個人情報保護法で中小・個人企業が窮地に 『先見経済』
二〇〇五年四月に施行予定の個人情報保護法をめぐって新たな問題が浮上してきた。日本独特の元請-下請-孫請という再委託構造が、新たに施行される個人情報保護法と真っ向から矛盾するポイントが明らかになってきたのである。とりわけコンピューターで個人情報を高度に管理するビジネスが危機に瀕する可能性もある。「個人情報保護」が実現して「日本産業滅ぶ」の悲劇的な結末が待っているのか。再点検が必要である。
個人情報保護法は、住民基本台帳ネットワーク制度創設の条件整備のために取り急ぎ成立されたというのが、率直な印象である。住基ネットは権力が国民を支配するための道具である、という批判に応じて、個人情報の取り扱いには厳格なルールを設け、とりわけ行政事務の執行上、住民情報に接する機会がある公務員にはさらに厳罰を設けて個人情報保護の体系ができあがった。
マスコミからは言論・報道の自由を侵害する政治家のスキャンダル隠しが目的だと批判されたため、報道機関は例外規定を設けるなど、迷走しながら、つぎはぎだらけで個人情報保護法ができあがったというのが率直な印象だ。公務員の乱用を防止、抑制することや報道機関の取り扱いに目が奪われていたため、さて、来年四月の施行をにらんで詳細な中身の検討に入ってみると、業種によっては、中小企業や個人企業には大きな影響が出ることが浮き彫りになりつつあるのである。大きく見て問題は二つある。
まず、行政官庁である。公務員の個人情報管理には、民間人より厳しい罰則規定が設けられ、個人情報漏洩については直ちに刑事罰が適用されることになる。民間の場合には、是正勧告が出され、これに従わなければ行政処分、あるいは刑事罰になる、というように刑事処分までには二段階がある。しかし、実は、ここに落とし穴がある。民間企業だからといって、すべてが間接的な二段階の処分になるわけではない。事情は次のようである。
行政官庁は事務効率化のために、今後、さまざまな行政事務を民間企業にアウトソーシングする動きが広がる。この行政事務を受託する民間企業は「公務員」とみなされる、ということなので、個人情報漏洩問題を起こせば、この民間人も直接に刑事罰の処分を蒙ることになる。まず、こういう事態が生じるのである。
ところが、行政事務を受託する民間企業が、果たして、厳重な個人情報の管理ができるか、そこが問題である。もちろん、まず、自治体や外郭機関から直接に受託する民間企業は厳重に情報管理ができているかもしれない。しかし、問題は、日本の産業構造では、一次的に受託した企業だけですべてが完結しないということである。二番目の問題として、個人情報保護の問題が日本の産業構造と大きく矛盾することが浮上してくる。
日本の産業構造は下請構造である。まず、元請で受託した業務は、下請に再委託される。下請企業は元請に比べてコストを安くこの業務をこなすことができるからである。下請は受託した業務をすべて自社で行うわけではない。このうち、より、簡便な業務は孫請に再委託して経費の削減を図る。孫請も、場合によってはさらに曾孫(ひまご)請に業務の一部を再委託することもある。この一連の下請の流れについて、すべて「みなし公務員」の規定が適用される可能性がある。つまり、孫請で個人情報が漏洩した場合にも、この孫請の従業員は直接に刑事罰の対象になる可能性があるのである。当人たちは自覚がないのに、厳罰に処される可能性が出てきてしまう。
これを避けるには、行政機関から業務を請けた元請は、下請に再委託してはならない、という禁止規定を設けるのも一つの案である。しかし、再委託を禁止したら、自社の中で受託事業をすべてこなせる企業など、日本にいくつあるのか。日本の産業界では受託できる企業がなくなってしまうのではないか。これから生まれる膨大な自治体のアウトソーシング需要は受け手がいなくなってしまい、機能麻痺に陥りはしないか。
また、行政官庁でなくても、民間大手企業が業務をアウトソーシングする場合にも同様の問題が発生する。元請が下請に業務を再委託する際には、下請企業内部の個人情報管理基準が元請より厳格か、あるいは同等でなければならない。下請が孫請に再委託する際には、孫請が下請よりも厳格な個人情報管理の内部基準を持っていなければならない。しかし、これは現実とは明らかに矛盾している。厳格な基準を設け、これを運用・管理するには、相当のコストがかかり、下請、孫請が安い委託費で業務を請け負うには引き合わない。つまり、一般の民間企業同士の委託―再委託関係でも、個人情報に求められるような厳重な管理を要求されては、とてもビジネスが成立しない実現不可能に思える。
もちろん、だからこそ、厳重な情報管理を実施している、という第三者機関の認証を受けることができれば、一気に競争力をつけて多大なビジネスチャンスに恵まれることになる。具体的には、プライバシーマーク(Pマーク)の取得やISMS(インフォメーション・セキュリティ・マネジメント・スタンダード)などの認証を得ることである。
しかし、こうした資格の取得には手間と経費がかかる。日常の業務に追われている中小企業や個人企業がこうした第三者の資格認証を得るのはハードルは高い。経費負担に耐えられずに経営が行き詰まることも考えられる。そして認証が得られずに業務の流れからはじき出されることになれば、今度は仕事がなくなって経営が行き詰まることにもなりかねない。PマークやISMSを別の基準で資格を取らせる簡易認証の制度を創設する必要があるのではないか。
大企業でも、コスト削減のために業務を再委託するための子会社、グループ会社を組織しているところは多い、というよりも、普通の事業体制である。とりわけデータ入力や管理を取り扱う企業は別会社にして、再委託するのが通常のグループ経営である。個人情報保護法の流れから再委託の禁止などが画一的に実施されれば、企業経営には大きな打撃になりかねない。
個人情報保護法は施行される来年四月までに細かいルールが決まってゆくが、その動きには注意をし、場合によっては思い切った意見を述べてゆく必要が出てくる。
『先見経済』 2004年7月19日