|
2007/08/05 日曜日 10:18:26 JST |
個人情報の犯罪の防止に現在の法律は有効か?
前回示したように、こういった個人情報の漏えいが相次ぐのはなぜなのかであるが、まず、個人情報が金になることがある。
また、個人情報を持ち出しただけでは法による罰則の対象になりにくいことも言われている。
第3回の記事の末尾に述べたように、個別法の制定に向けた動きはあるが、現在のところ、適用できる可能性がある法律としては、刑法、不正アクセス禁止法、不正競争防止法、それに個人情報保護法が言われている。
第162回国会 経済産業委員会 第16号(平17年5月18日(水曜日))の不正競争防止法の改定に関する委員会の議事録で、個人情報の保護に関連して、不正競争防止法だけでなく、その他の法律の状況についても述べられているので下記に示す。
不正競争防止法
―[第162回国会 経済産業委員会 第16号(平17年5月18日(水曜日))の不正競争防止法の改定に関する委員会の議事録]より抜粋―
営業秘密には定義がございまして、三要件でございます。
秘密として管理されていること、それから事業活動に有用なこと、それから公に知られていない情報であること、非公知と言っておりますが、この三つの要件がございます。
不正競争防止法の保護の対象となるためにはこの三要件を満たす必要がございまして、この三要件を満たしていない顧客名簿につきましては、不正競争防止法の対象外ということでございます。
これに加えまして、仮にこの三つの要件に該当した場合におきましても、不正競争防止法の営業秘密の侵害罪に該当するためには、その使用、開示が不正の競争の目的を持ってなされることが必要になってまいります。
一連の現在起きている個人情報漏えい事件というものは、今回の不正競争防止法の改正によって防ぐことはできない、また処罰することはできないということでよろしいんですね。
企業の情報の漏えいというものに関していくと、先ほどお話がありましたとおり、不正アクセス禁止法であるとか、あと、刑法の窃盗罪とか横領罪とかいろいろあります。
また、個人情報保護法でもある程度カバーをできるとは思うんですが、何せ、先ほどもあったとおり、情報が紙やフロッピー等の財物に記録されていれば窃盗になるが、そのデータ自体は刑法二百三十五条の「窃盗」で言う財物とはみなされていないわけです。
これは、意外と一般の方々は理解をしていないと思うんですが、つまり、自己所有媒体にダウンロードして持ち出した場合には、これは窃盗にならないということなんです。
個人情報を保護するという面、また企業のそういうような情報の漏えいを防ぐというような面で、法律の中に今ちょっとすき間があるのではないかな、トータルで、パッケージとして考えて明らかにすき間があるのではないかなというふうに思うんです。
現在の個人情報保護法におきましては、事業者は、従業者あるいは委託先を監督する義務を初めとして、さまざまな義務が課せられております。
また、事業者が主務大臣の命令に違反した場合には罰則を科すということになっておりますけれども、悪意を持って個人情報を持ち出した従業者を直接罰に付すというような仕組みにはなってございません。
不正アクセス禁止法というものも、これもやはり特別のアクションを起こさない限り法律としては取り締まることができない。
以上―[第162回国会 経済産業委員会 第16号(平17年5月18日(水曜日))の不正競争防止法の改定に関する委 員会の議事録]より抜粋―
このような事例として、最近に起きた事件として、個人情報の流出ではないが、不正競争防止法の適用に関して「デンソー事件では愛知県警が横領容疑で技術者を逮捕したが、名古屋地検は処分保留で釈放。不正競争防止法も適用できなかった。目的の立証が難しかったという。」(朝日新聞2007.4.19)と書かれており、個人情報の漏えいや流出に対しての適用も難しい。
不正アクセス禁止法
不正アクセス禁止法も、下記のような、ネットワークを通してのアクセスにおける不正行為を対象とするもので、単なる個人情報の持ち出しには適用できない。
(「警察庁サイバー犯罪対策」ホームページより)
◍不正アクセス行為とは、識別符号を入力することで利用できるようになっているコンピュータにネットワークを通してアクセスし、このような利用ができる状態にしてしまう行為です。コンピュータ以外の端末から行うものも処罰されます。
