第466号コラム:佐藤 慶浩 副会長(オフィス四々十六 代表)
題:「副会長就任にあたって」
このたび、特定非営利活動法人デジタル・フォレンジック研究会の会長に就任された安冨 潔 先生の下、副会長を上原 哲太郎 先生とともに務めさせていただく佐藤です。両先生とともに、本研究会の活動に尽力いたしますので、よろしくお願いいたします。
前2回のコラムでは、安冨先生と上原先生から、この10余年の間の経緯と研究の状況についてご紹介いただきました。本研究会の分野を推進していらっしゃるお二人に比べ、私は本研究会で学ぶ立場でしたので、学んだことのひとつとして、企業は法令順守とどう付き合うべきなのかについて、私なりに学んだことを、お伝えしたいと思います。
企業が物販などの店舗を運営するにあたって、店員による接客対応のための手引きを作ることを例にしてみます。
一般的なこととして、来店客に「いらっしゃいませ」と言い、お買い上げいただいたら「ありがとうございました」と言うことくらいは、最低限含まれると思います。その他に、売り上げることが目的ですから、購買を促すような対応も必要でしょう。だからと言って、「買わなきゃ殺すぞ」と言えという手引きを作ることはないでしょう。仮に、そんな売り方をして、脅迫とみなされれば違法となるかもしれませんが、それが違法になるから、そのような売り方をしないのでしょうか?そうではないと思います。仮にそれが違法でなくとも、そのような手引きをすることはないでしょう。では、「この商品のお値段は、今だけ割引価格です。」と言うのはどうでしょう。それが嘘でなければ問題ないでしょうが、嘘だったらやめた方がよいかもしれません。実はこれ、仮に、チラシに掲載したり、店内表示したりする場合には、景品表示法として、「今だけ~割引」の部分について、割引の前後や期間についての最低日数の定めがあり、それに従っていないと違法となります。ただし、店員が接客の会話の流れの中で口頭でだけ言うときのことまでを規制しているわけではありません。それなら、接客対応で口頭では、そうやって販促することを手引きするのでしょうか。この接客対応手引きの内容を考えるときに、まず始めにするのは、それが合法か違法かの検討ではなく、それが販売に役立つかいなかを検討するはずです。たとえば、お買い上げいただいたら「ありがとうございました」とお礼を言わなくても違法にならないということを知ったからといって、お礼を言わなくてよいことにするということはなく、むしろ、お買い上げいただかなくても、次回のご来店を促すために、「ご来店ありがとうございました」と付け加えることもあるでしょう。
つまり、企業は商売としてどうあるべきかをまず考え、そこで考えた結果が、違法にならないかを確認することで法令順守を担保するということになります。商売として考えた、よいアイデアが、法律で求められていないから取り止めるという必要はありません。その観点で言えば、商売としてどうあるべきかを自分がお客様の立場になって考えれば、ほとんどの事柄は合法になるはずです。でも、上記の景品表示法のように、知らないと違法になることもあるので、法律の知識と確認が必要です。そのため、法律でやらなければならないことと、してはいけないことを集めて、それを接客対応手引書にするということにはならないのです。
ここで述べたのは当たり前のことですが、本研究会で10年以上かけて、これを学んだのではありません(笑)。
法律のことを先に知ってしまうことによって、この当然のことが、逆に置き去りになる落とし穴があるということを学んだ気がしています。
個人情報保護法では、個人データを第三者に提供する場合には、そのデータのご本人から同意を得なければならないことになっていますが、改正法では、それを匿名加工情報にすると、同意を得なくても提供できることになっています。
法律では「提供」と表現していますが、自らが取得した個人情報を第三者に提供するというのは、「売る」ことが目的の場合が多いように思います。売るという言葉の一義的な意味は、それによって金銭を得ることですが、「味方を敵に売る」という文章のように、必ずしも金銭を得ることに限らず、自らの何らかの思惑や期待のために行うことも「売る」の意味には含まれます。ここでは、その広義の意味で、個人情報を第三者に提供するという表現の代わりに、個人情報を第三者に売るという表現を使うことにします。
そもそも、改正法では、匿名加工情報を、ご本人に無断で売ることを、なぜ許したのでしょうか。それは、匿名加工情報は、元の個人情報に対して、ご本人を特定することが困難なように加工した情報になっているということにより、ご本人が特定される可能性が少なくなっているのだから、ご本人の権利・利益を保護できるだろうと考えたからです。
もし、仮に、個人を再特定する可能性がないような加工方法についての基準を定められれば、その基準のとおりに加工することで、その可能性をなくせることになります。しかし、改正法の審議において、その審議会が設置した技術ワーキンググループは、「いかなる個人情報に対しても、識別非特定情報や非識別非特定情報となるように加工できる汎用的な方法は存在しない。(中略)第三者提供を念頭に一定の匿名化措置(個人情報をある定められた手順で加工)を行っても、必ず識別性または特定性を無くせるわけではなく、また、そうした匿名化の措置に対して一般的な水準を作ることもできない。」と報告しました。そこで、匿名加工情報を取り扱う者がそれを再特定することを禁止することを、改正法は条件に加えています。
しかし、仮に、この状態で、そのように加工された匿名加工情報が、何らかの状況下で、ご本人を再特定されるという悪夢のような事態が起こってしまった場合に何が起こるのでしょうか?
