柴田昨年４月に個人情報保護法が本格施行されてから約１年を迎えるわけですが、個人情報取扱事業者を含めた企業の対応という面での現状はいかがでしょうか？

柴原法律としては３年前に施行され、昨年４月から本格施行されたわけですが、 個人情報への正しい対応が社会的に重要なんだということに個人、企業ともに意識が高まったことは非常に意義があると思います。これで、先進情報社会の一国にやっとなれたというところでしょうか。反面、問題がある点としては、法律自体が難解で明快でない部分もあり、「まぁこれぐらいはいいだろう」と甘く判断している人と、非常にピリピリと過敏に反応している人の両極端に分かれていることですね。

柴田いわゆる「個人情報は取るな、持つな」という腫れ物に触るような対応がありますね。

柴原個人情報の漏洩事件や事故がひんぱんにマスコミで報道されるので、特に会社の経営に近い方ほど、漏洩が企業の信用などの社会的影響が大きいことを理解されているので、現場の状況に関わらず行動を規制しようとする動きになっているようです。

柴田コンピュータ系以外の個人情報を扱っている会社でも過剰反応していますよね。しかし、それではビジネス上うまく行かない。

柴原個人情報保護法について、まず第一に重要なことは、法律の趣旨を理解することなんですね。第１条の目的や基本方針に書いてあるのですが、あくまでも 個人情報を活用しましょう、そのためには適正な運用や管理をしなければいけません ということであって、個人情報を扱ってはダメというものではないし、 プライバシーの侵害を防ぐことを主題としているわけではない のです。 1980 年に出された OECD の勧告では、「プライバシーの保護と個人情報の国際流通」が謳われていて、日本を含め各国の個人情報保護の精神はそこに根源があり、基本は 個人情報をうまく活用しよう、そのためにルールを守ろう ということなのです。ちょうどインターネットの世界が拡がっていく時期で、 皆がルールを守り個人情報をうまく流通させることで経済も発展し、個人の便宜も高まるという発想 なんですね。

柴田我社は ISO を取得している、プライバシーマークを取得しているということと混同していて、何が良くて何が問題なのかが、正しく把握されていない面も大きいですよね。

柴原まずは 企業側が過剰反応していることが多い と感じますね。情報管理は法務や情報システムといった管理部門が主導で行われることが多いため、現場が動けないくらいの過剰反応している場合があります。個人情報保護法の罰則規定は実はそれほど強いものではありません。 罰則よりもむしろ社会的な信用の失墜や信用回復にかかる費用などの心配が多いはず です。そこで法令遵守や情報の漏洩や紛失がないようにしなさいというメッセージだけが先行し、肝心の そうならないようにキチンとした安全管理をこうしなさいという部分 がなかったり甘かったりしています。

柴田それでキチンとマーケティング活動なり、営業活動ができていれば問題ないんですけどね。

柴原そうなんです。実際は、ノート PC は持ち出すな、 USB メモリも使用禁止とか、 あれこれしてはいけないというルールを作るのは簡単 なんですね。しかし、現実はそうは言っても会社だけでは仕事が終わらなくて自宅にデータを持ち帰らざるを得ない状況が多かったりする。

柴田その部分で経営側と現場の認識の乖離ができ、モラルが低下し、情報を紛失したり漏洩したりという、うっかりミスが発生してしまうんですね。

柴原現場を見て、まず営業活動ありきという前提に立ってルールづくりをするべきです。でないと、営業サイドは上から縛られていると思ってしまう。 法令遵守のためにあれやこれやダメダメという教育ではなく、社員一人ひとりのマインドの教育が大切 ですね。たとえば自分がやっている行動で情報漏洩を起こしたらどういう社会的影響があるかを自主的に考える。 自分の信用、会社の信用を守るために、自分の行動を変えないといけないと自覚する、そうした教育が重要 なんですね。私は、方針や規定を会社が明確にした上で、それをどのようにうまく運用・管理する手順は現場で考え、現場の発想で、現場で作るべきだと思っています。

柴田最近は、 10 件や 20 件といった小さな漏洩事故でもニュースとして発表されることが多いですよね。

柴原個人情報保護法の全面施行以来、公表される漏洩事件が増えていると感じている人は多いと思います。それには理由があって、一口に漏洩事故・事件といっても、大きく２つに分けることができます。ひとつは、情報が漏洩した、あるいは漏洩の可能性があるという報道、もう一つは情報が漏洩して悪用され被害があったという事件の報道です。前者は以前はほとんど公表されていませんでしたが、法律施行以後は、漏洩した可能性がある場合は公表しなさいと基本方針で謳われました。それは情報を漏らされた人に注意を喚起し、二次被害を防止することや類似案件を起こさせないことを目的としています。ですから 漏洩の公表と被害があったニュースとは意味が違う んですが、一般的には混同していますね。

