« 金融分野における個人情報保護に関するガイドライン(案)への意見一覧 | Main | 個人情報保護法 各省庁ガイドライン+パブコメ回答 »

2004.12.30

委託時に個人情報を取得することは保護法上の取得か?

 こんにちは、丸山です。データセンタや運送業が委託元から個人情報を取得する場合は個人情報保護法上の個人情報の取得に該当するのか?という論点ですが、「経済産業省のガイドライン」と「金融庁のパブリックコメントへの回答」を見てみましょう・・・

 
 データセンタ等が委託元から個人情報を受け取ることが個人情報の取得に該当するのではれば、間接的な取得となり、個人情報保護法第18条第1項に基づいて「あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない」ため、第15条に基づき特定された利用目的を通知又は公表しなければなりませんね。

 経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の15ページ(法第15条の利用目的の特定についての解説)、【利用目的を特定している事例】の事例3)では、委託事業の場合の利用目的の特定の具体例が記載されています。ただし、法第18条の取得時における利用目的の通知又は公表の解説においては、受託者が個人情報等を受け取るときに利用目的(委託を行う等)を通知又は公表することについては触れられていません。

 金融庁のパブリックコメントへの回答では、P23の番号87の回答の部分で、「法律第23条第4項第1号の「委託」として個人情報を取得した場合には、個人情報の「取得」に該当しないものと解されるため、・・・」という明記されていますね。

 2つの話を素直に足すと・・・データセンタなど個人情報の取り扱いを受託する事業者は、「個人情報を取り扱うに当って利用目的を特定しなければならないけど、特定した利用目的を本人に通知又は公表する必要はない。」 ということになりそうですね・・・・


=============
このブログの中の意見は私見であり、所属する組織の意見ではないことをご了承ください。
=============
 
 
 

|

« 金融分野における個人情報保護に関するガイドライン(案)への意見一覧 | Main | 個人情報保護法 各省庁ガイドライン+パブコメ回答 »

Comments

丸山 様

こんにちは。

ガイドラインの中には,法というものをぜんぜん知らない人が起案したのに違いないと思われる部分や,個人情報保護法だけが法律であると錯覚しているのではないかと疑われるような人が起案したのではないかと想像したくなるものがあります。苦笑いの毎日です。

ここで話題となっている委託の問題もその一つですね。

もし,受託者が個人情報を取得したことにならないのであれば,何も取得していないはずの受託者に対する委託者の監督などあり得ないことになります(「無」に対していったいなにを監督すべきなのでしょうか?)。
しかし,個人情報保護法は,受託の場合には,委託者が受託者を監督することになっています。
つまり,受託者は,個人情報を取得していると考えるしかないわけです。

それとも,委託があったときは,受託者の法人格が否認されるとでも考えているのでしょうか?
それは,明らかに成り立たない考え方ですね。
受託者も独立した法人格主です。だからこそ,委託者からの監督が可能になります。
この委託者による監督が契約(合意)ベースでなされるべきことは当然のことです。その意味で,一方的に命令したり指示したりできるようなイメージで「監督」を理解するのは,明らかに誤りです。これは,法律学の初歩ですね。

他方,委託の場合でも,受託者が,本人からの開示の求め,訂正の求め,利用停止の求めを受け得る法的地位にあることは明らかです。
このような求めができるのは,受託者が個人情報を取得しているからにほかならないわけです。
もし,そうでないとするのであれば,本人は,委託者だけに開示の求めなどをすることができるということになりますが,委託の時点でデータに誤りがあり,誤ったデータに基づく受託業務が実施されている場合などに本人の保護がまったくなされないことになったり,主務大臣が受託者に対する監督権限を行使できなくなってしまったりするのは非常におかしい。

