知らない間に自分に関する情報が書き換えられ、いつの間にか犯罪歴がある多重債務者にされてしまう。日本的邦題の映画「ザ・インターネット」はそんなネットワーク社会に潜む怖さを生き生きと描写している。主人公のヒロインはキャッシュカードもクレジットカードも使えなくなるが、自分を陥れた組織を逆に追いつめていく。
そこまで極端ではないにしても、日本でも似たような事件は起きている。たとえば銀行でクレジットカードを作ろうと申し込んだら作ることが出来ない。理由は教えてもらえず、審査で認められなかったと告げられるだけ。しつこく食い下がると、あと五年はどこへ行っても無理でしょうと告げられた。調べてみれば、自分が破産して免責を二年前に受けたとデータベースに記録されているという。驚いていろいろと調べてもらううちに、ようやく、たまたま同姓同名の人のデータが、間違えて入力されたことが判明した。
個人がお金を借りようとする場合、不動産の担保評価以外の審査能力に乏しい日本の銀行は、不動産を持たない個人にお金を貸すことは少ない。サラリーマンがお金を借りようとすると、消費者金融から借りるか、信販会社を利用して分割払いという後払いの形を採る以外ないと言っていいだろう。個人に信用を与える(お金を貸す)金融機関は、こういった形で銀行系・消費者金融系・信販流通系の三つに別れ、そのそれぞれが個人信用に関するデータベースを持っている。この三つはCRIN(クレジットインフォメーションネットワーク)でネットワーク化され、会員企業は相互にお互いの持つ事故情報を照会することができる。分割払いで買った冷蔵庫の支払いが三ヶ月以上遅れているとか、破産の免責を受けて取り立てることができなくなったというような場合、事故として登録される。
さらに平成12年12月11日から、銀行以外の金融機関(いわゆるノンバンク)で、テラネットと呼ばれる信用情報相互交流システムが稼働し、事故情報以外の信用情報も照会できるようになった。
よくブラックリストに名前が載るという表現がなされ、返済を求める金融機関から、返済しないと名前が載りますよといったように、好ましくないものとして使われることが多い。しかし、こういった個人の信用情報のデータベースは、適正に運営される限り多重債務の発生を抑止し、消費者の破綻を防ぐために必要なものである。また、金融機関にとっても、貸し倒れの減少、信用調査の費用削減等により与信コストを減少させ、金利・手数料を下げることができ、消費者の利益を増進することができる。
問題は、信用情報機関、与信業者(その他、加盟業者・名簿業者)からの情報漏洩や不適正な運用である。消費者相談センターの実例を見ると、クレジットによる商品の購入を取り消したら、ネガティブ情報として信用情報機関に登録されたり、金銭の借入をしたら他の業者から多数のダイレクトメール(ダイレクトコール)が来るようになった等の苦情が出ている。これらは、担当者の腹いせや業者のモラルの問題なのだが・・・。
ここでは個人の信用情報を例に挙げたが、より広い意味での個人の情報が、情報を瞬時に大量に処理できるネットワーク化されたコンピュータのおかげで、インターネット上を駆けめぐるようになった。これに伴って、個人情報保護が強く求められるようになった。
もともと個人情報の保護は、「守秘義務」という形で、医師・弁護士・公認会計士・電気通信事業者・公官庁等、特定の分野で守られていた。しかしこれには二つの点で限界がある。
一つは領域が狭いことで、例えば、雇用・教育・旅行等の情報には保護がない。もう一つは、同意権、アクセス権、訂正権等の個人情報によって識別される者の権利が明確にされていない点である。
例えば、試しに医者にカルテを見せてくれ(アクセス権)と頼んでみれば面白いかもしれない。カルテは誰のものかという議論があるが、患者のものとして情報開示している医者は少数派である。しかし、そこに書かれている情報は貴方のものである。見せてくれる医者であれば情報化社会の常識に対応した医者であり、見せてくれなければ従来型の権威主義の医者といえる。(どちらが名医かは解らないし、なぜか英語か、少なくなったがドイツ語で書きたがる医者が多いのだが・・・。)もしそこに間違いがあり、貴方がそれを指摘したら(訂正権)どうなるだろう。医学「知識」だけなら、今時インターネットで相当な量を手に入れることができる。その時の対応で、相手のプロ意識、誠実さ、さらには「情報化度」を判断することができそうである。
(閑話休題)
