個人情報:名刺データの不正提供!?
本稿のねらい
2023年9月15日、「名刺データベース、転職先に不正提供か」という記事(本記事)を見つけた。
本記事の内容も専門家の視点から見ると誤りが散見されるが、やはり誤解しやすい点は皆同じだと改めて実感した次第である。あるいは、誤解が多い読者向けに迎合したのかもしれないが、ここでは無意識に記者が誤ったということにする。
ちなみに、こちらの記事(別記事①)では特段誤りは見受けられなかった。
また、本記事の事案(本事案)では個人情報データベース等の不正提供にかかる罪などで被疑者が逮捕されたとのことであり、この逮捕に関して、近年増加していたように思われる不正競争防止法上の「営業秘密」の取得・開示等にかかる罪や不正アクセス禁止法上の「不正アクセス」にかかる罪も被疑事実となっているかどうかは不明である。(再逮捕はあり得る)
さらに、本事案は、本記事や別記事①に記載されているところによれば、被疑者の転職先の同僚に元勤務先のシステムのログイン情報(ID/PW)を伝えたことが被疑事実となっているとのことであり、例のB社の個人情報流出事件のようにMTP対応のスマートフォンを用いてデータが転送された、いかにもな「不正提供」の事案と異なり、これをもって個人情報データベース等の「不正提供」といえるのか疑問に思う向きも少なくないと思われる。
そこで、本稿では、まず本記事における誤解がある部分を糺し、その後、本事案の検討を行ってみたい(とはいっても事実がほとんど出ていないから表面的な検討にならざるを得ないが)。
本記事の誤解
筆者が見たところ、本記事には法的な誤解が3点ある。
(1) 個人情報/個人データベース等
本記事によると、本事案の被疑者は、元勤務先のシステム内の「個人情報」を転職先の同僚に共有したことを理由に個人情報保護法違反などの疑いで逮捕されたとのことである。
勤務先だった人材派遣会社の名刺情報管理システムにアクセス可能なIDやパスワードを転職先の同僚に共有してシステム内の個人情報を提供したとして、警視庁は15日までに、会社員(中略)を個人情報保護法違反(不正提供)などの疑いで逮捕した。
しかし、個人情報保護法のうち、民間の事業者等につき不正提供に関して罰則があるのは、「個人情報データベース等」の不正提供のみである(同法第179条)。「データベース提供罪」とも呼ばれている。
このデータベース提供罪は、2015(平成27)年改正の際に創設されたものであり、上記2014年に発生したB社の個人情報流出事件が一つの契機となっている(谷澤光「個人情報の保護と有用性の確保に関する制度改正― 個人情報保護法及び番号利用法の一部を改正する法律案 ― 」8頁)。
データベース提供罪は、次のとおりの内容である。
第179条
個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。中略)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処する。
わかりやすくまとめると次のとおりである。
主体:個人情報取扱事業者
【法人】現役の役職員・以前の役職員
行為:提供又は盗用
対象:業務に関して取り扱った個人情報データベース等
目的:自己又は第三者の不正な利益を図る目的
以上のとおり、不正に提供される対象は、個人情報ではなく個人情報データベース等である。
(2) 個人情報データベース等
本記事によると、氏名・生年月日・メールアドレスのような個人情報の「集合物」が「個人情報データベース等」と定義されているとのことである。
こうした個人情報の集合物は同法で「個人情報データベース等」と定義され、不正な利益を得る目的で提供する行為を禁止している。
しかし、個人情報の集合物が直ちに「個人情報データベース等」に該当するわけではない。
例えば、紙の名刺それ自体は通常個人情報として扱われているが、それを集めたファイル(よく名刺をカードファイル等にストックしている人がいるが、アレである)がすべて「個人情報データベース等」に該当するかというとそうではない。
この点、個人情報保護法上、「個人情報データベース等」とは、次のようなものをいう。
(定義)
第16条 この章及び第8章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
おそらく、本記事は、個人情報保護法第16条本文の前半部分のみをもって定義しているが、個人情報等情報の集合物であることに加え、それを、①電子計算機(パソコン等)又は②目次や索引等により、検索できるよう体系的に構成したもののみが「個人情報データベース等」に該当する。
別記事①は「同法は、名刺の情報を検索できるように入力・整理している場合は『個人情報データベース』に該当すると規定」とほぼ正確に記載している。
