1.クラウド例外について
昨年起こった社労士用サービス「社労夢」での個人データ(簡単に言うと個人情報を含むデータベースの中にある個人情報)の取扱いについて、昨日個人情報保護委員会が行政条の対応についてのプレスリリースを出しました(リンク先)。
これとあわせ、「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点に関する注意喚起について」(以下、単に「注意喚起」といいます。)を個人情報保護委員会はプレスリリースしています(リンク先)。
これは従前、クラウド例外と言われる取扱いについての説明を行ったものですが、これにより、ウェブサービス側、ユーザ側が受ける影響も大きいように思われますので、若干見ていきたいと思います。
まず、クラウド例外は、クラウドサービス提供事業者において個人データを取り扱わないこととなっている場合に、クラウドサービスでの個人データの利用が第三者提供にも委託にも当たらないとする個人情報保護委員会に置ける個人情報保護法の解釈・運用です(個人情報保護法Q&A Q7-53参照)。
ここで、取り扱わないとはどういう場合かというと、(1)契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、(2)適切にアクセス制御を行っている場合等とされていました。
2.注意喚起について
今回の注意喚起では、まず、社労夢の案件に関し、(i)利用規約上、特定の場合に利用者の個人データを提供事業者が使用等できるようになっていた(上記(1)関係)、(ii)提供事業者が保守用IDを保有し、個人データにアクセス可能な状態にあり、技術的なアクセス制御等の措置が講じられていなかった(上記(2)関係)、(iii)提供事業者が利用者と確認書を取り交わしたうえで、実際に利用者の個人データを取り扱っていた(上記(2)関係)ことを理由に、本件がクラウド例外に当たらないことを述べています。
社労夢の案件での特殊性としては、(iii)が大きいように思われますが、(i)や(ii)については、多かれ少なかれいわゆるクラウドといわれるウェブサービスで行っていることが多いように思われますが、どの程度になれば取り扱うことになるのか、(iii)という本件特有の事情がどこまで考慮されているかが注意喚起では読み込むことができません。ついては、現状では、クラウドの利用に関しては、その大半が両方の可能性があることを念頭に対応せざるを得ないことになると思われます。
なお、注意喚起では、クラウド利用が委託に当たる場合に、委託先事業者に対する監督の一内容として当該クラウドサービスの安全性の確認を委託先に対して行う必要があることや、業務委託を受けている者がクラウドを利用した場合にそれが再委託となる可能性があり、その場合、委託元による法違反となり得ることなどが指摘されています。
3.報告書の影響について
委託にあたるか否かは、以下のような形で影響を与えます。
・クラウド事業者が外国にある場合に、ユーザが、個人データの本人に対して、提供に対する同意を得る必要があるかどうか(個人情報保護法28条1項)
・受託者がクラウドを使っている場合に、委託者側で、受託者によるクラウド利用やクラウドの委託該当性、クラウドの安全性について確認する必要が生ずるかどうか
・ある事業での受託者がクラウドの利用を行っている場合であって、委託者と受託者との契約上再委託が禁止されている場合に、業務委託契約上の契約違反となるかどうか
・ユーザとして、クラウドの利用を自身の安全管理措置の中で対応すべきか、委託先の監督の中で対応すべきか
ユーザからすると、クラウドが委託にあるか否かは、特に(2)の要件に関して判別が難しい場合が多く、両面をにらんでの対応を迫られることとなり、クラウドの利用を躊躇する動きにもつながりかねないことを危惧しております。個人情報保護委員会における対応が望まれるところです。
金融商品取引法第二条に規定する定義に関する内閣府令の一部を改正する内閣府令(案)(定義府令改正案)のパブリックコメントが終了しました(金融庁ウェブサイト)。こちらは、今後、所要の手続を経て交付、施行の予定です。
この定義府令改正案は、いわゆる合同会社型のDAO(※1)の勧誘を一定の条件を満たすものについて、行いやすくするものです(※2)。
条件としての2号イロの内容は以下のとおりです。
イ 当該財産的価値を業務を執行する社員以外の者に取得させ、又は移転することができないようにする技術的措置がとられていること
ロ 当該財産的価値に表示される権利を有するものがその出資又は拠出の額を超えて収益の配当又は業務に係る財産の分配を受けることがないこと
これを受けて、金融商品取引法等ガイドライン案(金融庁ウェブサイト)では、ロに関し、いくつか留意点を記載しています。すなわち、
・ 社員権に付帯して物品やサービスその他経済的に評価できるものを提供することにより実質的に出資額を超える収益の配当又は財産の分配を行うような場合はロを満たさない。
・ 社員権トークンとは別のトークン(別トークン)を発行する場合に、実体として別トークンがロの「収益の配当又は業務に係る財産の分配」に当たり、ロを満たさないことがある。(※3)
とされています。
この改正により上記イロを満たす場合に社員権たるトークンの勧誘を行うことができることとなり、DAOを組成する自由度が飛躍的に高まることが予想されます。
ただ、イロを満たしさえすれば合同会社型DAOでの勧誘がいかなる場合でも金商法上問題とならないというわけではなく、ガイドライン案ではその点にも言及しています。すなわち、
・「別トークン」に合同会社等に係る収益の配当又は財産の分配を受ける権利が付帯されている場合には、「別トークン」それ自体が集団投資スキーム持分に該当する可能性がある。
・トークン化された合同会社等の社員権につき値上がり益が生じる合理的な根拠がないにも関わらず値上がり益があることを殊更に協調して勧誘行為を行う場合は金商法第157条(不正行為の禁止)又は第158条(風説の流布、偽計等の禁止)の違反となり得る
ということです。
いずれにせよ、合名会社型DAOの発行を自身の判断のみで進めることは危険であり、立ち上げる前の専門家への相談は必須となると思われます。
※1 DAO(Decentralized Autonomous Organization、分散型自立組織)は、経営者による中央集権的な運営とは異なり、各メンバーに意思決定が委ねられ、自律的に運営される組織で、EthereumのDAOのサイトでは、共通の目的のために集団が共同で所有し、ブロックチェーンで管理された組織とされています(EthereumDAOウェブサイト)。DAOでは、運営方針の決定にガバナンストークンによる投票で行われ、投票されたトークン量に基づいて多数決で決定されます。
※2 具体的には、合名会社若しくは合資会社の社員権(政令で定めるものに限る。)又は合同会社の社員権が財産的価値に表示される場合で、その財産的価値が同令2号イロの要件を満たす場合に、電子記録移転権利から除き、かつ、金融商品取引業となる募集又は私募に係る有価証券から除くものです。
※3 ロを満たす例として、
・ 合同会社等の社員の地位と明確に区別されて発行される場合(「別トークン」の対価の支払が合同会社等の社員としての出資とは明確に区別されている場合等)
・ 職務執行の対価として発行される場合(職務執行の対価としての実態を伴うものであり、その発行される「別トークン」の内容が出資額又は事業収益に連動しない場合に限る。)
・ 社員以外の者も広く購入できる場合であって、社員と同じ条件で発行される場合
ロを満たさない例として、「別トークン」に合同会社等に係る収益の配当又は財産の分配を受ける権利が付帯されている場合にあっては、実態としてその収益の配当又は財産の分配がトークン化された合同会社等の社員権に係る収益の配当又は財産の分配に該当するのであれば、その収益の配当又は財産の分配を含め、出資額を超える収益の配当又は財産の分配を行う場合
昨年11月、NTT西日本子会社より、900万件超の顧客情報流出がありました。福岡県でも、同社にコールセンター業務を委託していたことから、自動車税の納税者情報合計16万2828人分が流出しており、大きな影響がありました(読売新聞記事)。なお、流出させた元派遣社員(以下、「流出者」といいます。)は、不正競争防止法(営業秘密の領得、開示)で起訴されています(東京新聞記事)
