ベネッセコーポレーションの顧客名簿流出問題で、そのデータを利用して営業活動をしていたとされるジャストシステムへの風当たりが強まっている。
ジャストシステムは7月11日、公式サイトで、2014年5月に「名簿業者」の文献社から257万3068件のデータを購入したことを発表した。さらに、購入時に「データの出所が明らかになっていない状況」で契約していたことや、6月にそのデータを利用してダイレクトメールを発送したこと、などを明らかにした。
一方で、ジャストシステムは「利用したデータがベネッセから流出したデータだという事実は確認できていない」とし、「ベネッセから流出した情報だと認識したうえで利用したという事実は一切ない」と説明している。
このような状況だとすると、ジャストシステムが何らかの「法的責任」を問われる可能性はあるのだろうか。企業法務にくわしい秋山直人弁護士によると、(1)不正競争防止法上の責任(2)個人情報保護法上の責任(3)ベネッセの顧客に対する民事責任という3つの責任が問題になるという。それぞれについて、くわしく解説してもらった。
●不正競争防止法上の責任
「ベネッセの顧客名簿は、社外秘として管理されていたでしょうから、不正競争防止法でいう『営業秘密』に該当すると思われます。
他社の営業秘密を、不正に取得された情報だと知ったうえで取得・使用することは『不正競争』とされています(不正競争防止法2条1項5号)。また、不正取得を知らなくても、知らないことに重大な過失があれば、同じく不正競争になります」
今回のジャストシステムの行為はどうだろう?
「ジャストシステムは、利用した顧客名簿が、ベネッセから不正に流出したとは認識していなかったとしています。仮にそうだとすると、ポイントは、不正流出を知らなかったことに対して『重大な過失』がなかったのかどうかになります。もし『重大な過失』があったと認められれば、ジャストシステムがベネッセに対する損害賠償責任を負う可能性が出てきます。
なお、ジャストシステムは、ベネッセの顧客名簿を不正に入手した者から直接に名簿を取得したわけではないため、同法上の刑事責任を問われることはないでしょう(不正競争防止法21条)」
●個人情報保護法上の責任は?
「ジャストシステムは、個人情報保護法で定められた『個人情報取扱事業者』です。個人情報取扱事業者は、『偽りその他不正の手段により個人情報を取得してはならない』とされています(個人情報保護法17条)。これに違反した場合には、主務大臣から勧告、命令を受けることがあり、命令に違反すれば、刑事罰があります(同法34条、56条)」
今回、ジャストシステムは、東京都福生市の名簿業者『文献社』から名簿を購入したとされている。これは「偽りその他不正の手段」によって、個人情報を取得したことになるのだろうか?
「今回の場合、ジャストシステムに名簿を販売した『文献社』も、個人情報取扱事業者です。その個人情報取扱事業者が、あらかじめ本人の同意を得ないで、個人データを第三者に提供できるケースは制限されています(個人情報保護法23条)」
このように秋山弁護士は説明する。では、名簿業者から個人情報を入手するとき、「不正な手段による取得」と認定されるのは、どんな場合なのだろうか。
「経産省のガイドラインによると、個人情報取扱事業者が『不正の手段』により個人情報を取得している事例として、『法23条に規定する第三者提供制限違反がされようとしていることを知り、または容易に知ることができるにもかかわらず、個人情報を取得する場合』が挙げられています。
つまり、文献社がこの制限違反をしていることを知っていて、あるいは容易に知ることができたのに、ジャストシステムが個人情報を取得したとすれば、それは問題となります」
すると、まずは文献社が「制限違反」をしていたかどうかが、問題となるわけだ。
「個人情報保護法23条2項では、例外的に、次の(1)(2)の条件を両方満たしていれば、本人の同意を得ないで個人情報を第三者に提供できるとされています。
(1)本人の求めに応じて、第三者提供を停止すること。
(2)(ア)~(エ)をあらかじめ本人に通知するか、本人が容易に知り得る状態に置いていること。
(ア)第三者への提供を利用目的とすること
(イ)第三者に提供される個人データの項目
(ウ)第三者への提供の手段・方法
(エ)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること」
今回は、どうだろうか?
「文献社のホームページ上のプライバシーポリシーを見る限り、今回売買された情報の中に含まれる『電話番号』は、『第三者に提供される個人データの項目』に含まれていません。また、『本人の求めに応じて本人が識別される個人データの第三者への提供を停止すること』も明記されていません(本人から利用の停止を求められた場合、『委託クライアントに連絡の上、適切に対応します』としか記載されていません)。
このように、文献社は法23条に規定する、第三者提供の要件を満たしていない疑いがあります」
文献社に問題があったとすると・・・ジャストシステムも?
