« 経済産業省 「文書の電磁的保存等に関する検討委員会」の報告書を発表 | Main | MS、脆弱性の対処方法を見直し »

2005.05.08

委託先に適正なコストを支払わずに適切な監督をしているといえるか

 こんにちは、丸山満彦です。昨日、医師・薬剤向けのサービスを提供している会社の社長と話をしていたのですが、個人情報保護法で苦労しているようです・・・

 
 その会社は医師などの個人情報を預かっているのだが、個人情報保護法の厚生省ガイドラインを持ち出されて、ガイドラインに従って個人情報を取り扱うように依頼されているようです。しかし、追加的に必要となる対策のための費用については、負担しようとしないので、「追加の費用をいただけ無いなら、個人情報をお返しします。」と突っぱねているらしいです。

 委託先が実施しなければならない追加的なセキュリティ対策に対するコストを委託元が全く負担しようとせずに、委託先にセキュリティ対策の実施のみを求めることは、個人データの安全管理が図られるように適切に委託先を監督していることになるのでしょうか?

 守れないルールを強引に作り、事故が起こった場合に、その責任を委託先に押し付けることが許されるのでしょうかね。。。

======
第二十二条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合
 は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に
 対する必要かつ適切な監督を行わなければならない。
======



このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

|

« 経済産業省 「文書の電磁的保存等に関する検討委員会」の報告書を発表 | Main | MS、脆弱性の対処方法を見直し »

Comments

丸山 様

おはようございます。

理論的に考えた場合,包括承継の場合でも委託の場合でもカテゴリーとしては第三者提供なのだと思います。
この場合,承継を受ける者や受託者が「第三者」になります。
ただ,包括承継や委託の場合の法律関係の特殊性に鑑み,個人情報保護法は,第三者移転の際に必要な要件を多少緩和しているのだと考えるのが筋でしょう。

また,第三者が個人情報の提供を受ける行為は,理論的にはやはり個人情報の取得になります。この行為は,「間接取得」と呼ばれることが多いようですが,分けて考える実益が全くないので,言葉それ自体を使用しないほうが良いと思います。
第三者として提供を受ける行為も「取得」である以上,それは「適正な取得」でなければなりませんね。また,第三者だからと言って,もともとの個人情報の本人に対して利用目的の通知・公表をしなくても良いという理屈は存在し得ないと思います。このような理屈がまかり通ってしまうと,個人情報保護法は,直ちに骨抜きになってしまいます。もちろん実装可能性という点ではかなり疑問がありますから,私は現行の個人情報保護法を廃止しましょうと今でも主張し続けているわけですが,解釈論としてはそうなると思います。

さて,受託者も個人情報保護法上の一定の要件の緩和が認められているとはいえ,上記のとおり理論的には「第三者」として独立の個人情報取扱事業者になるわけだし,その取得は適正でなければならず,また,安全に管理する義務があります。
この義務は,受託者固有の義務ですので,その負担は自分で負うのが当然で,委託者に費用支弁を求めるのは間違っていると考えます。

それがいやなら仕事を受託しなければ良いと思いますので,これまで取得した個人情報を利用停止しようとする態度は理に適っています。

そのあとは経済原理に従い,力関係によって決定されるでしょう。例えば,受託者のほうが委託者よりも強い力関係にある場合には,事実上,委託者のほうで費用負担をすることになる場合もあるでしょう。
ただし,この場合の委託者による費用負担は,単純にそれを実行すると,単なる「贈与」になってしまうのではないでしょうか。そうだとすれば,税務上の問題が発生する可能性があることにも留意すべきなんでしょうね。

Posted by: 夏井高人 | 2005.05.10 08:45

夏井先生、コメントありがとうございます。

本日もある会社の取締役の方と話をしていたのですが、今まで個人情報保護法とは関係ないと思っていたら、金融機関の業務委託を若干していて、その中に個人情報の委託業務もあるようです。極わずからしいのですが・・・。

