なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:コンプライアンス

デジタル庁トップページ
1.デジタル庁のウェブサイト
9月1日から正式に発足したデジタル庁は、サイト作成や運用にSTUDIO株式会社というベンチャー企業の「コード不要」というSTUDIOというサービスを利用して同庁サイトの作成や運用を行っていますが、STUDIO社のプライバシーポリシーは個人情報保護法違反の部分があり、また同社の利用規約は「当社システムは高度な安全性はない」と明示しています。つまり、デジタル庁(および内閣IT戦略室)は厚労省のCOCOAの件などと同様に、委託先の選定等の安全確保措置を十分に実施していない行政機関個人情報保護法6条違反の可能性があります。

2.STUDIO社の利用規約
ITmediaニュースなどの報道によると、デジタル庁のサイトは、ベンチャー企業のSTUDIO株式会社のSTUDIOという「コード不要」なシステムで作成されているようです。同社サイトをみると、主に個人事業主や中小企業向けのサービスのようですが。「コード不要」とは、いかにも新しいものがお好きな平井大臣が好みそうなサービスですが、共同入札などの正式な手続きは経ているのでしょうか?
・デジタル庁発足 公式サイトにITエンジニアから反応続々「シンプル」「重い」「ロゴが丁寧」「苦労が見える」|ITmediaニュース

この点、ある方の9月1日のツイッターの投稿によると、デジタル庁のサイトの利用者のログやブラウザ情報、端末データなどの個人データはやはりSTUDIO社のサーバーに送信されているようであり、STUDIO社がデジタル庁サイトの運営を委託されていることは間違いないようです。

デジタル庁のサイトのサーバー

また、サイトを作成さえすればドメイン、サーバなどはS社が一括管理と説明されていますが、中央官庁サイトの安全管理措置などには十分対応できるのでしょうか。

スタジオ社
(STUDIO社サイトより)
https://studio.inc/

そこでSTUDIO社の利用規約をみると、IT企業の利用規約のよくあるパターンで、利用規約9条(保障・免責)の各号では「本サービスの利用による保障はしないし、責任も負わない」旨を明示しています。
・利用規約・プライバシーポリシー・特定商取引法上の表記|STUDIO

スタジオ1

とくに利用規約9条4項は、STUDIOのサービス・システムは「本サービスは高度の安全性が要求され…重大な損害が発生する用途には設計しておりません」と明示しています。中央官庁であるデジタル庁のサイトは、「高度な安全性」が必要だと思うのですが、これはまずいのではないでしょうか?
スタジオ社利用規約9条4項

この点、デジタル庁などの行政機関に適用される行政機関個人情報保護法6条は行政機関とその委託先に個人データの滅失・毀損・漏洩などが発生しないように安全確保措置を講じることを要求しています。

行政機関個人情報保護法6条
これを受けて、総務省総管情第84 号・平成 16 年9月14 日通知「行政機関の保有する個人情報の適切な管理のための措置に関する指針について(通知)」「第8 保有個人情報の提供及び業務の委託等」4項は、行政機関が委託を行う際は、委託先が安全確保の能力があることを事前に確認し、年1回以上の立入検査の実施、個人データの利用の制限や障害対応、秘密保持条項、障害対応、損害賠償、再委託の制限などを明記した契約書を締結しなければならない等と規定しています(岡村久道『個人情報保護法 第3版』430頁)。

総務省安全確保指針
・「行政機関の保有する個人情報の適切な管理のための措置に関する指針」及び「独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針」の改正|総務省

にもかかわらず、利用規約において「当社のサービスは高度の安全性が要求される用途のためには設計されていない」と明記しているSTUDIO社にサービスやシステムの運用を委託しているということは、デジタル庁およびその前身の内閣IT戦略室は、個人データを取り扱う情報システムの委託について、委託先が安全確保の能力があることを事前に確認するなどの安全確保措置を十分に講じておらず、行政機関個人情報保護法6条および総務省「「行政機関の保有する個人情報の適切な管理のための措置に関する指針」第8第4項などに違反しているのではないでしょうか?

この点に関しては、コロナの接触確認アプリCOCOAのシステム開発の委託においても厚労省や内閣IT戦略室が杜撰な委託を行っていたことが発覚したばかりであり、また、今年春にはLINE社のLINEが個人情報や通信の秘密の杜撰な安全管理を行っており、かつLINE社が国・自治体に対して繰り返し「LINEの日本の個人データは日本のサーバーに保存されている」等と虚偽の説明を行い、国・自治体がこの説明を鵜呑みにして立入検査・実地検査などをしてLINE社が安全管理措置を本当に講じているかどうか確認を行わず、安全確保措置を講じていないという行政機関個人情報保護法6条などの違反などを行っていたことが発覚したばかりなのにです。

