« 開示請求の手数料 | Main | 経験しなければ本当のことはわからないけど »

2005.03.17

公認会計士協会 会計監査で個人情報を監査人に提供するのは委託

 こんにちは、丸山満彦です。会計監査において個人情報が被監査会社から監査人に提供される場合の解釈が公認会計士協会から公表されています。被監査会社が監査人に個人情報を提供することは委託と解し、第三者提供に該当せず、事前の同意はいらないと判断しています。

 
■公認会計士協会(2005.03.17)
・「個人情報保護法下の監査業務の実施に当たって」の公表について
・リサーチ・センター審理情報〔№22〕について
●リサーチ・センター審理情報〔№22〕PDF

 資料によれば、


(1) 監査業務において被監査会社が監査人に対して当該被監査会社の顧客等の個人データを提供すること」は、個人情報保護法においては第23条第4項第1号の「委託」に該当することとされていることから、当該個人データの提供を受ける者である当該監査人は同条の第三者には該当せず、あらかじめ顧客等の同意を得る必要はないと考えられる。

 と、説明?しています。

また、監査法人に委託される被監査会社の個人情報の例示として以下のものが掲載されています。


<一般の事業会社> (1) 株主名簿 (2) 従業員関係(給与、賞与、退職金、社会保険料、人事データ等)の個人情報 (3) 役員関係(報酬、賞与、退職金、社会保険料、人事データ、個人会社データ等) の個人情報 (4) 個人に対する債権・債務に関する個人情報 (5) 発行者が個人である領収書、請求書等の証憑書類に基づく個人情報 (6) 社債権者に関する個人情報 (7) ストックオプションの保有状況に関する個人情報

<特定の事業会社等>
(1) 銀行における個人に対する預金残高、貸出残高、担保等に関する個人情報
(2) 証券会社における預り資産に関する個人情報
(3) 通販業者の顧客名簿
(4) 学校法人における生徒名簿


このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

|

« 開示請求の手数料 | Main | 経験しなければ本当のことはわからないけど »

Comments

丸山 様

おはようございます。

典型的な事例では委託なんでしょうね。

しかし,業務それ自体の法的性質,態様などから個別に判断しないと駄目ですね。一律に委託になるという解釈は誤りだと思われます。

例えば,X社の会計監査をするためにA監査法人がX社と監査に関する契約を締結しているという事例において,たまたまA監査法人が提携関係にあるB監査法人と共同で監査することになったと仮定します。この場合のAとBとの関係は,契約内容の解釈によって決定されるべきものであるので,X社の会計監査業務に伴ってAからBに提供される個人情報が「委託」になるのか「第三者提供」になるのかも,その契約内容の解釈いかんによって異なることになります。
そして,Bが監査法人ではなく個人会計士である場合でもこの理屈に全く異なるところがありません。

つまり,本当に大事なことは,ガイドラインに安易に依拠して「委託」だと即断することではなく,そもそもどのような契約関係が存在しているのかという事実関係をしっかり把握し,正しい事実認識に基づいて法的解析を加えることなんだと思います。

正しい事実認識を前提にしない限り,どのような法解釈論も無意味です。


Posted by: 夏井高人 | 2005.03.18 at 05:59

夏井先生、コメントありがとうございます。

>正しい事実認識を前提にしない限り,どのような法解釈論も無意味です。
 
当たり前すぎる話ですが、ついつい安きに流れてしまうのが人間の常で、思考停止をしてしまう。

よく見て、よく聞いて、良く考える。子供の躾と同じような話ですね。

Posted by: 丸山満彦 | 2005.03.18 at 15:48

 「委託」か「第三者提供」かは、契約の性質の如何によることなく、「個人データ」を預けているのか、あげてしまったのか、その事実関係を基礎に法的に評価するということでいいように思います。
 業務自体は委託契約(請負)であっても、個人データに関してはあげてしまっているということもありますね。この場合は、個人データの授受の実態にフォーカスして評価することでいいのかなぁと思います。
 委託として、委託先の監督が適法に行われているのかを取り締まるのか、
 実態は第三者提供であるとして、あらかじめ本人の同意を得たか否かを問題とするのか。