何らかの契約を締結しようとすると、個人情報が半ば強制的に求められる。特にお金を借りる場合、その内容は個人の信用力を判断するため、個人生活に関わる詳細で繊細な情報が中心になる。その情報の持つ経済的な価値が大きいため、実際に情報の不正入手・目的外の利用の事件が発生しやすい。例えば最近問題になったものを見ても、さくら銀行から顧客データ約2万件が流出し、某プロバイダーの会員名簿が不正アクセスによってネットに流出し、あるいは、テンプスタッフの登録社員約9万人分のデータが流出するといった事件が発生している。インターネット上に情報が流れたものとしては、NTTグループから顧客情報が流出し、宇治市の外部委託業者から住民票データ約21万件が流出したものがある。宇治市のケースでは処罰する法律に困って県の条例によったという後日談付きである。信じられないかもしれないが、例えば個人信用情報に関してみると、貸金業規制等法、割賦販売法は、目的外使用の制限規定を法律違反としているが、これは罰則を伴わない訓示規定にすぎないのである。
実はこの個人情報の問題は、インターネットが普及する前から国際的に議論されている。1980年には、OECD(経済協力開発機構)で「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data OECD理事会プライバシー保護勧告)」が採択され、個人情報収集の8原則といわれるものが提示されていた(収集制限の原則、データの正確性の原則、目的明確化の原則、利用制限の原則、安全保護の原則、公開の原則、個人参加の原則、責任の原則)。
さらに、1990年7月には、EU理事会「個人データ処理にかかる個人の保護に関する理事会指令提案」と呼ばれるものが出されている。
特に日本を慌てさせたのは、1995年10月に出された、EUの「個人保護指令」25-26条である。この規定は、十分なレベルの保護(adequate level of protection)を講じていない第三国には、個人データの移転を禁止する規定をEU加盟各国が設けることを義務付けた。1998年10月25日に発効したこの条文によって、もし日本が個人情報保護の不十分な国と認定されれば、EU加盟国の国民の個人情報を与えてはいけない国となる。
日本でも、行政管理庁(総務庁を経て、現総務省)が、プライバシー保護研究会を立ち上げ、先のOECDの8原則に準じて
(1)収集制限の原則
(2)利用制限の原則
(3)個人参加の原則
(4)適正管理の原則
(5)責任明確化の原則
に立脚した法律を制定する必要性を指摘していた。
一般に、個人情報保護法は、二つのタイプに分けることができる。欧州型とアメリカ型である。欧州型は一つの法律で国・地方公共団体等の公的部門(パブリック・セクター)と民間企業等の民間部門(プライベート・セクター)の双方を対象とするオムニバス方式で、アメリカ型は公的部門と民間部門とをそれぞれ別の法律で対象とするセグメント方式である。日本でも当初はオムニバス方式での立法を検討していた。しかしその後、この問題は行政改革の一環として議論され、行政機関の保有する個人情報の保護について検討された。セグメント方式への方向転換である。結果として、1988年に「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」(個人情報保護法)が成立した。(ただし、タイプを三つに分けて、日本をセグメント方式、アメリカをセクトラル方式と呼ぶこともある。)
この法律によって行政部門のコンピュータ処理のなされた個人情報については、法律の規制がなされることになった。しかし、行政部門でもコンピュータ処理のなされていない情報と民間部門の個人情報の保護に関しては法規制がない。
民間部門に関しては、自主基準またはそれを指導する基準(ガイドライン)・通達によっている。しかし、「通達」「ガイドライン」による規制では、一方で信用情報機関に登録しない情報に対し何らの措置もなされず、他方で違反行為に対する罰則がないという問題がある。また、業者以外で情報を利用する者と個人の間には契約関係がないため、契約の適正化による個人信用情報の保護をはかることができない。このため多くの地方公共団体は独自に個人情報保護条例を定めている。
国のレベルでは、平成12年10月11日、情報通信技術(IT)戦略本部の個人情報保護法制化専門委員会で、「個人情報保護基本法制に関する大綱」がまとめられた。
基本原則として
(1)明確にされた利用目的の範囲内で利用すること
(2)適法かつ適正な方法によって取得されること
(3)内容の正確性と最新性を確保すること
(4)安全保護措置を実施実施すること
(5)個人情報で識別される本人が関与できる(自己の情報の開示請求、訂正権等)
などの透明性を確保することが挙げられ、個人情報取扱事業者(仮称)の義務、政府の措置及び施策、地方公共団体の措置、罰則を定めている。
ようやく日本でも、民間部門の個人情報保護に関する法律の制定が視野に入ってきたということができるだろう。