個人情報保護法違反で逮捕?
結論から言ってしまえば、少なくとも現時点では「個人情報保護法違反」で逮捕された事例は1つもない。
個人情報漏洩や、個人情報の不正利用がニュースになるにつけ、「なんで個人情報保護法違反で逮捕されないんだ!」と言う人や、個人情報に絡んで不正と思われるような事例を見つけると「警察に相談する」と言う人がしばしば見られるが、そのような人は間違いなく個人情報保護法の中身を知らない。
少なくとも旧法では、個人情報保護法違反だからといって、すぐに警察が動けるような規定は1つもなかった。警察が動けるのは2つのケースに限られ、①主務大臣から違反行為の中止または是正命令を受けたのに従わなかった場合、②主務大臣から個人情報の取り扱いに関し報告を求められた場合に、報告をしないか虚偽の報告をした場合のいずれかである。
しかも、主務大臣による命令や調査といった条文は空文化していた。「主務大臣」というのは、それぞれの事業者の分野を管轄する大臣ということになっているのだが、この規定が曖昧なため、事実上主務大臣が誰なのかさえ決まっていないかったのである。また、主務大臣による「中止または是正命令」もよく考えてみれば難しい問題をはらんでいる。これまで述べたとおり、個人情報保護法は曖昧な部分が多く、いくつもの例外規定があるため、個人情報保護法に対する違反行為があった場合、違法状態を解消する方法は一通りではなく、無数に選択肢が存在することがあり得る。従って、主務大臣が具体的に何を命令するのか、釈然としないのだ。
しかし、そのような問題がほとんど検証されることはなく、何かあればとにかく「警察の怠慢」と非難されてしまうため、警察は個人情報保護法以外の様々な法律を適用して対処してきたのが実情である。
例えば、2009年8月に発覚した「三菱UFJ証券顧客情報売却事件」では、顧客情報を名簿業者に売却した社員は、他人のID、パスワードを使って顧客情報にアクセスしてCD-ROMにコピーして持ちだしたということで、「不正アクセス行為の禁止等に関する法律違反」と「窃盗」で逮捕され、後に有罪判決を受けている。
2012年6月頃から相次いで発覚した、ソフトバンクなどから携帯電話の契約者情報が探偵等に売り渡されていた問題では、携帯ショップの店員が「不正競争防止法違反」で逮捕された。
2014年7月に発覚したベネッセ個人情報流出事件でも、派遣社員が逮捕された罪状は同じく不正競争防止法違反だ。ベネッセの件では、派遣社員は持ちだした個人情報は不正競争防止法による規制対象となる「営業秘密」ではないと裁判で主張したが、結局は有罪となった。
2010年に営業秘密の漏洩に強力な罰則を設けた不正競争防止法の改正が施行されて以降、個人情報の漏洩について、警察は営業秘密の漏洩ということで不正競争防止法を適用して対処しているのが実情だ。不正競争防止法の罰則は最高で「10年以下の懲役若しくは2000万円以下の罰金」と非常に重い。そのため、適用が難しくしかも最高でも「6月以下の懲役又は30万円以下の罰金」と、比較的罰則の軽い個人情報保護法をあえて適用する理由がないからだ。
ただし、不正競争防止法を実質的に「個人情報漏洩」を罰するために「活用」することには限界がある。例えば、「営業秘密ではない」と経営者が言い張ればこの法律は適用できないので、名簿屋のように業者ぐるみで行っている場合無力ということだ。
一方、政府や自治体に関することになれば話は別だ。公務員が「行政機関個人情報保護法」や「個人情報保護条例」に違反して逮捕者が出た事例はいくつかある。これは、民間人とは違って公務員には即座に罰則が適用される厳しい規制がかけられてきたからだ。しかし、そもそも公務員に対しては昔から国家公務員法や地方公務員法による守秘義務があり、違反したら罰則もある。公務員が情報漏えいで逮捕されることは、個人情報保護制度が出来たから始まったわけではない。
改正法では「主務大臣」という制度はなくなり、個人情報保護法の運用主体は個人情報保護委員会に一本化された。また、改正法の成立直前で滑り込みで罰則が追加されている。これらの点については、後で述べることにする。
個人情報の開示と利用停止は有料!?
