|
2007/07/17 火曜日 21:13:24 JST |
「プライバシーマーク制度」の創設と「個人情報保護法」の成立
前回に示した年表を見ながら、本稿をお読みいただきたい。
トランジスタを使用した第二世代のコンピュータとして、1959年末にIBM7090やIBM1401の使用が開始され、その後、ICベースの第三世代のコンピュータとして前回に示した年表のトップに記載したIBM-360が発表され、1960年代後半から大手企業を中心にコンピュータの利用が拡大して行った。
当初はメインフレームと呼ばれた汎用コンピュータが中心であったが、1971年にインテルにより4ビットのマイクロプロセッサー(ワンチップCPU)が発表され、その後、8ビット、16ビットのチップが開発されるのに伴い、コンピュータはパーソナルコンピュータとして、個人が所有する領域に急速に突き進んで行った。
企業でのコンピュータの利用の広まりと共に、大量に蓄積された個人情報を簡単にコピーし、持ち出すことができるようになってきたこと、また電子データはコピーをしてもその証拠が残りにくいこと等々多くの理由があると思うが、それぞれの国や国際機関で個人情報の保護に対する取組みが行われ、規制する法律やガイドラインが整備されてきた。
しかし、各国の法制度の内容がそれぞれ異なっていたことから、各国の法制度を調和させる必要があり、1980年(昭55)9月にOECD(経済協力開発機構)により 「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」(OECD 8原則)が制定された。
このOECD8原則は、タイトルにもあるように、当時、盛んになりだしたデータ通信を利用した個人データの国際間の流通に対応することを念頭に置いていたが、内容としては個人情報の適正な取扱いに関する基本的な考え方を示したものであり、その後の各国の法制度の基礎となっている。
その後、1993年(平5)11月にEU (European Union(欧州連合)) が設立され、1995年(平7)10月に「個人データ処理に係る個人情報保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」(EU指令)を採択した。
この中で、「構成国以外の第三国への個人情報の移転を制限する」条項(第Ⅳ章 第三国に対する個人データの移動)が設けられ、この中では「EU(欧州連合)の構成国から第三国に個人情報を移転する場合、その第三国が個人情報に関して適切なレベルの保護を提供していると判断された場合にのみ移転できる」とされており、また、「EUの加盟国は、本指令の採択から少なくとも3年以内(1998年10月まで)に本指令を遵守するために必要な法律、規則及び行政規定を発効させるものとする。」とされた。
当時、日本には、民間分野を包括的に規制する個人情報保護の法制がなく、更に同時期の1995年(平7)には、 非関税障壁の撤廃に向けてWTO/TBT協定が締結されており、企業のグローバル化に対応するためには、EU(欧州連合)の構成国から日本への個人情報の移転を禁止されることは是非避ける必要があり、日本においても何らかの対応を迫られる事態となった。
そこで、1997年(平9)3月4日 に当時の通商産業省により「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」(平9年3月4日告示第98号)が告示されたが、早期に実施が可能であり、また実効性のある個人情報の保護のための方策の実施が求められていたことから、このガイドラインの普及を図るため、㈶日本情報処理開発協会(JIPDEC)は通商産業省の指導を受けて、翌1998年(平10)3月25日に「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」を審査基準とした「プライバシーマーク制度」を創設して平10年4月1日より運用を開始した。
「個人情報保護法」の法制化の動きとしては、1998年(平10)11月 に政府の高度情報通信社会推進本部が「高度情報通信社会推進に向けた基本方針」を決定し、その中にプライバシー保護についても盛り込み、2000年(平12)10月11日には、それを受けて、情報通信技術(IT)戦略本部 個人情報保護法制化専門委員会が「個人情報基本法制に関する大綱」を発表し、本格的な法制化に向けた動きが始まった。
このような動きの裏には、EU指令への対応だけでなく、1999年(平11)5月に京都府宇治市の乳幼児検診システム用住民データ約22万人分が名簿業者に流出し「宇治市住民票」という名で、ネット上で販売されていることが発覚した事件を初めとする、数々の個人情報の取扱いに関連する事件の発生や、「住民基本台帳法の一部を改正する法律」に係る、住基ネットへの参加の可否の問題等があった。
これは、1999年(平11)8月に「住民基本台帳法の一部を改正する法律」が公布され、その中で、全国の市区町村の住民基本台帳に係るシステムをネットワーク化して結び、全国共通の本人確認を可能とする住民基本台帳ネットワークシステム(住基ネット)を導入することが提案され、それがe-Japan重点計画の一環と位置付けられて、その後2002年8月より住基ネットが本稼働を開始したものである。
