18.2.3. 個人情報の取り扱い
インターネットが生活に浸透するにつれ、個人情報の価値が世間で認識されるようになりました。
個人情報の価値がはっきりする一つの場面は「広告」です。インターネットが無かった時代の広告は、テレビや新聞といったメディアを通じて、大勢の人に対して画一的に行うのが主流でした。ところが最近ではこのようなマスメディアによる広告だけでなく、オンラインでの広告が徐々に存在感を増してきています。オンライン広告では個人の嗜好や検索キーワードを見ながら、それぞれの人向けに調整された広告を効果的に出すことができます。個人情報がお金になる時代なのです。
一方で、個人情報を無闇に使われるのは考え物です。たとえば、全く見知らぬ広告主があなたの出身地、大学名、良く行くお店、読んでいる雑誌や本、好きなゲームやテレビ番組…といった情報を全て知っていて、その上で広告を選んでいたらどうでしょうか?おそらく、大半の人が「プライバシーが侵害されている」と思うでしょう。
こうした状況のもとで、現在では「自分の情報が使われる範囲をコントロールする権利」が認められています。そして、事業者などに個人情報の適切な利用を課す法律
個人情報の保護に関する法律 (以下、個人情報保護法) も作られるに至りました。その「個人情報」を巡る現状と問題を覗いてみましょう。
個人情報とは何か #
個人情報の定義 #
法律の話なので、個人情報の定義を確認しましょう。個人情報保護法第 2 条によれば、個人情報は
- 生存する個人に関する情報であって、
- 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの
です。また同じ条文において、個人情報には「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」とされています。氏名、生年月日等の決まりきったものに限らず「個人がほぼ確実に特定できるもの」が個人情報です。
個人情報とプライバシー #
ここで、個人情報とプライバシーとの関係に触れておきます。法律で保護される個人情報とプライバシーの権利によって守られる情報は、重複する部分が大きいです。ですが、全く同じではありません。
たとえば「氏名」は個人情報です。しかしあなたの氏名が誰かに伝わったからといって、それが直ちに「プライバシーの侵害」に相当する可能性は比較的小さいのではないでしょうか。また、仮にあなたが「鉄道オタク」だったとしましょう。「鉄道オタク」という情報は、個人を識別するにはあまりに弱い情報ですから、個人情報とは認められません。でも、あなたが鉄道オタクであることを回りの人にひた隠しにしていたのなら、「鉄道オタクであること」を他人にバラされたときに「プライバシーを侵害された」と言ってよいでしょう。そして「生年月日」は氏名と合わせると個人情報になりますが、生年月日がプライバシーと結びつくかどうかは、個人の感覚によるところが大きいです。
このように、個人情報とプライバシーに関係する情報については
- 個人情報ではあるが、プライバシーと関係しないもの
- プライバシーに関係する情報であるが、個人情報にはあたらないもの
- 個人情報であり、かつプライバシーとも関係するもの
という 3 つのパターン全てがあり得るのです。どういう情報がどういう根拠で守られるかは、時と場合によって異なってきます。
個人情報の使い方 #
あなたの個人情報は、個人情報保護法によって「適切な使い方がされるように」保護されています。この「適切な使い方」を考えてみましょう。
たとえば、宅配業者があなた宛ての荷物を届けたとします。このとき宅配業者は「あなたの住所」という個人情報を使っています。これはどう見ても適切な使い方ですね。また学校があなた宛てに書類を送るため、宅配業者にあなたの住所を伝えたとします。これも個人情報の適切な使い方と言えるでしょう。ですが学校からあなたの住所をしった宅配業者が、大学生向けのチラシをあなたに送りつけたらどうなるでしょうか。チラシを受け取って喜ぶかどうかは人それぞれですが、「こういう方法でチラシを送られたくない」と思う人は一定数存在するはずです。
そこで個人情報保護法では、一定の条件を満たす事業者に、本人の意図に反した個人情報の利用がされないための制限を課しています。具体的には
- 個人情報の利用目的をできる限り特定しなければならないこと (第 16 条)
- 偽りその他不正の手段により個人情報を取得してはならないこと (第 17 条)
- 個人情報の利用目的を、本人に通知するか公表しなければならないこと (第 18 条)
などを定めています。さらに「特定の個人情報を容易に検索することができるように体系的に構成したもの」は個人情報データベースと呼ばれ、一段と強い法的保護の対象になります。個人情報データベースに登録されている個人情報は「個人データ」と呼ばれ、利用のためには
- 必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならないこと (第 19 条)
- 個人データの安全管理のために必要かつ適切な措置を講じなければならないこと (第 20 条)
- 従業者に個人データを取り扱わせるに際、安全管理が図られるよう、必要かつ適切な監督を行わなければならないこと (第 21 条)
- 個人データの取扱いを委託する場合は、委託された個人データの安全管理が図られるよう、必要かつ適切な監督を行わなければならないこと (第 22 条)
- 裁判所からの命令など特定の例外を除き、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならないこと (第 23 条)
という条件を満たすことが必要です。
こうした義務を負うのは、あくまで「個人情報取扱事業者」という枠に当てはまる事業者だけではあります。ですがこれらの思想は、皆さんが個人情報を扱う上でも役立つものです。さすがに個人情報を売ってお金にしている人はいないと思いますが、安全管理については、案外不注意な人もいるものです。一度、自分のことを振り返ってみましょう。
また、もしあなたが「希望しない広告が届く」などの個人情報に関連したトラブルに見舞われていたら、適切なところに相談してみてください。たとえば独立行政法人 国民生活センターには
個人情報に関する苦情相談窓口があります。