匿名加工情報を売った先によって、再特定がなされたという事故が発生したことになれば、結果論ではありますが、自社が施した加工は、再特定を防ぐのには不十分であったということになります。
契約上のこととしては、売り先が再特定したことは、契約違反であり、かつ上記のとおり違法行為になるわけですが、加工前の個人情報をご本人から取得したのは、それを売った企業です。
この状況で、ご本人にどう説明するのでしょうか?「売った先が契約を破り違法なことをしたのだから、我が社の問題ではない。」と説明するのでしょうか。確かに、契約上・法律上の問題はなさそうです。でも、ご本人から、「でも、あなたの会社が、私の個人情報を無通知・無断で売ったんだよね?」と問われるかもしれません。それに対して、「いえ、法的には、個人情報ではなく匿名加工情報を売ったので、当社に非はないのです。」と返答するのでしょうか?これも、もちろん、法的には間違ってはいません。
しかし、ご本人からしてみれば、「安全のはずなら、それを事前に説明すべきではないか。安全であることに自信がないから、無断で売ったんではないか?」と言われるかもしれません。
ご本人の権利・利益が保護されるように、加工が為され再特定が禁止されているのが確かなのであれば、そのことをご本人に説明して、そのように安全なのだから、第三者に売らせてください。とご本人にお伺いをたてるという選択もあったはずです。
このことは、「あの店はお客に対して『いらっしゃいませ』も『ありがとう』も言わない。」という悪評がたったときに、「いえ、それは法律で求められていません。」と釈明するのと同じことではないでしょうか。
ご本人の個人情報のなんらかを売るのに、ご本人に何も言わないということは、そのことに置き換えることができるのではないでしょうか。
ここでは、匿名加工情報について、使い道がないかのように紹介しましたが、そうではありません。有効な使い道としては、たとえば、提供を拒否されることで、その後の統計処理の母数に悪影響が出るような使い方や、複数の企業からの情報をまとめることで有効になる使い方などが、少なくとも考えられます。
しかし、自社による、匿名加工情報の使用、すなわち、ご本人に通知もせず無断で情報を売るということが、そのような使い方に該当しているのかを、よく考える必要があります。
よく考えるというのは、ここで紹介した悪夢は、個人の識別性を残したままで第三者に情報を売ったことによって起きたことになります。個人の識別性がなくなっていれば、それは統計情報だからです。
逆に言うと、本来は、売り先の第三者によって実施されるであろう、データ解析を、自社が実施して、個人の識別性をなくした後の情報、すなわち統計情報を売ったのであれば、この事故は起き得ません。そのような解析をすることについて利用目的として通知することは求められるものの、個人情報の第三者提供は起こらないことになります。
商売のあるべき姿を先に考えずに、法律の要件に商売を合わせてしまったら、「違法ではないのだから、『ありがとうございます』とお客様に言う必要はない。」という判断をしたのと同じになってしまうかもしれないのです。
企業として、あるべき姿の水準を先にちゃんと考えたのならば、法律の要件がそれを下回っていたことを知ったからといって、水準を下げるべきではない。というのが、この研究会で学んだことのひとつです。
今後とも、みなさんと一緒に、いろいろなことを学んでいきたいと思いますので、よろしくお願いいたします。
【著作権は、佐藤氏に属します】