デジタル庁や内閣IT戦略室などは、高度な法令順守・コンプライアンスが要求される国の機関であるにもかかわらず、このような度重なる行政機関個人情報保護法6条の違反を漫然と繰り返していることは、「法の支配」や法治主義、「法律による行政の原則」、「法律による行政の民主的コントロールの原則」(憲法41条、65条、76条)の観点から非常に問題なのではないでしょうか。国・行政がコンプライアンス意識を無くし、憲法や法律を無視するようになっては、国民から選挙で選ばれた国会の法律で行政を民主的にコントロールしようという議会制民主主義が破綻してしまいます。

総務省や個人情報保護委員会などは、デジタル庁や内閣IT戦略室などに対して法律を守れと指導・勧告等を実施すべきではないでしょうか。

3.STUDIO社のプライバシーポリシー
なお、STUDIO社のプライバシーポリシーについても簡単にみてみると、利用者のcookieや端末情報、操作ログなどの個人データを収集・利用するとあるのはある意味当然ですが、STUDIO社はプライバシーポリシー6条で、それらの個人データの共同利用(個人情報保護法23条5項3号)を行うとしているのに、共同利用を行う者の範囲、利用される個人データの項目、共同利用の利用目的などが同社サイトにどこにも明示されてないのは個人情報保護法23条5項3号違反です(岡村久道『個人情報保護法 第3版』264頁)。

スタジオプライバシーポリシー共同利用

また、STUDIO社のプライバシーポリシー9条は、開示・削除・利用停止等の請求の手続や手数料などについては「当社が別途定める所定の方式により」としていますが、肝心のこの別記がサイト上にどこにも掲載されてないのは、個人情報保護法27条1項3号違反です(岡村・前掲295頁)。個人情報保護委員会はSTUDIO社やデジタル庁などに対して指導・勧告などを実施すべきではないでしょうか(法40条、41条、42条)。

このようにSTUDIO社は、プライバシーポリシーについても個人情報保護法違反が複数存在します。同社にサイトの作成や運用を委託したデジタル庁・内閣IT戦略室が委託先の選定などの安全確保措置に関していかに杜撰であるかがここにも見受けられます。

デジタル庁は日本の国・自治体のデジタル行政を所管する官庁のはずなのに、行政機関個人情報保護法や個人情報保護法などの法律の素人しか存在しないのでしょうか?それ以前に国の官庁なのに法令を遵守して業務を行おうというコンプライアンス意識が非常に低いように見受けられるのは非常に心配です。

個人情報保護法は「個人情報の有用性に配慮しつつ、個人の権利利益を保護」(法1条)とし、また「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべき」(法3条)との立法目的・趣旨を明記しています。

国・自治体のデジタル化は重要です。しかし、国民の個人の尊重と基本的人権の確立(憲法13条)と、「個人の権利利益を保護」、「個人の人格尊重の理念」(個人情報保護法1条、3条)、つまり国民の人権保障という憲法や個人情報保護法の基本理念を大原則として、デジタル庁はコンプライアンス意識を持ってデジタル行政を企画立案、実施していただきたいと思います。

デジタル庁は民間のITスタートアップ企業ではなく、国の行政官庁であり、その大臣や職員は公務の中立性・公平性とともに法令順守が要求され(国家公務員法96条1項、98条1項、憲法15条2項)、憲法尊重擁護義務(憲法99条)を負うのですから。

■追記(9月4日)
9月3日のマスメディア各社の報道によると、デジタル庁デジタル監の石倉洋子氏が、画像素材サイト「PIXTA」の複数の画像を、同サイトから購入せずに自身のウェブサイトに勝手に掲載していたとのことです。同サイトからの申し出に対して石倉氏はこの事実を認め、自身のサイトを閉鎖したとのことです。これにはさすがに呆れてしまいました。

1630756714318
(石倉洋子氏のTwitterより)

石倉氏は経営学者であり、ITや情報法などの専門家ではないが、2000年代からTwitterやFacebookなどを利用しておりITリテラシーの高い人物である」と、石倉氏を高く評価する投稿が9月になってからTwitter上で多く見られたところですが、画像素材サイトの画像を購入せずに勝手にパクって自分のサイトに掲載するとは、石倉氏の「ITリテラシー」は最低です。

デジタル庁は国・自治体のデジタル政策を担う官庁であり、その業務のためには、ITの知識やノウハウだけでなく、著作権法などの知的財産権法や個人情報保護法制や憲法、行政法、独禁法や消費者法などの法律知識は必須のはずですが、事務方トップの石倉氏はこのような素人レベルな法律知識で、デジタル庁の役職員の業務に違法・不当がないか監督できるのでしょうか? 多いに疑問です。

