ベネッセ事件に名簿屋が介在したことが明らかになり、改めてその存在が問題視されている。だが、実際に何が問題で、どのような規制に掛かるのか、明確に理解する人は少ないのが現状だ。そこで、弁護士でありまた内閣官房の「パーソナルデータに関する検討会」の委員でもある森亮二氏に、名簿屋規制の現状と今後の展望をうかがった。

森　亮二（もりりょうじ）
英知法律事務所、内閣官房「パーソナルデータに関する検討会」委員

名簿屋はデータ売買のニーズがあるから存在する

──ベネッセ事件以降、「いわゆる名簿屋」を経由して、個人情報が広く売買・流通しているという実態が明らかになってきました。こうした名簿屋を規制することは難しいのでしょうか。

森：名簿屋そのものというより、それが存在する背景に、まずは注目する必要があるでしょう。

──どのような背景があるのでしょうか？

森：名簿屋が存在するのは、データを売りたい、または買いたいというニーズが存在するからです。それ自体は情報の利活用ですから当然の発想ですし、そうした意味ではニーズが存在する以上、それを仲介する「いわゆる名簿屋」が登場するのも不可避です。

しかし名簿屋は、違法に取得された情報を購入し、体裁を整えて販売します。違法に情報を入手した者に「さばくルート」を与えることを通じて、不正な情報入手を動機付けることになっており、それが情報漏えいの原因となっていることが問題です。

──ある事業者から不正に持ち出された大量の個人情報を、他の事業者が購入した場合、流出元となった事業者が批判されることは比較的理解しやすいのですが、購入した側の事業者および、流通させた名簿屋については、どのような瑕疵や責任があったのかが不明確ですね。

森：そうです。そちらにも注目すべきなのです。購入する側について、現行法上でどうなっているかというと、個人情報保護法の第17条において「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない」と、適正な取得についてのルールが定められています。

この17条をしっかり適応していくというのが、いわゆる「名簿屋」問題へのもっとも即効性のある対処方法だと思います。

===

名簿屋は現行の個人情報保護法でも対処できる

──現在、第17条については、どのように運用されているのでしょうか。また、運用次第で、あらゆる名簿屋を取り締まることが可能なのでしょうか。

森：第17条の運用については、法執行の数が少なく、内閣府の公表資料では、平成18年度に2件実績があり、それ以降の法執行は1件もありません。また、この規制の対象として想定すべきは、コンプライアンスリスクのないグレーな存在であることが多い名簿屋よりもむしろ、名簿屋の顧客ではないかと思います。

例えば、○○大学の××学部の平成20年の卒業生一覧のようなものであれば、盗んだものではなくて卒業生が持ち込んだものではないかと判断ができますが、他方で子供の氏名、住所、塾通いの履歴、模試の成績等についての詳細な情報ならば、一般的に市場に出回るものではないですから、盗まれたものかもしれないと推測でき、さらにそれを知りつつ購入することは、不適正な取得であると言ってもよいでしょう。文献にも、不正取得されたことが歴然としている情報を取得する行為は17条の違反になり得るという解釈が紹介されています。

名簿屋だけを対象にした規制の難しさ

──名簿屋が存在し、彼らが入手した情報を転売して利益を上げているのは事実です。彼らが存在する、つまり情報を買う人がいるから、盗んで売る人もいる。ならば名簿屋が存在しなければ、盗む人もいないだろう、という議論があります。販売者としての名簿屋についてはどうでしょう。

森：販売者としての名簿屋を規制したいというのは誰もが考えるところですが、それが技術的に可能かという問題があります。名簿屋という業種を括りだして規制することが難しいのです。例えば、名簿屋を定義するとしたら、業として個人データを販売したり、購入したりする者ということになるでしょうが、そうした行為を名簿屋ではない事業者がする可能性は高いのではないでしょうか。

業種を限定した規制という意味では、たとえば古物営業法があり、取引主体は許可を受けることが要求されます。しかし、名簿屋で同様の規制を行うことは、データの利活用という観点から、どうなのかなと思います。一般の事業者が持っているデータベースを有償で販売することを登録制・許可制などで制限するとなると、利活用がかなり限定されることになるのではないでしょうか。誰もが触れる個人データと、一部の人しか触れない古物の違いがあります。