 実際は契約内容も確認するのかもしれませんが、あくまでも個人データの取扱いに関しての事実関係が基礎になるのではないかと思います。

 「個人データ」は、法律行為によってのみ移動するとは限らないのではないかという気もしますが、どうでしょうか。

Posted by: 鈴木正朝 | 2005.03.19 at 01:15

鈴木 様

おはようございます。

> 「委託」か「第三者提供」かは、契約の性質の如何によることなく、「個人データ」を預けているのか、あげてしまったのか、その事実関係を基礎に法的に評価するということでいいように思います。

ちょっと誤解があるようなので補足します。

一般に,「委託」と「第三者提供」は,いずれも法律行為です。

双方行為としての法律行為である「委託」は何らかの契約(通常は,委任契約の一種としての業務委託契約)であることは民法の解釈上当然のことですので論証を要しません。
他方,「第三者提供」ですが,通常は「法律行為」であり,かつ,双方行為ですので「契約」に基づく行為になるでしょう。一般的には,何らかの業務提携契約や個人データの売買契約などに基づくものとして第三者提供がなされるものと想定されますが,移転者側が一方的に差し上げる場合には「贈与契約」に該当することになると思われます。

次に,何らの法的根拠にも基づかないで個人データの移転がなされた場合,それは単なる「暴力」なので移転を受ける側としては「適正な取得」にはなりませんね。適正な取得にならない以上,委託や第三者提供を論ずるまでもなく違法です。

他方,何らの契約にも基づかないで個人データを移転する場合,移転する側としては,個人データまたはその複製物の単なる放棄(誰か拾ってくださって結構という趣旨で放置する行為)ということになりますね。
でも,そのような行為は,個人データの「安全管理措置」義務違反として違法であるだけではなく,事案により(個人データの売買,贈与などが利用目的として明示されていない場合),「目的外利用」としても違法になるでしょう。

つまり,個人情報保護法上,個人データの「事実上の移転」は認められないということになります。

そして,民間事業者に対して適用される個人情報保護法である以上,個人データの移転を適法化するための法的根拠としては,通常は「契約」を考えることができます(法律上の義務として移転する場合などの例外はあり得ます。)。

したがって,この問題は,「委託」の場合でも「第三者提供」の場合でも,その判定基準は,契約の解釈の問題になります。
なお,「どのような契約が存在するのか」という問題それ自体は,証拠による事実認定の問題になります。

ちなみに,問題となる契約条項が想定する事態とナマの事実との間に齟齬がある場合には,その事実上の移転行為は,契約に基づかない移転行為としてやはり違法になります。

Posted by: 夏井高人 | 2005.03.19 at 04:55

 公認会計士協会の今回の発表には関わっていないので、なんともいえないのですが・・・

① 委託元が給与計算・支払のために本人から取得した個人情報を給与支払金額の計算を行うために委託先に個人データの取扱いを委託する

② 委託元が給与計算・支払のために本人から取得した個人情報を会計監査を行うために委託先に個人データの取扱いを委託する

①は、委託元の利用目的達成のためにその取扱いを委託先に委託しているのに対し、

②は、委託元の利用目的ではない目的のためにその取扱いを委託先に委託しているように見えるので、

 委託元(上場企業など監査を受ける企業)は、個人情報を取得する際に利用目的として、「監査法人が会計監査で利用する」旨を

(1)書面で本人から直接取得する場合は、明示し、
(2)それ以外の場合は、あらかじめ公表等
をしないといけないのでしょうかね・・・。

Posted by: 丸山満彦 | 2005.03.19 at 17:35

丸山 様

夏井です。

問題の解決のポイントは,「委託」の法律構成をきちんと理解すること,そして,「利用目的」の法律構成をきちんと理解することだと思います。

まず,一般に,「委託契約」なるものは存在せず,何らかの契約の法的効果または契約内容として「業務の委託」が含まれる場合,法的にはそれが「委託」になります。通常は,その契約とは「委任契約」または「準委任契約」になると思います。
これは,「委託」であることの識別基準です。

