目的と手段のアンバランスさが気になる。

ビッグデータの利活用だの何だの、という以前の話として、「個人情報」という存在がいかにセンシティブなものか、ということを、“これでもか”というほど企業実務の世界に思い知らせてくれた「ベネッセコーポレーション事件」。

そして、そのインパクトは、霞が関にも及んでいるようである。

経済産業省は、個人情報保護法の指針を10月にも改正する。ベネッセホールディングス傘下のベネッセコーポレーションで、大量の顧客情報が漏洩した問題を受け、企業に情報管理の強化を求める。企業が個人情報の管理を外部業者に委託する場合、その業者がさらに別の下請け業者に管理を再委託するのを原則として禁止する。」(日本経済新聞2014年8月13日付朝刊・5面)

記事によると、経済産業省は、いわゆる「経産省ガイドライン*1を改訂することで、個人情報の管理についての「再委託」を禁止することを検討している、ということなのだが・・・


確かに、原則として、本人の同意なき「個人データ」*2の第三者提供を禁じている我が国の個人情報保護法において、「個人データの取扱いの委託」というのは、例外中の例外、と位置付けられている(法23条4項1号)。

そして、個人情報保護法の条文上は、個人データ取扱いの委託関係について、「個人情報取扱事業者」と「委託を受けた者」しか登場してこない*3にもかかわらず、これまで当然のように再委託が行われてきたのは、前記経産省ガイドラインにおいて、
「再委託」の存在が当然の前提となっているような記載がなされていたからに他ならない。

裏返せば、「再委託」というスキームは、元々、経産省のさじ加減ひとつでひっくり返っても不思議ではなかったものだった、と言える。
なので、

「委託元が委託先について「必要かつ適切な監督」を行っていない場合で、委託先が再委託をした際に、再委託先が適切といえない取扱いを行ったことにより、何らかの問題が生じたときは、元の委託元がその責めを負うことがあり得るので、再委託する場合は注意を要する。」ガイドライン39頁)

事例3)「再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託し、結果、再委託先が個人データを漏えいした場合」ガイドライン39〜40頁)

といったように、ガイドライン上も再三にわたって警鐘が鳴らされていた「再委託先の不適切な取扱い」による重大事故が現実に起きてしまった以上*4、法律の条文上は何ら担保されていない「再委託」はやっぱりダメ、というふうに経産省が方針を切り替えたとしても、下々の人間が文句を言うような筋合いの話ではないのかもしれない。

だが、今回の一件について、いろいろと報道されている内容を見る限り、「取扱い権限を与えられていた者が、明確な悪意を持って、個人情報の不正取得と第三者への提供を行った」という点は揺るぎない事実であるように思われる。
そして、このような事態は、「再委託先」に限った話ではなく、「直接の委託先」や、「個人情報取扱事業者」それ自身においても、「悪意ある者」がかかわる可能性がある限りにおいては、いつ、なんどき発生しても不思議ではないことだと言える。

また、BtoCの大企業、という目立つ存在ゆえ、今回批判の矢面に立たされることになってしまったベネッセにしても、個人情報の取扱いに関する委託先との契約上は、再委託先との契約条件を含む詳細な規定を置いていたはずだし、ガイドラインが要請している程度の委託者としての最低限の責務は、当然果たしていたはず。

しかも、同社は事故が発生以降、委託先任せにすることなく、自ら前面に出て対応しており、(若干方針の揺らぎは見られたものの)補償も含めた対応を行うスタンスを結果的に示しているから、個人情報を「流出」させられた本人の保護に支障が生じるような事態にはなっていない。

にもかかわらず、「再委託を禁止する」という方法で、法運用面から本件の“落とし前”を付けようとしているのだとすれば、いささか目的と手段がずれている、と言わざるを得ないのではなかろうか。

上記の日経の記事にも書かれているような、

「個人情報にアクセスした形跡を定期的に監視すること」
「個人情報を取り扱う部屋をカメラで監視すること」

といった厳格な取扱いルールを、新たにガイドラインで指示することについては、それなりに有意義なことだと自分も思う*5

だが、「再委託」そのものを禁止する、ということになってしまうと、そのことによって得られるメリットよりも、弊害の方が大きくなるように思えてならない*6

この先、どういう方向に動いていくのか、前記日経紙の記事から正確に把握することは難しい状況にあるのだが、くれぐれも一時の“盛り上がり”によって、ガイドラインの中身が極端な影響を受けることがないように、関係の方々にはお願いしたいところである。

*1:正確には「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」。

*2:個人情報データベース等を構成する個人情報をいう。法2条4項。

*3:先に上げた23条4項1号のほか、「委託先の監督」に関する第22条も参照のこと。

*4:なお、後述するとおり、自分は、今回当事者となったベネッセコーポレーションが、ガイドラインに書かれているような「必要かつ適切な監督を怠った」ものと考えているわけではないので、誤解されないよう・・・。

*5:もちろん、あまりにハードルを上げ過ぎて、多くの会社が対応に苦慮するような内容になってしまっては困るのだが・・・。

*6:そもそも、「再委託」先が零細な会社とは限らず、「委託先」として間に形式的に一社かませたうえで、個人情報取扱いの豊富な経験がある者に再委託させるというケースも、決して稀ではない。そういった形での再委託が全て禁止されてしまうのは、だいぶ不便だろうなぁ、と思う。

google-site-verification: google1520a0cd8d7ac6e8.html