インターネットで「個人情報 開示 手数料」という言葉で検索してみて欲しい。きっと、興味深いものを見ることが出来るだろう。
様々な企業が「個人情報の保護方針」や、「個人情報の開示」について定めた文書を公開しており、その中に個人情報開示の手数料について書かれていることがある。この金額は様々で、安いものでは200円、一番高いものは概ね3000円で、1000円か2000円が多いようである。これに加えて、郵送料等がかかる。
これは、個人情報保護法が、次の通り個人情報の開示の手続きにあたって手数料を徴収することを認めているからである。
第三十三条 個人情報取扱事業者は、第二十七条第二項の規定による利用目的の通知又は第二十八条第一項の規定による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。
2 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
また、開示を請求するためには、多くの場合免許証のコピーなどの本人確認書類が必要だ。これは当然のことで、そうでなければ第三者が勝手に他人の個人情報を取得できることになり、法律の趣旨に反してしまう。
個人情報の開示請求をしたからと言って、必ず情報が開示されるとは限らない。そもそも対象となる個人情報が存在しなければ開示することができない。また、個人情報保護法には個人情報の開示により「本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合」、「当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合」等には開示しなくてもよいとの定めがある。
そして、手数料は個人情報の開示の対価ではなく、あくまで手続きの費用なので、結果的に開示されなくても返還されることはない。
さて、どうだろう? 単純に、「金を取るのかよ!」と思うかもしれないが、これは仕方のないことだろう。企業はボランティアでやっているわけではなく、従業員に給料を支払っているのだから、手数料が不要な状態で、万が一開示請求が殺到すれば、それにかかる莫大な人件費を企業が負担することになりかねず、企業の経営にまで影響が出てしまう。つまり、手数料を取るのは開示請求権の濫用防止と、クレーマー対策だ。
この制度が最も活用されている事例は、おそらく株式会社日本情報機構(JICC)に自分の信用情報を問い合わせるケースだろう。例えば、個人がクレジットカードを作ろうとしたらカード会社に拒否されたとする。多くの場合は、過去に支払いを踏み倒してしまった等の理由でいわゆる「ブラックリスト」入りしている可能性があることから、信用情報を管理し、カード会社に情報を提供しているJICCに1000円の手数料を支払って問い合わせれば、その理由が分かるというわけだ。もし、信用情報が誤っている場合は、JICCに訂正を請求することになる。
おそらく個人情報の開示制度は、誰が自分の個人情報を保有しているとある程度確信が持てる状況で、さらに詳細な情報の開示を請求するために行うことを想定している。そのため、本来は頻繁に行うようなものではない。
個人情報の利用停止や訂正を求める場合は手数料を徴収されることはないが、ほとんどの場合は、まず事業者が自分の個人情報を持っているのか、持っているとすればその内容がどのようなものなのか分からなければ利用停止や訂正を求めることができない。そのため、実質的には個人情報の利用停止や訂正には手数料がかかることになる。
もし、不特定多数の事業者に自分の個人情報が拡散してしまっている場合、個人情報の開示制度はほぼ無意味である。自分の個人情報を持っていそうな業者に片っ端から開示請求を行うことは手間と費用の問題から現実的ではない。また、開示の目的が、もし自分の個人情報を消して欲しいということであれば、自分の身分証明書をわざわざ事業者に渡すことは矛盾した行為のように思える。
また、この制度は事業者に対する性善説で成り立っている面がある。そもそも、事業者が自分の個人情報を持っているかどうか定かではないのであれば、事業者が個人情報を保有しているにも関わらず、保有していないと嘘の回答をしても、嘘をついていると証明することは困難である。事業者に常に開示義務があるわけではない点にも注意が必要だ。前述の「本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合」、「当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合」とは、一体どのような場合を指すのか必ずしも明確でない。事業者にそのような理由を押し通されてしまえば、反論は難しい。
法律では、そのようなことがないように国が業者に対して強制的に調査できることになっているが、個別の案件について、しかも無数にある業者に対して調査をすることは物理的に不可能だ。
なぜ「名簿屋」はなくならないか
個人情報保護ということについて、法律制定当時の一般国民が期待したのは、しつこいダイレクトメール、電話勧誘、訪問販売、ネットのスパムメールの類が減ることであったように思う。しかし、すぐにはそうならなかった。個人情報保護法はこれらを禁止するものではないからである。個人情報保護法の本来の趣旨は、あくまで個人情報の適正な「活用」であって、個人情報の利用を禁止するものではない。