平井大臣の特定企業との癒着の問題や、NECを「徹底的に干せ」「脅せ」などとヤクザのような暴言を吐いていた問題や、アメリカの性犯罪者の富豪から多額の寄付金を受けていた伊藤譲一氏のデジタル監の人事の問題など、デジタル庁や菅政権はとにかく憲法や法律・モラルを遵守しようというコンプライアンス意識が致命的に欠落しています。

デジタル庁は、デジタル行政の業務を始める前に、まずは大臣やデジタル監をはじめとする全役職員が、憲法や国家公務員法、国家公務員倫理法や、個人情報保護法、知的財産権法、独占禁止法などの法令の基礎に関する全庁的なコンプライアンス研修を実施すべきではないでしょうか。

このままでは、デジタル庁は、役職員が「法令を守っていては日本は潰れる」などと嘯いて官民のデジタル利権を牛耳って、中抜きで私腹を肥やす経済マフィアのような組織になっていまいます。

■追記・デジタル庁ナンバー3の岡下昌平・デジタル大臣政務官が違法Youtuberであることが発覚(9月30日)
nukalumix様「畳之下新聞」の9月30日付の記事「(逃走中) 違法Youtuber が #デジタル庁 ナンバー3 の大臣政務官 という地獄」によると、デジタル庁ナンバー3岡下昌平・デジタル大臣政務官が、自身のYouTubeチャンネル「おかしょうちゃんねる堺」において、ABEMAなどの動画を切り取り、自身のYouTubeチャンネルにアップロードするなどの著作権法違反の行為を繰り返していたことが発覚したとのことです(自動公衆送信権(著作権法23条1項)の侵害)。
・(逃走中) 違法Youtuber が #デジタル庁 ナンバー3 の大臣政務官 という地獄|畳之下新聞

おかしょうちゃんねる堺
(岡下昌平氏の「おかしょうちゃんねる堺」より)

デジタル庁は、上から下まで法令無視のアウトローの人間しかいないのでしょうか。呆れてしまいます。このような無法者集団がデジタル行政を行っては、日本の官民のデジタル部門やIT業界などは、法律無視が当たり前で、腕力や発言力、経済力、政治力が強い人間が幅を利かす原始時代のような世界になってしまうような気がします。

■関連する記事
・デジタル庁の事務方トップに伊藤穣一氏との人事を考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・西村大臣の酒類販売事業者や金融機関に酒類提供を続ける飲食店との取引停止を求める方針を憲法・法律的に考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関する有識者委員会の第一次報告書をZホールディンクスが公表
・新型コロナの接触確認(感染追跡)アプリ(COCOA)の内閣府の仕様書を読んでみた
・コロナ禍の緊急事態宣言で国民の私権制限をできないのは憲法に緊急事態条項がないからとの主張を考えた

■参考文献
・岡村久道『個人情報保護法 第3版』264頁、295頁、430頁
・宇賀克也『個人情報保護法の逐条解説 第6版』179頁、432頁



















このエントリーをはてなブックマークに追加 mixiチェック

kabunuushi_soukai
1.はじめに
2020年(令和2年)4月に、国の新型コロナ緊急事態宣言をうけ、代表取締役が招集通知後に取締役会決議を経ずに株主総会の日時場所を変更したことが違法でないとされた興味深い裁判例が出されています(大阪地裁令和2年4月22日決定・積水ハウス株主総会事件)。

2.事案の概要
訴外A社(積水ハウス株式会社)は、住宅建設などを行う建設会社であり、会社法上の公開会社かつ大会社であり監査役設置会社である。YはA社の代表取締役であり、XはA社の取締役であり、A社の株式を6か月以上前から保有している。訴外Bは、A社の前代表取締役である。

XおよびBは、2020年2月14日付で、A社に対し、X、Bなど9名を取締役に選任するための提案権を行使した。同年3月5日、A社の取締役会は定時株主総会招集決議を行った(本件定時株主総会決議)。同年4月1日、A社は本件定時株主総会決議に基づき、定時株主総会(本件定時株主総会)の招集通知を同社のウェブサイトに公表し、同年4月6日、Yは株主に対して招集通知の書面を発送した。

招集通知においては本件定時株主総会は、日時は2020年4月23日午後10時より、場所は大阪市のCホテル2階のホテル大宴会場と記載されていた。

同年4月7日、国は新型インフルエンザ等対策特別措置法(特措法)32条に基づき、新型コロナウイルス感染症に係る緊急事態宣言を発出し、同日、大阪府知事は、特措法24条9項に基づき府内の一定施設に対して、同年4月14日から同年5月6日までの休業等の要請を行った。

この緊急事態宣言を受けた大阪府知事の休業要請により、Cホテルのホテル大宴会場が利用不能となったため、Yは同年4月15日、本件定時株主総会の開催場所を大阪市のCホテルに隣接するDビルの35階フロアとし、開始時刻を30分遅らせて午前10時30分と変更し(本件変更)、「定時株主総会 開催場所・開始時刻変更等について」との情報を、A社ウェブサイトで公表した。