ところで,会計監査等の目的で個人データを会計士や税理士に移転する場合,その移転行為は,会計監査業務を内容とする委任契約または準委任契約に基づいてなされるものと考えられます。

そして,その移転行為が委任契約または準委任契約に基づいてなされる場合,それは,個人情報保護法にいう「委託」による場合になると解されると思います。

なお,当該契約が「委任契約」または「準委任契約」であるかどうかの認定は,事実の問題ですので,証拠によって事実認定されることになります。
そして,当該契約が「委任契約」または「準委任契約」ではなく,「雇用契約」,「請負契約」または「寄託契約」等である場合には,結論が別になることがありますので,ちょっと細かな検討をする必要があります(例えば,事業者の内部会計士に業務を命ずる場合には,雇用契約に基づくものなのでしょうけれども,事業者自身の会計監査行為となりますので,委託ではありませんし第三者提供でもありません。)。

次に,委任する事務の内容が,利用目的として明示されている業務に包含されるものである限り,当該委任される事務に伴う個人情報の移転は利用目的の範囲内にあることになります。逆に,利用目的に包含されない事務を委任する場合には,その移転行為は,個人データの目的外利用になるでしょう。
これは,委託する業務が「利用目的」に含まれるかどうかの識別基準です。

ところで,会計監査についてですが,法律によって会計監査が義務付けられている場合には,当該義務づけられている事業者について会計監査がなされることは法律上の義務に基づくものということになります。そして,会計監査業務を会計士や税理士などに委任することが社会通念上当然のこととされている場合には,当該個人情報の本人も当然にそのことを予測すべきだと言うことができます。したがって,当該会計監査が義務付けられている事業者に対して個人情報を提供する本人は,法令によって会計監査が実施されること,それに伴って会計士または税理士などに当該本人の個人データが移転されることを当然に予測すべき場合ということになりますね。
このような場合,特に利用目的として明示されていなくても,当該事業者は,通常の業務の遂行の一部として,当該本人の個人データを会計士や税理士に移転することができると考えられます。
この移転は,「委託」としてなされることもあるし「第三者提供」としてなされることもあると考えられます。「委託」の場合には同意を要しません。また,「第三者提供」の場合でも事前に「黙示の同意をしていると推定」すべき場合に該当するのではないかと考えられます。
ただし,このいずれの場合でも移転可能な個人データは会計監査業務の遂行のために合理的に必要な範囲内に限られますから,無造作にデータベース全部を提供するような行為は違法行為となる可能性が高いです。つまり,事前に内部監査を実施して移転可能な個人データであるかどうかを検討・識別しておかないと駄目ということになりますね。

以上からご理解いただけると思いますが,2つの識別基準を両方ともパスしていれば,適法に委託関係だということになりますね。
そして,丸山様のコメントにある事例①の場合でも事例②の場合でも,利用目的に明示していなくても適法に個人情報を委託先に移転することが可能となると考えられます。
しかも,解決のポイントは,利用目的の解釈において,事業者の「業務」それ自体をどのように理解するかにかかっているということをご理解いただけると思います。

私が先のコメントで指摘していることは,この事例のような場合のことではなく,安易に「適法だ」と考えて実際に多数行われている個人情報の第三者提供の大半が本当は単なる「暴力」に過ぎず違法行為になる可能性があるということでした。
コンプライアンスをうたっている企業においてさえも非常にしばしば見られることです。

私的な調査結果に基づくものではありますが,個人情報保護法を厳格に適用した場合,日本の企業(日本国にある外資系企業を含む。)のおよそ95パーセント以上が「日常的に違法行為を繰り返している」と判定されることになるだろうと推定しています。

