個人情報保護法って、そんなにザルなの?

まぁ制定当初からうすうす思ってはいたのですが、本当にそこまでザルなのかと思うと暗澹とした気持ちになる。

個人情報保護法の第23条をみると以下のように書いてある。

第二十三条  個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
[..中略..]
2  個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一  第三者への提供を利用目的とすること。
二  第三者に提供される個人データの項目
三  第三者への提供の手段又は方法
四  本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。

つまり、オプトアウトが提供されていて、「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき」は、場合は、個人データの第三者提供は自由というわけだ。

問題は、この「又は本人が容易に知り得る状態に置いているとき」だ。

経産省ガイドラインによると、「本人が容易に知り得る状態」とは、本人が知ろうとすれば、時間的にも、その手段においても、簡単に知ることができる状態に置いていることをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法〜」とあり、その例示として「ウェブ画面中のトップページから1回程度の操作で到達できる場所への掲載等が継続的に行われていること」となっている。私はこの規定は、当該個人がその業者やサービスと接する機会がある場合のことをさしているのだと思っていたが、専門家の意見によるとどうやらそうではないらしい。

だとすると、これはとんでもないザル、いやザルというより筒法だ。

常識で考えたって、どこの誰だかわからない名簿業者のWebサイトを能動的にひとつづつ発見してゆくことは不可能だ。到底、容易に知り得る状態とは言えない。まして、以下のような連鎖攻撃をされたら絶対に不可能だ。

攻撃例:

第三者提供を業とする業者 Aが同様の業者Bに提供。さらにそれをBがCに提供。それぞれがWebサイトを作り、そこから1クリックのところに告示する。これを永遠に続けてゆく。もちろん、これらの業者はすべて第三者提供を業とするところから「適正に取得」しているわけである。

こんなことが許されるようだったら、個人情報保護法は全く効果なし。逆に、目的をきちんと限って利用する正規の利用を阻害するだけで百害あって一理なしの悪法ということになる。

いくらなんでもそんな訳はないと思いたいのだが…。だいたい、EU Directive 的にアウトでしょう…。だとすると、ものすごく困るはず。日本が鎖国するんなら別ですがね。

あるいは、こういう解釈か?

第三者提供は認められているが、第三者提供の目的のためだけであり、それを取得して営業電話などをかけることは目的の変更になるので同意が必要になり、結果的にその時点で通知されることになるから大丈夫なはず。

つまり、出口だけ押さえればよいはずという解釈だ。第三者提供のみを行う業者はたんなる通信手段でしかないと。

なんか、詭弁だなぁ…。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください