現行の個人情報保護法では、個人情報を収集し、保管し、利用する民間企業に重点をおいた規定になっている。それも5000人より多い個人情報を半年以上保管する企業や組織だけが対象となって、中小、零細企業などは適用除外になるように配慮してきた。

罰則も、企業や組織が対象である。個人情報の流出があった場合には、企業や組織は監督官庁に届け出て再発防止の行政指導を受けて防止体制を敷く。それでもなお体制が是正されずに事故が起きた際に、処罰が行われる。行政指導の段階があって、次に処罰の段階がある。第一回目で直ちに処罰されないので「間接処罰」の仕組みになっている。

その処罰も企業の管理責任を問う処罰だ。企業や組織では個人情報管理責任者を置くことになっているが、その責任者への懲役、罰金である。それも企業の管理責任を処罰対象にしていて、情報を盗んだ犯人は処罰規定がない。

企業の内部統制やコンプライアンスとして個人情報を守るという仕組みである。この内部統制やコンプライアンスで企業を律するという仕組みは、セクハラやパワハラを防止する仕組みと同じである。企業や組織は従業員に対するハラースメントが起こらないように規定を作成し、監視や防止、相談窓口などの機関を設置することが義務付けられる。そして実際にそうした行為が起き、適切な対応がなされないと、被害を受けた従業員は企業の責任を追及して裁判所に訴えることになる。

ハラースメントを行った上司などが訴えられるのではなく、企業の管理責任が問われるのである。こうした企業の管理責任の考え方が強くなった90年代から2000年代に個人情報保護法が制定されたこともあって、企業に大きな責任を持たせたルールになっている。逆にいうと、個人の犯罪者の処罰という観点が緩くなっていたとも考えられる。

これに対して「直罰」は、行政指導や勧告がされずに、直ちに個人が処罰される。

ベネッセの個人情報流出犯のように、情報の売却を目的に盗んでも、その行為が別の罪状でしか罰せられないのはもどかしい。これまでは「情報を盗む」という定義が難しかった。電車で隣り合わせていた乗客がスマホでメールをしているのを盗み見るのを罰せるか、というような抽象的な議論になってしまった。しかし、個人情報データベースという、窃盗の具体的な対象が明確になった。まず、定義できるところから、保護を広げ、「直罰」で犯罪をけん制するのは合理的な手順だろう。


【筆者＝JAPiCO理事長　中島洋】
＊本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
＊Japan Foundation for Private Information Conservation Organization