企業はそのビジネス活動を推進するに際して、法令や社内規則に違反してはならない。法令に基づいて企業の社内規則が策定されるが、企業によっては法令以上の厳格な行動ルールを決めているケースもある。法令や社内規則を守ることをコンプライアンス（法令順守）と呼び、それらを守らないことをコンプライアンス違反として処罰規定を設けている。

個人情報の安全な管理は「個人情報保護法」によって企業に義務付けられているので、法律で決めている個人情報の濫用禁止（個人情報収集に対する同意手続きや目的外使用の制限など）を社内規則にも取り込んでいるところが多い。

また、個人情報保護法では、法令に触れる流出事案が発生した場合には、監督機関への届け出義務などを規定しているので、世間に公表するかどうかはともかくとして、社内に秘匿し続けることはできないことになっている。社内規則にはコンプライアンスを取り込んで、法令順守を経営者や社員に義務付けているので、少なくとも監督機関への届け出は行わなければならない。しかし、流出事件が相当程度発生していると推測されるにも関わらず、必ずしも届け出数が多いとは思われない。日経新聞の調査から、情報流出事件について「公表」に消極的な姿勢が目立っていることから、監督機関に対して届け出るという手続きも行われていないように察しられる。

よく混同されるが、法令順守は企業の「管理義務」である。違反した場合には、違法行為をした個人ではなく、直接には企業が罰せられる。または違法行為をした個人ではなく、企業の管理責任者が「管理義務を果たさなかった」として法令によって処罰される。企業としては業務停止や罰金、違反事実の公表などのペナルティが課せられるのが普通である。こうした事態になれば、企業価値を損じたとして、株主が経営者に訴訟を起こす、という形で処罰の連鎖がある。

直接個人が処罰されるケースもあるが、個人は社内規則で処罰されるのが筋で、仮に法令で処罰されるとしても別の法令であることがほとんどである。たとえば、セクシュアルハラスメントの訴訟では、被害者は「管理義務を果たさなかった」として、企業を相手に訴訟を起こす。訴訟の結果によって損害賠償を被害者に支払うのは企業である。ハラスメント行為者個人は法令ではなく、就業規則で処分される。管理責任者も処分される。ハラスメント当事者は、行為が甚だしい場合は法令によって「わいせつ罪」として処罰されることもあるが、これはハラスメントの社内規制とは別である。

個人情報保護についても法令では、、罰則は企業に対して行われ、個人としては企業を代表して管理責任者が処罰の対象になる。従業員が故意に流出させたとしても、当事者は、個人情報保護法ではなく、窃盗や不正競争防止法など別の法令で処分を受ける。

「企業コンプライアンス」は企業経営者や従業員が、社内規則として法令順守をするように規定されたものである。それは経営者や従業員の行動を規定したもので、違反については社内規則で処分される。「日本版ＳＯＸ法」の内容も含む「金融商品取引法」では、株主のものである企業価値を守るために内部統制のルールを明確化することを求めているが、企業、経営者、従業員の法令順守もその重要な目標である。

個人情報の流出が起こらないような企業コンプライアンス体制作りが重要であるが、さらに、流出事件が起きた時に、どのような対応措置をとるか、リスク管理の一環としても、十分に検討しておく必要がある。流出事件は「万一」ではなく、頻繁に起こる日常的な事件になってしまった。


【筆者＝JAPiCO理事長　中島洋】
＊本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
＊Japan Foundation for Private Information Conservation Organization