マッチングアプリのサーバが不正アクセスを受けた。漏洩した可能性がある情報には、現在ではユーザーから提供を受けることが禁止されている書類も存在した。企業は通例通り「1件あたり500円前後」の補償をすべきか。それぞれの問題を、過去の判例や最新の法規制に基づいて弁護士が解説する。
本記事は2021年7月27日のBUSINESS LAWYERS掲載記事をキーマンズネット編集部が一部編集の上、転載したものです。
2021年5月21日、マッチングアプリ「Omiai」を提供する株式会社ネットマーケティング(以下、ネットマーケティング)は、Omiaiを管理するサーバが外部からの不正アクセスを受け、会員情報の一部が流出した可能性が高いことを公表しました※1。
漏えいの可能性が考えられる情報は170万件を超え、そのなかには年齢確認審査書類としてユーザーから提供された、運転免許証や健康保険証、パスポートが含まれることからも大きく報じられました。またSNSでは、会員情報の保存期間が退会後10年間とされていたことについて、期間の設定が適正であったのかを問う声も見られます。
本稿では、ユーザーにより提供された個人情報の扱いや保存期間についての考え方、漏えいが発生した際の企業がとるべき対応について、個人情報の取り扱いに関わる実務に詳しい牛島総合法律事務所の影島広泰弁護士が解説します。
―― ネットマーケティングのプライバシーステートメントでは、退会後10年間にわたりユーザーの情報を保有すると定められています。ユーザー登録時に提供される年齢確認審査書類の画像データに関する保有期間の規定、運用の方法についてはどのように考えるべきでしょうか。
個人情報の保存期間をどのように定めるかは、実務上とても難しい問題です。
まず、法的な規制を整理します。現行の個人情報保護法では、「利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。」とされています(現行法19条)。また、2022年4月1日施行の令和2年改正法では、「利用する必要がなくなった場合」には、本人からの保有個人データの利用停止などの請求ができることになります(令和2年改正法30条5項)。つまり、企業は「利用する必要がなくなった」個人データを消去する努力義務があり、消去しないままでいると本人からの利用停止などの請求がなされる可能性があります。
ここでいう「利用する必要がなくなった」とは、その個人情報の利用目的との関係で考えます。すなわち、「利用目的が達成され当該目的との関係では当該個人データを保有する合理的な理由が存在しなくなった場合や、利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等」に、利用する必要がなくなったと判断されます(「個人情報の保護に関する法律についてのガイドライン(通則編)」3-3-1)。
また、個別法において個人情報の破棄などが義務づけられている場合があります。例えば、職業安定法の指針※2により、求職者などの個人情報は「収集目的に照らして保管する必要がなくなった個人情報を破棄又は削除するための措置」を講ずることが義務づけられていますので、企業が採用活動で収集した個人情報は、不採用になるなどして不要になった時点で破棄または削除する必要があります。
他方で、法令上、情報の保存義務が課せられているケースも多数にのぼります。例えば、税法においては、取引証憑書類(法人税法施行規則59条、67条)や電子取引の取引情報に係る電磁的記録(電子帳簿保存法施行規則8条)は7年間の保存義務がありますし、犯罪収益移転防止法においても、取引時確認の確認記録や取引に関する記録は7年間の保存義務があります(犯収法6条2項)。
次に、企業としての権利を確保するために情報を保存しておく必要がある場合があります。典型的には、裁判に備え、債権等の消滅時効である「権利を行使することができる時から10年間」(民法166条1項2号)や、不法行為に基づく損害賠償請求権の消滅時効である「不法行為の時から20年間」(民法724条2号)の期間は、必要な情報を保存しておいたほうがよいケースがあります。
以上の考慮要素を総合すると、保存期間は以下の要素から決定することになります。
1. 法令上の保存義務がある場合には、その期間は必ず保存しなければならない(例:税法)
2. 法令上の破棄等の義務がある場合には、それに従って破棄等しなければならない(例:職業安定法)
3. 以上の1、2以外の場合は、個人情報の利用目的との関係で利用する必要がなくなったときには消去する努力義務があり、令和2年改正法の下では本人は利用停止等の請求ができる(ここでは、債権等の消滅時効を考慮する必要があるケースもある)
今回の事件では、出会い系サイト規制法(インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律)により、児童でないことの確認(本人を特定する事項の確認)が義務づけられていました(出会い系サイト規制法11条)。したがって、Omiaiの運営企業であるネットマーケティングが、その義務を果たしたことを証拠として残しておきたいと考え、あるいは警察などからの問い合わせや会員間のトラブルに備え、確認の記録を残しておこうと考えることは理解できるところです。また、その保存期間について、消滅時効の期間を考えて10年間としたことにも一定の合理性があるように思われます。
