ガイドライン頼みの裁量規制
もちろん参考にはなるが、その留意すべき事項をどの程度の水準で守るべきか、ということが明らかになっていない。
実は、主務大臣の所管範囲が例えば従業員数名程度の企業から従業員数万人以上の電力、銀行、メーカなどまで、告示の適用対象事業者はばらばらである。
銀行等金融機関のコンピュータセンターには数億程度の安全管理措置を求めることに躊躇はないが、従業員数名の小売店のパソコン1台に対して求める安全管理措置にいったい何をどこまで言うことが適切なのか。この法の“たてつけ”の中でガイドライン(告示)ができることには限界があるということだ。
13万件を超える個人情報を流出させ、4000件のクレジットカード不正利用被害が発生。会見で謝罪するアリコジャパン経営陣。流出元は業務委託先の中国企業だった 写真提供/共同通信)
この1点を捉えても、なんらかの法改正が必要だということは明かである。さらに、他にも多数の論点があるのであるがここではふれるゆとりがない。
別の機会にゆずることとするが、驚くことに、国民生活審議会は3年後の法の見直しにあたって、法改正の答申を見送ったのである。3年を経過したらショック療法から法改正を含む調整過程に入るべきである。必要な個別法の整備でしのぐなり、法の抜本的な改正の議論だけでもスタートすることでもよかったろう。
内閣府は、国民の法の無理解も原因の1つにあげ、国民を啓発することで過剰反応の問題などは解消するとしたのである。まるで法には問題はないといわんばかりに。
しかし、これに対して、企業や国民側は大きな異議を唱えたであろうか。政府を突き動かすほどの大きな反発を示すことはなかったように思う。そのことが、個人情報管理の企業対応において、何をどこまでやるべきか、情報化投資の計画や日々の対策等においてレベル感がわからないという問題に直面することにつながっている。
1 2