預かっていたお金をなくしたとき、「盗まれた」と言うより「なくした」と言った方が怒られます。盗まれたのは盗んだ人も悪いですが、なくしたのは100%その人が悪いからです。盗まれたと言うときは、いろいろな場面が考えられます。海外でバッグを不用心に持ち歩いていたならば自業自得ですが、凶器で脅されて泣く泣く渡したというような同情すべき場合もあります。一方、なくしたというのはどう考えても100%不注意からきます。
　しかし個人情報の場合は「盗まれてはいないが、なくしたのだ」と弁解するのがはやっています。しかもそれがニュース報道されると必ず紛失という部分がとりあげられるので、声明発表の際には欠かせないキーワードになっています。前例を作ったのはある金融機関です。個人情報保護法本格施行(2005年4月1日)の数日前に数十万人分なくしたと発表したのですが、漏えいと発表するのに比べ、あまり騒がれずに乗り切ることができました。世間は「社内でなくしたなら被害はない」と受け止めたのでしょうか、それとも「どこもきちんとやっていないのだから、その会社だけ責めることはできない」ととらえたのでしょうか。
　その後、多くの大企業が「情報を紛失した」と発表するようになりました。漏えいよりは罪が軽いというイメージがあり、便利なのでしょうか。前述の金融機関は、本格施行後にも紛失を発表しました。　
　わたしは法律を読み直すべきだと思います。所管官庁が企業に求めているのは情報漏えい事件防止ではなく、安全管理措置です。情報漏えいが起こらなければいいという考え方ではありません。紛失か漏えいかで有罪無罪が決まるわけではありません。
　漏えいの方が社会的損失が大きいとは思いません。防衛庁のシステム情報漏えい以来、情報を転売して儲ける以外にも、情報には不正利用価値があることがわかっています。漏れているといっても、犯人だけが持っていて恐喝の材料に使うのかも知れません。これは被害を受けた組織に対する影響は大きいですが、情報自体が広範囲に漏れているわけではありません。
　一方、紛失はどこまで漏れているかわからないのです。0かもしれないし、闇市場で幅広く転々としているかもしれないのです。個人情報の場合は「疑わしきは罰せず」という考え方にとらわれている中では被害が確定しなくても「悪用されているかもしれない」と不安を与えるだけで社会的影響が大きいのです*1。まだ「漏えいしたが、犯人はインターネットに流す前だった」のような事実がわかった方が安心です。法律が目指しているのは、自分の情報をコントロールする権利の確立です。だから「DMは送らないでください」というような請求を出すことができるのです。その意味では紛失だけでも自己情報コントロール権が失われています。漏えい事件は、情報窃盗犯から取り返せばコントロール権を回復できることもあります*2。

常に漏えいより紛失の方が罪が軽いということはないはずです。

　なぜ、漏えい事件が起こったときに「紛失であって漏えいではない」という言い訳がまかり通るのかわかりません。むしろ、伝統的な価値判断ではやはり「盗まれた」は過失度不明ですが、「なくした」は過失度100%固定です。善管注意義務を怠ったことは確実でしたと言っているだけです。
　プレスリリースをしている人たちは、情報主体*3への被害認定がないということを単に言いたかっただけなのでしょうが、お客さまへの被害は把握していません、と普通の不祥事の時の決まり文句を使えばいいことです。そして、今後の信頼回復方法を述べ、継続的な取り組み姿勢を示すことが重要です。だいたい、「紛失した」なんて、事実表明のように見えて実は自己中心的で主観的な言い方です。政治家が証人喚問を受けたときの「記憶にございません」と同じです。紛失した「と思う」という気持ちを述べているだけです。客観的事実として認定できるのは「シュレッダーにかけた」とか「実は倉庫の奥深くに安全に保管されているが、それに気づかない」あるいは「誰かが持ち去った」というようなことです。どれだかわからない*4ので紛失とされているわけですが、つまり事実がわかっていないことの裏返しなのです。事実発表を行うプレスリリースで発表の骨子になるようなことではないはずです。
　紛失を口実とする手法が慣習になっていくと「なんだ、漏えいしなければいいのか」と錯覚する人が出てくると思います。漏えいしたのに「自分の手から離れたことには変わりない」として紛失と発表する会社が出てこないとも限りません*5。

安全管理措置は結果ではなく継続的な取り組みの方が大事なのです。