個人情報を守るのは個人情報保護法だけではない：情報セキュリティEXPO

情報セキュリティEXPOのカンファレンスにおいて、岡村久道弁護士（英知法律事務所）が情報漏洩の法的責任と対策に関するセミナーを行った。

[高橋睦美，ITmedia]

　頻発する個人情報漏洩事件、来年4月に全面施行が迫った個人情報保護法……こういった動きを背景に、多くの企業では社内での対応、体制作りに取り組んでいる。過去の事件に対する反省や判例を踏まえ、企業は個人情報の保護にどのような心構えで望むべきか――東京ビッグサイトで行われた情報セキュリティEXPOのカンファレンスにおいて、岡村久道弁護士（英知法律事務所）がセミナーを行った。

プライバシー権の侵害

　企業／組織からの個人情報の漏洩を防ぐ枠組みの中では、とかく個人情報保護法が取り上げられることが多い。だが同法は、企業が情報を漏洩させてしまった際に、被害者による責任追及や損害賠償を可能にするものではないと岡村氏は言う。

　というのも個人情報保護法は、企業に個人情報の適切な取り扱いと保護を求めるとともに、行政機関（主務大臣）による監督や命令、行政処分を通じてその実効性を担保するものだからだ。つまり、この法律は企業と行政機関との間の関係を規定するものと言える。

　それでは、情報を漏洩させられてしまった本人（被害者）の救済はどう実現されるのだろう？　それは「プライバシー権」の侵害に基づく損害賠償責任という形でなされる。個人情報漏洩事件の判例としてたびたび引き合いに出される「宇治市住民基本台帳データ漏洩事件」の裁判も、プライバシー権の侵害に基づく損害賠償を求めるという形で争われた。

　つまり、企業は個人情報保護法に基づく主務大臣に対する責任と、プライバシー権に基づく本人への責任の両方を担うことになる。

　ここで、個人情報保護法における「個人情報」が非常に広い範囲を含むのに対し、プライバシーとなると、ゴシップめいた狭い情報を指すという見方がある。しかし岡村氏は、宇治市の判例や早稲田大学江沢民事件を踏まえ、「氏名もまたプライバシーである」と述べた。

　「氏名、住所、電話番号といった事柄もプライバシーの対象。つまりこれらを漏洩させたならばプライバシーの侵害に当たる」（同氏）。

改正不正競争防止法による保護を受ける条件？

　昨年からはもう1つ、個人情報（機密情報）の漏洩を罰する枠組みが加わった。それが不正競争防止法の改正だ。この改正によって、営業秘密の侵害に対して刑事罰が導入されることになった。

　この改正が加えられた背景には、刑法の「とほほ」な状況があった。宇治市の事件でも指摘されたことだが、これまでは機密情報を奪われたとしても「窃盗」「業務上横領」を問える対象は、そのデータを格納した媒体（フロッピーディスクなど）のみ。データそのものの持ち出しを処罰する規定が存在しなかったため、漏洩者が有体物を持ち出さない限り責任を問うことはできなかった。

　だが今回の改正により、「法律の側も少し進んで、データだけを持ち出した場合も刑罰の対象になった」（岡村氏）。

　ただ、それにはいくつかの条件が必要だ。「処罰の対象となるのは、営業秘密を盗んだ場合のみ」（同氏）。そして、当該情報が営業秘密であると判断するには「秘密管理性」「有用性」「非公知性」という3つの条件をすべて満たすことが必要という。

　こうして並べると何が何やらという感じだが、岡村氏がこのうち秘密管理性について噛み砕いて説明した。「『社外秘』などの表示によってそれが営業秘密であることを分かるようにしておき、さらにアクセス制御を施していること。アクセス制御がなされているかどうかは、パスワードによる制限や入退室管理、社内教育による周知徹底といった対策の有無が総合的に判断される。つまり、ほぼISMS（情報セキュリティマネジメントシステム）だ」（同氏）。こうした対策が施されない限り、企業が不正競争防止法で守ってもらう（＝情報漏洩者に罰則を与える）ことはできない。

　「セキュリティのために汗をかいて対策を施した者が守られ、その努力を踏みにじる人には罰則を与えるということ」（岡村氏）。

　この努力に関連して岡村氏はさらに、前橋信金事件の判決を踏まえ、「社内規定やルールは作ればいい、というものではない。教育、啓発活動を通じて周知させていく努力が重要なのは過去の裁判からも明らかだ」とも述べている。

万一の漏洩後の対応にも目を

　万一個人情報が漏洩してしまった場合、現時点でも企業には、お詫びはもちろんのこと、プライバシー権侵害に基づく損害賠償責任を課せられることになる。特に、情報を漏洩させた人物が従業員の場合には、実質的な無過失責任である使用者責任（民法715条）を負う。来年からはさらに、個人情報保護法上のさまざまな責任が加わるわけだ。

　これをにらんで企業は今、さまざまな対策に追われている。岡村氏はその中のポイントとして、苦情処理窓口の設置を挙げた。個人情報保護法では、企業（事業者）は本人からの求めに応じて個人情報の開示や訂正、利用停止に応じなければならないと定められている。こういった対応を適切に行うためにも、専用の窓口を設けておくべきだと同氏は語った。

　同氏は最後に、万一個人情報が漏洩してしまった場合の企業の対応にも触れた。

　顧客情報が誰からも閲覧可能な状態になっているといった事態が確認された場合、まず優先すべきはそれ以上の流出防止だ。被害拡大を防ぐために、原因追求はひとまず後回しにするとしても回線の切断などの手段を講じるべきだという。

　続いて、Webページなどで事情を説明するとともに、顧客の対応に応じるための専用ホットライン／メールアドレスを用意する。「この段階で結構多いケースが、慌てて、混乱したまま不正確な情報を開示してしまうケース」（岡村氏）。いったん出した情報を再度訂正するとなると、信用はさらに失われることになる。迅速さも重要だが、正確性との兼ね合いを取っていくことが重要だとした。

　個人情報の漏洩が発生した事実の公表は、政府が今年4月に定めた基本方針の中で定められている事柄だ。その理由は、教訓を汲み取り、類似の事件を防止するとともに「二次被害を防ぐため。現に、漏洩した情報を元に架空請求メールやダイレクトメールが送られてくるといった実被害が相次いでいる」（岡村氏）。漏洩したのがクレジットカード番号ならば悪用される恐れもある。まず事実を公表し、利用者に必要な対策を講じてもらって悪用を防ぐ必要があるとした。

　岡村氏は同時に、個人情報漏洩事件が頻発していることに付け込み、架空のデータを用いたゆすり、たかり事件が頻発しているとも述べた。そして、「悪質なゆすり、たかりから自己防衛するためにも、企業は積極的に、個人情報漏洩の事実を公表するようになっている」（同氏）。

　最後に同氏は「何かが起こってから対処するのではなく、まさかの時に備えたクライシスマネジメントを今から講じておくべき」と語り、セミナーを締めくくった。