そのため、上記の例でいえば、もし紙の名刺の集合物が五十音順等のインデックスが付けられた状態でファイルされていれば、紙ではあるものの「個人情報データベース等」となる。紙の場合、ここでいう「等」に該当する。
【個人情報データベース等に該当する事例】
事例4)人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合
(3) 個人情報(メールアドレス)
本記事には次のような記載がある。
個人情報保護法は氏名や生年月日といった特定の個人を識別できる情報を「個人情報」と定義している。氏名をアルファベットで表記したメールアドレスも個人情報とみなされる。
本記事がなぜ「氏名をアルファベットで表記したメールアドレスも個人情報とみなされる」と記載したのかは不明だが、本事案で不正提供された名刺情報の中にメールアドレスがあり、そこには氏名がアルファベットで付されたものがあったということかもしれない。
しかし、氏名をアルファベットで表記したメールアドレスが全て個人情報とみなされるわけではない。
この点、個人情報保護法は「個人情報」を次のように定義している。
(定義)
第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 (略)
個人情報保護法第2条第1項第1号によれば、個人情報の要件は、次の3点である。
生存する個人に関する情報であること
氏名・生年月日等の情報であること
上記2の情報により、特定の個人を識別することができること(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなることを含む)
ここで一番の謎である「特定の個人を識別することができる」とはどういうことかについては、次のように説明されている。
「特定の個人を識別することができる」とは、社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物と情報との間に同一性を認めるに至ることができることをいいます。
これは、a1、a2、a3…という情報を認識した一般人であれば、「具体的な人物」であるAという人物を思い浮かべることができる程度が必要ということである。いや、むしろ、反対に、「具体的な人物」であるAという人物を思い浮かべるためには、最低、どこまでの情報が必要かということもできる。
大変恐縮だが、「山田太郎(やまだたろう)」という人がいたとして、氏名だけでは同姓同名の人が大勢いる(むしろいない?)ため、「具体的な人物」として思い浮かべることが難しい。
氏名に加えて、住所や生年月日が追加されると、さすがに同じ「山田太郎」は存在せず(生年月日までならともかく住所も同じというのは極めて稀でありその可能性は無視する)、「具体的な人物」である「山田太郎」と同定できる。
では、単なるメールアドレスはどうだろうか。仮にそのメールアドレスにアルファベットで氏名が表記されていたとして、わかるのは氏名の読みの部分のみである。「taro.yamadaアット~~~.com」の場合、漢字もわからないし、上記のとおり氏名だけわかったところで「具体的な人物」と同定できないため、個人情報の要件3をクリアせず、それは個人情報ではない。
なお、ドメイン部分が会社名になっているような場合、つまり、example社という会社があったとして、「taro.yamadaアットexample.com」の場合、example.comのドメインを使うexample社のやまだたろうであることがわかり、これは「具体的な人物」と同定できるのではないだろうか。
メールアドレスのユーザー名及びドメイン名から特定の個人を識別することができる場合(例:kojin_ichiro@example.com)、当該メールアドレスは、それ自体が単独で、個人情報に該当します。 これ以外の場合、個別の事例ごとに判断することになりますが、他の情報と容易に照合することにより特定の個人を識別することができる場合、当該情報とあわせて全体として個人情報に該当することがあります。
以上のとおり、単に氏名がアルファベット表記されたメールアドレスは個人情報となる場合もあるがならない場合もあり、(反証を一切認めない)「みなされる」という強烈な述語は誤りである。
本事案の検討
本記事、別記事①や別記事②の記載をもとにすると、本事案の事実は概ね次のとおりである。
舞台は、被疑者がかつて勤めていたW社(人材派遣会社)とその転職先
被疑者は、転職前に、W社が利用している名刺管理システム(S社)のログイン情報(ID/PW)を転職先の同僚に伝達した(被疑事実)
W社の従業員にPCのログインIDと同じパスワードをS社のログイン情報に設定している者がいたとして、S社のログイン情報は推測したとのこと(その者に教えてもらったかもしれないし本当のところは不明)(被疑事実?)
