なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:NTTデータ

LDIトップページ

本日(2022年9月20日)の内閣府などのプレスリリースなどによると、次世代医療基盤法の認定事業者ライフデータイニシアティブがデータを委託しているNTTデータが、約9万5千件の医療データを本人への通知なく収集していたとのことです。内閣府などのプレスリリースによると、原因はNTTデータのプログラムの不備であるそうです(次世代医療基盤法では患者本人への第三者提供等の「通知」が必要なところ、その通知が行われていない患者の医療データをNTTデータが誤って収集していた)。言うまでも無く医療データは要配慮個人情報であり、これは重大なインシデントであると思われます。
・次世代医療基盤法の認定事業者による医療情報の不適切取得事案について(PDF)|内閣府

内閣府リリース
(内閣府のプレスリリースより)

ライフデータイニシアティブおよびNTTデータのサイトのプレスリリース
・次世代医療基盤法に基づく認定事業における不適切な情報の取得に関して(PDF)|ライフデータイニシアチブ・NTTデータ

LDIプレスリリース
(LDIプレスリリースより)

NTTデータのプレスリリース
・次世代医療基盤法に基づく認定事業における不適切な情報の取得に関して|NTTデータ

なお、9月15日の個人情報保護委員会の会議はこの次世代医療基盤法の事故の件だったようです。
・第216回 個人情報保護委員会|個人情報保護委員会
PPCリリース
(個人情報委員会のプレスリリースより)

次世代医療基盤法とは、国民個人のカルテや処方箋、各種検査結果などのセンシティブな個人情報である医療データを国が認定した事業者(LDI)が一元的に収集し、当該医療データをIT企業や製薬企業などに第三者提供し、AI分析などで研究開発等を行わせて、日本の経済発展の起爆剤にしようという内容の法律です。

次世代医療基盤法
(内閣府サイトより)

次世代医療基盤法は、センシティブ情報である患者の医療データの収集や第三者提供を行うものなのに、通知を受けた患者本人からの「拒否」(法31条1項)がない限りは患者本人の医療データは第三者提供等がなされているなど、さまざまな問題をはらんでいます(水町雅子『Q&Aでわかる医療ビッグデータの法律と実務』6頁)。

今回の個人情報の事故は、その通知の取扱いすら不備があったという点で重大な個人情報のインシデントであると思われます。

■追記(2022年11月2日)
本日(2022年11月2日)、本事件に関連し、個人情報保護委員会はライフデータイニシアチブ、NTTデータおよび9つの医療機関に対して個人情報保護法に基づく行政指導を行ったとのことです。

・医療分野の研究開発に資するための匿名加工医療情報に関する法律の医療情報取扱事業者等である個人情報取扱事業者に対する個人情報の保護に関する法律に基づく行政上の対応について(令和4年11月2日)|個人情報保護委員会

■関連する記事
・保険証の廃止によるマイナンバーカードの事実上の強制を考えたーマイナンバー法16条の2(追記あり)
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?



[広告]








このエントリーをはてなブックマークに追加 mixiチェック

computer_lock
1.はじめに
1月28日深夜頃よりツイッター上などにおいて、三井住友銀行(SMBC)、NTTデータ、NEC、警察当局などの情報システムのソースコードの一部が、ソフト開発のプラットフォームであるGitHub上で公開されていたことが発覚して大きく注目されています。

ソースコードの一部をGitHub上で公開した人物は、ツイッター上でのやり取りをみると、SMBCなどの勘定系システムの一部の作成を行ったプログラマのようであり、「転職系サイトに年収査定を試算してもらうために自分がPCに持っていたソースコードをGitHub上で公開した」とのことのようです。

さぶれ氏ツイート
(プログラマのツイートより)

ところでこのプログラマはのんびりした性格の方のようで、ツイッター上でも、”GitHub上にソースコードをアップしたが、デフォルトで公開の設定となっていることは知らなかった。自分は別に商業利用に転用していないので著作権法上は問題ないと思っている。もしSMBCから言われたら対応を考える。”等とかなりのんびりとした認識のようです。

2.ソースコード作成者のプログラマの問題
(1)プログラムの著作物
著作権法10条1項は著作物を例示していますが、その中の9号は、「プログラムの著作物」をあげています。また、定義規定である同法2条の10の2号は、プログラムについて「電子計算機を機能させて一の結果を得ることができるようにこれに対する指令を組み合わせたものとして表現したものをいう。」と規定しており、この、「電子計算機を機能させて一の結果を得ることができるようにこれに対する指令を組み合わせたもの」にソースコードは該当します。したがって、極端に短いものなど創作性がないとされる以外のソースコードは、著作権法上保護の対象となる著作物であることは間違いありません。

