【事例解説】個人情報をリスト化した行為、何が問題になった?(後編)
前回記事に引き続き、個人情報をリスト化した行為の問題点について、弁護士法人あいち刑事事件総合法律事務所東京支部が解説していきます。
今回は、前回解説した情報の流出・漏洩が刑事事件となる2つのパターンの内の1つとなる顧客の情報管理としての問題について詳しく見ていきましょう。
前編をまだご覧になっていない方は、こちらから記事をチェックしてください。
【事例解説】個人情報をリスト化した行為、何が問題になった?(前編)
【顧客の情報管理としての問題】
それでは顧客視点から流用の問題を見てみましょう。
郵便局のゆうちょ銀行を利用したお客さんの通常の意思としては、「ゆうちょ銀行」ないしは「郵便局」に対して個人情報(氏名や住所、連絡先や資産の状況)を提供していたのであって、保険会社に対して情報を提供していたわけではありません。
このように顧客の個人情報を取り扱う事業主は、「個人情報の保護に関する法律」の「個人情報取扱事業主」に該当し、個人情報を取り扱う目的を定める必要がある(個人情報保護法17条)他、事前の同意なく目的外に利用することや(同法18条)、第三者に対して提供することを制限されます(個人情報保護法27条)。
個人情報保護法は、平成15年、個人情報の保護が社会的な課題となったことを受けて制定された法律であり、行政機関のみならず、民間企業に対しても個人情報の取り扱いについて規制を設けています。
生命保険会社における個人情報の取り扱いに関しては、法律上の制限に加えて、業界団体内における指針も策定されています(参考:『生命保険業における個人情報保護のための取扱指針』)
日本郵政に話を戻すと、銀行を利用していた顧客に対して、「収集した個人情報を同じグループの保険営業のためにも使います」と利用目的を明示していない限りは目的外の利用に該当しますし、事前の同意なく「ゆうちょ銀行」ないしは「郵便局」から「かんぽ生命」に対して情報を開示していたとすれば違法な情報提供に該当する可能性があります。
更に、これらの規定に反するのみならず、個人情報保護法には罰則規定もあります。
個人情報取扱事業主の役員やその従業員(元従業員も含む)が、職務上知り得た個人情報のデータベース(個人情報を一体のものとして取りまとめたもの)を不正な利益を得る目的で提供した場合には、1年以下の懲役又は50万円以下の罰金が科せられます(同法179条)。これは個人に対する罰則に加えて、法人に対する両罰規定も定めており、法人に対しては1億円以下の罰金が科せられる可能性があります(同法184条1号)。
今回報道されている事案について、個別の情報流用について結局誰が敢行したのかという点については調べきることが難しいでしょうから、個人情報保護法違反の刑事事件として捜査がなされるという実際の見込みは低いようにも思われます。
日本郵政グループは調査の報告書を公表するようですから、今後の進展も待たれます。
【まとめ】
報道にあった事例をもとに、「情報の流出、漏洩、流用」について、弁護士法人あいち刑事事件総合法律事務所東京支部が、刑事事件の視点から検討を加えました。
このような問題については、
・情報管理者に対する責任(前記でいう、内部としての問題)
・顧客に対する責任
に二分して考えることができます。
特に、目に見えない“情報”という比較的新しい概念を法律で扱う以上、規定が一層複雑になっている部分もあります。
情報の流出、漏洩、流用の問題についてお困りのことがある方や不安なことがある方は、まずは弁護士法人あいち刑事事件総合法律事務所へご相談ください。
ご相談・ご予約に関するお問い合わせは、24時間365日受付中の弊所フリーダイヤル(0120-631-881)にてお待ちしております。