個人情報保護法第１８条１項

個人情報保護法第１８条１項は、個人情報を取得して、そして利用する（した）ものは、その利用目的をちゃんと個人情報の本人に通知しなさい、というものです。なお、その個人情報の取得手段については、条文では触れていません。また、その通知は、取得後すみやかになされればいいようです。

で、個人情報保護法第１８条２項では、個人情報を取得しようとするものは、その個人情報の本人にちゃんと利用目的を伝えてから取得しなさい、というものです。これは、「直接取得」について書かれているとされています。

そのことから、１項は「間接取得」についての規定とされています。その「間接取得」には、今回のベネッセの個人情報漏洩事件におけるジャストシステムのような、いわゆる名簿屋さんからの取得も含まれるそうです。

そうなると、ジャストシステムは、第１８条１項違反である可能性が非常に高いのです。

ただ、個人情報保護法は、直接的な罰則規定はあることはありますがごくごく限られたもので、第１８条に関しては直接の罰則規定はありません。

行政対応として、主務大臣による、報告の徴収、助言、勧告、命令、緊急命令、があるだけます。

また、個人情報漏洩による民事的な対応、損害賠償等に関しては、民法や民事訴訟法に従います。つまり第１８条１項により例えば精神的損害を負ったと裁判に訴え判決で認められて、初めて民法に従い精神的損害賠償がなされる、ということになります。

結局今回は、ジャストシステムについては、主務大臣から助言を受けるぐらいで終わりそうな気がします（一番悪いのはもちろんＳＥ会社の社員です。）。また、民事的に損害賠償を求められることもおそらくないでしょう。個人情報を利用された本人である顧客はもとより、ベネッセがジャストシステムを相手取って裁判をおこすとは思えません。

いろいろな状況や現行法に従えば、これは仕方がないと思います。

でも、本当にこれでいいのでしょうか？私は疑問です。

少なくとも、個人情報保護法には、その実効性を担保するような罰則規定は必要だと思います。そうでなければ、このような事件は永遠になくなることなどないでしょう。

又は、いっそのこと逆に開きなおって、このような事件がおこるのはもはや仕方がないよ、という世間の共通認識にしてしまうか、です。個人的には、私はこれは絶対に嫌ですけど。

また、個人的には、この法の略称を変えるべきだと思います。「保護」なんて、この法の一側面しか表していませんから。個人情報「管理」法というようにすれば、ニュートラルな感じがでると思いますが、いかがでしょうか？