取得」「安全管理措置」「第三者への提供には本人同意が必要」などの義務を定めた。
小規模事業者や私人はその対象外とするが、大半の企業が含まれる。
保護法は民間の情報部門すべてに「投網を打つ」形の規制であるため、
ビジネスに必要な情報の流通が妨げられている。
政府は保護法についてOECD(経済協力開発機構)理事会が1980年に定めた「プライバシー権保護と個人データの流通についてのガイドラインに関する理事会勧告」に準拠すると説明する。
この勧告は各国のプライバシー権の保護についてのルール整備の基点になった一方で、
産業界を中心に「情報提供者の情報支配を過度に認めている」と批判が噴出した
ものだ。またインターネットの発展による情報の大量流通も想定していない。
そのため、アメリカやEU(欧州連合)では1990年代に個人情報をめぐる規制を定めた。
「世界の流れは、守るべき情報を保護する一方、利用範囲を広げようというもの。
情報を扱う基本法の整備の一番遅れた日本では、厳格なルールを官主導でつくってしまった」(青柳教授)という・・・
