ベネッセ事件に思うこと (一部修正、加筆あり)
ブランドとは全く関係ない話ですが、今回のベネッセの顧客個人情報漏洩流出事件について、個人的に思ったことを書きたいと思います。
思ったのは、
②そして、NDA(秘密情報保護契約)のあり方も大きくかわるのではないか(個人的には変わってほしいです)
です。
そもそも悪いと考えられるのは、個人情報を漏らしたと考えられているSE会社から派遣された人物でしょう。ただ、企業内統治の観点で、両企業の社内ガバナンス等のあり方に検討の余地はあるとは思います(例えば、企業内統治の対象者は、企業内部の話であるなら、外部から派遣された者にも100%およばせるべきか?等)が、これは別に考えるべきことでしょう。
ベネッセとSE会社(及びその会社から派遣された社員)とはNDAを交わしていると考えられますから、その意味で(現行法に従えば)ベネッセには(形式的には)落ち度はないと考えられます。ベネッセの仕事を受けたSE会社は、NDAを交わしているであろうならば、(その契約内容を見ないと正確なことは言えませんが)自社自身のみならず派遣した者にもクライアントであるベネッセの秘密情報を漏らすことがない様にさせなければならなかったはずですし、また今回逮捕された派遣されたSE会社の社員はベネッセの持つ個人情報を絶対外部に漏らしてはいけない、と強く認識し肝にめいじて仕事をしなければならなかったわけです。
ジャストシステムですが、いわゆる「名簿屋さん」から顧客個人情報を入手したらしいですが、現行法では残念ながら名簿屋さんからの名簿の入手は違法にはなりません(道義的にどうなの?と思いますが、それはまた別の問題です。また、個人情報保護法第18条1項との関係もあります。)。もちろん、この顧客個人情報が最初からベネッセのものとわかって入手したのであれば、間違いなく不正競争防止法等にひっかかるであろうと思いますが、これを立証するのはかなり難しいと思います。
よって結論として、現行法では、おそらくベネッセもジャストシステムも、違法にはならないでしょう(ジャストシステムと個人情報保護法第18条1項については次回に別途書くことにしました。)。もっとも、この事件により、両社は(特にジャストシステムは)社会的信用をかなり落としたと思います。ですが、これはまた別に論じるべきことでしょう。
現行法で対応できない部分は、もはや法改正しないとだめなのかな、と個人的には思います。少なくとも、「名簿屋さん」は完全に違法にしてしまわないとダメでしょう。
また、今後、企業の個人情報の収集やその管理についてはさらに厳しくなるのではないか、個人情報保護法も厳しくなるのではないか、と思います。これにあわせて、不正競争防止法も厳しくなるのではないか、と思います。
そして、それに伴いNDAもさらに厳しい内容にかわっていくだろうと思います。
例えば、クライアント企業と派遣SE会社(及びその社員)との間の契約においては、クライアント企業側の監査権限が強くあたえられた契約内容になっていくのではないか、なんて思います。クライアント企業とSE会社との間では、すでにある程度監査権限を認めた契約もある様ですが、この監査権限をさらに広く強く適用される契約になっていくのではないか、と思います。
もっと言えば、その監査権限は、SE会社のみならず、下請け孫請け会社にも及ぶことになっていくと思います(もちろん、そのために契約のあり方や関係する法が変わる必要がかなりあります。)。
監査権限だけでなく、クライアント企業によるSE会社(及びその社員)に対するその他のある種のガバナンスを認めた契約が主流になるのではないか、なんて思っています。そうでなければ、安心して依頼することなどできないからです。
こう書くととんでもないと思われる方々がいらっしゃいます。確かに自分でも少しラディカルとは思います。でも、これはSE会社が招いたことです。自社の社員をちゃんと統治できていないからで、自業自得です。
またNDAを交わしたとしても、現在の契約内容のままでは抑止力としては弱く、クライアントの立場としては正直不安です。会社の信用が一旦傷ついてしまったら、それを修復するのは非常に大変です。損害賠償などで解決する問題と考えるのは実に安易で(もちろん損害賠償などの措置は大事で、これはこれで必要です)、こういう事件をいかに起こさないようにしていくかが重要だと思います。だから、今後はかなり強いクライアント側主導の契約になっていくような気がします、といいますか、そうなってほしいと思います。
そして、おそらく、SE会社などの企業自身も、社内ガバナンスがこれまで以上に問われていくことになるでしょう。
顧客個人情報を漏らしたと考えられている社員とその派遣をしたSE会社は、刑事的に罰せられると同時に、民事的に相応のペナルティを負うことになるでしょうが、仕方がないと思います。
また、個人的には、NDAだけに特化した関連特別法ができる(あるいは、それらに関連した内容の条項を加え、既存の法が改正される)のではないか、なんて思ったりしています。