これに対してXは、Yの本件変更は、招集手続きに関する法令(会社法298条1項1号、4項、299条)に違反したYの違法行為であり、本件決定を前提に本件定時株主総会を開催することは、YのA社に対する善管注意義務違反であると主張し、差止請求権を被保全権利として、本件定時株主総会の開催禁止を求める仮処分命令を申し立てたのが本件訴訟である(同360条3項、1項)。

3.裁判所の決定の要旨
「会社法上、株主総会を招集するにあたり、取締役会で定めた会社法298条1項所定の事項を変更しようとする場合の要件や手続きにつき、明文の規定はない。(略)もっとも、(略)本件定時株主総会招集決議の権限の範囲は、本件定時株主総会招集決定の合理的解釈によって画定されるものというべきである。招集通知(略)の最初の頁には、新型コロナウイルス感染症への対応として、『本定時株主総会運営に変更が生じた場合には、以下のウェブサイトに掲載いたしますので、ご出席の際にはご確認ください。』という一文が明記され、参照先のURLが記載されていたのであるから、本件定時株主総会招集決定は、新型コロナウイルス感染症の動向いかんによっては定時株主総会の運営に変更があり得ることを前提としていたことは明らかであり、変更をおよそ許容しない趣旨と解することはできない。」

Y限りで株主総会の日時及び場所を変更することの可否等も、本件定時株主総会招集決議の解釈により決せられることになる。もとより、本件定時株主総会招集決議を執行するにあたり、株主の議決権行使が妨げられることとなるような恣意的な変更を許容する趣旨と解することはできないが、少なくとも本件のように、Yが、当初予定していたホテル大宴会場の使用が事実上不可能となったことに伴い、代替会場として、隣接する高層ビルの35階をフロアごと確保し、これに伴い、35階空きフロアへの移動時間を考慮して開始時刻を30分繰り下げる範囲で本件定時株主総会の開始時刻及び場所を変更するにとどまる本件変更は、本件定時株主総会決議の執行の域を逸脱するものとまではいえない。」

「Xは、Yが自己の保身等のために本件定時株主総会開催を強行しようとするものであるかのように主張する。(略)しかし、A社取締役会も、取締役候補者選任をめぐっては鋭く対立しているものの、緊急事態宣言前後を通じて、本件定時株主総会を開催する方向で異論なく準備を進めてきたと認められるのであり、それまでのYの認識と前提を全く異にする義務を肯定することは困難である。(略) よって、本件仮処分命令申立は、被保全権利の疎明を欠くものとして、理由がない。」

4.検討
(1)株主総会の日時・場所の変更について
監査役設置会社などの取締役会設置会社が株主総会を開催する場合には、株主総会の日時・場所など所定の事項を取締役会で決議し(会社法298条1項、4項)、株主総会の日の二週間前までに書面またはウェブサイト等で株主に通知しなければなりません(299条1項、2項、3項)。

しかし、会社法は株主総会の日時・場所などを変更する場合の要件や手続きなどの規定がないため、本事例のような場合に、株主総会の日時・場所などを変更できるのか、できるとしてどのような手続きをとるべきなのかが問題となります。

この点、学説・裁判例は、招集通知を通知後に株主総会の日時・場所を変更することも、正当な理由があり、かつ変更について株主に対する適切な周知方法がとられていれば、そのような変更は許されるとしています(広島地裁高松支部昭和36年3月20日判決)。

ただし、理由なく変更が行われた場合には、決議不存在事由になりうるとする裁判例も存在し(大阪高裁昭和58年6月14日判決)、開始時間を長時間遅らせることは決議取消事由となるとする裁判例も存在します(水戸地裁下妻支部昭和35年9月30日判決、江頭憲治郎『株式会社法 第7版』327頁)。

本判決の決定は、上の広島地裁高松支部の判決と異なり、招集通知送付後に取締役会決議を経ずに代表取締役限りで株主総会の日時・場所を変更することは、「本件定時株主総会招集決定決議の合理的解釈により決せられる」と判示しており、この点に意義のある裁判例です。

そして本裁判の決定は、招集通知に「本定時株主総会運営に変更が生じた場合には、以下のウェブサイトに掲載いたしますので、ご出席の際にはご確認ください」と明記されていることから、新型コロナの動向によっては定時株主総会の運営に変更がありうることを前提として取締役会決議がなされたことは明らかであり、変更を許容しない趣旨とは言えないとしています。この点は、招集通知からうかがわれる本件株主総会決議の内容として合理的な解釈であるといえるので、妥当なものであると思われます。

(2)取締役会決議を経ないで株主総会の日時・場所を変更することの可否
本裁判の決定は、取締役会決議を経ないで株主総会の日時・場所を変更することの可否について、「代表取締役限りで本件変更をすることの可否は、本件定時株主総会収集決議の解釈による」、そしてその解釈にあたっては、「株主の議決権行使が妨げられるような恣意的な変更は許されない」としています。