しかし、情報を保存しておけば、それが漏えい等するリスクは当然に発生します。したがって、そのリスクを最小化することは検討されてしかるべきです。eKYCなどの専門業者※3への委託が可能であれば、それを利用することは1つの方策であるといえるでしょう。
ただし、その場合には委託先からの漏えいという新たなリスクが生じることになりますので、情報セキュリティを適切に確保している委託先を選定することが重要となります。これは、個人情報保護法22条が定める委託先の監督義務の一環である「適切な委託先の選定」(「個人情報の保護に関する法律についてのガイドライン(通則編)」3-3-4)のプロセスとしても必要になります。
―― 本事案について、他にも法的観点から特筆すべきだと考えられるポイントはありますか。
本件では、健康保険証の画像データが漏えいしたとされていますが、2020年10月1日施行の改正健康保険法により、「被保険者等記号・番号」および「保険者番号」は、健康保険事業または事務の遂行のため必要がある場合を除き、提供を求めることなどが禁止されましたので(健康保険法194条の2)、マスキングして取得する必要があります。本件のようなマッチングアプリにおける本人確認の場面に限らず、企業法務一般において注意が必要です。
―― 企業がサービスのユーザーから預かる本人確認書類を管理・運用するうえでは、どのような点に気をつけるべきでしょうか。
本人確認書類について法令上の保存義務がない場合に、本人確認書類の画像データを保存しておくことの是非を考える必要があります。将来の訴訟対応などを考えても、例えば、本人確認を行った事実だけを記録に残しておく方法や、本人確認書類を特定するに足りる事項(例えば運転免許証の番号)だけを記録しておくこととし、本人確認書類の画像データそのものは廃棄しておくことなどが考えられます。
一般の企業にとって本人確認が必要となる典型例として、マイナンバーの提供を受ける場面があります。この場合の本人確認書類の取り扱いについて、個人情報保護委員会は以下のとおり述べています(マイナンバーQ&A「Q6-2」※4)。
番号法上の本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、身元確認書類等)をコピーして、それを事業所内に保管することはできますか。
番号法上の本人確認の措置を実施するに当たり、個人番号カード等の本人確認書類のコピーを保管する法令上の義務はありませんが、本人確認の記録を残すためにコピーを保管することはできます。
ただし、コピーを保管する場合には、安全管理措置を適切に講ずる必要があります。
なお、個人番号を取得する際の本人確認書類の取扱いをめぐって、本人と事業者の間でトラブルとなる事例が発生していることに鑑みると、個人番号の確認の際に、本人確認書類のコピーの提出を受けた場合、必要な手続を行った後に本人確認書類が不要となった段階で、速やかに廃棄しましょう。(平成28年4月・令和2年5月更新)
このように、「本人確認書類の取扱いをめぐって、本人と事業者の間でトラブルとなる事例が発生している」といわれておりますので、そのような認識を持ったうえで、本人確認書類は可能な限り「速やかに廃棄」することが重要であると考えられます。社内で、書類ごとに保存期間を定め、保存期間が経過したものを定期的に廃棄するプロセスをルール化するとよいでしょう。
―― もしも本件のような情報漏えいが発生したと考えられる場合、企業は対象者にどのような対応をとるべきでしょうか。
情報漏えいが発生した可能性が高い場合、個人情報取扱事業者は速やかに本人に通知する必要があります。
2022年4月1日に施行される改正法においては、以下の1〜4のいずれかにあたる場合には、個人情報保護委員会に報告しなければならず、本人にも通知しなければなりません(令和2年改正法施行規則6条の2)。
1. 要配慮個人情報の漏えい等
2. 財産的被害が生じることとなるおそれのあるような個人データの漏えい等
3. 不正の目的をもって行われたおそれがある漏えい等
4. 1000人分を超える漏えい等
この点、1〜4のいずれかにあたる場合は、漏えいの可能性(発生したおそれがある事態)の段階でも本人への通知が必要となることに注意が必要です。
報告・通知のタイミングについては、個人情報保護委員会への報告は1〜4の事態を知ってから30日(3は60日)以内(令和2年改正法施行規則6条の3第2項)、本人への通知は「状況に応じて速やかに」とされています(令和2年改正法施行規則6条の5)。
