個人情報保護法が分かりにくいことの一つに、条文を読んでも何がしたいのかが分からないということがあるのではと思ったので(自分で最初に読んだときもそう思った記憶があります)、そのことについて書いていきます。
個人情報保護法が共同規制を採用していること
- 例えば金融規制、通信規制、薬事規制は、「●●をするな」が規制の中心であり、「●●をせよ」は虚偽告知禁止の裏返しとしての説明(情報提供)義務、顧客についての一定の事項の確認義務が中心であった。これに対して、個人情報保護法においては、根幹である利用目的の設定が(不適正利用にならない限り)事業者に委ねられているし、利用目的との関係での必要性・関連性を判断するのは、第一次的には事業者である。
- 事業者の知識とリソースの活用は、レギュレーション全体のトレンドであるが(裁量的減免と確約手続は独占禁止法をどのように変質させているか?;金融庁も「処分庁から育成庁へ」を標榜している)、個人情報保護法において早くからその手法が取り入れられた背景には、個人情報取扱いという極めて広い問題を対象としているからだ思われる。すなわち、最初に並べたような業法においては、対処すべき問題がある程度同質的であり、規制対象者の組織・能力(コンピテンシー的な意味での)も同質的だったから、ある程度当局側でリスクの識別と低減措置の設計が可能であり、事業者には、その成果としての禁止・命令(dos and don'ts)のリストを与えればよかった(そのような内容の法律を作ればよかった)。これに対し、個人情報取扱いは、問題の単位として極めて大きく、そこから生じる問題も極めて多様である。個人情報取扱事業者とはほとんど全ての事業者を意味するとおり、組織の能力も極めて多様である。このような状況では、当局側でリスクを識別し、低減措置を設計することはほとんど不可能であり、それらを事業者に委ね、当局は事業者がそれらを行うための基本的なフレームワークを示し、事業者がそれらの役割を適切に果たしているかを(実際上は違反を契機として)モニタリングするほかない。
共同規制を機能させるために必要なこと
- では、その共同規制が適切に機能しているかというと、そうとはいえない。利用目的が十分に特定されていない例は多いし、それとの関係での個人情報取扱いの必要性が厳密には検討されていないと思われる例も多い。
- 共同規制を適切に機能させるための不可欠な条件は、当局が適切に法執行を行い、事業者側のインセンティブを維持することである。個人情報保護委員会に執行権限が一元化され、活発に措置が取られるようになっているが、その対象は主としてデータセキュリティと第三者提供であり(前者はリスクが相対的に同質的であり、後者はdont'sが採用されているので執行コストが低い)、個人情報保護法のコアである利用目的による制限については、いまだ法執行がされていない。
- したがって、ガイドラインの改正、Q&A、注意喚起等を通じて、利用目的による制限についても個人情報保護委員会の立場を示した上で、適切な事案が現れれば法執行を行うことが必要ではないかと思われる。