ということで、金融庁ガイドラインの遵守を求められて困っていました。

Posted by: 丸山満彦 | 2005.05.10 23:20

丸山 様

おはようございます。

> ということで、金融庁ガイドラインの遵守を求められて困っていました。

データ処理を業務とする企業は,理論上,すべてのタイプのガイドラインの遵守を求められる潜在的可能性があると言って良いでしょうね。それが本体的な業務ではなく付随的な業務や単なるオマケみたいな業務であってもそうですね。

面倒です。

面倒だけれども,それがいやならデータ処理なんかやめてしまえばいいんですよ。どうせそんなに大きな収益を見込める業務じゃないわけだし。たぶん,コールセンターなどのアウトソースでも同じ問題が発生しているんでしょうね。

でも,日本国内の企業ならまだいい。

現時点で,非常に多くの機微のデータの処理が韓国や中国のデータ処理会社に委託されているようです。人件費が安いというのが最大の理由のようです。

しかし,韓国や中国の企業に対して日本国法や主務大臣のガイドラインを遵守させるのことそれ自体が非常に困難だし,そもそも異なる国家主権に服するわけだから法を強制することができませんね。

日本国法を遵守するように契約を交わしたとしても,日本人でさえ難解な日本国の個人情報保護法と関連ガイドラインの適用について適切に理解させることなど到底無理です。

というわけで,日本国民の機微情報がどんどん海外に流出したり海外経路で日本に還流することになります。要するに,法を運用する上での穴ですね。

米国では,2年前と比較すると,インドなど外国の企業にデータ処理を委託するデータの総量が半分以下に激減しているそうです。海外の企業に対してアウトソースした場合,国内と同じように法を強制することも契約違反の責任を追及することも,まして刑事責任を問うことも非常に困難であるかまたは不可能であるということがその背景事情としてあるようです。

日本国の場合でも基本的には同じでしょう。

Posted by: 夏井高人 | 2005.05.11 08:35

夏井先生、コメントありがとうございます。そう簡単にやめてしまえないので、問題と意識しているわけで・・・。でも、まじめな会社だと思いました。法律はきちんと守りたいとおっしゃっていましたので・・・(ちなみに、外国人なのですが・・・)。

 しかし、日本なので日本語が理解できないとだめなのはわかるのですが、個人情報保護法を英語で説明するのも難しいし、各省庁ガイドラインなんて英訳してられないし・・・。
 行政機関がどのような場合に「実際に」関与してくるのかを日本人以外の人に理解してもらうのは難しいし・・・
 と思いました。英語の能力の問題だけでなく・・・

> 米国では,2年前と比較すると,インドなど外国の企業にデータ処理を委託するデータの総量が半分以下に激減しているそうです。

と言う話は、別の米国人から聞いたことがあります。同じような理由でした。委託先の監督が問われるのだが、委託先を実質的に監督することができないので、損害賠償に対する実質的なリスクが委託元に非常に残ってしまうという話でした。安かろうの背景には、リスクが高いか品質が悪いかという問題があるので、結局、米国のデータセンターにデータを戻したということです。

Posted by: 丸山満彦 | 2005.05.11 09:12

上海の谷口直之です。こんにちは。

中国の話がでてきましたので、少し質問させてください。

> さて,受託者も個人情報保護法上の一定の要件の緩和が認められているとはいえ,上記のとおり理論的には「第三者」として独立の個人情報取扱事業者になるわけだし,その取得は適正でなければならず,また,安全に管理する義務があります。
> この義務は,受託者固有の義務ですので,その負担は自分で負うのが当然で,委託者に費用支弁を求めるのは間違っていると考えます。

そうですね。
中国のデータ処理受託事業者などを考えると、夏井先生の別のコメントにもありますように「そもそも異なる国家主権に服するわけだから法を強制することができません」よね。ですので、受託者が中国など外国の事業者である場合は、その事業者が個人情報取扱事業者として個人情報保護法で求められる義務は負わなくても良いと考えることができ、安全管理に関する義務も(国外の)受託者固有の義務でなくなりますね。