「状況に応じて速やかに」とは、その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される蓋然(がいぜん)性、本人への通知を行うことで生じる弊害などを勘案して判断するとされます(「個人情報の保護に関する法律についてのガイドライン(通則編)の一部を改正する告示(案)」(以下、通則編改正案)3-5-4-2)。
したがって、例えば以下のような場合には、その時点で通知を行う必要があるとはいえないとされます。
報告・通知の内容は、以下のうち報告・通知の時点で把握しているものです(令和2年改正法施行規則6条の3および6条の5)。
委員会への報告 | 本人への通知 | ||
---|---|---|---|
1 | 概要 | ◯ | ◯ |
2 | 漏えい等が発生し、又は発生したおそれがある個人データの項目 | ◯ | ◯ |
3 | 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数 | ◯ | − |
4 | 原因 | ◯ | ◯ |
5 | 二次被害又はそのおそれの有無及びその内容 | ◯ | ◯ |
6 | 本人への対応の実施状況 | ◯ | − |
7 | 公表の実施状況 | ◯ | − |
8 | 再発防止のための措置 | ◯ | − |
9 | その他参考となる事項 | ◯ | ◯ |
通知の方法としては、文書を郵便で送付したり電子メールを送信したりすることになりますが、本人への通知が困難である場合には事案の公表などで足りるとされます(通則編改正案 3-5-4-4、3-5-4-5)。
なお、ネットマーケティング社の2021年6月6日付けリリースによると、顧客からの問い合わせへの対応に時間がかかっている様子がうかがえます。センシティブな情報が大量に漏えいした場合、本人への通知や公表の直後に集中して大量の問い合わせが来る傾向があります(数日後には問い合わせ件数は大きく減少するのが一般的です)。コールセンターなどへの委託の際にはこのことを念頭に置く必要があります。
―― 漏えいの対象者への補償についてはどのように考えるべきでしょうか。
補償を行うかどうかは難しい問題です。500円程度の金券などを配付するのがよく行われる方法ですが、2014年に発覚した大手通信教育事業者からの3000万件余りの個人データの漏えい事件をみると、そのような対応を行っても本人からの訴訟提起を防ぐことはできていません。
また、裁判になれば、氏名や住所といった基本的な情報が漏えいした同事件においても、1000円から3000円程度の慰謝料が認められています(東京高裁令和2年3月25日判決 裁判所ウェブサイト、大阪高裁令和元年11月20日判決 裁判所ウェブサイト他)。
したがって、500円分の金券などを配付するという方法は、漏えいについて厳しい考えを持っているユーザーとの関係では安すぎて十分な補償とはいえず、気にしていないユーザーとの関係では経済合理性に疑義があることになってしまいます。
他方、個人データの漏えい事件は、個人情報保護委員会に報告があったものだけでも年間4141件(「令和2年度個人情報保護委員会年次報告」)にのぼりますが、金銭的な補償を行っている事件は数が少なく、大部分の事件では補償は行われていないのが現実です。
万が一自社で個人情報の漏えいが発生した場合、漏えいした情報の内容を把握し、ユーザーに対し慰謝する必要のある精神的苦痛が生じているのか(例えば、東京地裁平成19年2月8日判決は、エステティックサロンから情報漏えいした事件で、30000円程度の慰謝料を認容しています)、自社のブランドをどのように守っていくのかなどを考えて、補償の是非と金額を検討すべきといえます。
―― 本件のような情報漏えいが発生した場合、当該企業の業績へも大きな影響が生じると考えられます。株主への説明についてはどのように考えるべきでしょうか。
業績に影響がある場合などには、バスケット条項※5を含めた基準に照らして開示を検討する必要があります。
前述した大手通信教育事業者の事件では、事件が発覚した四半期の決算において260億円の特別損失を計上しています。さらに、その時点では、事故調査委員会が事実関係を調査しており新規の営業活動を停止していたことから、当期の業績予想については未定としていました。
また、平時から、有価証券報告書における「事業等のリスク」において、サイバーセキュリティのリスクを開示しておくことも重要です。この点については「サイバーセキュリティのリスクを有価証券報告書で開示する必要があるか」をご覧ください。
―― 訴訟リスクについてはどのように考えられますか。
日本においては、個人情報の漏えいが発生した場合、本人からの慰謝料請求が認められます(なお、世界的には、本人からの損害賠償請求を認める法制度は多くありません)。前述したとおり、500円分の金券などを配付しても訴訟提起は止められないというのが過去の実例ですので、もし訴訟を提起されないことを目的として金券などを配付するのであれば、裁判例を踏まえた金額を支払う必要があると考えられます。
