丸の内中央法律事務所 Marunouchi-Chuo Law Office

メニューメニュー
HOME
  • 事務所概要
  • 企業の皆様へ
  • 個人の皆様
  • 弁護士費用
  • ご利用方法
  • 所属弁護士

弁護士コラム・論文・エッセイ

弁護士コラム・論文・エッセイ

ホーム弁護士コラム・論文・エッセイ山本弁護士著作 一覧 > コンプライアンスの実践に向けて
イメージ

山本弁護士著作 詳細

一覧はこちら
弁護士 山本 昌平

2014年08月01日

コンプライアンスの実践に向けて

(丸の内中央法律事務所報№25, 2014.8.1)

□ 今回のテーマは、平成26年7月に発覚した株式会社ベネッセコーポレーション(以下「ベネッセ」といいます)の顧客情報が外部に漏えいした事件を題材に、コンプライアンスの実践のための対策について、改めて考察したいと存じます。

□事件の概要

 株式会社ベネッセホールディングス(以下「ベネッセHD」といいます)とベネッセが公表した内容(HP)や報道されているところによりますと、平成26年7月23日段階で、ベネッセが提供している通信教育サービス(こどもちゃれんじ、進研ゼミ等)等26のサービスや通販サイトの顧客等の情報が少なくとも2300万件が漏洩したとのことです。漏洩した情報は、現在のところ、①郵便番号、②顧客(子どもと保護者)の氏名、③住所、④電話番号(固定電話または携帯電話)、⑤子どもの生年月日、性別、⑥出産予定日(一部の利用者)、メールアドレス(一部の利用者)という基本情報です。この漏洩に対し、ベネッセは、当初金銭的補償はしないとしていましたが、社会的な批判を浴びるなどして200億円の補償をするという方針に転換しました。しかし、今後、被害の拡大に伴い、さらに補償額が拡大するものと予想されます。

 漏洩した原因は、ベネッセがベネッセHDの子会社である株式会社シンフォーム(以下「シンフォーム」といいます)に顧客データの管理を委託し、さらにシンフォームは複数の外部業者に再委託し、そのうちの1社でシステムエンジニアとしてシンフォームに派遣され顧客管理をしていた者(以下「SE」といいます)が、与えられていた自己のIDを使用して、ベネッセの顧客データベースにアクセスして、スマートフォンを介してデータを外部に持ち出したこととされております。この件で、ベネッセはこのSEを刑事告訴し、SEは、警視庁から不正競争防止法違反(営業秘密の複製)の疑いで逮捕され、今後、刑事責任が追及されることになります。

□ ベネッセは、進研ゼミなど通信講座に力を入れ、未就学児を含め膨大な数の未成年者の情報を管理していますことから、当然、個人情報の管理も厳格にしていたと思います。実際、ベネッセによりますと、シンフォームは、情報セキュリティマネージメントシステムを取得しており、個人情報の取り扱いも社員教育を行い、各組織に個人情報責任者を設置するなど運用ルールの徹底を図っている上、定期的な外部監査も受け、プライバシーマークも取得しているとのことです(ベネッセHPより)。

 このようにベネッセとしては、個人情報の管理については、それなりの対策をとってきたといえます。

 しかし、今回は、再委託先から派遣されていたSEによる不正行為を防ぐことはできませんでした。個人情報の漏洩については、過去にもローソン、ソフトバンク、三菱UFJ証券などの事件が記憶に新しいところです。

□ 個人情報が漏えいするケースでは、原因別に大きく2つに分けることができます。内部が原因のものと、外部が原因のものです。そのうち、内部が原因のものは、①データの誤送信など担当者等の操作の誤り、②紛失、③関係者の持ち出しであり、外部が原因のものは、④ウイルス感染、⑤海外等からの不正アクセスです。上記の三菱UFJ証券の事件では、権限ある部長による内部からの持ち出しで③に分類できます。今回のベネッセの事件も、③に位置づけられるかと思います。この③の関係者の持ち出しは、いわば内部犯行であるだけに対策が最も難しいといえます。

□ コンプライアンスの対策としては、①相互牽制機能の構築という組織的な体制作りと、②関係者の倫理観・責任感の醸成が重要となりますが、組織的な体制作りとしては、権限ある者は権限を濫用するおそれがあるという思想の下に制度設計をしなければなりません。大王製紙事件では、トップが暴走した場合、それをストップする仕組みがなく、被害を拡大させました。ベネッセの事件も、通信教育という顧客の情報を生命線とする企業としては、スマートフォン等の携帯端末を顧客データを保管している執務場所に持ち込ませないことを徹底したり、端末の種類や方法態様を問わず、顧客データを保管しているコンピューターとの接続を禁止したり外部へのデータ移転を禁じる措置をとっておけば、ここまで被害は拡大しなかったと思います。

□ また、①とともに車の両輪として②の倫理観・責任感の醸成も極めて重要です。どんなに立派な相互牽制機能をもった仕組みを構築したとしても、不祥事を完全に抑え込むことはできません。最後は、行為者の倫理観、責任感によっているのです。①の相互牽制機能の体制作りをハード面としますと、②の倫理観の醸成は、ソフト面ともいえます。ベネッセの事件では、当該SEはギャンブルで作った借金や妻の入院費に困って顧客データを名簿業者に持ち込み少なくとも数百万円の利益を得たと報道されております。少子高齢化の我が国においては、これから成長していく子どもの情報は高値で取引されているとのことです。ベネッセグループにおいては、子どもの情報が企業活動の生命線ですから、外部に流出した場合に顧客やベネッセが被る被害の大きさ(流出・拡散した個人情報の回収は事実上不可能です。ベネッセには現段階でも200億円以上の損害が見込まれます)や社会的影響ははかり知れません。当該SEが少しでもこの点に思いを寄せたり、自分が担当している業務が、ベネッセにとってどのような意義を有し、どのように役立っているのかという点を正確に理解していたならば、別の結果になっていたかもしれません。その点で、派遣等非正規雇用を含む当該企業や組織の運営にかかわっている者すべてに対し、当該企業や組織のもつ社会的意義・役割や社会的責任を含め健全な倫理観・責任感を醸成することも、コンプライアンスにとっては欠かせない対策なのです。そのためには、風通しのよい組織作りが鍵となります。たとえば、座学による一方通行の倫理研修等だけではなく、ケーススタディ等を通じ互いに率直に解決策を検討しあう場を設けるなど、主体的に取り組める工夫をしたり、個人の悩みについてもできるだけ気軽に相談し易い環境作りや相談者の状況に応じて専門家を紹介する体制を整備するなど、心のケアに対する対策も欠かせません。いわゆる飲みゅにけーしょんを含め、現場の不平や不満を吸い上げていく場を作り、組織として解決していく姿勢が重要です。

□ 今後、刑事裁判がはじまり、またベネッセ自身も調査委員会を設けて調査を進めているとのことですので、さらに真相が明らかになっていくと思いますが、今回の事件や平成25年12月に発生したアクリフーズ農薬混入事件などを踏まえますと、内部犯行を防ぐには、監視体制を強化し相互牽制機能の体制作りを万全にすることに加え、業務に従事する者の心理面のケアに配慮し、ひとりひとりを孤立させず、企業や組織全体でフォローしていく姿勢が特に大切となります。

 その意味で、コンプライアンスの実践は、これで十分というものはなく、不断に見直しながら粘り強く地道に継続していくものといえます。

 最後までお読みいただきまして、ありがとうございました。

                              

一覧はこちら
ページトップ