情報漏えい問題に関する危機対応を支援する者として、最近の記事から勉強になったものを2つご紹介します。
ひとつは昨年12月13日の日経ビジネスWEB「リクナビ問題、社名非公表だった1社が明かす契約・利用の実態」。政府の個人情報保護委員会は、リクナビ問題において、リクルートキャリア社と契約していた37社中34社の社名公表に至りましたが、3社については社名公表を控えました。
その1社である三井住友銀行が、日経ビジネスの取材に応じて、サービス利用の実態を明かした記事です。社名公表と非公表を分けた要因はどこにあったのか、その取材結果は意見にわたる部分も含めて説得力がありました。
そしてもうひとつが昨年12月28日の読売オンラインニュース「HDD流出対策、区施設でデータ消去完結…専用ソフト活用」(※編集部注・リンク先は会員のみ)。神奈川県の行政文書情報流出問題がいままた新たに市民の不安を生じさせるような事態に至っておりますが(発見された18個のHDD以外にも、まだ転売されたHDDが存在することが判明)、世田谷区の不要PCの処分の過程における個人情報データの徹底した管理の状況が紹介されています。
2つの事件は異なるものですが、いずれも「個人情報保護のために、最低限これだけはやらねばならない」という「善管注意義務」の視点ではなく、「個人情報を預けている者からすれば、これだけはやってほしいと期待していることに対応する」という「信認義務」の視点で行動しているところに共通点があります。
世田谷区の例は平時の取り組みに関するものですが、三井住友銀行の例はリクルートキャリアとのやり取りの中で「契約解除」という判断を行った点で有事の取り組みにも通じるところがあります。
組織の法的責任ということではなく、レピュテーションリスクから組織を守る、という意味においては「担当者の想像力と決断力が必要」です。国内外を含めて、今年は個人情報保護法の改正や新法の施行に目が向きがちですが、コンプライアンスの視点からは、他社にも参考になるところが多いと思い、ご紹介した次第です。
山口 利昭 山口利昭法律事務所代表弁護士
大阪大学法学部卒業。大阪弁護士会所属(1990年登録 42期)。IPO支援、内部統制システム構築支援、企業会計関連、コンプライアンス体制整備、不正検査業務、独立第三者委員会委員、社外取締役、社外監査役、内部通報制度における外部窓口業務など数々の企業法務を手がける。ニッセンホールディングス、大東建託株式会社、大阪大学ベンチャーキャピタル株式会社の社外監査役を歴任。大阪メトロ(大阪市高速電気軌道株式会社)社外監査役(2018年4月~)。事務所HP
編集部より:この記事は、弁護士、山口利昭氏のブログ 2020年1月6日の記事を転載させていただきました。オリジナル原稿をお読みになりたい方は、山口氏のブログ「ビジネス法務の部屋」をご覧ください。