柴田そこで企業側も、漏洩事故を公表するのを控えてしまうという本末転倒な行動をしたり、またいっそうダメダメ論を強化してセールス活動に支障が出るわけですね。ではどう対応したら一番いいのでしょうか？

柴原まずは法律を正しく理解することが重要ですが、全体を理解しようとすると実はそう簡単ではないです。それは、各事業分野に共通の部分が一般的な書き方で記載されていて、具体性に欠けるからです。それらは、各省庁から出されているガイドラインで補われています。つまり 各省庁のガイドラインまで読まないと具体的なイメージがわきにくい のです。また、いずれにしても、企業に対する義務として書かれている法律なので、個人のプライバシーの取扱いに関する法律だという視点で理解しようとすると、誤解がうまれます。

柴田では、どういう風な視点で理解していけばいいのでしょうか？

柴原まず、個人情報保護法では、「個人の情報を取り扱う企業に対する義務」が書かれているということです。その理解の上で、 「企業の立場」、「企業の中の個人の立場」、「個人の立場」という３つの立場にわけて法律を解釈しようとすると理解しやすい と思います。まず個人の立場で見ると、個人の情報とプライバシーを守ってくれる法律と考えてよいでしょう。自分の情報を自分でコントロールできるいわゆる 『自己情報コントロール権』を保護する法律 と考えられます。つまり、 自分の情報を使ってほしい所にだけ使ってもらい、使ってもらいたくない所では使われたり別の所に伝達されたりさせないようにするということ です。買物をする場合や懸賞に応募するケースを考えれば分かりやすいですね。お店でモノを買う時には特に個人情報を出す必要はありません。しかし、通販で商品を購入し届けてもらう時には名前や住所が必要ですし、お店で新商品の情報などを案内してもらうには個人情報を提供する必要があります。このような場合は個人情報を伝えないと意味がありませんね。懸賞応募に匿名で出す人はいないでしょう（笑）。

一方、企業に対しては個人情報の取り扱いに関してルールが決められています。基本は、 個人から預かった情報を、個人の意思から逸脱して使ってはいけませんということ 。さらに、了解をもらっていないことに使う時には個人に了承を得るということです。これは考えてみれば当たり前のことなんですね。これをルールとして社内でキチンと決めてやりましょうということで、決して無理難題の押しつけではないのです。この個人の意思の逸脱について、 故意によるものはもちろんミスによるものも防ぐための方策をとり、それを会社の中の個人に浸透させるということが大事 なわけです。会社に属する個人の立場では、それらをどう運用するかという観点で理解する必要があります。

柴田そこで重要になってくるのが 社員教育 であり、その内容というわけですね。

柴原そうなんです。営業部門でお客様の信頼を得るためには、 個人情報の扱いについても信頼を得なければならない 。さらに、 よりお客様が求めているサービスを向上させるためには情報をどう活用したらいいのかを考えることが重要 です。法律では、個人情報を取得した時の目的以外に絶対に使ってはいけないとは書いていません。事前に了解を取って運営していけば特に問題はありません。 個人情報はその持ち主はその個人であり、利用する時にはその人の許可をもらうことは当然であるとともに、むしろ預けてくれている個人に満足してもらうために、その個人情報を活用して、より有益なサービスを提供しようと考えることが好ましい んですよね。会員登録などは、まさにそうした期待のもとに情報を預けてくれているわけですからね。

柴田なるほど、そういうことですね。法律の条文を解釈しようとすると難しいけれど、基本はお客様の信頼を損なないように配慮しながら、情報を活用して、付加サービスをどんどん増やすべきなんですね。

柴原はい。その信頼を損なわないというところが法律で義務として書かれているわけです。ただその義務ついて、それがどこまで許されるかという判断は少し難しいのですよね。法律では「できる限り」とか「努めなければならない」と書いてある部分もあり、どこまで対応すべきかなどが明確ではないですが、 『自己情報コントロール権』の考えに基づいて、自分の情報を自分にメリットがあるように取り扱うにはどうしたらいいのかという発想に基づいて考えれば分かりやすい のではないかと思いますね。