しかし、委託者が日本国内の個人情報取扱事業者であり、その取り扱う個人情報の処理を外国の事業者に委託する場合であれば、受託者が日本の個人情報保護法の安全管理義務を負っていなくても、当委託者に対しては個人情報保護法第二十二条の委託者に求められる委託先に対する安全管理監督が必要ですよね。
その理解の上で考えると、夏井先生の次のコメント

> 日本国法を遵守するように契約を交わしたとしても,日本人でさえ難解な日本国の個人情報保護法と関連ガイドラインの適用について適切に理解させることなど到底無理です。
> というわけで,日本国民の機微情報がどんどん海外に流出したり海外経路で日本に還流することになります。要するに,法を運用する上での穴ですね。

という状況は、そのような個人情報の処理を委託した日本国内の個人情報取扱事業者の委託先に対する安全管理監督義務違反の可能性があると思うのですが、間違っていますでしょうか?もちろん委託先にすべての関連ガイドラインを理解させる必要はないと思いますが、少なくとも安全管理に関してある程度ガイドラインを意識した安全管理の「必要かつ適切な監督」をしないといけないのではないかと思うのですが。。。

丸山さんのおっしゃるような、委託先の監督が実質できない、という状況であればどうしようもないことになっちゃいますが。
インドであれ中国であれ韓国であれ日本であれ、「安かろう、、、」だけで委託先を決定するのではなく、委託先の安全管理監督がきっちりできる(契約内容も含めて)委託先に委託しないといけない、ということだと思います。

Posted by: 谷口直之 | 2005.05.11 15:07

谷口直之 様

夏井です。コメントありがとうございます。

ご質問の点についてですが,日本国にある委託者である個人情報取扱事業者に対して日本国法の適用があることは当然のことなので,安全管理義務違反となる可能性は高いだろうと思います。

ただ,私が指摘したいことは,委託者である事業者をいくら罰したところで,第三国への日本国民の機微情報の流出及び第三国からの還流をとめることができないのであれば,その部分については個人情報保護法が「穴」になっているということです。

最も厳格な対応は,外国企業に対する個人データの処理やコールセンター業務などのアウトソースを全面的に禁止し,違反した事業者に対しては懲役刑を含む厳罰に処することだろうと思いますが,まあ賛成する人は少ないだろうと想像しています。

かくして,日本国民の機微の個人情報は,日本国では守られるとしても外国人なら誰でも知っているみたいな非常に奇妙な事態が発生し得るということになります。これは,国家の安全保障上もかなり問題のある致命的な事態ではないかと思っています。

何だか虚無感が漂うような話題でごめんなさい。

Posted by: 夏井高人 | 2005.05.11 18:13

夏井先生

上海の谷口直之です。ご返答ありがとうございます。

> ただ,私が指摘したいことは,委託者である事業者をいくら罰したところで,第三国への日本国民の機微情報の流出及び第三国からの還流をとめることができないのであれば,その部分については個人情報保護法が「穴」になっているということです。

確かにそうですね。委託した結果だろうがそうでなかろうが、一旦個人情報が第三国に流出してしまうと現状ではとめることができませんもんね。そうなってしまうと確かに怖い。。。

虚無感だけでもあれなので、外国の組織への業務委託時の個人情報の流出の防止の観点で考えてみたいと思いますが、中国の場合は、中国の刑法と中国版不正競争防止法により、日本で言う「営業秘密」の侵害を禁止する規定がありますので、これらの法律を含めて関連する法律がきちっと適用されるよう委託時の契約内容を吟味しその履行状況を管理監督すれば、ある程度の歯止めにはなろうかと思います。もちろんそれで流出を完全に防止できる保証はどこにもありませんが。また、事業者が信用できるところかの適切な調査を行うことや、情報管理プロセスの内部統制を第三者が監査したレポートなどを参考にすることなども考慮しなければならない。これらは日本にある組織に委託する場合でも当然行われるべき話ですかね。ただ、外国にある組織の場合は日本の個人情報保護法上の義務を負わないので、外国の組織に重要な情報処理を委託する場合は、日本の企業に委託するときよりも慎重に時間とお金をかけて選定をする必要があるのでしょうね。そして、このようなプロセスを実施しそれを証明できる状態にして初めて、外国の委託先の安全管理監督義務を果たしていることが説明できるのだと思います。

