不思議な話だが、個人情報保護法の経緯を振り返ると、住民基本台帳ネットワーク（住基ネット）の運用と引き換えに保護法が急いで検討され、成立した。住基ネットはネットワークを通じて秘匿しておきたい個人情報が流出する可能性があるという反対論が強かったので、個人情報が流出しない仕組みを作るので、住基ネットを認めてもらいたい、と住基ネットを守るために保護法を作った。争点になった住基ネットで住民情報を取り扱うのは公務員である。「不思議だ」というのは、個人情報保護法は、その公務員に適用する法律ではない。公務員は個人情報保護法とは別の、もっと厳格な公務員法によって個人データを正当な理由なく外部に漏らしてはならないのである。

個人情報保護法の対象者は民間事業者である。さらに厳密にみると、個人情報を漏らした民間企業の従業員が保護法に罰せられるのではなく、個人情報を取り扱う事業者が懲罰の対象である。さらに詳しく見ると、事業者とともに、事業所内部で個人情報取り扱いの責任者が、事業所内で扱う個人情報の管理をきちんとしていなかった、として、「管理責任」を問われて罰を受けるのである。懲役刑が科せられるが、事業所は刑務所に入れないので、最悪の場合は管理責任者が刑務所に入る。個人情報を漏らした当の本人は別のルールによって処罰を受ける。企業の就業規則違反で社内的な懲罰にかけられたり、企業に大きな損害が生じた場合には損害賠償責任が生じる可能性があるが、保護法で直接に罰せられることはないと考えられる。情報を取得する際に不正にコンピューターに侵入していればコンピューターへの「不正アクセス禁止法」に抵触したとして刑法犯になる可能性はある。

これに対して公務員は直接、個人が罰せられる。公務員法の規定で厳しい罰則があるとされてきた。住基ネットを担当する総務省は、個人情報保護法ができるまでは住基ネットを動かしてはならない、と国会で議論されている際に、住基ネットを取り扱う公務員には別途、厳しい公務員の規定がすでにあるので、保護法の成立を待つ必要はない、と主張したが、その主張は通らず、個人情報保護法を待つに至った。

「管理責任」というのは特に企業の社会的責任の一環として重要視されるようになった大事な概念である。企業はある種の案件について、厳格な管理体制を構築、運用し、管理責任者がその運用が正しく行われるように執行しなければならない。うまく運用ができず、トラブルが発生したら、管理責任者が懲罰を受ける。

良く知られるのが「ハラースメント」だ。「セクシャルハラースメント」、「パワーハラースメント」、学校の中で起こる「アカデミックハラースメント」など、様々なトラブルが発生するようになった。以前は何気なく行っていた行為が、相手に対して精神的に深い傷を与える、として、組織内から排除することが要求される。

ここで重要なのは、ハラースメントが問題になったとき、裁判所に訴えられるのはハラースメントを起こした当人ではなく、それを防止できなかった組織である。企業や大学、行政機関などの組織は、メンバーがハラースメントを起こさないように教育・訓練をし、ハラースメントの被害を受けた者が秘密裏に訴えることのできる窓口を作って置かなければならない。トラブルが起きて被害者が裁判所に訴え、会社側（組織側）が敗訴すれば、会社は多額の慰謝料・損害賠償金を払わなければならない。ハラースメントをした社員が行為の是非を問われているのだが、責任を取るのは組織全体である。日本の自動車メーカーが米国でハラースメントの訴えを受けて数億ドルの損害賠償を支払ったのは「管理責任」を追及されたからである。

個人情報保護法も同様に企業に「管理責任」を求めている。ただし、5000人超の個人データを半年以上持ち続ける企業などの民間組織が対象だ。個人情報が流出した際に企業の経営者がマスコミ陣の前で頭を下げて謝罪している。企業は情報を盗まれた「被害者」ではあるが、同時に、個人情報を適切に管理せずに流出させ、その情報を悪用される危険を生まれさせた。情報を流出された個人にとっては、管理責任を怠った企業は加害者である。企業が責任をもって情報を収集し、不正な使い方をされないように管理する、それを企業に要求するのが個人情報保護である。


【筆者＝JAPiCO理事長　中島洋】
＊本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
＊Japan Foundation for Private Information Conservation Organization