そのうえで、本裁判の決定は、①Cホテルのホテル大宴会場が事実上使用不可能となったこと、②代替会場として、隣接するDビルの35階フロアを確保したこと、③Dビルの35階フロアへの移動時間を考慮して開始時刻を30分遅らせて午前10時30分からとしたこと、の3点から、本件変更は本件定時株主総会招集決議の解釈の限度内にとどまると判示しています。これは妥当な判断であると考えられます。

(3)Yの善管注意義務違反の有無
Xは、Yが自己保身のために本件定時株主総会の開催を強行しており、それは取締役の善管注意義務(会社法330条、民法644条)の違反に該当すると主張しています。

これについて本裁判の決定は、「本件定時株主総会招集決議の趣旨は、流会等の措置を講じることではなく、新型コロナの動向に照らし、Yが本件変更を前提として本件定時総会を開催することにある」として、その趣旨に沿って開催のために事務を行う以上は、Yに善管注意義務は認められないと判示しています。上でみたように本件変更は妥当であると考えられますので、それを実現するためのYの行為は善管注意義務違反にならないとの判断は妥当であると思われます。

(4)その他、新型コロナと株主総会について
法務省は、新型コロナに関連して、定款で定めた時期に定時株主総会を開催できない場合には、その状況が解消された後、合理的な期間内に定時株主総会を開催すれば足りるとしています。また、定款に定めた基準日から3か月以内に定時株主総会を開催できない場合は、新たに議決権行使のための基準日を定め、当該基準日の2週間前までに当該基準日および基準日株主が行使することができる権利の内容を公告した上で、定款に定めた基準日から3か月以上を経過した日に株主総会を開催することができるとしています(法務省「定時株主総会の開催について」2020年4月2日更新)。

また、新型コロナの動向により、招集通知送付後に予定していた株主総会の会場が使用できなくなった場合は、予定していた株主総会の会場のできるだけ近隣の施設や社内などを利用し、代替会場の手配を行い、開催場所・時間の変更を行うべきとされています。旧会場からの移動のために、開催時間の繰り下げや、株主を案内するためのスタッフの用意などが必要になります。そして株主総会の変更を会社のウェブサイト等で株主に周知する必要があります(須磨美月「総会準備と当日の運営」『新型コロナウイルス影響下の法務対応』44頁、52頁)。

■参考文献
・尾形祥「株主総会の開催場所の変更等を理由とする違法行為差止めの可否」TKCローライブラリー新・判例解説 商法136
・江頭憲治郎『株式会社法 第7版』327頁
・須磨美月「総会準備と当日の運営」『新型コロナウイルス影響下の法務対応』44頁、52頁
・東京弁護士会会社法部編『新・株主総会ガイドライン 第2版』6頁
・法務省「定時株主総会の開催について」2021年1月29日更新
・経産省・法務省「株主総会運営に係るQ&A」2020年4月2日
・経産省「「ハイブリッド型バーチャル株主総会の実施ガイド(別冊)実施事例集」を策定しました」2021年2月3日













このエントリーをはてなブックマークに追加 mixiチェック

kojinjouhou_rouei_businessman
2月17日のNHKなどの報道によると、国会審議において、2018年に発覚した日本年金機構の国民から提出された扶養親族等申告書の個人情報約500万人分のデータ入力業務が年金機構から委託された日本企業から、違法に中国企業に再委託されていた問題に関連し、野党が「マイナンバーも流出しているのではないか」と質問したのに対して、水島藤一郎・年金機構理事長が「流出していない」として、追加の調査などを拒否したとのことです。

報道によると、水島理事長はその根拠として、「調査にあたった外部企業によれば流出の事実はない」こと、「調査にあたった外部企業の報告によれば、中国企業に送付されたのは「氏名・ふりがな」データのみであるので個人情報の流出はない」こと等をあげているそうです。



すでにつっこみどころ満載な気がしますが、年金機構の主張は正しいのでしょうか?

この点、2018年6月に公表された、第三者委員会調査報告書(「日本年金機構における業務委託のあり方等に関する調査委員会報告書」委員長:安田隆二・一橋大学教授)を読み直すと、同報告書が認定した事実は、日本年金機構の委託先のSAY企画から中国企業に無断で再委託がなされ、「氏名・ふりがな」データが送付されたとする日本IBMの調査結果の報告書を、そのIBMの報告書を再検査したTIS社が、「IBMの検査は妥当」と判断したということだけです。



年金01
年金02
(「日本年金機構における業務委託のあり方等に関する調査委員会報告書」7-8頁)