「したがって、そこから名簿を購入したジャストシステムは、『法23条に規定する第三者提供制限違反がされようとしていることを知り、または容易に知ることができるにもかかわらず、個人情報を取得する場合』として、不正の手段による個人情報の取得をしたことになるのではないか、という疑問があります」
秋山弁護士は続けて、次のようにも指摘する。
「さきほどの経産省のガイドラインでは、『・・・不正の手段で個人情報が取得されたことを知り、または容易に知ることができるにもかかわらず、当該個人情報を取得する場合』も、不正取得だとされています。
営利目的での住民票の閲覧は、2006年から全国的にできなくなっています。現時点で、257万件もの学齢期の子どもの個人情報を名簿業者が販売するというのは不自然です。そもそも、そのようなデータについて、不正の手段による入手を疑うべきではないか、という議論もあり得ると思います」
●ベネッセの顧客がジャストシステムを訴えられる?
「最後に、ベネッセの顧客に対するジャストシステムの民事責任についてです。
ベネッセから不正に流出された個人情報を入手したことについて、『ジャストシステムに過失があった』と認められれば、その過失によって個人のプライバシーを侵害としたとして、顧客に対する不法行為責任を負い、損害賠償義務を負うことがあり得ると思います。
ここでも、過失があったかどうかを判断するポイントは、名簿入手にあたって不正流出を疑うべきだったかどうか、相当な注意を払えば不正な手段が介在していることを認識できたかとうかの2点となるでしょう」
秋山弁護士はこのように指摘していた。今後のカギを握るのは、ジャストシステムが「どのような経緯で名簿入手を決めたのか」??その事実関係になりそうだ。
(弁護士ドットコム トピックス)
【取材協力弁護士】
秋山 直人(あきやま・なおと)弁護士
東京大学法学部卒業。2001年に弁護士登録。所属事務所は溜池山王にあり、弁護士3名で構成。交通事故等の各種損害賠償請求、企業法務、債務整理、契約紛争、離婚・相続、不動産関連、労働事件、消費者問題等を取り扱っている。
事務所名:たつき総合法律事務所
事務所URL:http://tatsuki-law.org/
ジャストシステムは7月11日、公式サイトで、2014年5月に「名簿業者」の文献社から257万3068件のデータを購入したことを発表した。さらに、購入時に「データの出所が明らかになっていない状況」で契約していたことや、6月にそのデータを利用してダイレクトメールを発送したこと、などを明らかにした。
一方で、ジャストシステムは「利用したデータがベネッセから流出したデータだという事実は確認できていない」とし、「ベネッセから流出した情報だと認識したうえで利用したという事実は一切ない」と説明している。
このような状況だとすると、ジャストシステムが何らかの「法的責任」を問われる可能性はあるのだろうか。企業法務にくわしい秋山直人弁護士によると、(1)不正競争防止法上の責任(2)個人情報保護法上の責任(3)ベネッセの顧客に対する民事責任という3つの責任が問題になるという。それぞれについて、くわしく解説してもらった。
●不正競争防止法上の責任
「ベネッセの顧客名簿は、社外秘として管理されていたでしょうから、不正競争防止法でいう『営業秘密』に該当すると思われます。
他社の営業秘密を、不正に取得された情報だと知ったうえで取得・使用することは『不正競争』とされています(不正競争防止法2条1項5号)。また、不正取得を知らなくても、知らないことに重大な過失があれば、同じく不正競争になります」
今回のジャストシステムの行為はどうだろう?
「ジャストシステムは、利用した顧客名簿が、ベネッセから不正に流出したとは認識していなかったとしています。仮にそうだとすると、ポイントは、不正流出を知らなかったことに対して『重大な過失』がなかったのかどうかになります。もし『重大な過失』があったと認められれば、ジャストシステムがベネッセに対する損害賠償責任を負う可能性が出てきます。
なお、ジャストシステムは、ベネッセの顧客名簿を不正に入手した者から直接に名簿を取得したわけではないため、同法上の刑事責任を問われることはないでしょう(不正競争防止法21条)」
●個人情報保護法上の責任は?
「ジャストシステムは、個人情報保護法で定められた『個人情報取扱事業者』です。個人情報取扱事業者は、『偽りその他不正の手段により個人情報を取得してはならない』とされています(個人情報保護法17条)。これに違反した場合には、主務大臣から勧告、命令を受けることがあり、命令に違反すれば、刑事罰があります(同法34条、56条)」
今回、ジャストシステムは、東京都福生市の名簿業者『文献社』から名簿を購入したとされている。これは「偽りその他不正の手段」によって、個人情報を取得したことになるのだろうか?