また、万が一訴訟になった場合、漏えいが発生したことに対する過失の有無が問題となります。情報セキュリティの脆弱性が原因で情報漏えいが発生した場合には、「その当時の技術水準に沿ったセキュリティ対策」を施していたかが重要なポイントとなります(東京地裁平成26年1月23日判決・判時2221号71頁等)。ここでいう「その当時の技術水準」は、官公庁が公表しているガイドラインや文献などで立証していきますので、現時点で公表されている情報セキュリティに関するガイドラインなどにおいて「必要である」とされている対応ができているか、ベンダなどへ確認することが重要でしょう(「会社・取締役が法的義務を負っている情報セキュリティのレベルとは」参照)。
―― 本事案から他社の法務担当者が意識すべき点について教えてください。
近時、日本を代表する企業においても、ランサムウェアに感染して情報が盗まれ、身代金の要求を受ける事件が多発しています(「貴社から◯テラバイトの情報を盗んだ。データを公表されたくなければ、◯億円分の暗号資産を送付しろ。」などと要求してきます)。身代金を目的としている以上はどのような会社でも狙われる可能性があることになりますので、インターネットのセキュリティはとても危険な水準に達しているといわざるを得ません。
情報セキュリティは専門性が高く、自社のシステムを運用する情報システム部でも十分に対応しきれていないところも少なくないように思われます。リスクを最小化するために(法的にいえば「過失」ありと判断されないために)、情報セキュリティの専門家や弁護士など、外部の専門家のアドバイスを受けることの重要性が高まっていると認識すべきでしょう。
またユーザーの個人情報を預かる企業としては、自社のセキュリティの技術的な水準を高めるとともに、管理・運用面では、経済産業省「サイバーセキュリティ経営ガイドライン」に準拠して、以下の事項について点検することが望ましいでしょう。
1. サイバーセキュリティリスクの認識、組織全体での対応方針の策定
2. サイバーセキュリティリスク管理体制の構築
3. サイバーセキュリティ対策のための資源(予算、人材等)確保
4. サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
5. サイバーセキュリティリスクに対応するための仕組みの構築
6. サイバーセキュリティ対策における PDCAサイクルの実施
7. インシデント発生時の緊急対応体制の整備
8. インシデントによる被害に備えた復旧体制の整備
9. ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
10. 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
とりわけ、「7. インシデント発生時の緊急対応体制」があらかじめ整備されていないと、万が一インシデントが発生した時の初動が遅れてしまいます。法務の対応としては、ここから体制整備を進めていく必要があると考えられます。
※1:株式会社ネットマーケティング「不正アクセスによる会員様情報流出に関するお詫びとお知らせ」(2021年5月21日、2021年7月12日最終確認)
※2:厚生労働省「職業紹介事業者、求人者、労働者の募集を行う者、募集受託者、募集情報等提供事業を行う者、労働者供給事業者、労働者供給を受けようとする者等が均等待遇、労働条件等の明示、求職者等の個人情報の取扱い、職業紹介事業者の責務、募集内容の的確な表示、労働者の募集を行う者等の責務、労働者供給事業者の責務等に関して適切に対処するための指針」(平成11年労働省告示第141号、最終改正 令和3年厚生労働省告示第162号)
※3:eKYC(electronic Know Your Customer)とは、顧客の本人確認手続(Know Your Customer)を電子的に行うことをいいます。eKYCでは、運転免許証などによる本人確認をインターネット上で行うことになりますので、認証や情報管理などに専門的技術が必要となるため、専門の業者が登場しています。
※4:個人情報保護委員会「「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」 に関するQ&A」
※5:上場会社は、当該上場会社の運営、業務若しくは財産又は当該上場株券等に関する重要な事実であって、投資者の投資判断に著しい影響を及ぼす事実についての決定を行い又はそのような事実が発生した場合には、(1)個別の開示項目に該当しない場合や、(2)個別の開示項目に該当するものの軽微基準に該当する場合であっても、適時開示が必要となる場合があります。このようなルールを「バスケット条項」といいます(日本取引所グループ「適時開示に関する実務要領」)
本記事は2021年7月27日のBUSINESS LAWYERS「Omiaiによる年齢確認書類の画像データ漏えいから考える、個人情報の保存期間の定め方や漏えい時の対応法 - 影島広泰弁護士が解説」をキーマンズネット編集部が一部編集の上、転載したものです。
© BUSINESS LAWYERS
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。