(2)著作権者は誰か?
つぎに、このプログラマがこのSMBCの勘定系システムの一部のソースコードの作成者であるとしても、一般論としては、当該ソースコードの著作権者はこの作成者であるプログラマではなく、SMBCなど(あるいはこのプログラマの所属するシステム開発会社)である可能性が高いと思われます。著作権法15条にいわゆる法人著作(職務著作)の規定があるからです。プログラムに関しては同法同条2項が問題となります。

(職務上作成する著作物の著作者)
第15条
1 (略)
2 法人等の発意に基づきその法人等の業務に従事する者が職務上作成するプログラムの著作物の著作者は、その作成の時における契約、勤務規則その他に別段の定めがない限り、その法人等とする。

銀行の勘定系システムの開発は、プログラマの思い付きではなく、「法人等の発意」に基づき作成されるのが通常であると思われますし、「職務上作成するプログラム」であると思われます。この「職務上作成する」は、勤務時間中に作成したものだけでなく、自宅等で作成したものも含まれるとされています。「契約、勤務規則その他に別段の定め」がある場合には、ソースコードの著作者はプログラム作成者となりますが、一般的には、別段の定めがない場合が通常ではないかと思われます。

なお、「法人等の業務に従事する者」とは、典型的には法人等と雇用契約にある従業員が当てはまりますが、実質的な指揮監督関係が認められる場合には、委託先、請負先の社員などもこれに含まれるとされています。

ツイッター上のやり取りをみると、このプログラマは、SMBC等の委託先のシステム会社のプログラマのようであり、したがって、一般論としては著作権法15条2項により、SMBCなどのソースコードの著作権者は、プログラマではなくSMBC等ということになりそうです。

(3)著作権のまとめ
そのため、ソースコード作成者のプログラマが、著作権者であるSMBC等の許諾なく、ソースコードを転職系サイトに年収査定の試算をしてもらうためにGitHub上で公開することは、やはり一般論としては、SMBC等の著作権を侵害しているということになりそうです。そのため、SMBC等としては、許諾なくソースコードを公表したプログラマとその所属するシステム会社に対して、損害賠償請求(民法709条、715条)、不当利得返還請求権(民法703条)、差止請求権(著作権法112条、116条)、名誉回復措置請求(著作権法115条)を主張することになります。また、著作権侵害に対しては刑事罰も用意されています(著作権法119条以下)。

(4)営業秘密など
なお、システム開発の委託元と、委託先のシステム開発会社との間においては、通常は、システム開発の業務委託契約書等が締結され、そのなかに秘密保持条項が盛り込まれています。就業規則や雇用契約書等にも秘密保持条項が規定されているのが通常です。

この点、不正競争防止法は、①秘密管理性、②有用性、③非公知性、の3要件を満たすものを営業秘密としており、営業秘密の社外への持出しや開示は同法違反となる可能性があります(不正競争防止法2条1項4号以下)。

この場合、営業秘密を開示等された法人等は、損害賠償請求(4条)、差止請求(3号)などを主張することができます。また、不正競争防止法違反には刑事罰の規定も用意されています(21条以下)。2014年に発覚したベネッセ個人情報漏洩事件においては、個人情報を持ち出したSEがこの営業秘密の開示等の罪に問われ、裁判所はこれを認める判断を示しています(東京高裁平成29年3月21日判決)。

2.三井住友銀行等の問題
今回の事件では、SMBC、NTTデータ、NEC、警察当局などの情報システムのソースコードの一部が公開されたようですが、とくに大手金融機関のSMBCの基幹システムの一部のソースコードが漏洩したことが気になります。

個人情報保護法20条は、事業者に対して「データの漏えい、滅失又はき損の防止その他の(略)安全管理のために必要かつ適切な措置」(安全管理措置)を講じることを規定し、事業者に従業員等を監督し(同21条)、業務委託をする場合はその委託先への管理・監督を行うこと(同22条)も安全管理措置の一環として要求しています。

これを受けて、金融庁および個人情報保護委員会は、「金融分野における個人情報保護に関するガイドライン」および「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」を策定しています。

このガイドラインおよび実務指針においては、社内規定の整備・社内の監督体制の整備などの組織的安全管理措置、従業員等への教育などの人的安全管理措置、データのアクセス権限の管理・設定や漏洩防止策の実施などの技術的安全管理措置などを金融機関が実施することが求められています。

SMBCはメガバンクですので、一般論としては、システム開発の職員が開発ための社屋や部屋に入る入退室は社員証などでアクセス管理をされていたはずであり、また、自分のPCやスマホなども容易に持ち込み・持ち出しなどができないようになっていたであろうと思われ、そのような技術的安全管理措置がどう突破されてしまったのか疑問が残ります。

