Cyber NINJA Archives

2016年からの旧ブログを整理・修正して収納します。

改正個人情報保護法(4)

 個人情報保護法の改正を議論しているとき、不幸な事件が起きた。某教育関連企業から情報が流出しいわゆる名簿屋の手に渡って転々流通してしまったのである。個人のプライバシーを守りながら、社会全体でデータを共有したり流通させたりして付加価値を生もうと考えていた産業界も政府も、この事件には困った。

 日本の企業は、一般に世界でも指折りの真面目さを持っている。しかし一部にふとどきな輩はいるもので、情報管理に関しては「名簿屋」などという業種がそれにあたる。それが表に出てしまった上に、将来のある(つまり利用価値の高い)子供たちのデータだったことが世間の怒りを増幅した。

 よってこういう輩を排除する規定なしには、改正個人情報保護法の成立はおぼつかないと政府は判断したようだ。そこで出てきたのが「第三者提供に係る確認・記録義務」というもの。個人情報(匿名加工情報や統計情報はこの限りではない)を、取得した人や自分自身以外の第三者に渡すときは、提供年月日や提供先氏名などを確認記録することを義務化している。当然提供を受ける場合も提供者の氏名や年月日、当該情報の取得経緯を確認した上での記録が義務付けられる。

 
 もらう方も渡す方も一定期間の記録保持を義務付けられているので、万一何か起きても追跡できますから安心ですよと市民にアピールする内容である。趣旨は理解できなくもないが、一部ふとどきな事業者がいるせいで全事業者が確認・記録に追われて社会コストが上昇するというのは納得できない、という事業者が多い。

 いまやひとつの会社・グループ内で閉じる事業をしているようなところはほとんどない。旅行にしても保険にしても代理店を使っているし、コンビニや外食などはフランチャイズ制だ。パートナー事業者(これも第三者に当たる)と顧客情報をやり取りするのは当たり前なのに、それをいちいち記録しろというのかと彼らの不満は爆発寸前まで行った。

        f:id:nicky-akira:20190422200655j:plain


 大体「名簿屋」対策なのだったら、有償での情報のやり取りのときだけ確認・記録すればいいではないかという意見も出た。規定がでてきた背景を考えれば妥当な話。その後定常的なやり取りについては記録等を軽減するなどの措置がとられて落ち着いたらしい。実施段階で、この確認・記録義務はトラブルになりそうな気もする。

<続く>