そうでなくてもエレクトロニクス部門の業績が振るわない上に、得意のソフト部門でも、インターネット配信サービスで個人情報の大量流出、という衝撃のトラブルを起こしてしまったソニー。

一部のサービスについては、ようやく国内でも再開できるようになったようだが、その発表と同じ日に、経済産業省から株式会社ソニー・コンピュータエンタテインメント（SCE）に対し、痛恨の「指導」がなされたことが発表された。

「ソニーのインターネット配信サービスから個人情報が流出した問題で、経済産業省は27日、同社子会社のソニー・コンピュータエンタテインメント（SCE)に対し、個人情報保護法に基づき指導したと発表した。SCEがソニーの別の米子会社に個人情報の管理を委託する際に適切な監督をしていなかったとして、同法22条違反を認定した。」（日本経済新聞2011年5月28日付け朝刊・第11面）

経済産業省のHPには、早速、「指導」の内容が掲載されている。
http://www.meti.go.jp/press/2011/05/20110527005/20110527005.pdf

同省が問題としたのは、SCEから米国法人SNEI（Sony Network Entertainment International LLC）への個人情報の管理委託において、個人情報の保護に関する法律（個人情報保護法）の

第22条　個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

という規定が守られていなかった、という点である。
そして、経産省はそのように判断した理由として、以下の3点を挙げた。

（1）委託先のSNEIにはCIOなどの情報セキュリティに関する専門的な責任者がおらず、また、異常発生時における報告連絡体制に係る規程等の整備がされていないなど、組織的安全管理体制に不備があったこと。
（2）SNEIにおいては、ネットワークの利用をビジネスの中心とし、かつ、7,700万件もの個人情報を保持していながら、公知の脆弱性について自社で確認する体制が整えられておらず、技術的安全管理体制に不備があったこと。
（3）SNEとSNEIとの間には、安全管理措置を遵守させるために必要な委託契約が締結されていないなど、個人情報の取扱状況を直接かつ適切に監督する体制が整えられていなかったこと。

委託に関する法22条は、「個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合」に、第三者提供制限規制から除外される（法23条4項）こととパラレルなものと理解されており、それゆえ法22条に基づく「委託先に対する監督義務」も、（一般的・名目的な委託先の監督義務）に比べるとより重く解されるものであることは否定できない。

とはいえ、個人情報保護法が導入されてから、既に結構な時間は経過していて、「個人情報の取扱いを第三者に委託するのであれば、当然に必要な条項を盛り込んだ契約を締結していなければならない」という見解は、今や法律家のみならず、一般のコンサルタント等にまで浸透している。

そんな状況で、上記（1）〜（3）、特に、「監督する体制」すら整えられていなかった、と指摘された（3）のような実態が本当にあったのだとすれば*1、天下のソニー系列の会社らしからぬボーンヘッドだといわれても不思議ではないだろう。

グループ内での委託ゆえの緩さだったのか、それとも別の理由によるものかは分からないが、法務部門の担当者としては忸怩たる思いなのではないかな・・・と想像する次第である。

なお、経済産業省の資料に記載されているところによると、
今回経産省がSCEに対して求めた本件での「報告徴収」は、

（報告の徴収）
第32条　主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関し報告をさせることができる。

という根拠に基づくものであり、「指導」の根拠は、

（助言）
第33条　主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関し必要な助言をすることができる。

にある、ということだそうだ。

正直、「助言」と「指導」では語感がかなり異なるし、第34条の「勧告」や「措置命令」ならまだしも、第33条の「助言」について公表することが予定されている、ということまでは、正直自分はイメージしていなかったのであるが、事柄のインパクトの大きさに鑑みれば、これで済んだだけでもマシ*2というべきなのだろうか。

いろいろと考えさせられるところの多い「指導」である。