【まとめ|情報システム管理の要点>法務上のリスクとコントロール】
1 本講義のテーマ
2 具体的業務とリスクの整理
3 HP・SNSの運営|ユーザーのコメントによる権利侵害
4 HP・SNS運営|『紹介料禁止』への抵触
5 クラウドシステム|顧客情報漏洩→プライバシー侵害・名誉毀損
6 クラウド・情報の取扱い一般|個人情報保護法
7 クラウド利用|クラウド利用自体の法規制
8 従業員が顧客情報を投稿→プライバシー侵害・名誉毀損
9 従業員による情報発信×公益通報保護
1 本講義のテーマ
<本講義のテーマ>
あ 概要
業務において情報システムを利用するに際しての法務的リスクの説明
リスクを予防・軽減する具体的方法
い 情報システムの具体例
HP管理・SNS活用・ITインフラ構築
現在はスマホの爆発的なリーチの拡大が進んでいます。
IT活用によるビジネスの発展が期待され,また,実際に大きく展開されつつあります。
ITの活用は便利なサービス構築ができるとともに,様々なリスクも抱えています。
本講義では『情報システム管理』の面における具体的な法務上のリスクを概観します【上記】。
その上で,リスクを軽減する実践的な方法についても説明します。
2 具体的業務とリスクの整理
<具体的業務>
あ HP(ホームページ)作成
い SNSで情報発信
う 顧客管理・情報管理にクラウドを活用する
え (付随的)従業員による個人的な情報発信
<リスクの種類>
あ 顧客・第三者の権利侵害
い 事業(店舗など)の信用悪化
う 法規違反
具体的に,業務の中における『情報管理システム』の使用・管理の場面で,法的な問題が生じる例を押さえていきます。
問題の具体例が分かれば,その対策を講じる確実性・効率も良くなります。
具体的な場面,つまり業務としては『対外的』なもの,『内部的』なものの両方があります。
また『法的な問題』というのは『法的なリスク』,正確には『法律的な責任』が生じることです。
ここでは分類を整理しました【上記】。
いずれも,現在のビジネスでは『必須』のものばかりです。
日常的に触れる『情報管理』の場面で『落とし穴』はいつ現れるか分からないのです。
3 HP・SNSの運営|ユーザーのコメントによる権利侵害
(1)ユーザーのコメントによる権利侵害|具体例
<ユーザーのコメントによる権利侵害|具体例>
事業者が開設したHPの『コメント』としてユーザーが投稿
コメントの中に次のような文章や画像が含まれていた
・特定の個人・企業に対する誹謗中傷
・特定の個人のプライバシーを暴露する内容
HPでも『双方向』のコミュニケーションによるプラットフォーム化を活用するケースがあります。
Facebook・LINE@などのSNSではまさに『他人数』のコミュニケーションが本質的な機能です。
そうすると『企業以外のユーザー同士』の衝突が起きることがあるのです【上記】。
『場を提供』したに過ぎない企業も法的責任,つまり損害賠償責任を負う可能性もあります。
(2)HP・SNSの運営|ユーザーのコメントによる運営者の責任
<掲示板管理者・運営者の『プロバイダ責任制限法』上の立場・責任>
あ 掲示板管理者・運営者の法的な立場
『特定電気通信役務提供者』に該当する(2条3号)
※東京地裁平成16年5月18日
い 『違法な投稿』の内容;3条1項
『情報の流通により他人の権利が侵害された』
う 『違法な投稿』があった場合の手続・責任;3条
ア 知らなかったので削除しなかった→責任なし(1項1号)イ 権利侵害を認識して削除した→責任なし(2項1号)ウ 削除要請を受けた+同意の有無の照会+回答なし→削除した→責任なし(2項2号)
え 反対解釈→削除義務
これらに該当しない場合→(削除しないと)管理人・運営者が責任を負うこともあり得る
『違法な投稿』について,ホームページ運営者・ブログのアカウント保有者が賠償責任を負うルールはこのようになっているのです【上記】。
(3)HP・SNS運営の法的リスクの予防策
<侵害行為に関する運営者の責任発生防止策>
あ 対被害者の責任関係
・侵害行為の苦情受付(申告)方法を明示しておく
・申告の記録を保管しておく
→侵害行為を知ったか否か,知った時点が明確になる
