y-matsui::weblog

電子楽器、音楽、コンピュータ、プログラミング、雑感。面倒くさいオヤジの独り言

個人情報保護法案から色々考える

個人情報の保護に関する法律の概要
個人情報の保護に関する法律(平成十五年法律第五十七号)
個人情報保護法の解説
個人情報保護に関する法律
プライバシーマーク 参考資料

個人情報保護法案が4月からスタートとなる。
個人情報が漏れる事件が最近多発し、損害賠償額により、また信用失墜により企業活動に大きなダメージとなることも認識されて来ている。
4月以降、企業・公共団体には、個人情報保護の義務と遵守できない場合、罰則が適用される。
通説では、個人情報が漏洩した場合の損害賠償額は1人につき2万円と聞く。
1万人の名簿情報が漏れた場合には2億円だ。2億円といえば、自分の会社位の規模であれば、年間の利益が飛んでしまい、かなり大きなダメージとなる。もちろん、金額面だけでなく、その後の事業についても復旧するまでにはかなりの時間と粘り強い取り組みが必要となる。
しかし・・・と思うのである。

法解釈にはかなりあいまいな記述が一般的であるが、個人情報保護で「これだけやっていれば大丈夫」という書き方は絶対にしない。「これこれをする必要がある」「どのような解釈でどのような運用をするかは、事業体に任せられる」
扱っている問題は、セキュリティである。性悪説である(法律だから性悪説なんだが)
セキュリティ対策は、疑心暗鬼の世界で、疑わしきものはどこまでも追求しなければならない無間地獄である。
個人情報を、”どんな立派な生体認証鍵付きの部屋”に取り付け、”金庫に入れたとしても”、窓ガラスを割って進入され、天井を伝って進入され、根こそぎ盗難にあったとしても、”保護のための適切な処置を行っていなかった”と責任を追及される可能性が非常に高い。なぜなら、情報が実際に漏洩し、個人に被害を与えたからである。

おかしくはないか?
情報を盗んで悪用し、個人に迷惑を掛けた盗人を裁く法律ではなく、個人情報を使って正規の情報サービスを行おうとしている企業が罰せられるのだ。
個人は、盗人に対して訴訟を起こすのではなく、企業(法人)に対して、怒りの矛先を向けるのだ。

ここでいう個人情報とは、名刺情報やメールアドレス(もちろんメーラーのアドレス帳に蓄積されている個人アドレス帳も含まれる)、メーリングリストのユーザー一覧なども個人を特定可能な個人情報とされる。
電話帳をDB化したもの、名寄せ、なんらかの名簿はすべて個人情報だ。Webアンケートのデータなどはモロに個人情報。1件2万円で計算してみよう。至るところに、どれほどのリスクが転がっているかを。
そして想像してみよう、個人情報保護という恐喝を企業に化すことによって、どれほどの詐欺、インテリヤクザやコンサルタンツが儲ける(可能性がある)かを。