転職先の会社はS社システムにログインしてデータベースを閲覧し、営業活動に活用していた(成約例もあるとのこと)
これらの事実からすると、考えなければならないのは次の3点である。
S社のログイン情報を転職先の同僚に伝えた行為が、「営業秘密不正取得行為」(不正競争防止法第2条第1項第4号)に該当するのか、あるいは転職先の同僚がそれに該当し、被疑者はそれを手伝ったのか(共同正犯又は幇助)
同行為が個人情報データベース等の不正開示(個人情報保護法第179条)に該当するのか、あるいは転職先の同僚が個人情報データベース等の「盗用」(同)に該当し、被疑者はそれを手伝ったのか(共同正犯又は幇助)
転職先の同僚によるW社が利用するS社のシステムへのログイン行為が不正アクセス禁止法の「不正アクセス行為」(同法第3条、第2条第4項)に該当するのか、被疑者はこのときどういう位置づけになるのか
共犯性などは検討するに事実が足りない気がする(加えて非常に面倒である)ため検討を控え、ここでは、本事案において、①被疑者の行為が個人情報データベース等不正提供に該当するのか、②W社がS社のシステムを利用して管理していた名刺データベースが「営業秘密」に当たるのかどうか、③単に当てずっぽう(だと仮定する)でS社のログイン情報を入力しログインした行為が「不正アクセス行為」に当たるのかどうかの3点に焦点を当てて検討する。
(1) 個人情報データベース等不正提供
┃ 要件
要件は上記のとおりであるが、一応再掲する。
主体:個人情報取扱事業者
【法人】現役の役職員・以前の役職員
行為:提供又は盗用
対象:業務に関して取り扱った個人情報データベース等
目的:自己又は第三者の不正な利益を図る目的
┃ あてはめ
【主体】
W社は人材派遣会社であり、S社のシステムを利用して名刺データを管理する以外にも個人情報の集合物で検索可能なように体系的に構成したデータベース(個人情報データベース等)を事業の用に供していると思われることから、「個人情報取扱事業者」に該当する(個人情報保護法第16条第2項)。
また、W社は法人であり、現役か退職済みかを問わず、役職員の行為が問題となるところ、本事案では、被疑者は転職前に転職先の同僚にS社システムのログイン情報を伝達したとのことであり、行為当時、現役の従業員であったことになる。
【行為】
本事案では、B社の事件とは異なり、被疑者がS社システムから名刺データを何らかの方法で抜いて、それを転職先の同僚に提供したわけではなさそうであり、「盗用」には当たらないと思われる。
そこで、個人情報データベース等を「提供」したことが問題となるが、「提供」の意義については、文脈は異なるものの、次のように説明されている。
「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報(以下この項において「個人データ等」という。)を、自己以外の者が利用可能な状態に置くことをいう。
個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。
おそらく個人情報データベース等不正提供に関しても同様の解釈が可能と思われ、そうすると、ログイン情報を伝達し、転職先の同僚がS社システムにログインしてそこに管理されている個人情報データベース等にアクセスできる状態に置いたことが「提供」に当たる。
【対象】
W社がS社システムで管理していた名刺データは、通常、電子計算機により検索可能なように体系的に構成したデータベースであり、「個人情報データベース等」に該当する。
なお、別記事①によると、被疑者は「転職前の会社ではシステム担当の課長職で、パソコンの保守管理を担当」とあり、W社がS社システムで管理していた名刺データを業務に関して取り扱ったといえるかはやや疑問である。
広い意味では、システム担当であればS社システムもその範疇内ということはできそうだが、本事案は刑事事件であり、曖昧なことは許されない。
被疑者の具体的な業務内容がわからない以上やむを得ないが、一旦、「業務に関して取り扱った」ことにしておく。
【目的】
転職先の会社ではS社システムにログインして名刺データを閲覧し、営業活動に利用していたとのことであるから、自己(被疑者)又は第三者(転職先)の不正な利益を図るためであったといえそうである。
以上のとおり、「業務に関して取り扱った」個人情報データベース等かどうかは疑義が残るものの、その他の要件は概ね該当しそうである。
(2) 名刺データベースの「営業秘密」性
┃ 要件
不正競争防止法にいう「営業秘密」とは次のものをいう。
(定義)
第2条
6 この法律において「営業秘密」とは、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。