つまり、独立行政法人等個人情報保護法7条1項違反(安全確保措置)で中国企業に再委託がなされ、個人情報が中国企業に渡ってしまったということが、外部の調査を行った企業などが認定した事実です。「マイナンバーや個人情報が日本年金機構から流出してない」などということは、IBMもTISも第三者委員会も認定していないのです。この点、水原理事長の発言は間違っています。

独立行政法人等個人情報保護法
(安全確保の措置)
第七条 独立行政法人等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない。
 前項の規定は、独立行政法人等から個人情報(独立行政法人等非識別加工情報及び削除情報に該当するものを除く。次条、第三十八条及び第四十七条において同じ。)の取扱いの委託を受けた者が受託した業務を行う場合について準用する。

また、「「氏名・ふりがな」データは個人情報・個人データではないから個人情報は流出していない」と水原理事長は発言したそうですが、日本年金機構のトップは正気でこんなことを国会で発言したのでしょうか?

独法個人情報保護法2条2項1号は、「当該情報に含まれる氏名、生年月日その他の記述等(略)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(略)により特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」に該当する「生存する個人に関する情報」は「個人情報」であると定義しています。

つまり、ものすごく短くまとめると、生存する「個人に関する情報」であって「当該情報に含まれる氏名、住所、生年月日・・・により特定の個人を識別できるもの」が個人情報保護法制上の個人情報です。

例えば、今回の事件で問題となった扶養親族等申告書であれば、申込書に記載された給与所得者本人の氏名、ふりがな、住所、生年月日、続柄、個人番号、所得の見込み額、学生か否か、寡婦か否かなどはすべて個人情報(特定個人情報)です。

給与所得者の扶養控除等申告書
(扶養親族等申告書)

よく、これらの個人情報のうち、氏名・住所などを黒塗りや削除などすれば、他の情報は個人情報ではないという誤解がなされますが、「個人に関する情報」であって「・・・により特定の個人を識別できるもの」が個人情報なので、氏名・住所などを削除したとしても、それ以外の情報も個人情報あることに変わりはありません。

とはいえ、世間でよくある個人情報の誤解でも、「氏名・ふりがな」だけを抜き出したらその情報・データは個人情報ではないと誤解する人はなかなかいません。そのような人物が組織のトップであるという一点においても、日本年金機構は当事者能力の有無が厳しく問われる事態なのではないでしょうか?

さらに、「外部の調査をした会社によれば」と水島理事長は主張しているようですが、IBMやTISはあくまで2018年当時の調査で2018年時点の報告書を出してるのですから、もしマイナンバーも漏れてるおそれがある、そのような告発やメールなどが最近発覚しているのであれば、年金機構は「IBMの調査では」とか呑気なことを言ってないで、今すぐ追加調査を実施すべきではないでしょうか?

約1億件の保有個人情報を国民から預かっている日本年金機構は、国民のマイナンバーや個人情報を一体何だと思っているのでしょうか。また、同時に日本年金機構は、マイナンバー法や独法個人情報保護法や総務省・個人情報保護委員会の関連通達を遵守しようという意識があるのかどうか非常に不安です。1億件のマイナンバーおよび個人情報に関する安全確保措置の法的責任は極めて重大であると思われます。

加えて、この日本年金機構の事件のほかにも、最近は厚労省のコロナの接触確認アプリCOCOAのシステム開発の業務委託が多重下請けがなされたあげく非常に杜撰な開発・運営・保守が行われていたことが大きく社会的批判を浴びています。政府与党や国会は、国・自治体や年金機構など公的法人の業務委託のあり方について、今一度全体的に見直しを行うべきではないでしょうか。

■関連するブログ記事




個人情報保護法〔第3版〕

番号法の逐条解説(第2版)

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

computer_server
1.CCCがT会員規約などを改定
Tポイントやツタヤ図書館などを運営するCCC(カルチュア・コンビニエンス・クラブ株式会社)の1月15日付のプレスリリースによると、同社はTポイントの個人情報・個人データの利用規約・プライバシーポリシーなどを一部変更したとのことです。

・T会員規約等、各種規約の改訂について|CCC

2.「他社データと組み合わせた個人情報の利用」の明確化
そのプレスリリースでは、CCCが個人情報・個人データの利用方法として新たにプライバシーポリシーなどに明確化したという使い方が説明されています(T会員規約4条6項)。

・T会員規約 改訂前後比較表|CCC

これは、おおざっぱにいうと、CCCが他社から他社の個人データを受け取り、CCCの持つ個人データと突合して分析・加工した個人データまたは統計データを生成して利用するというものですが、これは個人情報保護法上の委託スキームの、いわゆるデータセンター等における「混ぜるな危険の問題」に抵触してないでしょうか。