先月28日、この事件に関し、親会社であるNTT西日本に設置された第三者委員会より、調査報告書がリリースされました(調査報告書)。この報告書は、283頁に及ぶ詳細なものですが、ここでは、同種事案発生時に参考となる内容に絞って、同報告書を簡単に解説します。
1.事案の概要
コールセンタシステムのデータセンタを運営していた会社(NTTBS)のシステムの運営保守業務に従事していた流出者が、その立場を悪用し、少なくとも2013年7月頃から2023年2月頃にかけて約10年間、多数回にわたり顧客情報(コールセンタ業務を運営するNTTProCXのデータ)を不正に外部に持ち出し。その少なくとも一部は名簿業者に売却。
2.本件の原因
本件の直接的な原因としては、NTTBSに、顧客データの流出を防ぐための各種の制限が備わっていなかったことがありますが、長期化した要因としてログ監視が働いていなかったことが挙げられます。また、人的な要因として、流出者が長年サーバ管理の中心となり、上長等の監視や同僚の監視等が働いておらず、同人に依存する状況が長年固定化されていたことが挙げられます。
そして、以上の問題を生み出した根本的な原因としては、NTT西日本グループの統一的な基準としての情報セキュリティマネジメント規程や下位規程等があったものの、それが機能しておらず、自主点検が形骸化していたことなどのガバナンスの欠如が挙げられています。
また、NTTProCXに関しても、情報セキュリティマネジメント規程の下位規程において行うべきとされていた委託先管理を遵守せず、何もしていないに等しい状況にあったとし、それは、個人情報の取扱いを委託するにあたっての規律が実務的に実装されていなかったこと、漏えいに対する危機意識が乏しかったことなどによるとされています。また、NTTBSと同じく、自主点検が機能していないことが指摘されています。
3.経営陣の責任
報告書では、NTTBSに関しては、経営レベルでの解決を要する事項が多数あり、全社的問題であるにもかかわらず、1年間にわたり発見することができなかったことについて、経営陣にその責任が帰せられるべき問題と断言し、経営陣にはリスクマネジメントに対する基本的な理解やこれを実際の経営に適用する能力が欠けていたとさえ言われています。
なお、本件を受けて、2月29日、親会社であるNTT西日本の社長が3月末日で引責辞任すると報道されています(ITmedia記事)。
4.私見
漏えいが生じた当該会社だけでなく、グループのトップ企業の役員の辞任にまで発展したことは、本件の事態の重大さを物語っていると言えますが、やはり、特筆すべきは、10年に渡り、不正がなされ続け、それが是正されることがなかったということではないでしょうか(69件という影響を受けたクライアント数、件数も相当ですが、親会社の役員の辞任にまで発展するのは稀有であると思われます)。
また、本件の特徴として、同じような漏えい事件として有名なベネッセ事件と比べても、外部記録媒体等への書き込み制限が全くなされていないなど、よりひどい状況にあったように思われ、なによりそれが、本来従うべき規程が機能しなかったことによりもたらされたものであることが挙げられると思われます。
さらに、こうしたインシデントが発生する際、往々にして、一人の人間に権限が集中する、管理を依存するという体制が出てくるものですが(類例として、ファーストサーバ事件(ITmedia記事))、本件も、そのような属人的な管理と監督監視が動いていなかったことが大きかったのだと思います。
これらは対岸の火ではなく、ほこりがかぶった規程が運用されずにそのままになっている例、定期的な点検が形骸化し、機械的に〇を記載するだけになっている例、システムの管理を一人のの人間に依存している例等は巷にあふれていると思われ、その末路が本件です。
この報告書は、再発防止策、とくに、ガバナンスの改善や組織文化の変革に関しては様々な企業に読んでいただく意味のあるものと存じますが、上述のような本件の原因を踏まえ、各自で自社に当てはめて振り返る意味で、283頁とかなり分厚い資料ですが、経営者の方、情報システム、情報セキュリティ部門の方には、原因の説明部分だけでも一度お読みいただく価値がある資料と思われます。