ベネッセ個人情報漏洩事件は、委託先のSEが刑事責任を問われただけでなく、ベネッセも安全管理措置に疎漏があったとして、ベネッセ側の民事上の損害賠償責任を認める最高裁判決が出されています(最高裁平成29年9月29日判決)。また、ベネッセに対しては株主代表訴訟も提起されています。

このように、ベネッセ事件に照らしても、情報システムに関する個人情報あるいは営業秘密の流出・漏えいは、企業のコンプライアンスと共にガバナンスの問題でもあります。SMBCはメディアの取材に対して、「セキュリティ上の問題はない」などと回答しているようですが、今回の基幹システム等のソースコードの流出事故は、メガバンク等における重大なインシデントではないかと思われます。SMBC等は、従業員や委託先などの監督に関する安全管理措置の法的義務違反の責任を厳しく問われるのではないかと思われます。

(なお、このようなGitHubやSNSなどによる転職や年収査定をうたう、Findy、LAPRASなどの最近のネット系人材紹介会社は、今回のような流出事故について、何等かの責任を負うのか否かについても、個人的には関心のあるところです。)

■関連するブログ記事
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える









このエントリーをはてなブックマークに追加 mixiチェック

250px-DN_Tower_2018
2020年12月22日のメディア各社の報道によると、営業職員の顧客の金銭の詐欺・横領などに関連し、第一生命保険の稲垣精二社長は謝罪の記者会見を行ったそうです。報道や同社サイト上で公表された報告書によると、新たに3件の営業職員による不祥事とともに、本社の保険事務部門(契約サービス部)の不祥事も1件発覚したとのことです。

・「元社員による金銭の不正取得」事案に関するご報告 (PDF)|第一生命保険

Ep01VNKUwAAzSUX
(第一生命保険サイトより)

報告書によると、山口県の特別調査役については、高い営業成績をもつ特別調査役が社内で”女帝”扱いされ、本来、指揮監督する立場にあったはずの西日本マーケット統括部が監督を行っていなかったなどの、組織的な、ガバナンス上の問題が多かったように感じられます。

多くの保険会社は、社内に法務部門・コンプライアンス部門があり、また業務監査部や検査部門が社内の不正のチェックを多重的に行っています。そのような法務・コンプラ部門や監査・検査部門も有効に機能していなかったのでしょうか。コンプライアンスだけでなくガバナンスが機能不全であったということは、取締役ら経営幹部の法的責任が厳しく問われる問題であると思われます。

たしか第一生命は、生保業界では最初に法務部門を設置した会社であり、法務・コンプライアンスを重視しようという社風があったような気がするのですが、それも株式会社化などの時代の流れとともに変容してしまったのでしょうか。

ところで、この報告書をみると、営業部門だけでなく本社の保険事務部門(契約サービス部)でも不祥事があったようで、これも深刻な問題です。年金保険の取扱について、契約サービス部の社員が不正を行って数千万円の金銭を横領したとのことですが、事務手続き上も、情報システム上も、そのような不正が簡単にできたとは考えにくく、大いに気になるところです。

報道などによると、数年前より、第一生命は保険契約の保全に関する業務の大半を情報システム会社(NTTデータ)に外部委託していたそうです。この外部委託により何らかの不正のつけいる隙が生まれていたのだとしたら、由々しきことです。保険の引受業務や資産運用業務、保険金の支払い業務と並んで、保険契約の保全業務も、保険会社のコア業務なのですから。

稲垣社長は代替わりしたばかりですが、今回の一連の不祥事の再発防止策の実施が一区切りしたら、引責辞任は待ったなしの状況と思われます。今回の不祥事を受け、企業ブランドは大きく傷つき、この一年、大手生保の中で第一生命だけ営業成績が大きく低迷している状況です。金融庁だけでなく、"物言う株主"を含め多くの株主が黙っていないものと思われます。

なお、生命保険業界にとっては、この1年は第一生命やかんぽ生命の不祥事が大きく報道される一年だったように思われます。しかし、顧客の金銭の詐欺・横領でここ数年、毎年のように不祥事を起こしているソニー生命保険については、マスコミがほとんど報道を行わなかったのは不思議なことに思われます。

・当社の社員や代理店・グループ企業等を名乗る者が金員を詐取する事案にご注意ください。|ソニー生命

■関連するブログ記事
・第一生命保険が保険契約の保全業務をNTTデータに外注したことを保険業法から考える
・ソニー生命の個人年金保険契約を装う詐欺事件に対して金融庁が立入検査
・かんぽ生命・日本郵便の不正な乗換契約・「乗換潜脱」を保険業法的に考える









このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