勝手に他人の個人情報を売買している業者の代表格である、いわゆる「名簿屋」が、個人情報保護法の施行によっていなくなるかと思ったら、全くそんなことはなかった。なぜなら、個人情報保護法は名簿屋を禁止しておらず、むしろ名簿屋が合法的に営業できるように抜け道が作られているからだ。
前にも述べたとおり、個人情報保護法は、個人情報を本人に無断で取得することを禁止していない。そして、他人への譲り渡しについては、30条第2項に次の定めがある。
2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一 第三者への提供を利用目的とすること。
二 第三者に提供される個人データの項目
三 第三者への提供の手段又は方法
四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
五 本人の求めを受け付ける方法
つまり、第三者に個人情報を提供すること、どのような情報をどうやって提供するか、そして本人の求めがあれば提供を中止する旨を本人が分かるように掲げておけば、無断で個人情報を第三者に提供できるとしている。
しかし、このような規制には、どれだけ実効性があるだろうか。
例えば、個人情報を取得するとき、契約書の隅に、「第三者に個人情報を提供します」等と書いておけば適法なわけである。さらに、第三者に個人情報を提供する旨を契約書に書かなくても、例えば「個人情報保護方針」として、業者のウェブサイトのどこかに表示しておくだけでもよい。「本人が容易に知り得る状態に置いて」おけばよいのだから。しかし、このような文書を最初から最後まで熟読する人は稀だろう。
また、「本人の求めがあれば提供を中止する」という、いわゆるオプトアウトにもどれだけ意味があるだろうか。一度名簿屋に情報が提供されれば、その名簿屋の顧客となる企業にはもちろん、他の名簿屋に渡る可能性もある。そうなってしまえば、もはや自分の個人情報をどの事業者が持っているのか把握することはほぼ不可能だ。事業者から別の事業者への情報の提供を止めさせるには、まず個人情報の開示請求をして、その事業者が自分の個人情報を持っていることを確認しなければならないが、先述のとおりそのためには莫大な手間と手数料がかかることになり、事実上不可能なのである。
もう1つの抜け穴は個人情報保護法施行令に書かれている、次の定めだ。
(個人情報データベース等)
第三条 法第二条第四項の利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものは、次の各号のいずれにも該当するものとする。一 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。
二 不特定かつ多数の者により随時に購入することができ、又はできたものであること。
三 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。
これは、端的に言えば出版物として流通している名簿の類は規制の対象から外すという意味である。具体的にはNTTの個人加入者が掲載された電話帳(ハローページ)、ゼンリンの住宅地図が代表格だろう。
ハローページが除外されるのは、考えてみれば当たり前のことだ。今でこそ「LINE」や「Skipe」などのインターネットを使った音声通話が普及しつつあるが、少し前までは電話がほぼ唯一の音声通話手段だったので、どの家庭、どの職場にも個人の電話帳があった。今でも高齢者などあまりネットを使わない層には電話帳はなくてはならないものである。それらを全て規制対象としてしまうと、会社等に置かれている電話帳に対してまで開示・削除・訂正を実施しなければならなくなってしまう。また、住宅地図は、警察署や交番や役所には必ずと言っていいほど置いてあって日常的に活用されているものなので、これらが規制対象になったらたまったものではないだろう。
名簿屋で流通する個人情報の実態をさらに見えにくくするのが、情報のロンダリングである。複数の名簿を結合して並べ直す、あるいは複数の名簿に共通する個人情報だけ抽出する、といった操作を名簿屋が行うと、名簿の最初の出処が分かりにくくなる。さらに巧妙な業者であれば、住所表記の“揺れ”がなくなるように、地図等の地番表記を利用して住所の記載方法を統一するようにデータを整理するだろう。こうして、出処が分からなくなったデータが名簿屋から名簿屋へと漂うことになる。
もっとも、昨今はベネッセ個人情報流出事件の影響もあって、企業が出処の分からない名簿を名簿屋から買うことに慎重になっているようである。改正法では名簿を業者がやりとりした場合は、その記録を残すことが義務付けられ、個人情報保護委員会は業者に対して記録の提出を求めることが出来るようになっている。無数の名簿業者を個人情報保護委員会が網羅的に調査することは不可能だが、何か事件になれば調査される可能性が高いので、今後は名簿業者は出処が怪しい名簿の扱いにはより慎重になるだろう。