─ 情報セキュリティ事故が避けられない時代の,
不適正な流通の検知と執行強化による消費者保護 ─
不適正な流通の検知と執行強化による消費者保護 ─
| 金子 啓子 大阪経済大学経営学部 准教授 |
[背景]個人情報の本人が知らない流通への消費者の不安
[問題]個人情報保護法の実効性
[貢献]日米比較による流通への執行と検知の制度の提案
日本において,個人情報保護規範の最強のエンフォースメントはレピュテーションリスクである.社会的信用を重視するまじめな企業・団体は,社会的批判への恐れから,時に「過剰反応」ともいえる萎縮効果も指摘されるほどである.しかし,名簿販売事業者やそこから買取り情報を利用する事業者には,行政の調査もなければ,社会的非難も強くない.このように,名簿販売事業者が野放しにされてきたことが,知らないところで自分の個人情報が流通していることへの消費者の不安を増幅している.
本論文は,このアンバランスな規範秩序になった背景を分析し,プラグマティックな米国の状況と比較し,消費者の安心のために実効性のある解決の提案をしている.
日本における,主務大臣制をとっていた2015年度までの個人情報保護法の執行状況を分析すると,改善勧告8件は,すべて同意を得て取得した個人情報の漏えい事故を起こした事業者への安全管理義務違反容疑であり,名簿販売事業者やそこから入手した利用については,執行例がない.これは,名簿販売事業者に関して主管する大臣が決まっておらず,どの官庁も当事者意識を持っていなかったためである.
一方,米国では,包括的な個人情報保護法はない中,最も活発に運用されているのはFTC(Federal Trade Commission)による調査,提訴である.プライバシーポリシーに掲げる個人情報保護や安全管理の約束が守られていないのは「欺瞞的な行為」として,FTCは無断での個人情報取得や他目的への流用,口座情報や多重債務者リストの流通などを取り締まり,それが事実上の法規範となっている.そして,その執行状況を分析したところ,情報漏えいだけでなく,個人情報の不適正な流通や,不適正利用に対しても積極的に執行していることが分かった.特に,流通する個人情報を利用した詐欺,そこに関与するデータブローカーに力点を置いて執行しており,消費者を守るための執行を行っている.
FTCは,このためにクレーム収集・検知に努力している.自らのWebサイトでの通報受付だけでなく,詐欺となりすましの苦情を集めるため,多くの州の検察や消費者法の執行機関などと,苦情情報を共有するためのConsumer Sentinel Networkという仕組みを運用し,年間約300万件の苦情から,量・質両面からトレンドを見極め,悪質なケースを訴追している.
米国では,漏えいした事業者に対する損害賠償や漏えい時の侵害通知も,合理的な制度となっている.また,なりすまし等のモニタリング制度も発達し,同意していない事業者からの電話勧誘に対し,容易にFTCに通報できる“Do Not Call”制度も定着している.
かなり乱暴ではあるが,個人情報の原因別漏えい件数を比較すると,米国では外部からの不正アクセスや内部犯行という発見しにくい事故が日本の数倍であったが,状況が違うというより,発見力に違いがあるのではないか.
このような分析から,日本においても,消費者センターや国民生活センターが受け付けた苦情相談のデータベースである「全国消費生活情報ネットワーク・システム」(PIO-NET)を活用し,不正利用のクレーム等から不正流通を検知して執行強化することを提案した.また,名簿販売事業者に対する本人関与原則に基づく権利を行使しやすくする制度,世界18か国ですでに導入されている“Do Not Call”制度を活用した不正利用検知やそこから遡った執行強化で消費者が知らない個人情報の流通をなくしていく制度提案を行った.
これにより消費者の不安を減少でき,また,消費者は,委員会が悪い事業者を取り締ってくれるという信頼の下,安心して活用にも同意できるようになるのではないだろうか.
本論文は,このアンバランスな規範秩序になった背景を分析し,プラグマティックな米国の状況と比較し,消費者の安心のために実効性のある解決の提案をしている.
日本における,主務大臣制をとっていた2015年度までの個人情報保護法の執行状況を分析すると,改善勧告8件は,すべて同意を得て取得した個人情報の漏えい事故を起こした事業者への安全管理義務違反容疑であり,名簿販売事業者やそこから入手した利用については,執行例がない.これは,名簿販売事業者に関して主管する大臣が決まっておらず,どの官庁も当事者意識を持っていなかったためである.
一方,米国では,包括的な個人情報保護法はない中,最も活発に運用されているのはFTC(Federal Trade Commission)による調査,提訴である.プライバシーポリシーに掲げる個人情報保護や安全管理の約束が守られていないのは「欺瞞的な行為」として,FTCは無断での個人情報取得や他目的への流用,口座情報や多重債務者リストの流通などを取り締まり,それが事実上の法規範となっている.そして,その執行状況を分析したところ,情報漏えいだけでなく,個人情報の不適正な流通や,不適正利用に対しても積極的に執行していることが分かった.特に,流通する個人情報を利用した詐欺,そこに関与するデータブローカーに力点を置いて執行しており,消費者を守るための執行を行っている.
FTCは,このためにクレーム収集・検知に努力している.自らのWebサイトでの通報受付だけでなく,詐欺となりすましの苦情を集めるため,多くの州の検察や消費者法の執行機関などと,苦情情報を共有するためのConsumer Sentinel Networkという仕組みを運用し,年間約300万件の苦情から,量・質両面からトレンドを見極め,悪質なケースを訴追している.
米国では,漏えいした事業者に対する損害賠償や漏えい時の侵害通知も,合理的な制度となっている.また,なりすまし等のモニタリング制度も発達し,同意していない事業者からの電話勧誘に対し,容易にFTCに通報できる“Do Not Call”制度も定着している.
かなり乱暴ではあるが,個人情報の原因別漏えい件数を比較すると,米国では外部からの不正アクセスや内部犯行という発見しにくい事故が日本の数倍であったが,状況が違うというより,発見力に違いがあるのではないか.
このような分析から,日本においても,消費者センターや国民生活センターが受け付けた苦情相談のデータベースである「全国消費生活情報ネットワーク・システム」(PIO-NET)を活用し,不正利用のクレーム等から不正流通を検知して執行強化することを提案した.また,名簿販売事業者に対する本人関与原則に基づく権利を行使しやすくする制度,世界18か国ですでに導入されている“Do Not Call”制度を活用した不正利用検知やそこから遡った執行強化で消費者が知らない個人情報の流通をなくしていく制度提案を行った.
これにより消費者の不安を減少でき,また,消費者は,委員会が悪い事業者を取り締ってくれるという信頼の下,安心して活用にも同意できるようになるのではないだろうか.
論文より引用
(2018年5月31日受付)