→知らなかったことによる免責適用(1項)
い 対投稿者の責任関係
・投稿者に削除に対する同意の有無を質問
→7日間回答がなければ,削除しても免責適用(2項2号)
・権利侵害の根拠,について,双方に質問
→反論の機会を与える
→削除実行後も同様に意見を聴取する(機会を与える)
→権利侵害を信じる相当の理由が強くなる=免責適用可能性アップ
HPやSNSの運営による法的責任から『回避する方法』を考えると『予防策』となります【上記】。
実際には『対投稿者』での責任が具体化することはほとんどないです。
オンラインでの苦情申出窓口をフォームやメール・メッセンジャーとして明示する,というのが良い方法です。
詳しくはこちら|ネット上の名誉棄損など|運営者・管理人の責任|損害賠償・削除義務
4 HP・SNS運営|『紹介料禁止』への抵触
<アフィリエイト・オンラインの紹介料|違法事例>
HP・SNSにより他社サービスへの『送客』の対価=『紹介料』を設定した
《紹介料が違法となるサービス|例》
・医療サービス(医師)
・弁護士業
・司法書士業
・税理士業
・生命保険サイト(具体的システムによる)
最近では『アフィリエイト』という形で『他社商品・サービスを紹介する』という形態が普及しています。
『ワンストップ』『シナジー』という機能・効果はユーザー・事業者の双方にとって有意義です。
また,人を介した『紹介』ではないのでコストがほとんどかかりません。
一方で組み合わせによっては高い集客効果も得られます。
一般的なビジネスの世界では『集客力』に大きな経済的価値が認められます。
そこで『送客の対価』の支払があるのが通常です。
しかし,法制度の趣旨から『紹介料』が違法とされている業界もあります。
『許認可』『資格』の制度により『公認独占』とされている業種は基本的に『紹介料』が禁止となっています【上記】。
この点『広告料』との境界について,しっかりとした公的基準がほとんどありません。
他社・他業種とのコラボレーションを検討する際は適法性のチェックがかかせません。
5 クラウドシステム|顧客情報漏洩→プライバシー侵害・名誉毀損
<クラウドシステム利用×顧客情報漏洩|具体例>
顧客情報をクラウドシステムで保管・管理していた
パスワードの漏洩などの不正手段で『漏洩』してしまった
インターネット上で顧客情報が公開(投稿)された
<顧客情報流出|賠償額の例>
あ 通常の『相場』
1人あたり500〜5000円程度が多い
い 特殊事情があるケース
秘匿性が高い場合は3万円という判例もある
《事案》
受けたエステの施術内容と住所
→第三者からDMが来るようになった例
顧客情報が大量に漏洩した事故が相次いでいます。
たまにニュースとして報道されています。
当然,法的には『損害賠償責任』が生じます。
これまでのケースの蓄積が『相場』と言えます【上記】。
1人あたりはそれほど高くはないです。
しかし『被害者の人数』が膨大となることもよくあります。
通常顧客情報は一元管理しているので『漏洩』する時は『全データ』となることが多いのです。
人数が多ければ当然,1人あたりの金額が小さくても,総額は非常に高額となってしまいます。
<情報漏洩リスクへの対策>
あ 漏洩可能性の低減
パスワードなどのアクセス権限の管理を徹底する
い 『情報取得』の回避
『過剰な情報は取得自体を控える』ということが重要
→情報を取得した場合の『管理コスト・リスクが高い』
う 保険の活用
規模によっては保険に加入する
個人情報漏洩リスクへの対応をまとめます。
人為的な管理とシステム・セキュリティ技術という幅広い『リスク』があるのです。
『リスク低減方法』をまとめました【上記】。
どこか1箇所でも『不備』があると『漏洩』につながってしまうのです。
『絶対に事故が生じない』というシステム・体制を取ることはできません。
ということは『情報の管理コスト・リスク』が高いということなのです。
そこで『取得する情報を最小限にとどめる』ということがリスク抑制策の1つとなります。
また『漏洩事故』は,賠償という責任以外でも社会的信頼を落とす,というレピュテーションリスクが大きいです。
その意味では『保険で賠償額の補填を受ける』ということは対策としては予備的なものに過ぎないでしょう。