「今回の場合、ジャストシステムに名簿を販売した『文献社』も、個人情報取扱事業者です。その個人情報取扱事業者が、あらかじめ本人の同意を得ないで、個人データを第三者に提供できるケースは制限されています(個人情報保護法23条)」
このように秋山弁護士は説明する。では、名簿業者から個人情報を入手するとき、「不正な手段による取得」と認定されるのは、どんな場合なのだろうか。
「経産省のガイドラインによると、個人情報取扱事業者が『不正の手段』により個人情報を取得している事例として、『法23条に規定する第三者提供制限違反がされようとしていることを知り、または容易に知ることができるにもかかわらず、個人情報を取得する場合』が挙げられています。
つまり、文献社がこの制限違反をしていることを知っていて、あるいは容易に知ることができたのに、ジャストシステムが個人情報を取得したとすれば、それは問題となります」
すると、まずは文献社が「制限違反」をしていたかどうかが、問題となるわけだ。
「個人情報保護法23条2項では、例外的に、次の(1)(2)の条件を両方満たしていれば、本人の同意を得ないで個人情報を第三者に提供できるとされています。
(1)本人の求めに応じて、第三者提供を停止すること。
(2)(ア)~(エ)をあらかじめ本人に通知するか、本人が容易に知り得る状態に置いていること。
(ア)第三者への提供を利用目的とすること
(イ)第三者に提供される個人データの項目
(ウ)第三者への提供の手段・方法
(エ)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること」
今回は、どうだろうか?
「文献社のホームページ上のプライバシーポリシーを見る限り、今回売買された情報の中に含まれる『電話番号』は、『第三者に提供される個人データの項目』に含まれていません。また、『本人の求めに応じて本人が識別される個人データの第三者への提供を停止すること』も明記されていません(本人から利用の停止を求められた場合、『委託クライアントに連絡の上、適切に対応します』としか記載されていません)。
このように、文献社は法23条に規定する、第三者提供の要件を満たしていない疑いがあります」
文献社に問題があったとすると・・・ジャストシステムも?
「したがって、そこから名簿を購入したジャストシステムは、『法23条に規定する第三者提供制限違反がされようとしていることを知り、または容易に知ることができるにもかかわらず、個人情報を取得する場合』として、不正の手段による個人情報の取得をしたことになるのではないか、という疑問があります」
秋山弁護士は続けて、次のようにも指摘する。
「さきほどの経産省のガイドラインでは、『・・・不正の手段で個人情報が取得されたことを知り、または容易に知ることができるにもかかわらず、当該個人情報を取得する場合』も、不正取得だとされています。
営利目的での住民票の閲覧は、2006年から全国的にできなくなっています。現時点で、257万件もの学齢期の子どもの個人情報を名簿業者が販売するというのは不自然です。そもそも、そのようなデータについて、不正の手段による入手を疑うべきではないか、という議論もあり得ると思います」
●ベネッセの顧客がジャストシステムを訴えられる?
「最後に、ベネッセの顧客に対するジャストシステムの民事責任についてです。
ベネッセから不正に流出された個人情報を入手したことについて、『ジャストシステムに過失があった』と認められれば、その過失によって個人のプライバシーを侵害としたとして、顧客に対する不法行為責任を負い、損害賠償義務を負うことがあり得ると思います。
ここでも、過失があったかどうかを判断するポイントは、名簿入手にあたって不正流出を疑うべきだったかどうか、相当な注意を払えば不正な手段が介在していることを認識できたかとうかの2点となるでしょう」
秋山弁護士はこのように指摘していた。今後のカギを握るのは、ジャストシステムが「どのような経緯で名簿入手を決めたのか」??その事実関係になりそうだ。
(弁護士ドットコム トピックス)
【取材協力弁護士】
秋山 直人(あきやま・なおと)弁護士
東京大学法学部卒業。2001年に弁護士登録。所属事務所は溜池山王にあり、弁護士3名で構成。交通事故等の各種損害賠償請求、企業法務、債務整理、契約紛争、離婚・相続、不動産関連、労働事件、消費者問題等を取り扱っている。
事務所名:たつき総合法律事務所
事務所URL:http://tatsuki-law.org/
これ『<ベネッセ情報流出>ジャストシステムが負う可能性がある「3つの法的責任」とは?』と題した弁護士ドットコム 7月13日(日)13時26分の配信記事である
記事を読めば確かに法的にはその通りになろう。
しかし、ジャスト側から見ればリスクは負ったがそれ以上に当初の目的は達した筈である。言い換えすれば、企業にとってみればコンプライアンスを守るのは当然であるが、背に腹は代えられない時もあると言う事だろう。ご批判は甘んじて受けるが、ベネッセよりの損害賠償の費用以上のメリットが確保されたかにもよるのである。やってはいけないが、明日の米を食う場合にはそうも言ってられない場合もあると言う事、現在の経営者世代企業あっての個人的感覚、建前も結構だが時にはと言う事も。この不況期を、身をもって体験した経験者の嘆きの一言と思われても結構だが・・・・・・。
