経営法務ニュースVol.14(2022年8月号)
【はじめに】
鴻和法律事務所 弁護士・中小企業診断士 壹岐晋大のメールニュースです。
- 今回の記事
-
- 経営法務TOPICS尼崎市USBメモリ紛失事件から学ぶ個人情報の漏洩とは
- TOPICS(雑談)コロナ禍の裁判について〈裁判しても一回も裁判所に行かない?〉
経営法務TOPICS尼崎市USBメモリ紛失事件から学ぶ個人情報の漏洩
6月に尼崎市で発生した個人情報を含むUSBメモリーが紛失した事件
USBメモリーの中には、尼崎市46万人全市民の個人情報が含まれていたことや、市の関与しないところで再委託がなされ、その社員が泥酔した上で紛失したなどいった事情も大きく注目されました。
大量の個人情報を持ち運ぶ事自体は避けるべきですが、この事件から個人情報漏洩について知っておくべきポイント3つを解説します。
①特定できなければ漏洩じゃない?
「個人情報は、個人を識別することのできる情報だ! 漏洩した情報だけで個人の情報と特定できないものは、個人情報の漏洩とはいえない!」 と理解されている方がいますが、これは明らかな誤りです。
例えば、とある会社で以下のような顧客データベースを保有していたとします。
そのなかの下記部分だけがコピーされているUSBメモリが紛失してしまったとします。
この情報の紛失は、「個人情報の漏洩」になるのでしょうか。
見て分かる通り、この情報だけでは、誰の情報か全くわかりません。
個人情報保護法は、個人情報について、その情報単体で個人を識別できるもののみならず、 「他の情報と容易に照合することができ、それにより特定の個人と識別することができる」 ものも含まれるとしています。
事業者自身がデータベースを管理している場合には、2021年7月1日が最終取引日で趣味がゴルフは、壹岐晋大という特定の個人を特定し、識別できるため、「容易に照合できる」ことになります。
つまり、この情報も「個人情報」という扱いになり、これが紛失した場合、個人情報が漏洩したことになります。
この点は勘違いされがちなので、注意が必要です。
個人情報の漏洩となった場合、個人情報委員会への報告や、漏洩した個人に対する通知などが義務化されている関係で対応が必要になります(全ての情報漏えいに義務付けられているわけではないですが、要件は省略します。)。
②パスワードを設定していれば漏洩じゃない?
上記で紛失したUSBメモリには、開くためのパスワードが設定されていました。
記者会見でパスワードが何桁だとか言ってしまう尼崎市担当者のセキュリティレベルにはかなり疑問がありますが、通常はパスワードを設定されていればすぐに開くことはできません。
この場合、漏洩してないと言えるのでしょうか。報告義務などは必要ないのでしょうか。
個人情報保護法では、個人情報(データ)について「高度な暗号化」がされている場合には、報告義務などが除外されています。
では、ここでいう「高度な暗号化」とはどのようなものなのでしょうか。
個人情報保護委員会のQ&Aが参考になります。
これをみる限り、単に「パスワードを設定している」といったレベルでは、ここでいう「高度な暗号化」には該当しない可能性が高いです。
③紛失後すぐにデータが発見できた場合は漏洩じゃない?
今回の尼崎市の事案では、USBが後日マンションの敷地内から発見されたと報道されました。
報道では「情報流出は確認されていない」とのことでしたが、このような場合には漏洩には該当しないのでしょうか。
個人情報保護法上は、第三者に個人データ書類を誤送付したケースで、未開封のまま回収された場合や、データがシステム上第三者が閲覧可能になってしまったケースで、閲覧不可能へ対応するまでの間に第三者が閲覧していないことがアクセスログなどから確認された場合は、「漏洩」には該当しないとされています。
尼崎の事案は情報流出は確認されていないとのことでしたが、アクセスしていたかどうかは不明であるため、誰も閲覧していないという確認ができない以上、漏洩(又は漏洩のおそれ)に該当する可能性があるでしょう。
例えば、ノートPCやタブレットなどの場合、紛失が発覚した際に、そのデバイスからアクセスを禁止するなどの措置をとることで、紛失しても漏洩にならない場合もあります。
そのようなシステム上の措置をとることも有効な対応になります。
また、そもそも紛失した際には、その従業員に早急に報告してもらう意識付け、制度づくりも重要です。
TOPICS(雑談)コロナ禍の裁判について〈裁判しても一回も裁判所に行かない?〉
顧問先等の裁判事件を受任することも多いですが、コロナ禍において、裁判所でもWEBで期日が開催されることが多くなりました。
基本的には裁判では、原告側(訴訟提起する側)は、第一回期日に出頭することが必須でした。
二回目以降は、代理人が遠方の場合、事務所から電話で裁判に参加することができました。
被告側は、第一回期日は答弁書を提出すれば、欠席することができます(擬制陳述といいます。)。
通常、第一回期日は被告側の日程調整をせずに指定されるため、そのような扱いになっています。
そのため、準備期間が短い被告代理人から出される答弁書はとりあえず、「請求は認めない、実質的な反論は次回までにする」 という簡素な内容のものが多いです。
となると、第一回期日では、以下のように中身のない簡単な手続になります。
このくらいの1分もかからない程度のやり取りで終わるのも通常です。
さて話を戻します。
基本的に原告は第一回期日には出頭することが必須です。
福岡地方裁判所ならよいですが、遠方の裁判所の場合この1分程度のやりとりのために、片道数時間、遠い場合は前乗りして行くなんてこともあります。
これは代理人にとっても負担ですし、この費用を負担する依頼者にも負担となります。
しかし、コロナ禍になり、裁判期日もWEBで開かれるようになりました(現在はMicrosoftのTeamsが使われています)。
そこで第一回期日までに原告、被告双方に代理人が付けば、第一回期日は取消し、延期した上で、WEB期日で開くということができるようになりました。
つまり、原告代理人としても無駄な第一回期日への出頭がなくなります。
尋問をしなければならない事案はどうしても出頭する必要がありますが、尋問がなければ事務所で対応することで裁判が完結することになります。
2年近く東京地方裁判所で争っていた事案も一度も東京に行くことがなく終わりましたし、最近訴訟提起した関西の事案も第1回期日出張は不要となりました。
関西の案件は、裁判所が片道4時間かかる場所にあったので、非常に助かりました。
なお、裁判の移動が無くなったのだから、契約書チェックの回答ももう少しで早くできるのでは?という意見などはお受けしていません。