作成日:2014/7/26

今回のベネッセコーポレーション(以下、ベネッセ社)の顧客情報流出問題で、流出した個人情報を販売した名簿業者や、当該名簿を購入してDM発送等で利用したジャストシステム社は
「ベネッセ社から流出した情報と認識したうえでこれを利用したという事実はない」
「不正な流出情報が含まれていたという認識はない」
というようなコメントに終始しております。これは、いわゆる「善意の第三者」と主張していると考えられます。
これまでは流出元のベネッセ社の状況を確認してきましたが、今回は流出情報を扱った名簿業者や企業について確認しようと思います。

「善意の第三者」とは?

まず再確認することは、今回の事件で適用されたのは個人情報保護法ではなく、不正競争防止法だということです。個人情報保護法では主に個人情報取扱事業者が遵守すべき義務等を規定していますが、流出した情報の取扱いや流出させた者についてはほとんど触れていません。一方、不正競争防止法においては、個人情報=営業秘密とすれば、不正に営業秘密を取得したことで罪に問うことができます。
さて、その不正競争防止法には、以下のような条文があります。
(適用除外等)
第十九条  第三条から第十五条まで、第二十一条(第二項第七号に係る部分を除く。)及び第二十二条の規定は、次の各号に掲げる不正競争の区分に応じて当該各号に定める行為については、適用しない。
(略)
六  第二条第一項第四号から第九号までに掲げる不正競争取引によって営業秘密を取得した者(その取得した時にその営業秘密について不正開示行為であること又はその営業秘密について不正取得行為若しくは不正開示行為が介在したことを知らず、かつ、知らないことにつき重大な過失がない者に限る。)がその取引によって取得した権原の範囲内においてその営業秘密を使用し、又は開示する行為
(法令データ提供システムより引用)
要約すると、第十九条では不正競争防止法が適用されない例外事項を示しており、その第一項六号では、対象となる営業機密が不正取得や不正開示されたことを知らなければ、取引で取得した営業機密を使用しても法が適用されないとしています。これが「善意の第三者」という概念です。ここでの「善意」とは、一般に使われている意味とは異なり、「ある特定の事実を知らないこと」ということを意味します。ちなみに、対義語である「悪意」は「ある特定の事実を知っていること」を意味します。

商取引における「善意の第三者」

私がこの「善意の第三者」という言葉を知ったのは、盗難美術品に関する本を読んだ時でした。例えば、盗難された美術品を、そうとは知らずに取引や競売で購入した場合、その購入者は美術品の所有権を取得できることになります。これは、民法の第百九十二条に即時取得として、
「取引行為によって、平穏に、かつ、公然と動産の占有を始めた者は、善意であり、かつ、過失がないときは、即時にその動産について行使する権利を取得する。」
と規定されていることに基づくものです。
なお、本来の所有者は盗難された美術品を取り戻せるのかどうかですが、民法に「盗品又は遺失物の回復」として、以下のように規定されています。
「第百九十三条 前条の場合において、占有物が盗品又は遺失物であるときは、被害者又は遺失者は、盗難又は遺失の時から二年間、占有者に対してその物の回復を請求することができる。」
「第百九十四条 占有者が、盗品又は遺失物を、競売若しくは公の市場において、又はその物と同種の物を販売する商人から、善意で買い受けたときは、被害者又は遺失者は、占有者が支払った代価を弁償しなければ、その物を回復することができない。」
つまり、盗難品を返還請求できるのは盗難後2年であり、かつ購入者が支払った金額を弁償する必要があるということです。

善意の第三者

流出情報を使用した名簿業者や事業会社は「善意の第三者」なのか?

さて、話を戻すと、今回の事件で流出した個人情報を販売した名簿業者や、当該名簿を購入してDM発送等で利用したジャストシステム社は違法性を問われるのであろうか、それとも、「善意の第三者」ということで御咎めなしとなるのだろうか。名簿会社やジャストシステム社がベネッセ社から流出したデータと知って購入したとは言わないだろうし、また、取引時点でベネッセ社の情報漏えいが公にされていなかったことなどから、法的には違法性はなかったと判断される可能性が高いと思われます。
しかしながら、数百万件もの個人データがまともな収集方法で集まるとは思えないのが一般の感覚であり、その面では倫理上、何らかの社会的制裁が行われる可能性があることは否定できません。以前のレポートでも示したとおり、ジャストシステム社の株価は急落し、未だ回復していないようです。
また、ジャストシステム社はプレスリリースにて、
「今回の文献社からの購入において、データの入手経路を確認しながら、最終的にはデータの出所が明らかになっていない状況で契約に至り、購入していたことが判明致しました」
と発表しております。実際の購入金額がどのくらいかはわかりませんが、1件10円としても、1千万円単位の額になると想定できます。これだけの金額を動かすには担当者の一存ではなく、かなり上位レベルの決裁が必要になると予想されるので、コーポレートガバナンスの面でも問題があるのではないでしょうか。
現在、個人情報保護法の改正が進められており、その中でパーソナルデータをビッグデータとして利活用することが注目されていますが、一方で現在規制されていない流出データの取引や取扱いについても何らかの縛りをかけておく必要があると思います。

上記内容に関する相談や問い合わせについては、問合せフォームにてご連絡ください。

デルタエッジコンサルタントでは、個人情報保護に関して、
・個人情報の入手から保管、廃棄までの一連のプロセスの策定
・個人情報の漏えい防止(不正アクセス/内部不正)に向けた情報セキュリティ対策
・個人情報保護法等、関連する制度への対応
・万が一、個人情報が漏えいした際の危機管理体制策定
を支援するコンサルティングサービスを提供しています。詳細はこちらをご覧ください。
コンサルティングサービス-リスク管理
興味や関心がございましたら、ぜひご連絡ください。

コンサルティングサービス-リスク管理
お問い合わせ

外部委託先簡易診断サービスの提供を始めました—>紹介ページ

昨今相次ぐ情報漏えい事故に対処するため、システム開発・保守業務の外部委託先におけるセキュリティ整備状況や統制状況を確認するための簡易診断サービスの提供を開始しました。
詳しい内容はこちらをご覧ください。