この定義のとおり、営業秘密の要件は次の3つである。(極めて有名な要件である)
秘密管理性
有用性
非公知性
本稿では、この3要件それぞれについて深掘りすることはしないため、興味があれば、経済産業省「営業秘密管理指針(平成31年1月改訂版)」を参照のこと。
ここでは、特に秘密管理性について少し検討する。
┃ 秘密管理性
「営業秘密」に秘密管理性が要求されるのは、営業「秘密」というくらいだから当然のように思われるが、別に「営業情報」でもいいわけであり、あえてそれよりも狭く「営業秘密」に関して規制していることの趣旨がある。
秘密管理性要件の趣旨は、企業が秘密として管理しようとする対象(情報の範囲)が従業員等に対して明確化されることによって、従業員等の予見可能性、ひいては、経済活動の安定性を確保することにある。
営業秘密に該当する情報は、営業秘密不正取得行為等の罰則が用意されている行為の対象となるものであり、予見可能性が確保される必要がある。
秘密管理性要件が満たされるためには、営業秘密保有企業が当該情報を秘密であると単に主観的に認識しているだけでは不十分である。 すなわち、営業秘密保有企業の秘密管理意思(特定の情報を秘密として管理しようとする意思)が、具体的状況に応じた経済合理的な秘密管理措置によって、従業員に明確に示され、結果として、従業員が当該秘密管理意思を容易に認識できる(換言すれば、認識可能性が確保される)必要がある。
この点、「外部のクラウドを利用して営業秘密を保管・管理する場合も、秘密として管理されていれば、秘密管理性が失われるわけではない。例えば、階層制限に基づくアクセス制御などの措置が考えられる」とされており(経済産業省「営業秘密管理指針(平成31年1月改訂版)」11頁)、本事案のようにW社がS社システム(おそらくクラウド)を利用して名刺データベースを構築していたとしても、それだけをもって直ちに秘密情報性が失われるわけではない。
また、本事案では、S社システムへのログインにはID/PWが必要であったとのことであるが、おそらく、ほぼ全員がそれにアクセスできるようになっており、アクセス制御はされていなかったものと思われる。(顧客情報ではなく名刺情報であり、ふつう、アクセス制御がなさそう)
そうすると、秘密である旨の認識可能性もなかったものと思われる。
したがって、S社システム内で構築されていたW社の名刺データベースは秘密管理性が欠けるように思われる。
┃ 有用性・非公知性
まず、個別の名刺自体は、取引相手等に配布することを前提に作成されており、実際に配布されていることも多いと思われるため、非公知性を欠く(同様に、個別の名刺自体は有用性も欠く)。
他方で、名刺データベースとして全体を見た場合、「非公知性を認める余地がある」が、「取引の有無による区別もなく、取引内容ないし今後の取引見込み等に関する記載もなく、また、古い名刺も含まれ、情報の更新もされていないものと解される」ことなどの事情があると非公知性(と有用性も)を否定する方向に傾く(東京地判平成27年10月22日)。
(3) 名刺データベースへのアクセスの「不正アクセス行為」性
┃ 要件
不正アクセス禁止法でいう「不正アクセス行為」とは次のものをいう。
(定義)
第2条
4 この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
二、三 (略)
不正アクセス禁止法第2条第4項第1号の不正アクセス行為は、ID/PW等の識別符号の入力が必要なアクセス制御機能があるシステム等に対し、他人のID/PW等を当該他人に無断で入力することで当該アクセス制御機能を突破し、当該システム等を利用できる状態にする行為を指す。
他人の識別符号を悪用することにより、本来アクセスする権限のないコンピュータを利用する行為、すなわち、正規の利用権者等である他人の識別符号を無断で入力することによって利用制限を解除し、特定利用ができる状態にする行為です。
本事案で、W社が利用するS社システムは、W社のそれぞれの従業員に割り振られているID/PWを入力しないとログインできない仕様である。
それにもかかわらず、被疑者は、W社のある従業員のログイン情報(ID/PW)を推測で当てて無断で入力し(そういうことにする)、S社システムへログインを行い、当該システムを利用可能な状態に置いた(※)。
※厳密には、ログインしたのは被疑者の転職先の同僚とのことであり、本来は共犯の問題が出てくるが、ここでは面倒なので踏み込まず、あたかも間接正犯という体にする
そうすると、被疑者は、不正アクセス禁止法第2条第4項第1号の不正アクセス行為を行ったことになり、同法第3条の不正アクセス行為の禁止に違反したことになるため、3年以下の懲役又は100万円以下の罰金に処せられる可能性がある(同法第11条)。
以上