超高度情報社会における人権擁護・危機管理ー個人情報保護法改正の具体的対応ー

2018年1月24日

牧野総合法律事務所弁護士法人 弁護士 牧野二郎

平成２９年度 中小企業庁委託事業 情報モラル啓発セミナーin 沖縄

1

本日のテーマとポイント１ ＜概念整理＞なぜ、情報モラル啓発なのか？ 情報モラルの眼目としての人権

企業、経営者にとっての人権とは何かを考え、その保護を実践すること

人権と企業、どのようなかかわりがあるのかを解明する

２ ＜現代の特徴＞「超高度情報社会」「危機管理」に必要なことは何か？

新しい価値観、不確実要素の多い社会、想定外事故の頻発、ネット攻撃の高度化（標的型メール攻撃、ランサムウェア攻撃）など企業が危機に陥る危険性

その中で人権が侵害されてゆくこと（情報漏洩、差別などの発生）

個人情報保護法の大改正 きめ細かい保護と利用促進の調和

３ ＜具体的実践＞企業や企業の従業者が引き起こす人権侵害 その防止策は？

GDPR(the General Data Protection Regulation )への留意

企業の常識は社会の非常識？な場合

社員の行動、発言が人々を傷つけること

新しいルール作りに向けて2

１ なぜ情報モラル啓発なのか 情報モラルと人権の関係• 「情報モラル」とは何か・・・・

「モラル」：道徳・倫理・習俗、自己の生き方と密着・具象化させたところに生まれる思想や態度

ex．モラルハザード 道徳的危機 倫理破壊

「情報モラル」：情報の取り扱いにかかる思想や態度

• 人権、法律との位置関係で理解する

一般的規律・規範の有り様

哲学・思想・宗教 いかにあるべきか、いかに生きるべきか

戦略・政策・方針 望ましいこと、したいこと

道徳・倫理・習俗 守るべきこと、してはいけないこと

法律、法制度 強制力をもって禁止すべきことを明示

人権・基本的人権 憲法や法律によって守られる人の権利

• なぜ「情報モラル」が重要なのか

最低限のルールである法律を守ること

違法行為をしないこと

そのためには、より高次の理念を守るように努力する必要があること

哲学・思想・宗教など

モラル・情報モラル

法規範・法制度・法律 人権

3

企業、経営陣にとっての人権とは何かを考え、実践すること人権と企業、どのようなかかわりがあるのかを解明する

• 企業とって、人権とは何か

企業は人の有機的結合体（ひとつの組織として密接に結合）

◇ 企業に所属するすべての人の、人としての権利 （従業者の権利）

◇ 指揮命令を受ける人、従業員の人としての権利 （労働者の権利）

◇ 取引関係のある人々、顧客の人としての権利 （関係者の権利）

◇ 影響の及ぶ人々、消費者、市民の人としての権利（消費者等の権利）

◎ 差別してはならない（憲法１４条） ユニバーサルデザイン、少数者保護など

◎ 不当な強要をしてはならない（憲法１３条他）

特に労働関連法、雇用の分野における男女の均等な機会及び待遇の確保等に関する法律に注意

セクハラ、パワハラ、無視、差別、いじめなど多様

◎ プライバシーの保護（判例。憲法１３条他） プライバシー情報の濫用、開示、攻撃など

従業者のメール管理に関する迷い ← 明確な判断を（宣言して実行）

◎ 個人情報の保護（改正個人情報保護法に注意すること）

→ 顧客情報の保護 情報セキュリティ、適正情報管理（安全管理措置）

→ 情報主体の権利保護強化に注意すること 刑事罰導入など

4

２ 「超高度情報社会」「危機管理」に必要なことは何か？

• 今の社会は、どのような社会なのかすべての業務・情報が、パソコンからサーバへ入力され、集約され、転送され、活用される

・・・・メール、イントラ、SNS、WEBなど 大きな変化が生まれている

◎ １対多の情報社会から、多対多、多対クラウド対多、メガからギガ、そしてテラへ

ネットワークの高速化、多様化

◎ センサーが、あらゆる情報を探知、収集、集約、解析

さまざまな現象が情報として形にされ、利用される

ビッグデータ

◎ 会社、パソコンの利用から、スマホなどの端末の高機能化・高度化による情報操作の高速化、

労働環境・労働の質の変化

固定PCから、携帯端末、ウェアラブルへ

◎ 情報価値の増加に伴う攻撃の高度化・巧妙化

標的型メール攻撃、情報誘拐とも言うべきランサムウェア攻撃（注）

社会全体の変容＝超高度情報社会というべきか 次には次元の違う世界になるのか

（注）ランサムウェア攻撃とは 企業のすべてのデータを勝手に暗号化し、利用不能にしておき、暗号を解く鍵を高額で売りつけ、電子マネーを利用して足のつかないやり取りを行う犯罪 5

