SHARE
TWEET

Untitled

a guest Jun 20th, 2019 85 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. 『法律家のための行政手続ハンドブック 類型別行政事件の解決指針』
  2. P234-236
  3. ⅩⅤ 情報漏えい事件に関する行政手続
  4. 1 情報漏えい事件の増加
  5.  企業の情報漏えいが騒がれて久しい。記憶に新しいものとしては、日本年金機構や株式会社ベネッセコーポレーションにおける個人情報の漏えい事件が挙げられる。平成29年3月27日付株式会社商工リサーチ「上場企業の個人情報漏えい、紛失事故」調査によれば、平成24年から平成28年の5年間で上場企業と主要子会社で個人情報の漏漏洩・紛失事故を公表した企業は259社、事故件数は424社に上った。漏えいした可能性のある個人情報は累計で最大7,545万人分に及び、これは日本の人口の2人に1人の割合に匹敵する。
  6.  事故件数に比して漏洩した個人情報の数が多いのは、企業が個人情報をデータとして管理されていたこともその原因であったと考えられる。
  7.  すなわち、企業としては、顧客情報を紙媒体ではなくデータとして管理することで、大量の情報を、小規模な保管スペースで管理でき、また、データベース化することで、一瞬で検索できるという大きなメリットがある反面、漏えいするときには、一瞬で大量の個人情報が漏えいするというリスクが存する。
  8.  そして、個人情報が漏えいした場合の損害は甚大なものとなる。平成26年6月に発生した株式会社ベネッセコーポレーションにおける個人情報漏えい事案では、個人情報が漏えいしたとされる全国の顧客からベネッセに対して損害賠償請求訴訟が提訴されるに至っている。
  9.  現在、顧客情報をデータとして管理していることが一般的であることから、ほとんどすべての企業において、大規模な情報漏えい事件が起き得る状況にある。
  10.  
  11. 2 個人情報保護委員
  12.  個人情報の取扱いについて定めた法律は個人情報保護法であり、個人情報の適正な取り扱いの確保を図ることを任務として個人情報保護委員会が設置されている(個人情報保護法59条)。
  13.  個人情報保護委員会は、個人情報取扱事業者に対して、報告及び立入検査権を有し(個人情報保護法40条)、指導・助言(同法41条)及び勧告・命令(同法42条)をする権限を有する。
  14.  かかる権限を有する個人情報保護委員会への対応は行政事件としての対応に他ならない。
  15.  
  16. 3 個人情報漏えい事案における個人情報保護委員会の対応
  17.  上記のとおり、個人情報保護委員会は、個人情報取扱事業者に対する監督権限を有するが、それが最も顕在化するのは、情報漏えいが発覚した場合である。
  18.  すなわち、情報漏えい時において初めて企業の情報管理体制(及びその不備)が明らかとなるため、監督権限の行使の契機となる。
  19.  具体的には、個人情報が漏えいした場合において、「個人データの漏えい等の事案が発生した場合の対応について」(平成29年個人情報保護委員会告示第1号)は以下の手続を取ることを定める。
  20. ①事業者内部における報告及び被害の拡大防止
  21.  責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時より拡大しないよう必要な措置を講ずる。
  22. ②事案関係の調査及び原因の究明
  23.  漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。
  24. ③影響範囲の特定
  25.  上記②で把握した事実関係による影響の範囲を特定する。
  26. ④再発防止策の検討及び実施
  27.  上記②の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を速やかに講ずる。
  28. ⑤影響を受ける可能性のある本人への連絡等
  29.  漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く。
  30. ⑥事実関係及び再発防止策等の公表
  31.  漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表する。
  32. ⑦個人情報保護委員会等への報告
  33.  個人情報取扱事業者は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、個人情報保護委員会等に対し、速やかに報告するよう努めなければならない。
  34.  
  35. 4 弁護士の役割
  36.  個人情報が漏えいした場合、個人情報保護委員会を意識した対応が必要となる。
  37.  すなわち、個人情報が漏えいした場合、原則として個人情報保護委員会への報告が必要となるが、これは漏えい事案の概要を一回だけ事後報告すれば足りるというものではなく、再発防止策の策定及びその実施状況も含めた継続的報告が必要となる。また、その報告内容や再発防止策の内容に不備があると、同委員会から指摘を受けることがある。そして、個人情報保護委員会が、報告の有無、時期または内容が十分ではないと判断した場合、立入検査、つまり、「職員に、当該個人情報取扱事業者等の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させる」(個人情報保護法40条1項)権限を行使し、ひいては不利益処分としての命令(同法42条3項)を発することとなる。なお、この命令に違反した場合、6月以下の懲役又は30万円以下の罰金という罰則も規定されている(同法84条)。
  38.  こうした行政処分を受けると、それ自体が不利益な効果が生ずることは当然として、個人情報が漏えいした個人から損害賠償請求の行使を受けるリスクが高まる。
  39.  したがって、上記のような法的リスクを考慮のうえ、適切に事後対応を進めるべく、弁護士が情報漏えいの初期段階から関わることが重要となるのである。
  40. [山岡 裕明]
RAW Paste Data
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy. OK, I Understand
 
Top