◍他人の識別符号を無断で第三者に提供する行為は、不正アクセス行為を助長する行為として禁止・処罰されます。
提供手段に限定はなく、オンラインで行っても、オフラインであっても禁止・処罰されます。提供行為によって金銭的な利益を得たかどうかは関係ありません。
以上(「警察庁サイバー犯罪対策」ホームページより)
個人情報保護法
個人情報保護法は、先にも述べたとおり、個人情報の保護を事業者による自主的な遵守に求めており、法第34条による主務大臣による勧告や命令を経た後に、主務大臣による命令に違反した場合にはじめて一定の刑事罰で処する仕組み(法第56条)となっており、処罰の対象になるのは命令に違反した個人情報取扱い事業者であり、もともと違法行為を行った従業者は処罰の対象になっていない。
刑法
上記の[不正競争防止法の改定に関する委員会の議事録]の中で、次のように答弁されている。
“刑法の窃盗罪とか横領罪とかいろいろあります。・・・・・先ほどもあったとおり、情報が紙やフロッピー等の財物に記録されていれば窃盗になるが、そのデータ自体は刑法二百三十五条の「窃盗」で言う財物とはみなされていないわけです。”
このように、単なる個人情報の持ち出しだけでは刑法を適用するのは難しいようだ。
従って財物である記憶媒体を持ち出した場合には、窃盗罪に問えると言われている。
刑法の適用は、単なる個人情報の持ち出しだけでなく、それを使っての2次的な犯罪や、コンピュータシステムを壊した場合等は下記のような罪が問える。(警察庁広報資料、その他による)
電子計算機使用詐欺罪/電子計算機損壊等業務妨害罪/業務妨害罪/電磁的記録毀棄罪/電磁的記録不正作出罪/詐欺罪/背任罪/横領罪/脅迫罪/名誉毀損罪/わいせつ物頒布罪、・・・等々。
個人情報の盗難に係るもので、刑法の「詐欺ほう助罪」が適用された例として次がある。
【被疑者(無職・女・28 歳)は、クレジットカード利用者の個人情報を利用した詐欺を企てていた犯罪グループの求めに応じて、以前に勤務していた会社から約180 人分の個人情報を盗み出し、詐欺に使用されることを知りながらインターネットを通じて1 件1 万円で販売した。詐欺のほう助被疑者として検挙(平成16年9月)】。(「警察庁サイバー犯罪対策」ホームページより)
日経新聞の記事によると、この事件は、「他人のクレジットカード情報(クレジットカード番号や有効期限、氏名、生年月日、住所、電話番号などの個人情報)をインターネット詐欺グループに売ったとして、警視庁ハイテク犯罪対策総合センターなどは5日までに、福岡県北九州市の元派遣会社社員、立林香奈容疑者(28)を詐欺ほう助の疑いで逮捕した。同庁によると、ネット上の個人情報売買に詐欺ほう助罪を適用したのは全国で初めて。個人情報を入手して販売する行為は、名簿などを盗まない限り窃盗罪にも問えず、取り締まる法律はない。今回は同容疑者が詐欺に使われると知りながら、個人情報を売ったとして、詐欺ほう助罪を適用した。」とされている。
その他の法律
その他として、[警視庁サイバー対策ホームページより]に示された事件に適用された法令としては、著作権法、青少年保護育成条例、児童買春・児童ポルノ法、等が挙っている。
「企業は、自分の身は自分で守らなければならない」
以上に示した如く、現在のところ、法律よって不正に個人情報を持ち出した人間を罰するためには、なかなか条件が整わず、個人情報の漏えい等に対する抑止力になっていない。
従って、企業は自ら安全管理措置を整備して、個人情報の不正流出を防ぐ以外に良い方法は無いのである。すなわち、自助努力によらざるを得ない状況である。
しかし、多くの企業ではまだ個人情報の漏えい・流出に対する備えが十分ではないのではないかと思われる。
今まで、日本は世界一安全な国と思われてきたし、日本人の国民性としては、個人情報に限らず情報の保護に関する意識が比較的低く、また、日本はスパイ天国と呼ばれてきたように、法令を整備して情報を保護してゆくことも十分になされてこなかった。
プライバシーマークは【日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合して、個人情報について適切な保護処置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度】であり、このような規格に則って、個人情報(機密情報)の保護のためのシステムの整備を進めることが早道である。
(中小企業診断士 中村 隆昭)
|
