ベネッセ事件によって注目を集めた「いわゆる名簿屋」ですが、その当面の対応について、ギリギリ間に合う形で個人情報保護法改正の骨子案に反映されました（記事参照）。内容はトレーサビリティを中心としたもので、不正な流通に対する一定の抑止力に資することが期待できそうです。

しかしながら、課題はまだまだ残っています。骨子案で検討されたトレーサビリティの実現方法は「第三者提供時に提供元と提供先の情報をそれぞれが記録する」という、良くも悪くも極めて簡素なものです。ビットコインのブロックチェーンとまではいいませんが、肉牛のトレーサビリティでもイマドキはもう少し高度な情報管理をしているはずで、「はじめの一歩」という感は否めません。

また、それを裏付けるための執行体制や法制度の整備までは、間に合わなかったというところなのでしょう。森弁護士が再三指摘している現行法第17条（適正な取得）については、特に手を加えられることがなさそうです。何をもって適正・不正を判断するのか、個人情報保護法だけでは判断できない状況は、今後もしばらく続きます。

ただ、こうした規制を中心とした議論だけでは、問題の根本的な解決は図られません。ベネッセ事件で明らかになったのは、「データブローケージというビジネスに大きなニーズがあること」そのものです。そしてそれが産業の中で適正に扱われていないがゆえに、データの信頼性を低下させ、データブローカーが暴利を貪ってしまう。そしてそれが「データ窃盗」の動機となってしまう、ということが、課題の本質でもあります。

これは、個人情報やプライバシーに関する小手先の解釈論だけでは、到底解決できません。また、今回の法改正で議論が尽くされた「匿名化」も、問題解決に資する方策の一つではありますが、正しく議論そのものの複雑性からも分かるように、それを事業者にとって使い勝手がよく、また消費者に安心できるものにするのは、容易ではありません。

すでに水面下では、個人情報保護法の「次の次」の改正議論が、はじまりつつあります。おそらくそこでは、パーソナルデータの利活用に関する制度政策大綱（PDF）で示された４つの「継続的な検討課題」を中心に議論が進み、その一つである「いわゆる名簿屋」の話も進むでしょう。特にネット時代においては、もう一つ挙げられている「いわゆるプロファイリング」とも密に連携する課題といえます。

そうした時にヒントとなるのが、欧州や米国での取り組みでしょう。今回の特集でも、米国におけるデータブローカーの第一人者といえるアクシオム社のグラスゴーCPOにお話をうかがいました（前編・後編）が、彼らの自主的な取り組みやFTCをはじめとする規制当局との向き合い方は、一朝一夕のものではなく歴史を伴っており、私たちが議論を深める上で大いに参考になります。

現実のニーズと正対し、「いわゆる名簿屋」が「適正なデータブローカー」になるために、私たちが何を求めるべきなのか。目の前の法改正が決着した後も、検討は継続して続きそうです。