要するに,「主務大臣による行政監督を受けない」と自信をもって断言できる企業は,ほとんど皆無だということです。

この意味でも,個人情報保護法は,実装不可能な法律であるということが言えると思います。


Posted by: 夏井高人 | 2005.03.19 at 19:41

夏井先生、コメントありがとうございます。会計監査の話、すっきりしました。別の弁護士の見解が手元にあるのですが、夏井先生の見解とほぼ同じです。

さて、2つ前の夏井先生のコメント
=====
何らの法的根拠にも基づかないで個人データの移転がなされた場合,それは単なる「暴力」なので移転を受ける側としては「適正な取得」にはなりませんね。適正な取得にならない以上,委託や第三者提供を論ずるまでもなく違法です。
=====
ココが問題でしたね・・・。
「Aさんが道に名簿を落とし、Bさんがその名簿を拾っている。」という構図ですね。

Posted by: 丸山満彦 | 2005.03.19 at 20:53

丸山 様

こんばんは。

> 「Aさんが道に名簿を落とし、Bさんがその名簿を拾っている。」という構図ですね。

外形的にはそうなりますね。

当事者の意識としては,「事実上貰い受けている」という感じなのでしょうが,法律的には,何らの法的根拠もなく移転を受けていることになるので,「名簿を拾っている」のと同じことになります。

しかし,落ちている名簿を拾う行為は,よく考えてみると何かおかしい。

仮に本当に落ちていた名簿だとしたら,遺失物横領みたいな行為になりますね。現行刑法では情報に対する遺失物横領罪が存在しないので無罪になりますが,民法上も適法であるかどうかは別問題です。不法行為になるのではないでしょうか?

次に,事前に意思を通じて落としておいたものを拾った場合はどうでしょうか?
これは,落とした側としては,明らかに安全管理措置義務違反になりますし,事案により,目的外利用にもなるので,違法行為でしょう。また,拾った側としても違法行為の対向的な共犯みたいなものなので適正な取得をしていることにはならないと考えられます。

しかし,現時点では,このような行為を違法行為だと認識している企業は非常に少ない。逆に適法なビジネスだと勝手に解釈している。

だからこそ,非常に多くの企業が違法行為をしているし,今後もしていくことになると考えるわけです。

Posted by: 夏井高人 | 2005.03.19 at 21:56

夏井先生、コメントありがとうございます。「拾っているのではない」ですね。
やっぱり「事前に意思を通じて落としておいたものを拾った」ということですね。
 第三者提供の点、あまり意識していなかったのでちょっと反省です。

Posted by: 丸山満彦 | 2005.03.19 at 23:20

丸山 様

夏井です。

> やっぱり「事前に意思を通じて落としておいたものを拾った」ということですね。

そうなんですよ。(笑)

なお,一般に,第三者提供で最も多いパターンは,無償の提供行為だと推測されます。

この無償の提供行為は,民法の目から見れば,贈与契約とその履行になると思われます。「第三者提供契約」なるものが存在するわけではありません。

なぜなら,一般に,個人情報は少なくとも1円以上の価値を有すると思われますので「財産権」になります。そして,対価を受けることなく財産権を交付する契約は贈与契約ですので(民法549条),個人データ(またはその複製物)を無償で提供する行為も贈与契約になるわけです。

そして,特定または不特定の第三者に対する保有個人データの贈与契約及びその履行という行為は,利用目的として明示されていない限り,目的外利用として違法になることになります。

ちなみに,非常に多くの企業では,グループ会社や子会社などの関連会社への個人情報の移転は,「身内」への提供なので第三者提供にならないと考えており,そのように説明している不勉強な弁護士もいるようです。しかし,法人格を異にすれば,子会社であろうとグループ企業であろうとすべて別の独立した法人格を持つ「第三者」ですし,要件を満たせば,それぞれが独立して個人情報取扱事業者となります。だから,このような関連会社間での保有個人データの移転も第三者提供になりますね。そして,非常に多くの場合,無償で提供がなされるので,そのような行為も贈与契約とその履行になります。
ところが,関連会社間では,「なあなあ」の状態だけが存在しており,そのような行為が法的には贈与になるという意識がないため,個人情報保護法対応の中でも利用目的として「第三者に対する贈与」を掲げているところが皆無です。
つまり,そのような企業は,明らかに「違法行為をするぞ」と黙示で宣言しているのと同じことになりますね。

