わが国における情報法の課題とは

現在のわが国のプライバシー・個人情報保護法制にはどのような課題がありますか？

政府は2013年に「世界最先端IT 国家創造宣言」を閣議決定しました。この宣言では、「ビッグデータ利活用による新事業・新サービス創出の促進」をわが国の成長戦略の主要施策として示していますが、そのためにプライバシー・個人情報保護の新たな法制度を定立することなどが重要であると言っています。従来、新たな法規制は産業振興の足かせになると言われていましたので、意外な感じがしますね。これには2つの理由があります。
　第一は、個人データの国際的な移転制限の問題です。1995年のEU（欧州連合）データ保護指令において、わが国は「十分なレベルの保護」を施している第三国として評価されていません。従ってEU加盟国や、EUから十分性を承認されたカナダ・スイスなどから、わが国への個人データの移転が原則として禁止されています。このまま世界から個人データが集まらない状態では、わが国はビッグデータを通じた新事業を創出することはできません。
　第二は、ICTの発展に伴って顕在化したさまざまな課題への対応の問題です。例えば2013年には鉄道会社がICカードの乗降履歴を他社に売却したことで社会的非難を浴びました。また2014年には通信教育会社の顧客情報が流出した事件がありました。鉄道会社の事案では売却行為が違法かどうか学会でも議論が分かれました。また通信教育会社の事件では流出した情報を流通させていた名簿屋が規制の対象外であることが問題になりました。このように現行法では対応できないさまざまな事案が出てきており、新たな法制度の定立が必要だと言われ出したのです。
　このような過渡期の今、多くの企業は膨大な個人データを保有しながら、適法性判断が難しいためビッグデータへの利活用を躊躇（ちゅうちょ）しています。前述の政府の成長戦略を達成するためには、国際的に整合が取れたルールを定立するとともに、企業がデータ利用時に適法性を判断できる基準と、それを担保する制度の定立が欠かせない要件なのです。

企業のコンプライアンスの課題

個人情報の取扱についてわが国の企業はどのような問題がありますか？

企業間の取組状況の差が極めて大きいことが問題です。これは企業体力や事業形態の問題もありますが、法律上の問題もあると思います。
　第一は、小規模事業者への配慮の問題です。国際的に見ればデータ保護に関するルールが最も有効に機能してほしいのは小規模なインターネットビジネスのような業態です。しかし、現行の会社法や金融商品取引法では、大企業や上場企業などの経営者に対して「内部統制」の構築・報告の義務が規定されていますが、小規模事業者には実質的に法律上の義務がかかっていません。
　第二は、抑止効果の問題です。毎年5000件を超える企業の個人情報流出事件が報告されていますが、現行個人情報保護法における主務大臣の「勧告」「命令」といった権限の行使がここ数年で1件と極めて少なく、抑止機能が十分に効果を発揮していません。また、過去のプライバシー侵害訴訟において認められた損害賠償の額は極めて低く、1人当たり数千～数万円です。高額な賠償額が抑止力として機能している名誉毀損事件と比較すると、プライバシー侵害訴訟の抑止効果は高いとは言い難いでしょう。
　なお、2015年9月に成立した改正個人情報保護法は、それまで5000件以上の個人データを保有する事業者にのみ安全管理義務を課していたものを、保有件数の要件を無くし、小規模事業者にも安全管理を義務付けました。また、2016年1月に新設される個人情報保護委員会に立入調査権を含む強力な執行権限を与えるなど、一定の改善がなされています。

長期的視座でコンプライアンス部門の充実を

コンプライアンス研究者の立場から企業にアドバイスをお願いします。

「カルチャー・オブ・プライバシー」と言われるように、プライバシーはその国の文化により微妙に概念が違い、法制度も違います。しかし、情報は国境を越えて流通するため、もはや自国の法律を遵守するだけでは十分とは言えず、グローバルなデータ・コンプライアンスの仕組が必要です。欧米諸国の大企業の多くは既に、グループ横断的にデータ・コンプライアンスを主管する責任者と専門部署を設置し、長期的な視座で専門知識を持った社員を育成しています。日本でもこのような専門組織によりコンプライアンス・プログラムのPDCAサイクルを運用し、スパイラルアップさせていくことが必要でしょう。
　一方、わが国においては2015年に公表された「コーポレートガバナンス・コード」などが収益性の向上を求めており、上場企業はROE（自己資本利益率）重視の経営にシフトしつつあるように思います。私は経営者の方々とお話をする機会が多いのですが、一様に「これからはROEだ」という言葉を聞きます。ROE偏重の経営は近視眼的に結果を求めることにつながる恐れがあると危惧しています。例えば、ある企業は今春、コンプライアンス部門の社員を80人から30人に削減し、収益部門に転属させました。
　コンプライアンス部門の充実と専門家の養成は、時間とコストがかかりますから長期的な視座での取組が必要です。今こそ収益性と持続可能性（サステナビリティー）のバランスに配慮した経営を行い、従業員が「長くこの会社で働きたい」と思える会社にすべきではないかと思います。

ビッグデータ時代の法と企業のあり方を提言

研究を通じて、社会に働きかける活動もされていますね。

情報法研究に関しては、恩師である堀部政男先生と研究仲間で「堀部政男情報法研究会」を立ち上げ、4年間で9回の公開シンポジウムを行いました。このシンポジウムは、内閣官房・経済産業省・総務省・厚生労働省など多数の立法担当官が参加しており、研究会の活動は、個人情報保護法やマイナンバー法の立法に一定の貢献ができたと思います。
　コンプライアンス研究に関しては、日本経営倫理学会傘下の経営倫理実践研究センター（BERC）で上席研究員を兼務しており、私が主宰する研究会に参加している約50社の大手企業の皆さんと、あるべきコンプライアンス体制を探求してきました。こちらは企業活動にかかわる法分野を広く扱い、外国公務員贈賄、ハラスメント、消費者保護、危機管理など最新の実務的な問題も取り上げています。

今後の抱負をお願いします。

今後、ビッグデータによるイノベーションを通じた成長戦略が進展するためには、2016年1月に新設される個人情報保護委員会が有効に機能するかどうかにかかっていると思います。
　私は2011年にカナダを訪問し、当時オンタリオ州の情報・プライバシー・コミッショナー（IPC）であったアン・カブキアン博士や州内の事業者と議論を行いました。IPCの評判は極めて良かったです。IPCによる企業へのコンサルテーションと適切な監視・執行は、オンタリオ州における事業者のプライバシー保護意識を高めるとともに、個人データの利活用促進にも役立っていることを実感しました。
　私は、コンプライアンス研究者の立場から、個人情報保護委員会の制度や運用に有益な提言を行い、また新制度に対応した企業のコンプライアンス体制のあるべき姿を提言したいと思います。この研究成果が、僭越（せんえつ）ながらわが国の成長戦略に少しでも貢献ができれば研究者として本望です。