個人情報保護王国の迷走
「個人情報が……」で、日本が止まった20年の記録
2005年4月1日、「個人情報保護法」が全面施行された。
その日から日本は、病院で名前を呼ぶことを恐れ、学校で連絡網を廃止し、自治会で高齢者リストを巻いた。
守ろうとして、止まってしまった国の記録がここにある。
本記事は実際の法制度・社会的事例・公的報告書に基づくブラックコメディ仕立ての読み物です。引用・参照はすべて実在の文献・発言・報道に基づきますが、語り口はフィクション的表現を含みます。登場する制度・組織・事象は実在のものです。
世界の標準を、20年かけて輸入した
1.1 OECD勧告と日本の署名
1980年、OECD(経済協力開発機構)は「プライバシー保護と個人データの国際流通についてのガイドライン」を採択した。いわゆる「OECDプライバシー8原則」である。収集制限、データ内容の正確性、目的明確化、利用制限、安全保護、公開性、個人参加、責任の8つ。個人情報とはどのように扱われるべきか、という文明的なコンセンサスがここに結晶した。
日本は、この勧告に署名した。
しかしながら、日本が民間事業者に適用される包括的な個人情報保護法を制定したのは、2003年であった。
23年後である。
1.2 法律なき時代の「普通」
この23年間に何があったかというと、名簿業者が個人情報を売買し、ダイレクトメールが無限に届き、職場の電話帳には自宅住所が印刷され、生命保険会社の外交員が玄関先で「〇〇さんですね」と確認し、学校の連絡網には隣のクラスの子の家の電話番号が書かれていた。情報はゆるやかに、しかし大量に、流通していた。
それが「当たり前」だった時代が、2003年まで続いた。
「個人情報の保護に関する法律」(以下、個人情報保護法)は、2003年5月23日に成立し、同年5月30日に公布された。しかし全面施行は2005年4月1日まで待たねばならなかった。公布から施行まで、約2年の猶予期間が設けられた。
社会が準備するために。
施行日の朝、日本に何かが起きた
2005年4月1日。
個人情報保護法の全面施行日、日本のオフィスに一斉に「プライバシーポリシー」という書類が届いた。「お客様の個人情報の取り扱いについて」という案内が銀行から、保険会社から、通信会社から、通販会社から、次々と送られてきた。どれも似たような文章で、どれも「同意する」以外の選択肢がなく、どれも読まれることなくゴミ箱に直行した。
同じ日、全国の病院の受付では、議論が行われていた。「名前で呼んでよいのか?」。診察室の前で「〇〇さん」と呼ぶことが個人情報の漏洩にあたるのか、にわかに問題になっていた。
同じ日、全国の小学校では、PTA役員が「連絡網を廃止すべきか」という緊急会議を開いていた。緊急連絡網に名前・電話番号が書かれている。これは個人情報の第三者提供ではないか。配布してよいのか、してはならないのか。
法律は施行された。恐怖だけが、先行した。
過剰反応という名の喜劇——日本全国珍事例集
内閣府は2011年3月、「個人情報保護に関するいわゆる『過剰反応』に関する実態調査報告書」を公表した。これは官公庁が国民に「あなたがたは行き過ぎている」と公式に注意した希有な文書である。
報告書が列挙した「過剰反応」の事例は、こうだ。
3.1 病院の受付
入院している知人の病室を教えてもらえなかった。「個人情報なので」と言われた。見舞いに行こうとした市民は途方に暮れた。同じ病院では、患者の名前で呼び出すことを廃止した窓口があった。整理番号で呼ぶようになり、「自分の番号がわからなくなった」という患者の苦情が新たに生まれた。
3.2 学校とPTA
緊急連絡網が廃止された。運動会の写真撮影が禁止された。卒業アルバムへの顔写真掲載に同意書が必要になった。保育園では遠足の写真販売を中止した。「業者に名前と顔が渡る」という理由だった。業者は卒業アルバムを制作する会社だった。
3.3 自治会・地域福祉
民生委員(地域の福祉担当者)が要援護高齢者のリストを作れなくなった。「名前を勝手にリストに載せるのは個人情報違反」と言われた。災害時に一人暮らしの高齢者を助けに行くためのリストが、存在できなくなった。
3.4 事故・緊急時
駅のエレベーターで他人の転倒に巻き込まれ怪我をした市民が、鉄道会社に相手の連絡先を教えるよう求めた。「個人情報なのでお伝えできません」と断られた。