さらに,委託契約が何らかの理由で無効であったり,後に解除されたりした場合には,受託者は,何らの法的根拠(契約,契約に基づく委託など)もなく個人情報を取得したことになります。そうなると,受託者は,無権限で個人情報を取得したことになるので,「適正」でない個人情報の取得をしたことになり,理論的には,常に行政監督に服すべき状態になると解するべきでしょう。委託者が何らかの理由で消滅してしまった場合にも同じ問題が発生しますね。このような事態を避けるためには,(用心深い受託者であれば)本人に対して必ず通知をするというのがベターなプラクティスですね。

以上の例は,極端な例だと思われるかもしれませんが,昨今の経済事情を見ていると,とても例外的な事象であるとは思えません。ガイドラインの起案者は,そうしたカタストロフに近い状況も想定してガイドラインを起案すべきで,ノーマルな状況だけを想定して一般論を構築するのは,非常にあぶないことだと思います。

したがって,この点に関して,受託者は個人情報を何も「取得」していないとするガイドラインの説明は,明らかに間違っていまず。これに関連する部分は,即刻修正が必要だろうと思います。
なお,ほかにもたくさんの誤りが含まれています。そのような誤りには,通常の能力を具備した法律家であれば失笑を禁じえないようなものが少なくないです(皆さんお上品なので指摘しないだけです。)。

というわけで,ガイドラインのほうも拙速に次ぐ拙速でぼろぼろの状態なので,やはり,個人情報保護法の完全施行を無期延期すべきなんでしょう。

政府と国会は,勇気をもって決断すべきです。

Posted by: 夏井高人 | 2004.12.30 at 19:00

夏井先生、コメントとありがとうございます。なるほど、夏井先生のご意見も一理ありますね。また一つ勉強になりました。

Posted by: 丸山満彦 | 2004.12.30 at 21:09

丸山 様

こんばんは。

追加的なコメントです。

幾つかのガイドライン中に散見されるのですが,委託者の受託者に対する監督が,あたかも行政庁(または主務大臣)の事業者に対する監督と同じように命令的または強制的になし得ると錯覚して書かれているものがあります(例:「受託者に対して指示する」というような表現。これは,指示することのできる優位的な法的地位の存在を前提にしなければ,あり得ないことです。)。

たしかに,主務大臣は,管轄する事業者に対し,法律の規定(のみ)に基づき(いわゆる「法律による行政の原理」),命令的または強制的に監督権限を行使することができます。
しかし,委託者である事業者は,受託者である事業者と同様に,民法及び商法上,どちらも全く対等な法人格主体です。そして,全く対等な法人格主体の間で一定の法律関係を形成するための唯一の根拠は,(強行法が存在するような場合を除き)当事者間の合意(契約)だけです(いわゆる「私的自治の原則」)。
したがって,委託者から受託者に対する個人情報保護上の監督もまた,「命令的」または「強制的」であってはならず,常に契約(合意)ベースで形成・実施されなければなりません。このことは,受託者がどんなに零細な事業者であっても同じです。
もしこの点の理解を誤って,「命令的」または「強制的」に委託に伴う監督が実施されると,事案によっては,独占禁止法違反行為を構成してしまうことがあるだろうと考えています。

ですから,ガイドラインの記述においても,上記のような私的自治の原則が適用される領域で用いられるガイドラインだということを十分に自覚し,国または国の機関が独占禁止法違反の状態その他の違法状態の発生を推進・奨励・促進または強制するような結果となることだけは絶対に避けてほしいと思っています。

単なる言葉足らずに原因するだけのことも多いかもしれませんが,各ガイドラインの起案担当者は,いま問題になっているのは民間部門における個人情報保護法の実装の文脈にある問題なのであって,行政機関個人情報保護法の文脈の中にあるのではない,ということに十分に留意すべきだと思います。

