日本において、過剰反応が起きたり、潜脱行為が起きたりする理由は、日本の個人情報保護に"グランドデザイン"が無い事が原因だと考えます。"グランドデザイン"が最初から無かったわけではありません。

2003年の法制定時には、「EU指令を先取りしてEU域外である日本で、EUと同等な個人情報の取り扱いルールを定める事」で、「EUとの障壁を無くして国際的に有利な場に立つ。」という"グランドデザイン"がありました。
　2000年以前において既に「個人情報がダイヤの原石である。」と考えたEUでは、「磨く前の原石も価値をもつもの。」「勝手に海外に持ち出して、磨き、ダイヤとして販売されてはいけない。」と考えていました。日本は、国内の「原石」だけでは規模が小さいので、海外の原石も輸入して磨いてダイヤにするという商売が始まった時に、それが妨げられないように「EUにある原石を価値のあるものと考えています。」「抜け駆けして原石を磨いて一人で儲けようなんてしませんよ。」ということをEUに示すためにも、個人情報保護法の制定は必須だったという背景が、この時の"グランドデザイン"になりました。

しかし、既に20年以上が経過して日本がプラットフォームでも、クラウドサービスでもその覇権争いに負けた今、新たな"グランドデザイン"が必要とされているにもかかわらず、学者も弁護士もコンサルも寄ってたかって未だに法解釈の重箱の隅をつついています。例えば、「2020改正法で、漏洩時の報告が義務化される事」を取り上げて、「個人データは保有しない方が良い、取り扱わない方が良い」と言っている人もいます。こういった反応も、"グランドデザイン"が再構築できていないからの反応だと思います。

日本の主要産業である自動車は、誰もがその価値を理解出来ています。そのため、安心して自動車を運転し、道路を利用できるようにするためにも、道路交通法が必要だとの理解につながるのでしょう。シートベルト着用義務も浸透しましたし、妊婦はシートベルト着用義務の除外とすることも当然に受け入れられています。その一方、大型自動車の飲酒運転の罰則強化には過剰反応を起こす人はいません。

しかし、自動車産業と情報産業では、その成果物に対する国内の評判にまだまだ格差があるようです。情報の利活用から生み出されるものの価値が、自動車を使う便利さのようには伝わっていません。

「個人データの利活用から生み出される便利な社会を、安心・安全な環境の中で実現するための"グランドデザイン"」というものが示されないことから、「なぜシートベルト着用義務なのか」の議論・理解に至ることなく、「車の運転は危ないから運転はやめろ、車は使うな」となってしまっているかのような感じです。

車の話であったならば、その結果が日本の主要産業を潰す話につながると理解するでしょう。

情報は21世紀の石油だと例えられていますが、それを踏まえた個人情報の取り扱いルールを"グランドデザイン"から行っていかないと、いつまでも小手先対応になってしまいます。（日本の原石が安いコストで外国に持っていかれ、磨かれてダイヤになっても日本には利益が生まれない仕組みとなってしまいます。その一方で日本は外国から高いコストをかけない限り原石を持ってきてダイヤにすることができないのです。）

国がその"グランドデザイン"を明確に示してはいないとしても、企業は自社での"グランドデザイン"を持たなければうまくいきません。個人情報の利活用によってお客様本人に、何の得があるのかを説明せず、個人情報保護法の遵守だけを気にするのは愚の骨頂でしょう。

車道の制限速度60キロに対して、60キロを超えてはいけません。というのは誰でも言える事です。車の運転では、地理的状況、天候や路面状況、運転者の当日の状態や力量、周りの流れなどを考えた上で横断歩道に人が見えたら停止できるように運転する事を教えてあげないといけません。それも、便利な自動車を安心して長く使ってもらうためです。

個人情報も同様で、法律をそのまま自社の規定とすることには何の意味もありません。意味のあるルールを作成するには、"グランドデザイン"を明確にすること。自社においての個人情報の価値を理解し、お客様本人に与える価値を明確にしていくことが重要です。そのためには、「守るべき　個人の権利利益とは何か？」　ということを一度真剣にとらえなおすことも必要だと思います。

それを考えず、「漏えいさえしなければよい」という考えではうまくいきません。「世の中をよくすること、便利にすることの中に、プライバシーの保護（データ活用時代のプライバシーって何？）がある。」という視点がなければ、うまく運用していくことはできません。　そのヒントがPIA（プライバシー影響評価）の規格やGDPRの前文などにはあります。

またルールを作成するにおいては、全社対応ではなくて、重点業務での対応が求められていくという点にも着目する必要があります。具体的にはグランドデザインにかかわる業務である「社会的に重大な事態を起こす可能性がある業務」や会社にとってリスクの高い「多額な罰金の対象となったり取引停止（入札排他）につながってしまうような業務」を特定するところからスタートをかけていきます。

そして実装にあたっては、担当する従業者個々に気を付けさせるだけではなく、仕様で保護しないと対応しきれない部分もあるでしょう。車の例でいえば、荷運びのトラック等で速度を監視したり、速度が出ないようにしていたりするのと同様なPIAのセーフティネットの構築です。

他にも、工場内のフォークリフトなどは、具体的なルールを決めてそれを実行するためのかなり詳細な教育をしていることでしょう。個人情報保護の従業者教育においても、法の内容を教育するというものではなく、自ずと法が遵守されるようになるための具体的なスキルを身に着けさせる教育が必要となってきます。ルールがどんな時でも遵守できるような環境も整えていかなければなりません。

2020改正個人情報保護法に対して、個人情報保護のテーマをもっと高い位置から俯瞰し、その上でとらえなおしてみることがこれまでの負のスパイラルからの脱却への道であると考えます。