ここまで、守らせる制度の歪みと、守られる側の本音を見てきました。第8回は、視点を「守る側」——つまり、企業の現場に移します。
意外に思われるかもしれませんが、個人情報保護の最大の矛盾は、ここにあるのかもしれません。守る側が疲弊しているにもかかわらず、事故は減っていないという事実です。
※本記事は、筆者が10年以上にわたって企業の個人情報保護コンサルタントとして数十社の現場を支援してきた経験に基づいています。
増え続ける義務のリスト
企業の現場で、個人情報保護に関する義務がどれくらい増えているか、列挙してみます。
利用目的の特定と通知。本人同意の取得と記録。安全管理措置(組織的・人的・物理的・技術的)。委託先の監督。第三者提供の同意取得とオプトアウト整備。Cookie同意の管理。事故時の本人通知と当局報告(72時間以内)。社内研修の実施。内部監査。プライバシー影響評価(PIA)。仮名加工情報・匿名加工情報の管理。Cookie規制への対応。海外移転時の同意取得。データ保管期間の管理と廃棄。
これがすべて、ひとりの担当者の頭のなかに収まっているはずがありません。中堅以上の企業では、専任の個人情報保護担当者、CPO(チーフ・プライバシー・オフィサー)、法務、情報システムが連携して対応しています。それでも追いつかない、というのが現場の実感です。
それでも事故は止まらない
では、これだけのリソースを投じて、事故は減ったのでしょうか。
個人情報保護委員会の年次報告は、残念ながら逆の数字を示しています。2024年度の漏えい事案は1万9,056件で過去最多。前年度比で約57%増。マイナンバー漏えい事案も334件から2,052件へと、6倍以上に膨らみました。
事故の原因を見ると、大半は「人為的ミス」と「サイバー攻撃」です。誤送付、誤掲載、USBの紛失、メールの誤送信、ランサムウェア。コンプライアンス体制を強化しても、人間のミスを完全には防げないし、巧妙化するサイバー攻撃にも完全には対抗できない。
つまり、義務が増えれば増えるほど、現場の負担は重くなるが、事故の総数は減らない。守る側はコストだけを背負い続ける構造になっています。
漏えいしても、業界は揺るがない
事故が起きたとき、何が起きるか。
多くの場合、企業は謝罪のリリースを出し、原因究明と再発防止策を発表します。本人への通知が行われ、当局への報告が出される。マスコミが取り上げる場合もあれば、ほとんど話題にならない場合もある。
罰則はどうか。改正個人情報保護法では法人に対する罰金の上限が1億円に引き上げられました。一方、欧州のGDPRは最大2,000万ユーロまたは全世界売上高の4%の高い方、という設計です。仮に売上1兆円企業がGDPR違反をすれば、最大400億円規模の制裁金がありうる。日本の上限とは桁が異なります。
実際に課徴金が科されるケースは限定的で、多くの事案は「指導」や「勧告」で終わります。被害者の側は、自分の情報が流出したことを通知されても、できることはほとんどありません。クレジットカードの番号を変える、パスワードをリセットする、フィッシングを警戒する。それだけです。集団訴訟の文化がない日本では、賠償金もほとんどの場合、雀の涙ほどの慰謝料にとどまります。
事業を揺るがすほどの罰則も、被害者の救済も、いずれも実効性が乏しい。これが現実です。
形式攻防の固定化
ここから、ある種の均衡が成立してしまいます。
企業は「形式的に守る」ことで法的責任を回避します。義務のリストにチェックを入れ、監査の記録を残し、研修を実施した証跡を残す。中身よりも、外形を整えることに労力が注がれます。
利用者は「形式的に守られている」ことで安心します。Cookie同意を押し、プライバシーポリシーが整備されていることを確認し、企業が大きな事故を起こしていないことで信頼する。中身は問わない。
中身を伴わない攻防が、制度として固定化している。これを「形式主義の悪循環」と呼んでもよいでしょう。
怠慢ではなく、設計の帰結
誤解されやすいのですが、これは現場の怠慢ではありません。むしろ、現場の人々は誠実に義務を果たそうとしています。
問題は設計にあります。「守る側に義務を積み増し、罰金で抑止する」というアプローチが、これだけ機能不全に陥っているのに、まだ同じ方向で改正が積み重ねられている。
私が支援してきた企業の担当者の方々は、しばしばこう言われます。「やるべきことは分かっているけれど、本当にこれで守れているのか、自信が持てない」。誠実な人ほど、形式と実質の乖離に気づき、苦しんでいます。
守る側を罰しても、守られる側は救われない
これが結論です。守る側に罰則を強化しても、守られる側の利益は増えません。守る側のコストが上がり、コンプライアンス産業が肥大化し、事故の通知件数が増えるだけ。
私たちが必要としているのは、罰の強化ではなく、設計の見直しではないでしょうか。
「同意を集めて、義務を積み上げ、違反を罰する」という現行モデルから、「信託に足る関係を設計し、受託者責任で律する」という別の発想へ。第7回で提案した「保護から信託へ」というフレームの転換は、守る側を救う道でもあるのです。
最終回では、ここまでの議論を踏まえて、私たちが本当に問うべき問いを提示します。
引用元
著者プロフィール
町島 和徳(ギャラクティックブレーン合同会社 代表社員)
電気通信大学在学中からコンテンツ制作の現場でキャリアをスタート。エンタメ業界での経営実務を経て、現在はコンサルタント兼フルスタックエンジニアとして活躍。経営・マーケティング・技術の複眼的視点と、部門や階層を超えたファシリテーション力を強みに、スタートアップから大手企業まで幅広いDX支援を手がける。生成AI・RPAの実務活用を精力的に展開。成功・失敗双方の実践知を惜しまず発信する現場主義のプロフェッショナル。