{住民基本台帳ネットワークシステムは、地方公共団体共同のシステムとして、居住関係を公証する住民基本台帳のネットワーク化を図り、4情報(氏名、生年月日、性別、住所)と住民票コード等により、全国共通の本人確認を可能とするシステムであり、電子政府・電子自治体の基盤となります。 (JUKI-netより)}
住基ネットへの参加は地方自治体レベルでの議論も巻き起こし、国民の間では、公的な部門で住民票コードが不正に使用される可能性があること、全市町村がネットワークシステムとして結合された場合、どこかに脆弱性があるとそこから個人情報の流出が起こり、犯罪に利用される可能性があること、等々、国民の不安感は大きく、住民の意思を受けて、地方自治体の中には、当初は住基ネットに参加しないところもあった。
このような背景の下で、国民が個人情報の保護に関しての関心を高め、国に対して個人情報の保護に関する要求を高めてきたこともあり、個人情報保護法の制定作業は進められた。
当初、個人情報保護法は2001年(平13)3月27日に「個人情報の保護に関する法律案」として提出(第151回国会)されたが、報道関係者や著述関係者から表現の自由への脅威となるとの反対意見があがり、2002年(平14)12月13日 (第155回国会)に審議未了で廃案となった。
その後、表現の自由への脅威とされたOECD8原則をまとめた基本5原則等を削除修正した後、改めて2003年(平15)3月7日に「個人情報の保護に関する法律案」等の5法案が国会に提出(第156回国会)され、2003年(平15)5月23日に法案が成立し、5月30日に公布され、一部は即施行された。
その後「個人情報の保護に関する法律施行令」の公布を経て、平17年4月1日から全面的に施行され、事業者においては「個人情報の保護に関する法律」(通称:個人情報保護法)に基づいた対応が本格化してきた。
「個人情報保護法」の基本は、基本法(一般法、アンブレラ法とも言われている)と呼ばれるもので、法の第一条に“個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする”とある通り、個人情報の保護に対する一般的な事項を述べているだけで、基本的には個人情報の保護を事業者による自主的な遵守に求めており、罰則に関しても、法第34条による主務大臣による勧告や命令を経た後に、主務大臣による命令に違反した場合に始めて一定の刑事罰で処する仕組み(法第56条)となっている。
しかもその処罰の対象になるのは命令に違反した“個人情報取扱い事業者”であり、もともと違法行為を行った従業者は処罰の対象となっていないことに留意する必要がある。
このような点から、個人情報の意図的な漏えい、窃盗等の防止に対しての有効性に疑問が投げられており、自民党を中心に、「個人情報保 護法」の改定や、「情報漏えい罪」の新設等が検討されている。
最近の動きとしては、国民生活審議会が「個人情報保護法」の施行後の問題点等の検討結果を「個人情報保護に関する取りまとめ」(意見)として取りまとめ、6月29日に公表したことがある。
今回の取りまとめでは、“当審議会としては,毎年度の個人情報保護法の施行状況のフォローアップにおいて、いわゆる「過剰反応」に対応した上記諸施策の効果をはじめ、個人情報保護に関する様々な課題を取り巻く状況を見極め、法改正の必要性も含め、更なる措置を検討していく必要があると考えている。”とされ、取りあえず、問題への対応はガイドラインの周知徹底などで対応していくとして個人情報保護法の改正は見送られた。
一方、5月14日に総務省から愛媛県を通じて指摘があったことで判明した愛媛県愛南町住民の個人情報約2万6000件がネットワーク上へ流出した事件は、その後広がりを見せ、全国7市町で延べ約55万件にのぼる住民基本台帳のデータが山口県内のデータ処理事業者からWinnyを介してネットワーク上に流出していたことが判明した。
これを受け、総務省は、住民基本台帳法を改正し、過失によって情報を流出させた業者に罰則を科す方針を固め、専門家による検討会を設置し、罰則の必要性を精査したうえで、罰則の対象を従業員だけでなく法人にも広げるのかなどを論議し、また今回は自治体の直接の委託先から無断で再委託されていたケースがあったため、その是非についても検討し、10月までに論議を終え、来年の通常国会に「住民基本台帳法」の改正案を提出する方針と伝えられている。(2007-7-11朝日新聞他)
年金問題に端を発して、2012年の実施を目処に進められている健康保険証のIC(集積回路)カード化において、それを拡大し、年金や医療保険、介護保険の個人情報を一元的に管理する「社会保障番号」を2011~12年度をめどに導入し、「国民サービスカード」(仮称)として一元管理しようとする動きもあり、個人情報の保護の面からも目が離せない。
(中小企業診断士 中村 隆昭)
|