かなり深刻な事態が存在していると思います。

あと10日ばかりになりましたが,やはり,完全施行を無期延期したほうが良いと思います。

Posted by: 夏井高人 | 2005.03.20 at 06:38

丸山 様

夏井です。

個人データの第三者提供の中には有償のものもありますね。

代金,手数料,情報提供料その他名目のいかんを問わず,特定の個人データ(またはその複製物)の提供・交付を受けることに対する対価として支払われる金員は,法的にはすべて代金です。

したがって,このような場合における「第三者提供」とは,民法の目からすると,売買契約(民法555条)及びその履行ということになります。「第三者提供契約」なるものが存在するわけではありません。

ところで,個人情報の利用目的として「特定または不特定の第三者に対する個人データの売買」を掲げている企業もまた皆無ですね。

ほんとに「とほほ」状態かもしれませんが,法律家の目から見れば,利用目的を明示していないことになるので違法状態でしょう。

なお,売買である以上,有償の個人データの第三者提供の場合にも所得税や消費税などが課税されることは現行の税法の下でも当然のことだと思われますが,きちんと税務処理されていないことが常態化しているのではないかと疑っております。

Posted by: 夏井高人 | 2005.03.20 at 10:01

丸山 様

こんばんは。

ある方から,個人情報保護法上の「委託」が民法上は委任契約または準委任契約になるとすると,委託の際の個人データの移転は別途寄託になるのかどうかという趣旨のメールを頂戴したので,この場をお借りして返答したいと思います。

一般に,委任事務処理のために必要な物件を委任者から受任者に交付することがあることは当然のこととされており,民法646条1項は,そのような物件の交付があることを前提にして,委任に際して交付された物件の受任者から委任者への返還義務を定めています。
つまり,委託の場合には,別途寄託契約が締結されるわけではなく,委任契約(準委任契約)の履行のために必要な物件として個人データの移転がなされ,委任事務処理の終了とともにそれを返還すべき委任契約上の義務が生ずるという法律関係になると解されます(実際には,返還に代えて受任者において受領したデータを消去するという合意も返還方法に関する約定として有効だと解されます。)。

なお,個人情報保護法の目から見ると,受任者が委任事務処理のために必要なものとして個人データを受領した場合でも個人情報の新たな「取得」になることは明らかなので,それが委任事務処理の終了とともに返還しなくてはならないものであり,その意味で一時的に取得するものであったとしても,個人情報として必要な管理や保護をしなくてはならないことになります(委託の場合でも,6ヶ月を超える期間にわたり5000人分以上の個人データを処理するために委託を受ける場合には,それだけで受任者も個人情報取扱事業者になると解されます。)。

Posted by: 夏井高人 | 2005.03.21 at 00:05

夏井先生、個人情報保護法の委託の件、勉強になります。ありがとうございます。

さて、個人データを第三者提供すること際に、無償で行う場合の会計上、税務上の話ですが・・・。

 私は税理士ではないので、税務については素人ですが、常識的に考えると次のようになるのではないでしょうか。一般的には、価値があるものを無償あるいは低額で譲渡した・された場合は、本来の取引時価で取引されたものとして課税されることになります。つまり、譲渡をした者は時価と取引価額の差額を贈与(寄付)したものとみなされ課税対象となり、譲渡を受けた者は、時価と取引価額の差額の贈与を受けたものとみなされます。結果的には、差額が課税所得に参入されますね。
 さて、個人情報を無償で第三者提供した場合ですが、その個人情報に価値があれば同じことだと思います。個人情報は、名簿屋で売買されていますので、その価額が一応の時価の参考価額となるのだと思います。
 

Posted by: 丸山満彦 | 2005.03.21 at 10:03

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/3333942

Listed below are links to weblogs that reference 公認会計士協会 会計監査で個人情報を監査人に提供するのは委託:

« 開示請求の手数料 | Main | 経験しなければ本当のことはわからないけど »