柴田その考えは、データベースなどの扱いに対しても応用できそうですね。

柴原そうです。データベースをどう扱えばいいのか判断しにくければ、一番簡単な方法として、 その中に自分の情報を入れておけばいい と思います。自分の名前や電話番号も入っているんだと考えれば、情報を悪意のある名簿業者に売ることはないでしょう。 自分が嫌なことは他人も嫌なはずですし、自分だったらどうしてほしいかと考えると分かりやすい 。また情報の漏洩が起きる理由のひとつは、置き忘れなどの不注意ですが、これは電車の中に傘を忘れてしまうのと同じで、企業が社員にいくら「電車の中に忘れるな！」と言っても意味がない。 PC や USB メモリ、あるいはその中の情報への執着心が強くないと、置き忘れや盗難にあいやすくなります。まずは その情報の価値について、会社と社員が共通の認識を持ち、執着心を植えつける教育が必要 ですね。たとえば１件の個人情報が１万円の価値があるとして 1000 件のデータを持ち出していたら、現金 1000 万円がカバンの中に入っているのと同じわけです。そうした意識があれば電車の網棚の上に忘れたり、飲食店で紛失したりすることはないでしょう。

柴田そうした自発的なマインドを鼓舞するような社員教育が必要であり、またその教育をする人や中身が重要だということですね。

柴原　そうです。私は ｢教育する人｣と｢教育のコンテンツ｣がキーワード だと思っています。社内で個人情報保護法についてよく知っていそうな人や部署の責任者が義務的に付け焼刃で教えるようではダメですね。 本質的なところを社員全員に理解してもらい、マインドまでトレーニングして、日々の行動にまで反映させ、さらにそれらが実行されていることを確認する必要がある でしょう。たとえば、個人情報保護法について e-learning で学ばせるのもよいですが、流しているだけでは意味がありません。どれだけ理解して、どれだけ行動を起こせるかをはかることも重要です。

柴田そうした教育のキーマンであり、行動規範となれる人が『個人情報保護士』というわけですね。

柴原そうですね。 個人情報保護法の法律の内容とその運用の両方についてキチンと理解していることを証明する資格 ですからね。個人情報保護士は、（財）全日本情報学習振興協会が認定している民間資格ですが、昨年の 10 月に第１回、 12 月に第２回目の試験が行われました。そして今年の３月に第３回目の試験が予定されています。第１回では 3,000 名ほどが受験し合格率は約 56 ％でした。

柴田法律の理解と運用の２つということですが、具体的にはどういう内容になるのでしょうか？

柴原まずは、法律を正しく理解していること。さらに運用とは、リスク分析やいわゆる安全管理措置について理解し、それらを運用できるということです。 安全管理措置は、人的、組織的、物理的、そして技術的な対応 が求められています。しかし、サーバやＯＳの設定の方法など、具体的な操作は、情報システム部門なり各部署の専門家がやればいいわけなので、何が必要か、何をしなければならないかを理解するということです。

柴田合格率が 50 ％強ということは、そう簡単には取得できないわけですね。

柴原個人情報保護法に関する無料セミナーなどが行われていますが、それに参加したり、また e-learnimg で学んだからといって合格できる資格ではありません。 法律の本質的なところから、細かい内容までを理解し、しかもそれを正しく運用できる人でないと取得できない ので、だからこそ価値があるとも言えますね。

柴田やはり、個人情報保護士対策の講座を受講して勉強する必要があるわけですね。

柴原もちろん資格を取得するために勉強するということではなくて、その取組み方まで含めて理解し、運用ができるそのスキルの証明として資格を取得しましょうということですね。

柴田そうして個人情報保護法を正しく理解し運用することで、逆に言うとビジネスチャンスが拡がる。自己防衛に走ることなく攻めの営業やマーケティングができることで、ライバルに差をつけられると。

柴原 個人情報保護法は、その趣旨を理解するために｢道路交通法｣に例えられることがあります。クルマが普及するのに合わせて、事故防止のためにお互いにルールを守りましょうということで道路交通の規定が作られた。罰則規定はルールを守らない人に対するものであり、事故が起こってしまった場合の損害賠償などは民法などの領域であり、道交法の範囲ではありません。個人情報保護法も同様で、個人情報の扱いによる事故を防止するために皆が守るべきルールが規定されていて、個人のプライバシー侵害が起こったときの損害賠償のために規定されているわけではありません。また、道路交通法があるので面倒だからクルマは乗らないで車庫に入れっぱなしにしておくという人はいないですよね。個人情報も同じで、個人情報保護法が制定されたから面倒だから個人情報を扱うのはやめようということはおかしいのですよね。あくまでもクルマを活用し便益を得るために、個人情報を活用して便益を得るためにルールを守りましょうということです。 個人情報保護法は個人情報を活用するためのルールと考えて、もっと積極的に勉強し、現場の営業やマーケティング活動に活用してほしい ですね。

柴田 どうもありがとうございました。

関連情報

お知らせ

柴原健次氏の共著による『個人情報保護士試験公式テキスト 』 ( 日本能率協会）が発売中です。