※この記事は2001年当時に投稿したものです。
個人情報保護法制化専門委員会は10月11日に「個人情報保護基本法制に関する大綱」を正式決定した。大綱は、個人情報を取り扱うすべての者が守るべき規定を示した5項目の「基本原則」と、一定の規模以上の個人情報データベースを運用する個人情報取扱事業者が個人情報の開示を求められたり、訂正や利用の停止を求められたりした場合は、これに義務として応じるなど9項目の規定「義務等」などで構成されている。これらの命令に従わず違反した時には行政罰を科せられる仕組みだ。
延々と続く「大綱」は難解な説明で頭が痛くなったが、とても気になった項目がある。「個人情報取扱事業者の義務等」 の中の「第三者提供の制限」 だ。
ア.個人情報取扱事業者は、個人データを第三者に提供してはならないものとすること。ただし、あらかじめ本人の同意がある場合、生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでないものとすること。
ここで言うところの「生命、身体又は財産の保護のために緊急に必要がある場合」とは、誰が、どのように判断するのでしょう。そして、第三者とは民間人も含まれるのでしょうか。判断基準を明確に定義しておかないと、ややこしいことになります。私は、大綱のこの部分だけを取っても疑問が次々と湧いてくるのでしたが、そこへ持ってきて「プロバイダーへの個人情報開示義務」などという話しが持ち上がってきているものだから、ますます混乱してきました。
例えば、個人売買で詐欺にあった被害者がプロバイダーに対して「そちらのユーザーにオークションでお金を騙し取られましたので、相手の身元を開示して下さい。」というリクエストをした場合、これは「財産の保護のために緊急に必要がある場合」と見なされるのだろうか。もし、そうであった場合、プロバイダー側はどのように真偽を判断するんだろう。出品者にメールを出して「このような苦情が来ていますが、あなたが間違いなく商品を送ったという証拠を提出していただけますか?ご連絡がない場合は、あなたの個人情報を相手方に開示します。」みたいなことを言うんだろうか。それとも該当の出品ページを見に行って、他にも同様の被害者がいそうかどうか調べてみるのかな。その場合、加害者とされたユーザーがたまたま不慮の事故で入院してしまっていたために返事を出せなかっただけでも情報は開示されてしまうのだろうか。そして、情報開示を受けた被害者が早まって「こいつが犯人です。」とか言ってネット上にその人の個人情報を公開してしまった場合は、一体誰が悪いことになるのだろう。
また、逆のケースで言うと、被害者を装ったストーカーが、他人の個人情報を知るためにプロバイダーへ嘘の被害報告を出し、情報開示を請求する事もあるかも知れません。
いずれにせよ、そういった諸々の可能性を考慮しつつ、適正に真偽を判断していく作業は大変な作業ですよね。私は、毎日のようにそんなことばっかりやっているので、その大変さをよく知っています。随分前に設立が提案された「個人情報開示機関」も、結局はこの「適正な判断」の実現性において否定的な指摘が多かったために見送られてしまいました。
プロバイダーは「個人情報保護基本法制」で指定するところの「個人情報取扱事業者」にあたりますから、個人情報の取扱いに関しては、まさに板挟み状態になるわけです。それに第一、適正な判断を行おうとすれば、従来通 りの人員では対応しきれなくなることは目に見えています。では、その為の人員を増強する負担をプロバイダーにだけ被せてしまってよいものでしょうか。弱小プロバイダーなら、それが原因で経営難に陥り、突然、業務を停止してしまうかも知れません。そうなると今度は、会員に対しての契約不履行などの2次災害が予想されます。
では、誰が被害状況を調査して情報開示の可否を決定するのがよいのかというと、私の考えでは「弁護士」「警察官」「インターネットやコンピューター知識に長けた民間陪審員」の官民一体型の第3者機関です。いわゆる「個人情報開示機関」です。日弁連も再び第3者機関設置を政府に提言し始めています。
本来、個人情報開示の判断を下すのは裁判官だけの仕事であったけど、それでは処理しきれないと言うことになれば、どっちにしろ、現状のまま目をつむるか、第三機関を立ち上げるしかないのだから、判断ミスの危険性ばかりに捕らわれずに、さっさと始めればよいと思いますよ。裁判官だって、必ずしも完璧な判断を下せるとは思えませんから。