個人情報保護法Q&A集を読むと頭が痛くなる

個人情報保護委員会は2月16日に『「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A』を公表した。Q&A集を見るだけで、改正個人情報保護法に係わる問題が深刻であるとわかる。

質問は13項目に分類され、全部で255件に及ぶ質問が掲載されている。質問一覧表だけで19ページも費やしている。「1 ガイドライン(通則編)」「1-1 定義」には59の質問があり、その大半が「……は個人情報に該当しますか。」である。そのほかに、「4 ガイドライン(匿名加工情報編)にも匿名加工情報の定義や加工方法に関する質問が22も並んでいる。このように多くの分類や扱い方に関する質問があるのが印象的である。「今扱っている情報を個人情報だと言われると扱いが面倒くさいぞ」という思いが国民にあるから、大量の分類や扱い方に関する質問になったのではないか。

不思議なQ&Aもある。「デパートの中で、迷子になった幼少児の名前をアナウンスしても問題はありませんか。」に対して、「一般的に、幼少児の個人情報を第三者提供するために必要な同意は親権者から得る必要がありますが、迷子になった幼少児の保護者を探して当該幼少児の安全を確保する必要がある場合は、その名前をアナウンスすることができるものと解されます(法第23条第1項第2号)。」と回答されている。実際に寄せられた質問か想定質問かわからないが、迷子の名前をアナウンスするのに躊躇するとしたら個人情報保護法は弊害をもたらしたとしか思えない。

過去に販売した製品に不具合が発生したので製造会社から直接連絡を取りたいが、販売会社は第三者提供(製造会社への提供)について購入者全員から事前同意を得るべきか、という質問もあった。「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当すると考えられるため、購入者本人の同意を得る必要はないというのが回答である。僕は、このような回答がなされることが心配だ。その不具合を直すことが人の生命、身体又は財産の保護のために本当に必要か検討すべきか、という次の質問を招く恐れがあるからだ。迷子の件と同様に、これも弊害かもしれない。

僕は科学技術振興機構・社会技術研究開発センターに設置された「安全な暮らしをつくる新しい公/私空間の構築」という研究開発領域でマネジメントを担当している。研究開発領域で話題となっている事項もQ&A集に載っている。

何歳以下の子どもであれば法定代理人等から同意を得る必要がありますかという質問に対して、一般的には12歳から15歳まで以下との回答がある。それでは、児童虐待の被害児から個人情報を取得しようとした際、加害者であり法定代理人でもある養育者の同意が取得できるだろうか。Q&A集には「児童虐待の防止等に関する法律第6条第1項に基づく児童虐待に係る通告」は個人情報の保護に勝ると明記されているが、その後の相談で被害児から個人情報を取得し救済に活用することが求められる。しかし、それについての言及はない。そもそも、回答に「一般的には12歳から15歳まで」とある時点で、個人情報保護法に穴が開いている様子が読み取れる。

高齢者を地域で見守る場合、見守り活動はQ&A集にある「反復継続して遂行される同種の行為」であるため、参加者は個人情報取扱事業者に該当する。見守り活動は、対象者から事前の同意を取得して、実施する必要がある。しかし、同意を行う判断能力が高齢者に不足していたらどうすればよいのか。後見人・保佐人・補助人は「本人と一体と評価できる関係にある者」に該当するとQ&A集に記載されているが、成年後見制度が広く普及しているわけではないし、家族が一人もいない高齢者も多い。高齢者の個人情報は究極的には命を救うのに用いられるのだが、児童虐待の被害児救済と同様に、Q6A集の記述は不十分である。個人情報保護法自体が、判断能力が不足する対象者の救済には不足している部分があるのかもしれない。

このQ&A集には分類や扱い方が多く、「××に個人情報を活用したいが何に注意したらよいでしょうか。」という前向きの質問がない。だから、読んでいるうちに頭が痛くなる。