6 クラウド・情報の取扱い一般|個人情報保護法
<個人情報保護法違反(目的外使用)となる例>
あ 既存顧客へのパンフレット送付
以前商品,サービスを購入いただいたお客様の記入された『お客様カード』が保管してある
このお客様にパンフレットなどを送付したい
い 名刺交換→DM送付
異業種パーティーで名刺交換をした
名刺記載のオフィスに,ダイレクトメールを送付したい
う 親会社・子会社間での情報流用
子会社をつくり,一部の事業を親会社から子会社に移した
親会社が持っていた顧客情報を子会社に移して,子会社からダイレクトメールを出したい
<個人情報保護法の禁止行為|目的外使用>
あ 個人情報の典型例
住所・氏名・メールアドレスなど
い 違反の典型例=目的外使用
承諾を得ていないのにDMなどのセールスの連絡をすること
※個人情報保護法18条
<目的外使用とはならない例>
あ 適法な送付物|典型例
年賀状,暑中見舞い,お中元,お歳暮類
い 例外
社交辞令・挨拶の範囲を超える内容(物品)
積極的に『送付しないで欲しい』と要請を受けた方への送付
顧客情報は有効な活用方法が考えられています。
膨大なデータを活用する『ビッグデータ』が発展しているのが典型です。
しかし現在は『個人情報保護法』による規制に注意しないといけません。
『目的外使用』となってしまうことが多いです【上記】。
違法となってしまわないためには『事前の承諾』が必要です。
なお,最近の世間の傾向として『情報の多量化→有用性の感度アップ』が指摘されています。
要するに『広告』全般に対する『拒絶傾向』がより高まっています。
オンライン上に表示される広告を『邪魔・うざい』というネガティブな印象を持つ傾向が強いのです。
SNSのような双方向のコミュニケーションにシフトしてきているのかもしれません。
また『ユーザー同士』のコミュニケーションに『間接的に』入り込む『LINEスタンプ』として提供するスタイルも流行ってゆくと予測されています。
個人情報保護法の話に戻ります。
『事前に承諾を取っておく』という方法をまとめます。
<個人情報の使用の承諾|獲得方法の例>
あ 申込用紙やネット上の入力フォーム上での承諾を取る
『ご記入された個人情報を,当社の商品案内の送付に利用させてよろしいでしょうか □はい □いいえ』
い 電話で送付の承諾を取る
証拠(記録)として,データベースや顧客の台帳などに,記録しておく
『送付の承諾(送付希望)』の欄(フィールド)を設けておく
う 名刺交換の際に口頭で承諾を得る
『当社より商品のご案内をお送りしたいです』と言って,同意してもらっておく
後日,お会いしたお礼のために電話して,その際,ご案内送付の承諾を取る
え 事業の承継の挨拶に『確認』を入れる
顧客情報を子会社に渡す場合
→親会社から顧客にダイレクトメールを出す
その中で『子会社からの連絡』の可否を返送することを要請する
『目的外使用』という個人情報保護法違反を回避するための『承諾』の具体例です【上記】。
<パンフレットなどを送付する際の『中止要請』受領体制>
あ 『中止要請』受領体制
送付物の中に,送付中止の要請をする場合の連絡先を載せておく
い 『中止要請』の記録
『営業関連の送付・連絡はしないで欲しい』という要請を受けた場合
→記録する+送付等を中止する
この管理を徹底する
承諾を得て,適法に個人情報を使用する,という場合で『中止要請』の受領システムを作っておく必要があります【上記】。
<『営業秘密侵害』|不正競争防止法違反もある>
あ 対象行為
従業員が前の勤務先での『適法な業務以外の手段』で秘密情報を取得した
→転職先企業で使用した
い 法定刑
企業(法人)については3億円以下の罰金
※不正競争防止法22条
『顧客情報』の取得方法によっては『不正競争防止法違反』となることもあります。
中途採用の従業員が不正に『過去の職場の情報を持ち込んだ』という場合です【上記】。
転職先企業がこれを分かって営業活動で使った,という場合は企業も責任を負います。
従業員個人よりも法人の方が重い法定刑が設定されています。
採用活動の中,採用後に,積極的に『前の勤務先の情報を使用をしない』ということを周知すべきです。
