第38回 個人情報流出の処罰対象
個人情報流出事件の際に、率直な疑問として、個人情報を盗まれた企業が謝罪し、罰を受けるのは理不尽ではないか、という思いが湧いてくる。個人情報を盗まれたのは「被害者」ではないのか。「被害者」がなぜ、謝罪し、罰を受けなければならないのか、という感想である。
しかし、従来の一般の常識と、高度に発達した情報社会の常識には大きな違いが生まれてきたことを十分に理解しておく必要がある。情報社会には新しいルールが登場している。それが情報を盗まれた企業が罰を受ける仕組みである。企業は情報を安全に管理する責任を負っているのに、それを果たさなかった、という「管理者義務違反」の罪である。個人情報の持ち主である個人個人がこの事件の被害者ということになる。情報を盗んだ者に対して、無断複製して盗み出したことを直接に処罰する規定はない。そこで、今回のケースでも、秘密にしていた企業情報を持ち出して、ベネッセが行う事業の営業を妨害したという「不正競争防止法」という間接的な罪状で罪に問わざるを得ないのである。情報を盗みだしたこと対しての直接の加害者ではないのである。
この奇妙な状況になったのは「情報窃盗」という考え方が成り立ちにくいというのが原因の1つである。単純に「情報を盗む者が犯罪者」なのだから、「盗んだ者を処罰対象にして、盗まれた者を被害者とする」。こうできれば簡単だ。こういう構造ならば、ベネッセの個人情報流出も、加害者はデータベースから情報ファイルを複製して、名簿業者に売った「派遣社員」で、被害者はベネッセということになる。ただ、いろいろな議論を経て「情報窃盗罪」は制定が困難である、という結論になった。
従来の社会なら、「モノ(財)」を盗み出すと、元の持ち主のところからなくなってしまう。盗んだ者の手元に移り、それからどこかに移動してゆくことになる。モノがなくなった人は被害者である。しかし、「情報」は複製して盗み出しても、元の持ち主のところからなくならない。それだけでは「被害」と言えるのかどうか。
そもそも窃盗とは何か。ある情報ファイルをみて、暗記したものも、窃盗と言えるのか。スマホで撮影したら窃盗と言えるのか。USBメモリーにコピーをしたら窃盗なのか。ネットワークから攻撃してセキュリティーを突破して入り込んでコピーするのを窃盗というのか。まったく別のケースで、電車の隣の席で手帳を広げているのを覗き見るのは「情報窃盗」なのか。結論から言うと、犯罪と規定するような厳密な理屈が成立しにくい。
そこで、情報を管理する側に責任を負わせた。無断でコピーされたくない情報を管理するのは、情報の管理者の責任である、ということにした。企業は大切な情報を盗まれないように、しっかりとカギをかけて保管する義務がある。個人顧客ファイルや従業員データファイルなどの個人情報もしっかりとカギをかけて保管する義務がある。企業として情報を管理する仕組みを構築し、状況の変化に応じて対応できるように定期的に見直し、不適切な情報の利用や流出が起こらないように管理する。それが個人情報を収集し、活用する企業の「管理責任」なのである。管理に失敗し、情報が流出すれば「管理者義務違反」という犯罪になるのである。企業の個人情報管理責任者は、最高で10年の懲役、1000万円以下の罰金刑に処せられる。刑罰が重いのは、責任が大きいからである。
そうした企業の体制づくりを支援する仕組みとして、JISQ15001の規格があり、それに適合していることを認証する当協会(日本個人情報管理協会)のJAPiCOマークや日本情報経済社会推進協会(JIPDEC)のプライバシーマーク(Pマーク)の付与制度がある。
また、仕組みだけでは十分に機能しない可能性もあるので、企業を支える個人個人の「情報保護リテラシー」を高めるために、JAPiCOでは個人情報管理士の制度を設けて個人の能力向上、意識の向上を目指した資格取得を勧めている。
個人でもそうである。個人が収集し、利用している個人情報は自分で守らなければならない。高度に発達した情報社会では、それに対応した社会的知識を持たなければならない。