確実に高度化する攻撃方法 危機管理が必要

•情報資産、特に個人情報は攻撃するだけの価値の高い資産

•金融情報よりも、個人情報の方が利用価値が高い

→ 攻撃の対象とされている

→ より高度な攻撃が繰り返されることになる

企業の情報の出入り口・・・・メール、WEB、SNSなど

企業システムへの侵入経路は多数存在している

受信した偽装メールで感染する危険性が大きい

6

今必要なこと 個人情報保護対策２０１７年５月３０日全面施行 改正個人情報保護法

ポイント １ EUの基準に合わせて、国際的なレベルに引き上げること

・個人情報の範囲拡大（マイナンバーや旅券番号など、単体で保護対象に）

・権利性を明確に 訴訟(仮処分含む)を可能にすること

開示請求への対応（２W以内に）などの明確化

・すべての事業者に適用すること（５０００件要件の廃止）

・第三者提供規制を強化 記録義務、オプトアウト制度の公開義務付け

２ 匿名加工情報の制度化

・匿名加工することで、本人の同意なく移転できる制度創設

・保護印回帰順に準拠すること、公表義務があること

３ 海外への持ち出しに同意要求

注意点 違反行為に対する刑罰の導入

・情報の持ち出し、盗用などに刑事罰（８３条 １年以下の懲役または５０万円以下の罰金など）

・両罰規定 「業務として」行った場合に、法人も処罰

プライバシーポリシーを明確に、最新のものとすること

ヨーロッパへビジネスを進める場合にはGDPRに注意すること

セキュリティ対策も同じ視点で実施すること

7

３ 企業や、企業の従業者が引き起こす人権侵害• 個人情報の漏洩 漏えい自体で精神的、経済的侵害行為となる

センシティブ情報などの漏えいが引き起こす差別など 深刻

• 企業しか知らない情報を無責任に発信、投稿したケース

ＳＮＳ（Twitterなど）への軽率な投稿

・投稿者（企業）のみが知る特殊情報の投稿

有名人のホテルへの投宿、飲食店での遊興、プライベートな旅行情報など

・投稿者が有名企業の社員、その家族という特殊性

発言の信憑性、話題の面白さ、インパクト

・Facebookなど、他の情報との統合が容易

連携させるソフトもあり、簡単に連携、情報

・単なる噂話に無責任に同調して、特定の人に対する攻撃を行う行為

スマイリーさんの事件

名誉毀損罪（刑法230条）、侮辱罪（刑法231条）、名誉毀損（不法行為）が明らか

多勢に無勢、レッド・ライオン放送局事件（1969年）米国〈公平原則fairness doctrine〉

に基づいて反論放送時間を要求し、連邦最高裁判所で認められた事件

• 人種差別表現など、差別的取り扱いによる権利侵害、企業としての信用失墜8

従業者間のトラブル、指揮命令関係での人権侵害

• 特定従業者に対する嫌がらせや差別、監視など

会社の業務から離れて、特定の従業者のメール監視など

• SNS（ソーシャル・ネットワーキング・サービス）の利用における問題行動

いじめ、嫌がらせ、誹謗中傷、人格攻撃 （積極的行為）

LINE外し、仲間はずれなど （消極的対応）

• 教育的指導か、個人攻撃か（パワハラ）

上司からの強い指導が違法なのではなく、相手の納得、合意、成長が確保、担保

されていることが重要であって、相手の人格を非難するのは違法となる

立場の異なる複数の経験者により指導する、指導の合理性を点検しながら行う

• セクハラか、通常のアプローチか

誘うことが違法なのではなく、自らの地位を利用し、相手の意向を無視して、各

種要求を通そうとするところに違法性があるということ

セクハラは、相手の同意の有無が決定的な基準となる 9

新しい形での人権侵害と侵害防止対策

• 行動履歴情報の収集把握・・行動監視プライバシー侵害となる危険通信事業者が把握した位置情報の第三者提供について

電気通信事業における個人情報保護に関するガイドライン（平成27年6月24日総務省告示第216号）

サービス事業者が位置情報を取ること→同意必要

• 行動ターゲティング広告・・・行動監視、内心情報把握とその利用プライバシー侵害の危険

一般社団法人インターネット広告推進協議会「行動ターゲティング広告ガイドライン」など

• Facebook、ブログ、Twitter、SNSの利用情報の集積と解析行動履歴、趣味嗜好情報などが自由に取れることになる

ストーカーを作り出す危険、プライバシー開披の危険

見るなとはいえない・・・自己規制が必要

・海外ビジネスを展開する場合 国際的視野を持つこと

EUを対象とする場合

GDPR(一般データ保護規則）の手続きを遵守すること10

社員の常識？は社会の非常識？？

• 社員の常識は社会の非常識？な場合名簿情報や企業保有情報は企業のもの・・・処分は自由 ×

社会の常識 個人情報は本人のもの、預かりもの ◎働きたくない者、病気の者は辞めよ ・・・・・・解雇 ×

病気の原因を企業が作っていないか？人権尊重 ◎男は男性トイレに入れ、それがあたりまえ ・・・強要 ×

多用な事情があり、決め付けは差別になることも ◎

社員の行動、発言が人々を傷つけることもある必要なのは、社員が納得できるルール新しいルール作りに向けて

11

企業にとって必要な「新しいルール」作り新しいルールとは、企業外部の誰かから、上から目線で与えられるのではなく、自らが、納得できるルールを作るということ

•誰が（主体） ルールを守るべき人が

•どのような内容の 自らあって欲しいと思う内容で

•いつ（時期） できるだけ早く。そして毎年改定

•間違えたら それも教育。PDCA（注）をまわしながら

•不完全にはず それでいい。不完全であることに気づいて、修正する

ところに意味がある

PDCAとは： 計画ー実行ー評価・検証ー改善 という段階を経て、改善作業を何回も繰り返しながら、業務を改善し、安全性を確保する仕組み。教育作用もある。

plan-do-check-act cycle

12

まとめ

１ 人権を守るためにはより高次の規範である情報モラルを高め、それを守り、点検することで、遵法体制を確立すること

２ 超高度情報社会：危機管理の視点からリスク分析を徹底して、リスクに応じた対策を立てる事故や犯罪を防止するための警戒感を高めてゆく

３ 企業のコンプライアンスの確保は自己統治の視点から、社員自身が、自らの手でルールを作り、改善作業を繰り返すことで、学び、考え、行動できるようにすること

13