Posted by: 夏井高人 | 2004.12.30 at 21:35

夏井先生、コメントありがとうございます。委託先の監督については2つの問題があると認識しています。

 1つは、夏井先生のご指摘の通り、優越的地位の濫用又はそれに近い問題です。委託元があらかじめ用意した契約書雛形(安全管理の部分を含む)の変更を一切許さずに契約をさせようとしたり、プライバシーマークや、ISMSの認証をとっていることを契約の前提としたりする企業が実際にあると聞いています。また、追加の安全管理措置の実施を要請しておいて、委託費用の増額を一切認めないという状況も起こっているようです。ひどい場合は、独占禁止法違反ということも可能性としては考えられますね。また、委託先が事故を起こした場合、一方的に委託先に安全管理措置の実施を指示しても、その実施の確認を行わかった場合、委託元は委託先の監督を果たしてないことになるでしょうね(経済産業分野ガイドライン35ページ参考)。

 委託にかかわる2つ目の問題は、「監督できません!」問題です。例えば、京都の大原の伝統的漬物屋がインターネットで漬物の通販を始めたとします。この場合、インターネットサービスプロバイダー(ISP)が委託先に、そのISPが契約しているデータセンタ(DC)が再委託先になるわけですが、京都大原の伝統的漬物屋は、NTT、ケーブル&ワイヤーといった大企業をガイドラインにしたがって監督しないといけないという構図になりますね。このような場合、大企業は自らが適切な監督を果たしていることを受託者に報告してあげるとよいですね。

 なお昨今、企業の社会的責任、いわゆる「CSR」が大企業、コンサルティング会社、セミナー主催会社を中心に声高に叫ばれています。主だった企業は何かしらCSRの活動を行っていますね。そういう意味では、大企業であることをバックにした「零細企業いじめ」は明らかにCSRとして×ですから、夏井先生の心配は杞憂かもしれませんね。

Posted by: 丸山満彦 | 2004.12.31 at 10:11

丸山 様

夏井です。

CSRに関する最近の動きはおかしいです。

もともと適法行為しか許されないので,法律遵守を叫ぶことそれ自体が異常なんです。

とは言っても,昨今の新聞報道を見ていると,嘆かわしいことが多いですね。たぶん,昔も今も(どちらかというと)経営トップのからんだ不祥事が多いのではないかと思います。トップが腐っている場合,情報セキュリティ部門や法務部門の担当者がいくら法令順守を叫んでも,むなしいです。
しかも,そういうあくどい経営者に限って,政府の審議会の委員などを歴任していることが少なくなく,もうどうにもならないです。
おそらく,彼らには,「恥」という感覚がないのではないかと思われます。もしかすると,DNAがそうなっているのかもしれない。彼らは,「恥」というものを感じないからこそ,どんな手を使ってでも他の競争者を蹴落とし,業界トップになれるのかもしれません。
いずれにしても,そういう人がトップにいる会社に法律遵守を求めるのは最初から無理です。

という感じなんですが,CSRとか格好良い流行語で説明するのではなく,昔も今も,適法な会社,適法な業務しか許されない,という当然のことを淡々と説いたほうがよいのではないかと思われます。

なんだか詐欺的な「CSRコンサルタント」みたいなものが雨後の竹の子のように出てきているようで,いやになってしまいます。

各企業の顧問弁護士や顧問公認会計士が,ごく普通にその顧問業務を遂行していれば,その会社は,普通に適法な業務遂行を実現できますよね。

昔からそうだし,これからもそうだけど,企業経営にとっては「適法な経営」しか許されません。これは,経営倫理の基本というよりも常識ですよね。

Posted by: 夏井高人 | 2004.12.31 at 10:25

丸山 様

追加的なコメントです。

企業の「社会的責任」については,「最近,注目されている」というようなキャッチで某新聞社や関連出版社などが盛んに盛り立てていますね。

しかし,まじめに法学部や経営学部で勉強した人であれば,企業の「社会的責任」については,すでに何十年も前から欧米を中心に議論されていたことを十分に知っているはずですし,心ある人は,これまでも何十年も実践してきているはずです。
それをあたかも新しいコンセプトであるかのように表示して商売をするのは,完全に詐欺的な行為だと思います。