また、「第三国からの還流」ですが、日本の組織が第三国から個人情報を受け取った瞬間に「個人情報の取得」をしているわけですから、夏井先生がおっしゃるように「適正な取得」でなければなりませんし、それがマネーロンダリングならぬ個人情報ロンダリングが行われた状態になっていたとしても、そもそも「もともとの個人情報の本人に対して利用目的の通知・公表をしなくても良いという理屈は存在し得ない」ということですし、条件がそろえば個人情報取扱事業者になるわけですから、これらを考えると、こちらもある程度の歯止めが期待できると考えてよいのかな、と思っています。

考え違いをしている部分があればガンガンご指摘ください。

Posted by: 谷口直之 | 2005.05.11 22:49

谷口直之 様

夏井です。コメントありがとうございます。

第三国からの還流の点についてですが,ご指摘のとおり,還流を受ける者が日本国の個人情報取扱事業者であれば,もちろん個人情報保護法に定める要件とりわけ適正な取得の要件を満たす必要があることになります。巷に散見する悪書を読むと,「間接取得の場合には利用目的の通知・公表が必要ない」という趣旨のことが書いてあるものもありますが,個人情報保護法の解釈としては完全な誤りですね。

ところで,第三国からの還流に関して最も怖れているのは,ヤクザやマフィアのように法を遵守する気が最初から毛頭ない人々や,本来は個人情報取扱事業者として扱われるべきであるのに様々な脱法措置を講じて巧みに法の適用を免れようとするような人々です。

それらの人々の目的は幾つかありますが,特に問題なのは恐喝などの犯罪目的の場合と悪徳商法の目的の場合でしょう。

前者の恐喝のタイプとしては,機微の情報の内容をネタにして日本国の個人情報の本人に対して恐喝をしかけるものと,重要な個人情報をバルクで持っていることをほのめかしながら委託者である日本国の個人情報取扱事業者に対して当該個人情報の買取りを求める恐喝をしかけるものとがあり得ます。

後者の悪徳商法に属する悪質な業種の多くは,多種多様なものがあり得ます。ちなみに,特商法の適用があるかどうかも曖昧で一種微妙な業態であることも珍しくないです。

ですから,これらの人々に対してまともに個人情報保護法による行政監督で対処しようとしても最初から限界があることになりますね。

というあたりが本当に困ったことなんですよ。ほんと,とほほ状態です。

たぶん,個人情報取扱事業者であると否とを問わず,上記のような犯罪目的または悪徳商法目的で個人情報を取得する行為それ自体を厳罰に処するのでなければどうにもならないでしょう。

また,取得した個人情報を悪徳マーケティングに利用されないようにするためには,特商法を全面改正し,およそすべての商売について原則として訪問販売等を禁止した上で,本人の事前の同意がある場合に限りこれを許すというような法制に大転換をしたほうが良いと思います。

この提案は,かなりラディカルな提案なので国会で受け入れられる可能性は皆無ですが,まあ提案だけはしておきたいと思います。

Posted by: 夏井高人 | 2005.05.11 23:13

夏井先生

上海の谷口直之です。ご返答ありがとうございます。

「間接取得の場合には利用目的の通知・公表が必要ない」となると、ホント意味ないですね。何のための法律なんだか、って話になってしまいますね。

いろいろとご丁寧に返答いただきありがとうございました。

Posted by: 谷口直之 | 2005.05.11 23:44

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 委託先に適正なコストを支払わずに適切な監督をしているといえるか:

« 経済産業省 「文書の電磁的保存等に関する検討委員会」の報告書を発表 | Main | MS、脆弱性の対処方法を見直し »