ここまで4回にわたって改正個人情報保護法のポイントを紹介してきたが、あとひとつ困った問題が残っている。旧来法では、扱う個人情報の件数が5,000件未満の事業者は規制の対象外だった。旧来法第二条に対象外規定があり、「その取り扱う個人情報の量及び利用方法からみて、個人の権利利益を害するおそれが少ないものとして政令で定める者」はその対象外だった。
政令では5,000件未満の扱い量なら「おそれが少ない」として、この法律の縛りを免れることができていたわけだ。しかしこのような措置はグローバルな視点から見ると「抜け穴」を作っている印象を与えてしまう。実際は大きな事業者なのに、小分けした5,000件未満のデータベースをたくさん持って事業を拡大していると法に引っかからないので、悪辣なことでもできるだろうというわけ。
そこでこの例外事項を外したのだが、本当に真面目にやっている零細事業者は困ってしまう。彼らは、大手企業のようにITの部門や要員を持っているわけではない。法規の対応をすることもどうやっていいか迷うし、なんとか理解できてもコストがかさんで経営に響く。大体ちゃんと整理されたITシステムなど使っていないかもしれないし。
実はこのようなことは日本だけの話ではない。欧州ではEU加盟27(28?)カ国個別の個人情報保護法制があり、それを統べる形で欧州委員会の「個人情報保護指令」があったのだが、2018年に統一的な「個人情報保護規則」になって罰則等も強化される。
複数の機関(この場合は国)の規制を一本化しようとすると、厳しい方に統一されがちな例だ。こういうことが情報保護以外にも一杯あって、イングランドの人たちが「メルケルに決められてたまるか」と決起したのが"Brexit"ということらしい。
欧州の企業団体から聞いたところでは、この規制が実効的に発動されたら小規模・零細事業者はもたないとのこと。産業振興のためスタートアップ企業や中小企業に便宜をはかる一方、彼らをいじめる施策も展開されていると関係団体は不満げだった。
個人情報を含めて、世の中にあふれる情報の利用価値は大きい。いろいろなものが新しくインターネットにつながる、IoT時代である。新しく膨大なデータが出てくる。それを人工知能(AI)が入力にして、これまでに想定されない価値を生むとも言われている。そういう新産業の担い手は、大手企業というよりスタートアップ企業だろう。
欧州委員会も、米国政府も、もちろん日本政府もそれは分かっている。問題は膨大な情報に「個人を特定して不利益を与えかねない情報」がどれだけ混じっていて、どう選別しどうプライバシーを守るのかということにある。とにかく、新法制は日本では2017年春、欧州ではその1年後にスタートする。
<初出:2016.12>
