特集2

ドメスティックスタンダードとグローバルスタンダードの相違点について

　しかしながら、これまで説明してきたようなことだけで本当によいのでしょうか。今回は、現場レベルで行われるべき事項およびそれに使用される規定例についての説明をしたわけですが、それとともに、プライバシーマークの取得だけでは解決できないような問題も存在することをここに指摘することに致します。

　まず最初に、どうしても考えなければならない点は、個人情報保護というのは、グローバルなものであるということです。特に個人情報保護方針（プライバシーポリシー）などというものは、実際にはホームページに掲載されるものであり、そのホームページというのは世界中どこからでも閲覧できるという性質を持っています。そうしますと、このプライバシーポリシーやそれにもとづくその他の規定類の運用によって、グローバルな観点でその企業の存在価値が問われるということにもなってくるわけです。
　我が国において、このことの重大性をわかっている経営者というのは、実は意外に少ないように思います。多くの場合には、プライバシーポリシーをうまく自社用に変形することによって対応し、それで満足してしまうところがありそうです。ところが、海外からの目ということを考えた場合には、特に次のようなことに注意する必要があると考えられます。

１．子供の個人情報の問題

　1番目の問題は、子供の個人情報に関することです。例えば私の家でも、生まれて間もない子供が初節句を迎えると、必ずそれに関係する案内がどこからかやって参ります。これは本当に不思議なことです。なぜならば、子供独自に自己の個人情報開示の手続をしたことなど、あり得ないからです。おそらく、病院や官庁から個人情報が漏れているのだと推測することができます。この点につき、子供自身が自分の個人情報に関して文句を言ったり、あるいはその情報収集の停止を求めたりすることはできないわけですから、いきおい、親が行うことになります。しかしながら、子供の個人情報については、我が国の法律の下では、とやかくうるさく監視する必要はありません。だからといって、これは道義的に許されることなのでしょうか。
　また、子供が育って12、13歳になったとします。いまどきの子供であれば、その頃にはコンピュータの操作に慣れ、インターネットを利用することもあると思います。そのとき、例えば欲しいものが見つかった場合に、自分の個人情報を入力してしまう場合があるかもしれません。こうして得た子供の個人情報について、これは、収集の仕方が悪かったとか利用の仕方が悪かったということで子供が文句を言ってきたとしても、事業者がそれに取り合う必要はありません。法律上、子供というのは手続能力がなく、何をするにしても親の了解が必要だからです。実際に、個人情報保護法でも、子供については、開示請求をする場合に親が行うことができるとしているのみであり、子供自身が自分の個人情報をコントロールすることについて認めているものではありません。

　ところが、米国等では、商用のウエブサイトが13歳未満の子供の個人情報を収集、利用、公開する前に、親権者の同意を必要とする法律が施行されており、この点が日本と大きく異なるものです。
　また、米国に限らず、子供の個人情報収集については、諸外国は、日本より厳しいものがあります。この点は、個人情報に限らず、暴力シーンやわいせつな場面等についても、子供の利用やアクセスが厳しく禁止されているのが外国の現状であるということを考えれば、こういったものに対しても甘い我が国は、どうしても後進国的な取り扱いを受けることになります。
　ですから、「国際標準に合致し、進んでいる企業」というイメージを得るためには、可能であれば個人情報保護方針（プライバシーポリシー）にも子供の個人情報についての保護、この場合であれば、日本の法律にあわせて20歳未満の未成年について適用するように、きちんと明定すべきだと思いますし、可能な限り、現場の規定集にもそのことを盛り込み、運用の面でも、子供の個人情報をみだりに収集しないようにする方が好ましいと言えます。

２．「機微な情報」（センシティブ・データ）の問題

　２番目に問題なのは、ヨーロッパでは「機微な情報」の収集は禁じているということです。既に述べましたように、個人情報保護法はプライバシーを直接保護するものでないのですが、個人情報を収集する企業は、具体的な情報収集の過程を通じて「どのような情報まで収集するのか」という収集方針が問われることになります。ですから、なんでもかんでも収集するということは、プライバシーの侵害に限りなく近づくリスクがあります。
　この点、欧州では、政治的見解や宗教、人種や民族、本籍地、性生活や犯罪歴等の「機微な情報」（センシティブ・データ）というようなものの収集を禁じております。ところが、我が国の個人情報保護法では収集禁止項目については一切触れておらず、したがって本人に関するあらゆる情報収集が可能となっております。この点については、個人情報保護方針（プライバシーポリシー）に盛り込むまでもないものの、企業のイメージを損なわないためにも、現場レベルでの運用では、こういった機微な情報については収集をしないように気をつけたいものです。

３．外国への個人情報の移転の問題

　第３番目として、これは最も問題となることだと思いますが、本連載第３回の説明の中で記述しましたように、ヨーロッパでは同等水準の個人情報保護法が施行されていない第三国への個人情報の移転を禁止しています。ところが、残念ながら、我が国の個人情報保護法には、このような行為を禁止する規定は存在しません。プライバシーマークの取得の過程でも、このようなことは問題になりません。このようなことから、コスト削減等を目的として、例えば中国等で個人情報のデータ入力作業を行ったり、コールセンターを開設するという動きが出るようになるかもしれません。ところが、憂慮すべきは、中国その他のアジア圏（韓国を除く）においては、未だプライバシーや個人情報保護法に関して議論さえされていないような状態であるということです。
　収集した個人情報をどの国で扱うかは、法律の適用（特に罰則）を考えた場合には非常に重要なのですが、当該国に同程度の個人情報保護法がなければ、問題が生じた場合に適切な法的な制裁措置が取れないことは言うまでもないことです。

　さらに問題となるのは、被害者への通知義務と自己情報のコントロール権です。個人情報が漏洩した場合には被害者となった人に漏洩の事実を通知しなければならないわけですが、これは諸外国では当たり前のことであるにしても、我が国の個人情報保護法ではそのような義務を課してはおらず、プライバシーマークの取得にあたっても、そのようなことを行う必要はありません。したがって、漏洩の事実が通知されなければ、被害者としては、見ず知らずの人間からの嫌がらせの電話や詐欺的な行為、迷惑メールが来ることを予想できず、警戒することもできません。これについては、可能な限り、現場レベルにおいても、漏洩があった場合には速やかに被害者へ通知するように心がけるようにしたいものです。

　自己情報のコントロール権については、苦情の窓口は存在するにしても、その苦情の窓口に対してデータ内容の追加や削除は、保有されている個人データの内容が事実でない場合にしか認められておらず、事実である以上は、本人が削除して欲しいと思っても項目を自由に削除することはできないのです。
　これは、プライバシーマーク制度制定のモデルとなった個人情報保護法が、自己の情報を個人情報取り扱い業者へ提供した瞬間から自己情報のコントロール権に厳しい制約を加えるものになっているからです。すなわち、現在の日本の制度の下では、本人による消去要求がかなわないのです。また、合併その他の事由による事業の承継に伴って個人データが提供される場合にも、個人の意思とは無関係に勝手に個人情報が動くことになります。
　このようなことは、確かに我が国の枠内の中では適法です。しかしながら、こういったことを、我が国で適法だからといってそのまま続けていいかどうかはまた別の問題です。国際商取引というものを考えた場合には、日本を代表するグローバルな会社であればなおのこと、こういった点についても、深く考えたうえで、現場レベルの諸規程や運用について考える必要がありそうです。