« 債権管理回収業分野における個人情報の保護に関するガイドライン | Main | 家族情報の個人データ該当性 »

従業員等がもっぱら個人的に作成・利用するデータベースの取扱い

 園部編「個人情報保護法の解説」(ぎょうせい)52頁(改訂版が刊行されたようだが未入手)によると、

 事業者の事業遂行上のためであっても、個々の従業員等がもっぱら自己の業務の便宜のために自ら作成・利用し管理しているデータベースについては、事業者が自らの事業の用に供する個人情報データベース等に当たらない場合がある。

とされている。これにより「従業員の個人情報データベース等である」と評価できる場合には、その取扱いについて事業者が個人情報保護法の規律を受けることはなくなる。
 本来、事業者はその保有する個人データを適切に管理しなければならないところ、事業者が保有していた個人データを用いて従業員が独自にデータベースを作成・利用するということは、その管理下にあった個人データを個人情報保護法の規律の外に出すことになりかねない。
 そうなると、事業者が自らの事業の用に供する個人情報データベース等に当たらないとされるケースはそれほど多くないのではないかという印象だが、どうだろうか。

|

« 債権管理回収業分野における個人情報の保護に関するガイドライン | Main | 家族情報の個人データ該当性 »

情報ネットワーク法」カテゴリの記事

Comments

鶴巻 先生

夏井です。

お世話になっています。

以前,別のMLでも話題になったことですが,このようなガイドラインの解説を書いている人の多くが民法の基本理論とりわけ法人理論をぜんぜん理解していないのではないかという疑いがあり,ガイドラインを信用して業務遂行をすることはかなり危険なことではないかと思うようになってきています。

つまり,従業員は職務専念義務があるので,就業時間中には個人的に自分用のファイルを作成することが許されません。業務遂行のために作成することは許されますが,これは,民法の目で見ると,当該従業員の個人プレーなのではなく,まさに当該個人情報取扱事業者である企業(法人)そのものの行為の一部分なのです。
ですから,当該従業員の作成した個人用のファイルであっても,当該企業(法人)の個人情報データベースの一部をなすものとして解するのが正しいです。

もちろん,個人情報保護法が民法の一部改正法を含んでいると解するのであれば別ですが,そのような解釈論は(検討してみましたが)成立しそうにないです。

となると,特別法である個人情報保護法の一般法となる民法の大原則をゆがめることなく合理的に解釈することが必要になります。

数多くのガイドラインを読みましたが,民法を知らない人によって書かれているのではないかと疑いたくなる部分が山ほどありました。

個人情報保護法について何か書く人は,憲法や行政法については当然のこととして,民法,商法,刑法,民事訴訟法,刑事訴訟法,通信関連諸法,不正アクセス禁止法その他の関連法規にも精通しており,かつ,裁判実務やこれまでの判例等とビジネスの現場と情報システムや通信システム等の技術にも通暁しており,豊富な実務経験を積んでいる人である必要があると思います。
そうでなければ,あまりにも無責任過ぎる。

差し迫った明白かつとても重大な危険が存在していると認識しています。

Posted by: 夏井高人 | 2005.02.12 at 11:16

 鶴巻先生、夏井先生

 はじめまして。某企業法務部で施行が間近に迫った個人情報保護法対策に追われている担当者の一人です。(残念ながらまだ弁護士資格はありませんが)
 従業員が個人的に作成・管理するデータベースについてのコメント、興味深く拝読いたしました。夏井先生の法人理論に立った鋭いご指摘もうなずけます。

 ただ、実際に事業者の立場に立つと、事業者として事実上、関知・コントロールしえない従業員個人が作成するデータベースを法律の対象から除外するというのは、この法律の根本思想である保護と利用のバランスからしても、結論においては妥当なものではないでしょうか。(解釈で除外するのではなく明文で除外すべきという論点はあると思います)

 実務を考えると、そのようなデータベースまで対象とされた場合、利用目的の特定や利用目的による制限などはまだしも、多くの事業者が開示や訂正、利用停止などの求めには到底対応できません。求めのたびにすべての従業員に対してその本人の個人データを持っていないか照会をかけていたのでは、事業活動が事実上ストップしてしまいます。数千人も従業員を抱える企業で従業員個人の名刺フォルダーの中の情報など「大海の一滴」であり、事業者として責任をもって探索し尽くすなど無理というものです。

 そもそも個人情報保護法は、個人情報が不適正に取り扱われることによる本人の権利利益侵害を未然に防止することを狙いとしているわけですから、その世界でそこまで対象としないと割り切ったとしても、実際にそのようなデータベースから個人情報が流出するなどして、プライバシーなど本人の具体的な権利利益が侵害された段階で民法の不法行為の世界でそれこそ法人理論に立った救済が受けられれば問題ないと考えるのは浅はかでしょうか。

 従業員個人が自分の仕事を円滑に進めるための属人的な工夫として作成・管理するデータベースであっても、事業者としての義務の対象に含まれるような制度とするなら、従業員がそのようなデータベースを作成した場合にその事実とデータの内容を事業者に届け出る義務を法律で課してもらわないと実効性が担保されないと思われます。
(仮に、そうなった場合には、それらデータベースの把握・管理や開示等の求めに対応するのに必要なコストが膨大になるので、事業者としては社内規程などでそうしたデータベース作成を禁止することになるでしょうが)