7 クラウド利用|クラウド利用自体の法規制
<クラウドサービスを利用するための法的条件>
あ クラウドサービスの例
Dropbox・Evernote・Googleドライブ・iCloud
い 個人情報保護法に関するルール
ア 『監督義務』の適用対象
『個人情報取扱事業者』に該当する事業者
クラウドサービスを利用する場合
イ 『監督』の内容
・委託先を適切に選任すること
・委託契約において安全管理措置,秘密保持,再委託の条件等を定めること
※電気通信事業における個人情報保護に関するガイドライン;総務省
う 会社内部のルール
『重要な業務執行』として取締役会(取締役)による決定が必要
え 顧客の承諾
制度上は不要である
<『個人情報取扱事業者』の定義>
『個人情報を5000件以上扱う者』
過去6か月の間に1回でも個人情報が5000件に達した場合に該当します。
※個人情報保護法2条,施行令2条
クラウドサービスで顧客情報を保管・管理することは普及しつつあります。
クラウドサービスの利用自体についてクリアする法的な規制があります。
主なものは個人情報保護法に関するガイドラインです。
ITを使うサービスでは『顧客が5000人』という基準をクリアするのは早いでしょう。
利用者としての義務は『業者の選択+契約条件(内容)の整備(確認)』ということになります【上記】。
この規制とは関係なく,情報漏洩事故を防止するためにも当然のチェック義務とも言えます。
ガイドラインの中で『チェック項目』も細かく挙げられています。
また,会社の組織として『取締役会決議事項』として扱っておくと良いでしょう。
<各種『文書保存義務』×クラウドサービス>
『文書保存義務』は『オンラインデータ』での代用が認められている
※e文書法3条
法律上,各種の『文書保存義務』が規定されています。
基本的にオンライン上のデータも認められています。
『クラウドサービスでの保管』もこれに該当すると考えられています。
個別的な法律で規定されているものもあります。
一般的な規定としてはe文書法があります【上記】。
<業者の選択での考慮事項>
あ クラウド上のデータ消失という事故に関する責任
→通常,規約上に『免責』や『制限』の規定がある
い データ消失事故の賠償責任の規定|例
利用者が事業者の場合『利用料額』に制限されるor免責(賠償なし)
<クラウド上のデータ消失のリスク対策>
あ リスク対策の基本
『バックアップ』を付加するサービス(コース)を利用する
《バックアップの内容|例》
公開用サーバー内・RAIDによる冗長化・別サーバー
定期的なバックアップ
い 他のリスク対策
保険に加入する
『情報の漏洩』ではなく『消失』でも,唯一のデータである場合には大きな損失につながります。
サービスの利用開始・サービスの選択の際は規約を確認しておくべきでしょう【上記】。
当然,バックアップの機能を追加する(コース選択)という配慮につながります。
詳しくはこちら|レンタルサーバー|約款に関する事項|典型例・有効性
8 従業員が顧客情報を投稿→プライバシー侵害・名誉毀損
<従業員の投稿|プライバシー侵害|典型例>
従業員が個人的にSNSなどで投稿(公表)した
・ホテルに著名人が愛人と登場した映像
・『特定の人物が店舗に来店した』という投稿
<プライバシー権侵害に関するおおまかな目安>
あ 有名人・政治に関係する人など
『公共性』が認められやすい
→権利侵害否定方向
い 『プライベート』という側面・悪ふざけ・野次馬という目的
『公益目的』ではない
→権利侵害肯定方向
従業員が顧客のプライバシーを侵害する投稿をしてしまうケースはよくニュースで目にします。
容易に世間に広まることがあります。
法的な責任について,基本的な目安をまとめました【上記】。
法的な責任も重要ですが,信用が失われるというダメージも大きいです。
予防するシステムをしっかりと作っておくべきです。
<プライバシー権侵害|予防策>
あ 基本事項
従業員の監督が必要
い 従業員の監督の内容
SNS利用に関する規定の設定+周知
予防のキモは『従業員の監督』ということになります【上記】。
具体的には『規定』の設定と周知です。
問題はその内容です。
