日本の個人情報保護法が改正される。法そのものは昨年公布されていて、一部施行もされている。ただ全面施行には、やり残したことがいくつかあった。このあと紹介するように、実務的にはかなりの変更がある。政府の組織体制も変わるし、企業等団体に求められるものを変わってくる。そのための移行期間が必要で、全面施行は来年春ごろと言われている。
今週経団連会館で、個人情報保護委員会と有識者(弁護士さん)が改正法について説明するセミナーがあった。500名以上の参加があったようで、通常の会場では足りずサテライトを用意して中継するくらいになった。なんとか正規の会場にもぐりこめたが、空席はほとんどなく企業の関心の高さが窺えた。
改正の最初のポイントは、説明に立った「個人情報保護委員会」そのものの新設。これまで日本の同法ではこのような「第三者機関」の規定はなかった。そこで監督官庁がバラバラに、管掌している企業団体を監督していた。例えば、金融庁⇒銀行、経産省⇒電力会社、国交省⇒交通事業者、厚労省⇒病院等々である。
しかし企業の業容が広がってきて、大きなグループ企業になるとどの官庁が管掌しているのか分かりにくくなった。現実に某グループで情報流出事案が発生したとき、製造業だから経産省だけとはいかなかった。グループ内に病院も保険会社も、銀行まであったからだ。関係する官庁全てに報告に行くと、ウチのフォーマットと違うと言って受理してくれないから、いちいち書き直す羽目になったという。中身は一緒なのにね。
しかし企業の業容が広がってきて、大きなグループ企業になるとどの官庁が管掌しているのか分かりにくくなった。現実に某グループで情報流出事案が発生したとき、製造業だから経産省だけとはいかなかった。グループ内に病院も保険会社も、銀行まであったからだ。関係する官庁全てに報告に行くと、ウチのフォーマットと違うと言って受理してくれないから、いちいち書き直す羽目になったという。中身は一緒なのにね。
確認できていないが、事案等への対応でも各府省で基準があったわけではなかろう。その場その窓口の「裁量行政」で、ものごとを処理したはずだ。つまり、同じ事案でも扱いが統一されておらず、シロクロが定まらなかったと思う。
それは(特に欧州がうるさいが)先進国から見ると、まともな個人情報保護が出来ていない国と日本を認識させることになる。ちゃんと政府が統一的に関与することが求められて、個人情報保護委員会の設置となったわけだ。この委員会が、これまで各府省が持っていた管理監督権限を一本化し、同時に企業団体等への指導・助言もできるようになった。
<続く>