ちなみに,私は,技術開発における法令順守と社会的責任というものに着眼し,過去10年来主張し続けてきました。
日本では,「いけいけ,どんどん」という(悪い意味での)ノリで,何でもかんでも技術開発し,商品化することが事実上黙認されており,しかも,場合によっては賞賛されたりしています。
しかし,技術者は,実験室の中では何をやってもよいかもしれないけれども,自分が開発した技術を社会という文脈の中に置く時点では,適法でなければならないし,社会的責任を果たせるものでなければならないはずです。
これは,世界共通の専門家としての倫理基準のひとつであることは周知のところですね。
しかし,日本では,そういうことを口にすると,ひどく嫌悪されたり非難されたりします。

ちなみに,「適法な」ということの内容としては,消費者の財産や健康や生活に危害を与えない,消費者のプライバシーを侵害しない,消費者の個人情報をむやみやたらに収集しない,環境を汚染しないなどの事項も当然のこととして含まれています。これらは,すべて法に根拠のあることであり,これらの事項を遵守することが適法な技術開発であることになります。

しかし,なかなか理解してもらないですね。技術者の多くが法学部出身者ではないので無理はないのですが,少なくとも企業の法務部は「駄目出し」をすべきだろうと思います。でも,そういうところはあまり多くないようです。

というわけで,困惑し続けた過去10年間でした。

Posted by: 夏井高人 | 2004.12.31 at 10:39

夏井先生、こんにちは。本当は、別のテーマを立てて話を続けていたったほうがよいのかもしれませんが、このままつづけます。

 米国企業改革法(サーベンス・オックスリー法、SOX)で注目を浴びているCOSO(内部統制の統合的枠組)ですが、COSOが、もともとロッキード事件の不正に端を発していることを知っている人はあまりいないかもしれません。COSOは内部統制の統合的枠組みについて示したものですが、従来の内部統制概念とのもっとも大きな違いは、経営者の誠実性の重要性を全面的に表に出してきたことです。どのような、内部統制を構築しても、経営者が誠実でなく、内部統制を無視するようなことをすれば、おしまいだからです。
 企業の不正は、経営者が起こすものです。これは、自ら起こすだけでなく、起こっているけど見ない振りをする、気づかないようにするということも含みます。
 「CSR」これはキャッチーですが、従来どおりの当たり前の話で新鮮味は名前だけです。今頃それをやっているのであれば、今までは何だったのか?という話でもあるわけです。これも、ISOという規格化の話があるわけで、俄然、日本では盛り上がってきそうです。ISO認証というのは、非常にまずい部分があって、とにかく形だけで終わってしまう企業が多いのです。そもそもISO認証というのが形だから仕方が無いのです。本当はやりたくないのだけれども、周りがやっているからやらざる得ない。コンサルタントも、「同業他社のみなさんやっていますよ。お宅も乗り遅れますよ・・・。」いつもの手です。本当にCSRに取り組む側もCSRのコンサルをする側も誠実ではない。猿芝居以下です。
 企業が法律を遵守しなければならないのは、当たり前です。そもそも企業というのは、法律によって人としての権利義務の主体となることを許されている存在なわけですから、法律を守らない企業というのは、法人格を剥奪しても良いくらいと私は思っています。CSRを法律を守る以上のものと位置づけている人もいます。もちろんそれでもよいのですが、目の前の法律違反を放置して(例えば、労働法違反とか・・・)、環境にやさしい経営をしていますよ・・・といわれてもね・・・。CSRを企業イメージにつなげる発想が既に誠実でないですね。人間として、企業の経営者として、自らが信じる信念をきちんと株主、従業員、社会、行政といった利害関係者に説明する。説明したことを守る。それだけです。 信念がまちがってたら・・・。その企業は無くなるだけです。
 

Posted by: 丸山満彦 | 2004.12.31 at 13:57

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/2417016

Listed below are links to weblogs that reference 委託時に個人情報を取得することは保護法上の取得か?:

« 金融分野における個人情報保護に関するガイドライン(案)への意見一覧 | Main | 個人情報保護法 各省庁ガイドライン+パブコメ回答 »