従業員が事故を起こしてしまう原因から周知内容を考えると良いでしょう。
<プライバシー侵害の根本要因>
あ 若年タイプ
悪ふざけ
い シニアタイプ
公開範囲・SNSのシステムをよく知らなかった
<シニア×SNS|迷惑行為>
あ 公私の境を意識しない|入口編
新入社員に平然と『SNSの友達申請』をする
新入社員に『ID教えろ』と強要する
い 公私の境を意識しない|オンライン編
友人が見ているウォールで『企画書作成にもBBQくらい意気込んでみろよ!』とか場違いな書き込みをする
私信と間違えてSNSで『業務連絡』をしてしまう
う 根本的な知識不足
『クラウドを始めたゾ!』と言いながら他の社員にクラウドサービスの『IDとパスワード』を公表する
→一応情報共有自体はできるが根本的な問題あり
原因を整理してまとめました【上記】。
まず原因の類型として『若年層タイプ』の場合『軽はずみ・悪ふざけ』です。
要するに『その行為(投稿・うp)によって,どのような迷惑が生じるのか』を理解してもらう,ということが予防の重要部分です。
『シニアタイプ』の場合,SNSのシステム・仕組みをよく分かっていない,というのが根本問題です。
いずれのケースも『従業員の無知』が原因なのです。
そこで,以上のような『知っておくべきこと』を網羅したものを『SNS利用に関する注意事項』などとして作成しておくのが良い予防法です。
SNS規定として,このような『SNSというサービスの一般論』も含める,ということがポイントです。
分かっている人にとっては当たり前ですが,これが欠ける人もいるのです。
規約類すべてに共通することですが,単に『告知・通知』だけでは不十分です。
リアルタイムで『確認』『読み合わせ』などをするとよりベターです。
9 従業員による情報発信×公益通報保護
<かつて生じたショッキング映像の拡散|例>
牛丼チェーン店で,具を箇条に盛り付けた映像(ギガ(10^9)盛り事件)
飲食店の厨房で清掃が行き届いていない状態の影像
従業員の『悪ふざけ』でショッキングな画像・影像が拡散する事故がたまに生じています【上記】。
規定類の整備と,日頃からの教育的な周知で防止すべきものです。
この点,責任問題となった時点で『別の法的な問題』に発展することもあります
<従業員からの反論の例>
衛生管理がずさんであった
『公益通報者保護法』により免責される
法律上『公益通報』は免責・保護される,という制度があるのです【上記】。
大体は『苦し紛れの反論』と言えます。
<公益通報の適用除外>
・不正の利益を得る目的
・他人に損害を加える目的
・その他不正の目的
※公益通報者保護法2条1項本文
『悪ふざけ』の投稿は,『適用除外』のいずれかに該当するでしょう【上記】。
しかし,『公益通報』の一般論としては事業者がケアしておくと良いでしょう。
『公益通報者保護』の制度は,事業者としては『業務システム構築』のヒントが含まれています。
<『公益通報』システム構築>
あ 公益通報システム
通報窓口・フロー設定(外部・内部)
い 趣旨
『事故防止』とともに『業務改善の促進』という姿勢
『通報窓口の設置』は有用です【上記】。
事業の規模に応じてシステムを構築すると良いでしょう。
<通報窓口の例>
あ 会社内の特定の部署
例;総務部や法務部
い 社外の専門家
外部に委託する,という方法です。
委託先の例;法律事務所(弁護士)
う 会社内,社外の両方を設置する
<窓口の設置方法|例>
会社内,外部の両方に設置する
通報窓口の設計方法をまとめました【上記】。
小さなことであれば,従業員は,外部窓口への通報を躊躇しがちです。
大きな問題の場合,逆に社内の窓口への通報は抵抗があります。
そこで,両方設置してあるとベターではあります。
もちろん,予算の都合もありますので,柔軟に設計すべきです。
以上,情報システム管理の要点・法務上のリスクとコントロールに関して説明しました。
これらは基本的・一般的な法的な注意点です。
具体的なビジネスモデル構築・事業遂行の際には,個別的事情で扱いが違ってきます。
また,制度はカスタマイズ・最適化するのが好ましいです。
事業の規模・ステージによりますが,弁護士への相談や法律顧問など,専門家をうまく利用することをおすすめします。