これらの事例の共通点は何か。法律は、これらの行為を禁止していない。個人情報保護法の第1条は「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」と明記している。見舞客に病室を伝えることは「有用な情報提供」の範囲内であり、緊急連絡網は適切な同意を取れば合法である。
しかし「個人情報」という言葉には、魔力があった。
なぜ人は「過剰」になるのか——責任回避の経済学
4.1 リスクの非対称性
過剰反応が起きた理由は、恐怖の形が非対称だったからだ。
個人情報を「漏らして」しまった場合のリスクは、非常に目に見えやすかった。新聞に載る。テレビで報道される。「個人情報を漏洩した組織」として名指しされる。2005年前後、大企業の情報漏洩事件がいくつも報道されていた。ジャパネットたかたの顧客情報約51万件漏洩(2004年)、Yahoo! JAPANへの不正アクセス事件、楽天市場の顧客情報漏洩疑惑報道——これらが、担当者の脳裏に焼き付いていた。
一方、個人情報を「守りすぎて」社会的機能が低下した場合のリスクは、目に見えにくかった。緊急連絡網がなくて子供の迎えが遅れた。民生委員がリストを持てなくて独居老人が孤立した。これらは数字になりにくく、責任者の名前も浮かびにくい。
4.2 合理的な個人が生む、不合理な社会
人間の意思決定において、見えやすいリスクは過大評価され、見えにくいリスクは過小評価される。担当者が「情報を出さない」を選ぶのは、合理的な自己保護行動である。
しかし社会全体から見れば、この「合理的な個人」の積み重ねが、「不合理な社会」を生み出していた。
法律は二度、書き直された
5.1 初代法の「抜け穴」——5000件要件
初代の個人情報保護法には、構造的な問題もあった。
「5000件超の個人情報を持つ事業者」にのみ適用されるという規定だ。5000件以下なら、法律の義務は免除された。零細企業、個人事業主、地域の商店は対象外だった。適用範囲が半端に限定されたことで、「うちは5000件以下だから関係ない」という事業者が多数生まれた。
5.2 2015年改正(2017年5月30日施行)
2015年改正(2017年5月30日施行)でこの5000件要件は撤廃された。また「個人識別符号」が新設され、DNAや指紋、マイナンバーが明確に個人情報として定義された。匿名加工情報の規定も整備され、「適切に匿名化すれば使ってよい」というルートも整えられた。
5.3 2022年改正——罰則の大幅強化
2022年4月施行の改正では罰則が大幅に強化された。違反時の罰金が、個人については最大50万円から100万円へ、法人については最大30万円から1億円へと引き上げられた。また漏洩等の報告義務が法定化され、一定規模の漏洩は個人情報保護委員会への報告が義務付けられた。
5.4 ハローページの終焉
2度の改正を経て、法律は精緻になった。しかし「過剰反応」文化は、法律が何度変わっても、なかなか変わらなかった。
電話帳の「ハローページ」は、個人情報保護意識の高まりを一因として掲載数・配布数が急減し、2020年6月にNTT東西が発行終了を発表した。2005年度にピーク時の約98%減となる119万部まで落ち込んだ配布数がその規模を物語る。1990年代に全世帯の約6割が掲載していた個人の電話帳は、2023年2月に全国最終版の配布を終えた。かつて全住民の名前・住所・電話番号が当たり前に載っていた時代は、完全に終わった。
王国の年代記
守ることと、使うことの間
個人情報保護法が生まれた理由は、正しい。
名簿業者が情報を売買し、訪問販売員が自宅に押しかけ、見ず知らずの他人が自分の住所を知っている——それは、守られるべき問題だった。
しかし20年が経ち、日本社会は一種の「情報恐怖症」を育てた。情報を使うことへの恐れが、情報を使うべき場面でも機能を停止させた。見舞客を病室に案内できない病院。緊急連絡ができない学校。要援護者リストを持てない地域。
法律は「個人の権利利益を守りながら、個人情報を有用に活用する」という二つのことを同時に求めていた。しかし現場は「守る」側だけを選んだ。「活用する」は怖くて選べなかった。
これは誰かの失敗ではない。担当者は合理的に行動した。組織は訴訟リスクを最小化しようとした。行政は誠実に施行を進めた。にもかかわらず、社会全体としては不合理な結果が生じた。
誰かが損をしたわけでもない。誰も得をしたわけでもない。
ただ情報は、守られたまま、止まっていた。