T会員規約4条6項
6.他社データと組み合わせた個人情報の利用
当社は、提携先を含む他社から、他社が保有するデータ(以下「他社データ」といいます)を、他社が当該規約等で定める利用目的の範囲内でお預かりした上で、本条第2項で定める会員の個人情報の一部と組み合わせるために一時的に提供を受け、本条第 3 項で定める利用目的の範囲内で、統計情報等の個人に関する情報に該当しない情報に加工する利用および当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供(以下あわせて「本件利用」といいます)を行う場合があります。
なお、当社は、本件利用のための他社データを明確に特定して分別管理し、本件利用後に他社データを破棄するものとし、本件利用のための、前述、当該他社から当社への一時的な提供を除いては、それぞれの利用目的を超えて利用することも、当該他社その他第三者に対して会員の個人情報の一部または全部を提供することもありません。

CCC他社データと組み合わせた個人情報の利用
(CCCサイトより)

3.飲料メーカーA社の事例(統計データ)
CCCのプレスリリースは、このT会員規約4条6項について、「飲料メーカーA社の事例(統計データ)」と「旅行代理店B社の事例(個人データ)」の二つの図を用意しているので、この二つの図で考えてみます。

飲料メーカーA社
(CCCサイトより)

まず一つ目の、飲料メーカーA社の事例では、飲料メーカーA社(他社)の他社個人データAをCCCがデータの分析・加工のために受取り(「委託」、個人情報保護法23条5項1号)、その他社個人データAとCCCの個人データを突合し、CCCの個人データに該当する個人の属性・嗜好などを分析した統計データ等を作成し、A社に渡すとなっています。

しかし、この事例のような個人データの委託元A社と委託先のCCCの個人データを混ぜて取り扱うことは禁止されています。

これは、たとえば、A社の個人データAとCCCの個人データを個人個人で本人同士突合し分析などを行うことがそれに該当します。つまり、個人データAとCCCの個人データの突合は、例えばD社、E社等などからCCCが本人同意の基に第三者提供を受けた個人データÐ・Eなどの合成されたCCCの個人データとの突合ということになります。委託のスキームをとらない本来の場合であれば、A社はD社、E社などから本人同意に基づく第三者提供を受けた上で個人データの突合が許されるわけですが、委託というスキームは、この第三者提供における本人同意の取得の省略を許すものではありません。(田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁)

そもそも個人情報保護法における個人データの「委託」とは、契約の種類・形態を問わず、委託元の個人情報取扱事業者が自らの個人データの取扱の業務を委託先に行わせることであるから、委託元が自らやろうと思えばできるはずのことを委託先に依頼することです。したがって、委託元は自らが持っている個人データを委託先に渡すなどのことはできても、委託先が委託の前にすでに保有していた個人データや、委託先が他の委託元から受け取った個人データと本人ごとに突合させることはできないのです。そしてこれは、突合の結果、作成されるのが匿名加工情報等であっても同様であるとされています。(田中・北山・前掲『ビジネス法務』2020年8月号30頁)

この点は、個人情報保護委員会の個人情報保護法ガイドラインQ&A5-26-2の事例(2)にも明示されています。また、個人データを本人ごとに突合して作成するデータが匿名加工情報などであっても、これは同様であると同QA11-13-2に明記されています。

個人情報QA5
(個人情報保護委員会サイトより)

したがって、CCCの明確化した新しい個人情報の取扱である、T会員規約4条6項の「飲料メーカーA社の事例(統計データ)」については、個人情報保護法23条1項、個人情報保護法ガイドラインQ&A5-26-2・11-13-2に違反しており、許されないものであると思われます。また、このような個人データの取扱は、法16条の定める目的外利用の禁止に抵触するおそれもあります(岡村久道『個人情報保護法 第3版』262頁)。

4.旅行代理店Bの事例(個人データ)
つぎに、二つ目のT会員規約4条6項の「旅行代理店Bの事例(個人データ)」は、旅行代理店Bから受け取った個人データBをCCCの個人データと本人同士で突合し、加工した結果の「個人データ」を「CCC」が自社のマーケティングや販売促進等に利用するようです。

旅行代理店B社
(CCCサイトより)

つまり、こちらも、上の飲料メーカーAの事例と同様に、突合してはいけない個人データBとCCCの個人データを本人同士で突合していますし、作成するのは統計データや匿名加工データ等ではなく、個人データのようであり、さらに当該個人データを販売促進などに利用するのはCCCのようです。

すなわち、個人データの委託というより、CCCの主導による他社の個人データの突合による個人データの利用のようです。したがって、これはそもそも個人情報保護法23条5項1号の委託のスキームを踏み越えているので、CCCは、原則に戻って、B社から本人同意に基づく第三者提供(法23条1項)によって個人データBを受け取っていない限り、この取り扱いは許されないことになると思われます。

5.まとめ
最近の世の中は、ビッグデータやAI、DX、官民のデジタル化という用語をニュースなどで聞かない日はないような状況ですが、CCCはデジタル化に少し浮かれ過ぎているのではないかと心配になります。