──一方で、実際に名簿屋が存在し、彼らが利益を上げているということは、そこに一定のニーズがあり、その取引に経済合理性があることを示しています。だとしたら、情報を売る人に対しては、購入時に盗品ではないことを確かめるといったプロセスによって、取引を適正化して行くことが必要になってくる、ということでしょうか。

森：そうですね。そしてそのような規制の場合には、無理に名簿屋をくくりだして規制するのではなくて、すべての個人情報取扱事業者に対して同じルールを課せばいいのではないでしょうか。盗品を売り買いしてはいけないのは名簿屋だけではありません。そして、まさにそのようなルールとして、現行法には個人情報保護法の第17条があるわけです。

また、立法論として、第三者提供で得た個人情報については、提供元を記録して本人による開示請求の対象とすることの必要性を提唱する声もあります。（このインタビューは「パーソナルデータの利活用に関する制度改正に係る法律案の骨子（案）」（以下「骨子案」といいます）の公表前に行われたものです。骨子案の関連部分については、次回インタビューします。）

私は、名簿屋を括りだしての規制よりも、一般の個人情報取扱事業者も対象に、不適正な取得の禁止の徹底や、提供元を記録させてトレーサビリティを確保するといった手法で考える方がうまくいくのではないかと考えています。

===

名簿屋と名簿屋以外の事業者の線引きはどこか

──ある事業者が名簿屋か名簿屋ではないか、という線引きはどこにあるのでしょうか。例えば、クレジットカード会社は、自分たちの顧客に向けて、旅行や保険など、他の事業者のプロモーションをダイレクトメールで行っています。送り主はあくまでもクレジットカード会社ですが、顧客の情報に基づいてある程度のフィルターを掛けて送っているものです。こうしたケースは、名簿屋に該当するのでしょうか。

森：そのケースは、名簿屋ではないと思います。別の事業者の広告を自分のクライアントに対して見せているだけで、個人情報をその別の事業者に提供しているわけではありません。

──となると、ここで取り上げるデータの売買というのは、クレジットカード会社が外部に顧客データを提供するといったケースですね。名簿屋をその機能で規制しようとすると、一般事業者も名簿屋に該当してしまう可能性があります。一部では、名簿屋を登録制にしようという案もあるようです。

森：それが技術的に出来るのであれば、差し支えないと思います。しかし、果たして登録制で上手くいくのかは疑問に思います。古物営業ならば、一般の事業者には古物営業を禁じて、古物営業したい人は登録や許可を義務づけることで事業者を限定できますが、データベースを持っている多種多様な事業者がいる中で、どこまでできるか。

──消費者側の懸念を強調すると、名簿屋の問題、不適正な取得の問題について、事業者側の自主的な努力だけでなく、何らかの監査のスキームや、国による監督が必要ではないかという意見が出ることは想像できます。どのような形で社会制度の枠組みにはめていくと良いのでしょうか。

テレマーケティングに対して「私の連絡先を誰から聞いたのか」と尋ねることをする人は多いはずです。

しかし、これまでそのような消費者からの要求に対して、自主規制できちんと応えようという動きはありませんでした。少なくともトレーサビリティに関しては、自主規制ではなかなかうまくいかないのではないでしょうか。

──規制のあり方として、昨今クローズアップされている手法として「共同規制」があります。名簿屋の自主規制のあり方として、共同規制のようなものはあり得るのでしょうか。

森：制度改正大綱の中で提案されている共同規制は、法改正によって新たなルールを作った上で、ルールの具体的中身を自主規制に委ねるものです。ですが、名簿屋に関しては、まだ新たなルールを作るという段階ではありませんので、共同規制が用いられるかどうかは、今後の議論次第です（なお、このインタビューは骨子案の公表前に行われたものです）。

例えば、提供元の記録を義務づけて開示請求の対象にするというような方法になったとしたら、自主的なルールは関係がありません。共同規制ではなく普通の法規制です。ですが、「本人が事業者の保有する個人データの来歴を知ることができるようにするための措置を講ずるものとする」といった抽象的なルールにして、具体的なルールの中身を自主規制にゆだねる、と言うような構造にすれば、共同規制になるわけです。

（後編に続く）