 そう考えると、そのような制度は、結局のところ(個人情報の有用性に配慮した上での)個人情報の不適正な取り扱いによる権利利益侵害の未然防止という法目的に照らして、事業者の自由な経済活動への過剰な介入と言わざるをえないと思います。
 センシティブな情報をそのような形で従業員がデータベース化する蓋然性が高い特定の分野ではそうした規律が必要になることは否定しませんが、少なくとも個人情報保護法は民間のあらゆる分野あらゆる個人情報を対象として必要最低限の規律を定めているわけですから、そのフィールドで民法の法人理論を貫徹するあまり、実効性を担保しえない(現実に運用できない)制度にしたのでは法律として意味がありません。

 なお、個人情報保護法の直接の対象となるか否かに関わらず、実際の現場では、事業者に求められる「従業者の監督」などへの対応として、そのようなデータベースの取り扱いも含めて従業員の教育・指導が行われており(当然、民法の使用者責任を意識してのものです)、個人情報の本人からみても保護に欠けるということはないのではないでしょうか。(法律論というより実態論であることを承知の上です)

 なかなか意を尽くせず書き足しているうちにブログへの書き込みとしては長すぎるコメントになってしまいました。申し訳ありません。
 鶴巻先生・夏井先生の今後のご活躍を期待しております。

Posted by: 竹内結 | 2005.02.15 at 21:35

夏井先生 竹内さん 鶴巻先生

 鈴木正朝です。
 個人情報取扱事業者の義務における安全管理措置義務や従業者・委託先の監督義務との関係で、使用者としてはできる限り、労働者の取り扱う個人データを管理しようということを検討せざるを得ませんが、その反面で、竹内さんのご指摘のとおり管理すべきという規範にしばられて考えるほど、管理しきれないという現実にも直面します。

 そもそも労働者の取り扱う個人データはすべて使用者側が管理すべきものかどうかということもよくわかりません。
 労働者においても職務中とはいえ、当然にある程度の私的領域は存在し、その領域で取り扱う個人データの存在を認めざるを得ないということは
あるだろうと思います。
 もちろん消費者や本人にご迷惑をおかけしたような病理的現象が発生した場合は、法人の責任が問われるでしょうし、労使間の問題は消費者にとって個人情報取扱事業者の内部関係にすぎないのかもしれませんが、その点の問題から、当然に労働者の私的領域が狭められるかどうかということは一律に決まる問題ではなく、労働法制上の見地からの検討もまた必要になるのではないでしょうか。

 使用者は、この点においてまさに板挟みになり得るわけですが、雇用が流動している時代であるからこそ、情報窃盗罪という危険な考え方を検討せざるを得ないことにもなっていますが、雇用が流動することを前提にして、一定の情報もまた労働者とともに移動するということも考えなくてはならないのだろうとも思います。
 歩合制で生きている流しの営業部員の保有している顧客データや、執筆者リストを財産としている編集者などの生活に関わる権利利益を単純に一刀両断できるものか、そのあたりの悩みがまさに立法政策的に重要なところであるのかなと思います。

 個人情報を誰が管理すべきかというアプローチをする中で、いつの間にか個人情報は労働者のものか使用者(会社)のものかという発想になってはいないかと自己点検することがあります。個人情報を誰に帰属するかという観点でアプローチすることは、やはり所有権モデルの呪縛にとらわれる危険と隣り合わせという気もしています。
 こうした思考過程における「個人情報」という概念は、現実の個人情報の存在形式とかけ離れているのではないかという気もしています。
 固体のようにハンドリングできる存在であるなら、とうの昔に管理できているわけですし、少なくともこれからの管理のあり方を多少なりとも描くことができるわけですから。

 なお、夏井先生のご指摘のとおり、現実の訴訟制度や法理論を前提として、現実の問題を洗い出して、理論的一貫性をもって必要があれば修正していくべきということは、まったくその通りだと思います。
 まずは伝統的法制度に則って、きちんと整理し直して、一定の限界を見いだしたならば、その新規の問題について、いりいろ立法政策的検討を加えるという落ち着いた対応が必要なのかもしれません。
 たぶん、その最後の作業が情報法制なのではないかとも思うのですが。
 えらい先生には、そんなもんはないと主張される方もいらっしゃいますので、言い方には気をつけないといけないかもしれませんけども(笑)。
 

Posted by: 鈴木正朝 | 2005.02.20 at 01:48

 あまり長い文は書けませんが、夏井先生の考え方を基本にしつつも、個別の事情によって従業者の(職業人としての)私的領域が認められる可能性は理論的にもあると思います。ただ、理論的に認められる範囲は狭い。
 その周縁に、理論的に当然には認められないが、行政規制を及ぼすまでもなく、民事ルールだけあればいいじゃないかという領域があってもいいと思います。ただ、立法的に明確に解決してもらえませんかね。。。

Posted by: つるまき | 2005.05.24 at 00:53

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/11972/2875324

Listed below are links to weblogs that reference 従業員等がもっぱら個人的に作成・利用するデータベースの取扱い:

» 高等裁判所 判例集 [多チャンネル電脳]
2003/11/30 高等裁判所 民事訴訟 第3法廷  正義の共鳴ののしり事件 主文 甲は自分の正義を主張するあまり 態度では示さず言葉の逆撫で行為で... [Read More]

Tracked on 2005.02.12 at 22:12

« 債権管理回収業分野における個人情報の保護に関するガイドライン | Main | 家族情報の個人データ該当性 »