2019年の就活生の内定辞退予測データに関するリクナビ事件においては、リクナビだけでなくトヨタ等の採用企業側に対しても、個人情報保護委員会と厚労省から、「社内において個人情報保護法などの法令を十分に検討していない」として安全管理措置違反(法20条)があったとして行政処分・行政指導が出されたことを、個人情報取扱事業者の大手のCCCは失念しているのではないでしょうか(個人情報保護委員会・令和元年12月4日付「個人情報の保護に関する法律に基づく行政上の対応について」)。

CCCによるとTポイントの会員は約6900万人、提携企業数は188社、店舗数は1,052,092店舗(2019年3月現在)であるとのことであり、CCCの個人情報のデータベースには日本国民の50%を超える人間の個人データが集積されていることになります。そのような莫大な個人データを預かる企業市民としてのCCCの社会的責任、法的責任は重大であると思われます。

■関連するブログ記事
・CCCがT会員6千万人の購買履歴等を利用してDDDを行うことを個人情報保護法的に考える
・Tポイントのツタヤ(CCC)がプライバシーマークを返上/個人情報保護法の安全管理措置
・海老名市立中央“ツタヤ”図書館に行ってみた/#公設ツタヤ問題
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える

■参考文献
・田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁
・岡村久道『個人情報保護法 第3版』262頁














このエントリーをはてなブックマークに追加 mixiチェック

250px-DN_Tower_2018
2020年12月22日のメディア各社の報道によると、営業職員の顧客の金銭の詐欺・横領などに関連し、第一生命保険の稲垣精二社長は謝罪の記者会見を行ったそうです。報道や同社サイト上で公表された報告書によると、新たに3件の営業職員による不祥事とともに、本社の保険事務部門(契約サービス部)の不祥事も1件発覚したとのことです。

・「元社員による金銭の不正取得」事案に関するご報告 (PDF)|第一生命保険

Ep01VNKUwAAzSUX
(第一生命保険サイトより)

報告書によると、山口県の特別調査役については、高い営業成績をもつ特別調査役が社内で”女帝”扱いされ、本来、指揮監督する立場にあったはずの西日本マーケット統括部が監督を行っていなかったなどの、組織的な、ガバナンス上の問題が多かったように感じられます。

多くの保険会社は、社内に法務部門・コンプライアンス部門があり、また業務監査部や検査部門が社内の不正のチェックを多重的に行っています。そのような法務・コンプラ部門や監査・検査部門も有効に機能していなかったのでしょうか。コンプライアンスだけでなくガバナンスが機能不全であったということは、取締役ら経営幹部の法的責任が厳しく問われる問題であると思われます。

たしか第一生命は、生保業界では最初に法務部門を設置した会社であり、法務・コンプライアンスを重視しようという社風があったような気がするのですが、それも株式会社化などの時代の流れとともに変容してしまったのでしょうか。

ところで、この報告書をみると、営業部門だけでなく本社の保険事務部門(契約サービス部)でも不祥事があったようで、これも深刻な問題です。年金保険の取扱について、契約サービス部の社員が不正を行って数千万円の金銭を横領したとのことですが、事務手続き上も、情報システム上も、そのような不正が簡単にできたとは考えにくく、大いに気になるところです。

報道などによると、数年前より、第一生命は保険契約の保全に関する業務の大半を情報システム会社(NTTデータ)に外部委託していたそうです。この外部委託により何らかの不正のつけいる隙が生まれていたのだとしたら、由々しきことです。保険の引受業務や資産運用業務、保険金の支払い業務と並んで、保険契約の保全業務も、保険会社のコア業務なのですから。

稲垣社長は代替わりしたばかりですが、今回の一連の不祥事の再発防止策の実施が一区切りしたら、引責辞任は待ったなしの状況と思われます。今回の不祥事を受け、企業ブランドは大きく傷つき、この一年、大手生保の中で第一生命だけ営業成績が大きく低迷している状況です。金融庁だけでなく、"物言う株主"を含め多くの株主が黙っていないものと思われます。

なお、生命保険業界にとっては、この1年は第一生命やかんぽ生命の不祥事が大きく報道される一年だったように思われます。しかし、顧客の金銭の詐欺・横領でここ数年、毎年のように不祥事を起こしているソニー生命保険については、マスコミがほとんど報道を行わなかったのは不思議なことに思われます。

・当社の社員や代理店・グループ企業等を名乗る者が金員を詐取する事案にご注意ください。|ソニー生命

■関連するブログ記事
・第一生命保険が保険契約の保全業務をNTTデータに外注したことを保険業法から考える
・ソニー生命の個人年金保険契約を装う詐欺事件に対して金融庁が立入検査
・かんぽ生命・日本郵便の不正な乗換契約・「乗換潜脱」を保険業法的に考える









このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