【筆者=JAPiCO理事長 中島洋】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization
しかし、従来の一般の常識と、高度に発達した情報社会の常識には大きな違いが生まれてきたことを十分に理解しておく必要がある。情報社会には新しいルールが登場している。それが情報を盗まれた企業が罰を受ける仕組みである。企業は情報を安全に管理する責任を負っているのに、それを果たさなかった、という「管理者義務違反」の罪である。個人情報の持ち主である個人個人がこの事件の被害者ということになる。情報を盗んだ者に対して、無断複製して盗み出したことを直接に処罰する規定はない。そこで、今回のケースでも、秘密にしていた企業情報を持ち出して、ベネッセが行う事業の営業を妨害したという「不正競争防止法」という間接的な罪状で罪に問わざるを得ないのである。情報を盗みだしたこと対しての直接の加害者ではないのである。
この奇妙な状況になったのは「情報窃盗」という考え方が成り立ちにくいというのが原因の1つである。単純に「情報を盗む者が犯罪者」なのだから、「盗んだ者を処罰対象にして、盗まれた者を被害者とする」。こうできれば簡単だ。こういう構造ならば、ベネッセの個人情報流出も、加害者はデータベースから情報ファイルを複製して、名簿業者に売った「派遣社員」で、被害者はベネッセということになる。ただ、いろいろな議論を経て「情報窃盗罪」は制定が困難である、という結論になった。
従来の社会なら、「モノ(財)」を盗み出すと、元の持ち主のところからなくなってしまう。盗んだ者の手元に移り、それからどこかに移動してゆくことになる。モノがなくなった人は被害者である。しかし、「情報」は複製して盗み出しても、元の持ち主のところからなくならない。それだけでは「被害」と言えるのかどうか。
そもそも窃盗とは何か。ある情報ファイルをみて、暗記したものも、窃盗と言えるのか。スマホで撮影したら窃盗と言えるのか。USBメモリーにコピーをしたら窃盗なのか。ネットワークから攻撃してセキュリティーを突破して入り込んでコピーするのを窃盗というのか。まったく別のケースで、電車の隣の席で手帳を広げているのを覗き見るのは「情報窃盗」なのか。結論から言うと、犯罪と規定するような厳密な理屈が成立しにくい。
そこで、情報を管理する側に責任を負わせた。無断でコピーされたくない情報を管理するのは、情報の管理者の責任である、ということにした。企業は大切な情報を盗まれないように、しっかりとカギをかけて保管する義務がある。個人顧客ファイルや従業員データファイルなどの個人情報もしっかりとカギをかけて保管する義務がある。企業として情報を管理する仕組みを構築し、状況の変化に応じて対応できるように定期的に見直し、不適切な情報の利用や流出が起こらないように管理する。それが個人情報を収集し、活用する企業の「管理責任」なのである。管理に失敗し、情報が流出すれば「管理者義務違反」という犯罪になるのである。企業の個人情報管理責任者は、最高で10年の懲役、1000万円以下の罰金刑に処せられる。刑罰が重いのは、責任が大きいからである。
そうした企業の体制づくりを支援する仕組みとして、JISQ15001の規格があり、それに適合していることを認証する当協会(日本個人情報管理協会)のJAPiCOマークや日本情報経済社会推進協会(JIPDEC)のプライバシーマーク(Pマーク)の付与制度がある。
また、仕組みだけでは十分に機能しない可能性もあるので、企業を支える個人個人の「情報保護リテラシー」を高めるために、JAPiCOでは個人情報管理士の制度を設けて個人の能力向上、意識の向上を目指した資格取得を勧めている。
個人でもそうである。個人が収集し、利用している個人情報は自分で守らなければならない。高度に発達した情報社会では、それに対応した社会的知識を持たなければならない。
【筆者=JAPiCO理事長 中島洋】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization