CANPAN ブログ検索
Loading
  • もっと見る

2015年02月24日

情報管理体制の構築と漏えい事例の紹介

 こんにちは。今回のテーマは「情報管理体制の構築と漏えい事例の紹介」です。
 NPO活動の継続・発展のために、情報収集・保有・発信は不可欠ですが、一方で、情報管理体制はどのように整えればよいのでしょうか。情報管理体制構築のポイントと、参考となる企業等の情報漏えい事例をご紹介します。

1 情報管理体制の構築
(1)チェックポイント
  整えるべき情報管理体制は、各NPOの事業内容、事業規模、人員、保有情報の量や種類、性質等の諸事情により異なるため、一律に決定することは困難ですが、体制構築の第一段階として、
  @ 保有する個人情報の洗い出し
   (どのような情報を、何件くらい、どのような形で保有しているのか?)
  A 個人情報保護法適用対象の「個人情報取扱事業者」にあたるか否か(※1)
  B 事業内容・内部体制から考えて、危険性の高い漏えい経路
 を検討する必要があります。
(※1「個人情報取扱事業者」について、「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれの日においても5000を超えない者」はこれにあたらないとされています。ただし、個人情報取扱事業者に当たらなくても、損害賠償請求を受けたり、社会的責任を問われる可能性はありますので、体制を整える必要がないわけではありません。)
(2)注意を要するポイント
 保有情報の種類や性質について、氏名や電話番号といった一般的な個人情報のほか、思想、信条、宗教に関する事項、本籍地や犯罪歴、保険医療や性生活に関する特にセンシティブな情報を取得する際には、情報主体の明示的な同意を得た上、特に注意して管理する必要があります。
 また、情報の流出経路について、件数が多い、名簿等の紙媒体からの流出のほか、USB、スマートフォン等の電子媒体は、大量の情報を誰でも簡単に保存・持ち出すことができますので、その取扱いと管理体制の周知徹底には、十分な注意が必要です。

2 事例紹介
 それでは以下、具体的な事例をご紹介します。個人情報の種類・質、保有・漏えい件数、漏えい経路等の一例として、参考にしてみてください。

 (1)「Yahoo!BB 顧客情報流出」事例
    漏えい元組織 インターネット接続サービス大手企業
    漏えい情報  Yahoo!BBの加入者等、顧客の氏名、住所、電話番号、メールアドレス等
    漏えい件数  約450万人分
    漏えい経路  元関係者による外部からの不正アクセス
(元派遣従業員が、退職後、在職時に与えられていた管理担当者アカウントを利用して、社外から社内サーバにアクセスし、流出)
    対策費用  損害賠償額 6000円/人(但し訴訟原告)
          社内管理体制の整備等の費用総額 約40億円
 (2)「TBC」事例
    漏えい元組織 エステサロン大手企業
    漏えい情報  ウェブサイトで収集したアンケートの回答(住所、氏名、年齢、電話番号、メールアドレス、スリーサイズ、関心あるコース名等)
    漏えい件数  約5万件分
    漏えい経路  ウェブサイトの製作・保守業務を行っていた業務受託先の過失
(個人情報が含まれたファイルをアクセス制限のない状態で保存しており、複数のネット掲示板に当該ファイルにアクセスできるURLが公開された。)
    対策費用  損害賠償額 2万2000円から3万5000円/人(訴訟原告)
          原告らへの慰謝料支払い金額 約45万円
 (3)「ベネッセ」事例
    漏えい元組織 通信教育・人材サービス大手企業
    漏えい情報  進研ゼミ・出産育児関係通信販売サービス等の顧客の住所、氏名、保護者名、電話番号、性別、生年月日等
    漏えい件数  約3504万件分
    漏えい経路  関係者による不正な持出し
(派遣従業員が、子会社のDBから、自分のスマートフォンに顧客データを転送し、複数の名簿業者に売却)
    対策費用   被害者への金券送付(500円分)等、補償費用として200億円を準備

※以上をまとめた表がこちらです。画像はクリックすると拡大されます。
NPOLaw_cases.jpg


3 もしも漏れてしまったら
 情報漏えいが発生してしまったら、@事実関係を把握し、A被害状況・事実関係の説明、B被害者への謝罪、B漏えい情報の回収、C事件の原因を明確にしつつ、再発防止策の整備を、迅速かつ適切に行うことが、必要となります。
 問題をごまかそうとして、逆に状況を悪化させてしまう例も少なからずありますので、「真摯かつ誠実に」、「できるだけ迅速に」、必要な場合には弁護士等、専門家の助言と協力を受けながら、冷静に対処してください。
(NPOのための弁護士ネットワーク有志)
posted by 日向寺 at 19:47| Comment(0) | TrackBack(1) | NPOの法律問題

2015年02月18日

シンポジウム開催のお知らせ

NPOのための弁護士ネットワーク×CANPAN共催シンポジウム
「弁護士が教える『情報』との上手な付き合い方」

 NPOのための弁護士ネットワークは、NPOに関わる法的問題を議論する場として、誰でも参加できる志的勉強会をこれまで開催してきましたが、勉強会の成果を共有すると共に、ゲストをお招きして実際の現場に即したパネルディスカッションによって更に理解を深めるべく、NPOにおける「情報」との付き合い方をテーマにシンポジウムを開催します。
 本シンポジウムは、NPOによる「情報」の取得、管理、発信、公表の各場面において、関係者が知っておくべき最低限のルールやリスク、万一の場合に生ずる責任など、NPOが健全に発展するために役立つ情報を提供し、参加者間の意見交換やパネルディスカッションを通じて、問題意識や課題解決方法を共有するものです。
 パネリストには、准認定ファンドレイザーの資格をもつNPO実務にも通じた弁護士のほか、認定NPO法人難民を助ける会専務理事の堀江良彰氏、NPO法人CANPANセンター常務理事の山田泰久氏をお迎えします。
 シンポジウム終了後には会場で名刺交換会を兼ねた茶話会のご用意をしておりますので、ぜひご参加ください。また、茶話会終了後は、別会場にて懇親会も開催する予定ですので、こちらにもぜひご参加ください。

           開催日時 2015年3月21日(土)(春分の日)
                13時30分〜18時00分(13時受付開始)
               (17時から18時までは参加者交流会を兼ねた茶話会)
           開催場所 東京都港区赤坂1-2-2 日本財団ビル 2F会議室
                http://www.nippon-foundation.or.jp/about/access/
           参 加 費  2,000円(懇親会参加の方は会費として別途4,000円)
           申込方法 こちらのフォームからお申込みください。
                http://goo.gl/forms/Cmy4ch6S6T
           問合せ先 NPOのための弁護士ネットワーク
                npoben.net@gmail.com (←@を半角にしてください)
           告知ペーパー 20150321_LNFNPOsympo_announcement.pdf

 よろしくお願いいたします!
(日向寺)
posted by 日向寺 at 21:52| Comment(0) | TrackBack(0) | イベント情報

2015年02月16日

ネガティブ情報の発信

 こんにちは。今回は、NPOの情報発信のうち、不利益な情報の発信について考えてみようと思います。
 NPOにとって、自らの活動に関する情報を外部に発信し、理解してもらうことはとても重要な課題です。どのような広報活動をするか、どのような広報ツールを用いるか、といった検討は常日頃からされていることと思います。ただ、このような検討を行う際、自らの活動にとって利益になる情報(ポジティブ情報)ばかりが念頭に置かれていることが多くないでしょうか。
 NPOにとって不利益になる可能性がある情報(ネガティブ情報)を、発信する必要はないのでしょうか。
 NPOが広く公益性を有している団体であること、多くのステークホルダー(自治体・住民などの一般社会、役員・スタッフ・会員などの団体内部、企業・寄付者・事業委託者などの支援者等)の理解、信頼、支援を得てこそ、有意義な活動ができることを考えると、団体の健全性を示して賛同を得るためには、必要に応じてネガティブ情報を発信しなければならない責任があると言えるでしょう。
 また現代においては、情報に接した者は誰でも情報を全世界に発信できるツールを持っていることや、NPOが自ら発信するより先に第三者がネガティブ情報を発信した場合の影響なども考慮しておく必要があります。不祥事や事故が起きた際に、企業がその初期対応を誤り、その情報を知った一個人が、FacebookやTwitterなどのSNSを通じて企業より先に情報発信したため、大きな影響を受けたという例は枚挙にいとまがありません。NPOでも同じように、第三者が発信した情報がステークホルダーに伝わってしまい、初期対応を誤ったことで委託事業が打ち切られたり、寄付が減少するといった影響がでる可能性も否定できません。
 もっとも、様々な種類のネガティブ情報がありますので、その全てを発信する必要はないでしょうし、現実的でもありません。何か一定の基準を設けて発信の要否を判断すべきだと思います。具体的な基準は、各NPOによって異なるでしょうが、抽象的には、その情報が軽微なものか、同種の事故・不祥事が起きる可能性がないか、事故・不祥事の対象者が限定されているか、(発信することで)不利益を受けるステークホルダーが存在するか、(発信しないことで)不利益を受けるステークホルダーが存在するか、といったようなことで判断することになるでしょう。
 また、発信する場合には、その方法も検討しなければなりません。緊急性があるかどうか、広く一般に伝えるかどうか、によって、団体のウェブサイトで公開する、広報誌に掲載する、関係者に個別に通知するなど、方法もいろいろと考えられます。
 不祥事・事故の対応は、迅速性が求められます。不祥事や事故が起きてから、一から考えて動き出すとなると、迅速な処理が非常に難しくなります。どのような基準で発信の有無を判断すべきか事前に一度シミュレーションをしてみてはいかがでしょうか。
 2015年3月21日(土)に開催予定のシンポジウム「弁護士が教える『情報』との上手な付き合い方」では、ネガティブ情報の発信の有無とその方法についても、皆様と一緒に考える予定にしています。ご興味のある方はぜひご参加ください。

(担当:金山)
posted by 日向寺 at 10:31| Comment(0) | TrackBack(0) | NPOの法律問題

2015年02月14日

NPOのSNSとの付き合い方・留意点

はじめまして。弁護士の日向寺(ヒュウガジ)です。
今回のテーマは「NPOのSNSとの付き合い方・留意点」です。
(なお,本稿では「NPO」を広く民間非営利団体のことを指す一般名詞として使用します。)

1 NPOとSNSの密接な関係
 NPOは,財源やマンパワーを獲得するために,寄付やボランティアを募ることが多いと思います。ファンドレイジングにおいても,NPOへの共感を獲得していくことが重要視されています。共感がNPOへの支援を生むからです。
 その共感が可視化されると,さらなる共感や支持を呼ぶことがありますが,SNSほどその可視化に有用なシステム・ツールはないのではないでしょうか。SNSは,NPOが共感を得ていくうえで避けて通れないツールであるといえると思います。

2 SNSの利用による不祥事
 しかし,世の中にリスクのないツールはありません。
 SNSも同様で,たとえば,皆様もご存じの次のような事件がありました。
「復興庁幹部がツイッターで暴言 市民団体を中傷」(日本経済新聞)
http://www.nikkei.com/article/DGXNASDG1301O_T10C13A6CC0000/

 この件は,復興庁の幹部が,その個人のTwitterアカウントで,復興庁幹部を名乗りながら,その職務遂行上関わった個人や団体を中傷する内容などの投稿をしたという事案です。
この件は複数の観点から問題点が挙げられますが,復興庁側からみた本質的な問題は,本来復興に向けて復興庁が対話・協力すべき個人・団体を,復興庁幹部が中傷したことで,復興庁の信頼が大きく揺らいでしまい,本来のミッション遂行上に支障が出るおそれが生じたことだと言えると思います。
 このような問題は,復興庁をNPOに置き換えてもらえればわかるように,NPOでも十分起こり得るものです。
 それでは,NPOとしては,SNSと,どのような点に留意しながら,付き合っていけばよいのでしょうか。

3 NPOが留意すべきこと
⑴ こんな情報発信には要注意
 まずは,法的に,発信すること自体に問題がある情報を発信する場合です。(ケース@)
 具体的には,@個人情報,A肖像(写真),Bプライバシー情報などです。これらは,そもそも発信する段階で,本当に発信の必要があるかを検討しなければなりません。とはいえ,写真などは投稿したい場合が多いと思います。その場合は,事前に肖像権者やプライバシー権者の許諾を得ておく必要があります。
 次に,発信自体に法的問題はないが,団体の信頼を傷つけるなどのリスクがある場合です。(ケースA)
 具体的には,先ほどの事件のように,極端な意見表明をあたかも団体の意見であるかのように表明する場合や,あたかも団体が十分な事実確認もなく安易に事実を発信し「デマ」を拡散させてしまう場合などがあります。

⑵ 情報発信者毎の対応
ア NPO自身のSNS利用
 情報発信に関して,きちんとした知識を持った担当者をつけ,責任の所在を明確にし,NPOとして責任をもった情報発信を行うことが必要です。担当者に十分な知識がない場合には,研修やセミナーの受講をお勧めします。
イ 団体職員等の個人のSNS利用
 職員との間で,SNS利用上のガイドラインを作成,周知徹底する,又は合意書を作成しておくのが理想です。
 また,研修などを行い,NPOとしての情報に対する意識を高めることも重要でしょう。
 なお,前述の事件をうけ,総務省が作成した「国家公務員のソーシャルメディアの私的利用に当たっての留意点」は,このガイドラインのイメージをつかむ参考になります。
「国家公務員のソーシャルメディアの私的利用に当たっての留意点」
http://www.soumu.go.jp/menu_news/s-news/01jinji02_02000084.html

ウ ボランティア参加者の個人のSNS利用
 この場合は,十分な研修を行うことが難しい場合も多いかと思います。そこで,最低限,ボランティア参加者には「してはいけないこと」を注意事項として伝えることなどをしていただければと思います。
 また,このとき,NPOとして,せっかくのボランティアの方に「あれもダメ,これもダメ」というように指示することは本意ではないと感じることも多いと思います。そこで,ボランティアの方には,SNSの利用を推奨するのと同時に,注意事項を伝えるようにされるとよいでしょう。
 このような説明内容は,ボランティア参加者に参加前に文書で示し,理解と許諾を得ておくことが理想です。

⑶ 導入に当たって
 これまで留意点や対応について述べてきましたが,実際の導入に当たっては悩まれることも多いと思います。当ネットワークでは,ガイドラインや説明文書のひな形の作成や,研修の講師を行うなどの対応が可能です。もし気になるような点や疑問点等があれば,気軽にお問合せください。

(担当:日向寺)
posted by 日向寺 at 13:34| Comment(0) | TrackBack(1) | NPOの法律問題

2015年02月09日

個人情報管理の勘所

 NPOにとって、会員、寄付の拡大のためにも個人情報の取得・保有は不可欠です。一方で、個人情報を漏えいしてしまった場合には、信頼を軸とするNPOの活動に多大な影響を及ぼすことになってしまいます。
 そのため、NPOにとっても情報管理が極めて重要であることはご存知のとおりです。
 個人情報の管理に関しては、各事業分野を管轄する省庁がガイドラインを作って、事業者に情報の安全管理体制の整備と漏えい事故等の防止のための具体的な対策を求めています。
 これらのガイドラインは、NPOを直接の対象としているわけではありませんが、情報管理の重要性からすれば、NPOにおいてもガイドラインの求める対策を全て実施するに越したことはありません。
ただ、限られた人的・物的資源の中でガイドラインに定められた全ての事項を常に遵守することはなかなか難しいというのが本音ではないでしょうか。

 以上のような状況を踏まえて、個人情報漏えい事故の原因等の分析結果から、情報管理策の優先順位について考えてみたいと思います(あくまで、私見です)。  
なお、以下に引用する漏えいの原因等のデータは、NPO日本ネットワークセキュリティ協会 セキュリティ被害調査ワーキンググループ外が公開している「2012年情報セキュリティインシデントに関する調査報告書〜個人情報漏えい編〜」に基づいています。

 1.個人情報漏えいの原因及び漏えい媒体・経路
  個人情報漏えいの原因は、「管理ミス(誤廃棄等)」(59%)「誤操作」(20.1%)「紛失・置き忘れ」(8.0%)が約90%を占めると言われています。
  次に、個人情報の漏えい媒体・経路では、「紙媒体」が58.7%、「USB等可搬記録媒体」が25.9%、「電子メール」が5.5%となっています。

 2.情報管理策の優先順位
 @規程の整備(組織的安全管理措置)
まずは個人情報の安全管理措置を定めた規程の整備が必要になります。漏えい原因として一番多い「管理ミス」を出来る限り少なくするためにも、規程には、個人情報の管理者の職務権限と責任を明記し、管理者のリーダーシップのもとに組織的な情報管理を行っていく必要があります。
また、漏えい原因として2番目に多い「誤操作」をなくすため、個人情報を取り扱う業務の処理手順や情報機器操作時の注意点などについても、内部規程として整備しておくとよいでしょう(個人情報保護規程とは別の規程でもよい)。

 A担当者への教育等の実施(人的安全管理措置)
  漏えい原因である「誤操作」及び「紛失・置き忘れ」は、ヒューマンエラーの典型とも言えるものです。その対策としては、策定した規程の周知(規程を作っても誰も知らなければ意味がない)及び情報管理の重要性についての教育(セミナーへの参加)が効果的です(情報管理の重要性については、志的勉強会でも取り上げていきますので、是非ご参加下さい)。

 B管理場所の指定及びパスワードの設定等
  情報の記録媒体別では、「紙」による情報漏えいが一番多いとされています。そのため、個人情報を紙に印刷する機会をなるべく減らすとともに、どうしても紙で保管しなければならないものについては、保管場所を指定し、使用後は必ず指定場所に戻すことを徹底することが最低限必要となります(可能な限り施錠できる場所が望ましい)。
  「USB等の可搬記録媒体」に関しても、スタッフの私物の記録媒体の利用を制限し、団体の管理する記録媒体についても個人情報が含まれる情報の持ち出しは原則として禁止する、万が一漏えいした場合の対策として、パスワードの設定や記録媒体に記録するデータはすべて暗号化するなどの対策が求められます。

以上、優先的に実施するべき情報管理策について検討してみました。上記@〜Bはどんな団体でも最低限必要な対策ですので、不足する部分があれば、早急に対応されることをお勧めします。
上記について疑問点等があれば、執筆担当者までお気軽にご連絡下さい。

(担当:田中)

参考
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf
posted by 樽本 at 13:02| Comment(0) | TrackBack(0) | NPOの法律問題

2015年02月03日

はじめまして〜NPOと契約〜

 こんにちは。NPOのための弁護士ネットワークのブログを立ち上げました。メンバーの弁護士がNPO関係者や支援者の参考になる情報を発信していきます。初回のテーマは「NPOと契約」です。

 この世に誰ともひとつも契約をしないで運営できるNPOは存在しません。事務所を借りるには賃貸借契約を、人を雇用するには雇用契約を、行政の受託事業を行うには業務委託契約を締結しなければなりません。
 しかし全てのNPOが、契約締結の際に法的リスクを考えて契約書の中身を慎重に検討できる能力と余裕があるわけではありません。
 私たちのネットワークには、いろいろな伝手をたどってNPOの運営や活動、労務、取引等に関する質問が寄せられています。その中には一定の割合で契約に関する質問が含まれています。例えば、ある分野でユニークな活動をして世間から注目を集めている団体から、こんな質問がありました(ブログで紹介するに当たって多少デフォルメしています。)。


「ある著名な企業から、イベントの共催、グループ企業に対するコンサルティング、コンテンツの共同開発などの事業提携を申し込まれ、契約書のひな形が送られてきた。ひな形によると、共同で開発したコンテンツの権利は両者の共有となり、第三者への類似コンテンツの提供が制限されるような規定がある。当団体は様々なパートナーと同様の取り組みを行っており、将来の活動に制約が出ることは避けたいと考えている。どういう契約にすればよいだろうか。」


 NPOの活動範囲が広がってくると、他の企業や団体との接点が増え、対等の立場で契約をする機会が増えてきます。団体にとっては事業拡大や社会におけるプレゼンス向上の好機ですから、上手にリスクを管理しながら取り組みを成功させ、団体の成長につなげたいところです。

 団体の内部や協力者に判断できる人間がいないときは、私たちのような外部の専門家に相談することもときには必要でしょう。最近では、企業等で組織の内部統制や契約書の作成などの実務経験を積んだ方が、団体の理事やスタッフ、プロボノといった形で団体に参画することが増えてきているように思います。特に東京ではそういう例を目にすることがあります。こういった協力者をうまく味方につけて団体の事業遂行能力を向上させることが、これからのNPOにとっては重要な取り組みになると思います。

 さて、上記のような質問が寄せられたとき、私たちがまずアドバイスすることは、きちんと相手の担当者とコミュニケーションを取って、わからないことや不安に思うことをしっかり質問して回答をもらうようにしてください、ということです。将来障害になりそうなことがあれば、契約で明確に排除するように求めなくてはなりません。わからないままにすることが一番危険です。

 もし相手の担当者が、社内の決まりで契約書上はこうとしか書けませんが、ご心配のようなことにはなりません、というような言葉でお茶を濁そうとしても応じるべきではありません。契約は一度締結すると内容を変更することは難しく、後で契約の解釈で対立したときに当時の担当者はこう話していたから…と言ってみたところで、契約書に明記された法的効果を否定することは容易ではありません。

 契約書の中身について分からないことを明確にするように求めたり、対等な契約になるように交渉することは、相手に対して失礼なことでは決してありません。むしろ、リスクに対する意識の高いきちんとした団体だという積極的な評価につながります。

 もっとも、契約のどの規定が自分たちの将来のリスクになるのかを判断するには、契約書に対するある種のリテラシーが必要になってきます。団体内にそういった人材がいないときは、積極的に外部リソースを活用しましょう。身近に法律の専門家がいれば仲間に引き込むのが一番手っ取り早い方法かもしれません。

 私たちのネットワークは、NPOのための志的勉強会という勉強会を年に6回程度開催しています。NPOの理事やスタッフなどの関係者とネットワークの弁護士を中心に、税理士・弁理士・行政書士といった士業、中間支援団体、プロボノなどの多様な立場の方々が集まって、NPOの経営に関する法的課題とその解決法の検討、事例共有、実務ですぐに使える書式の作成などを行っています。

【過去の開催テーマ】
NPOのコンプライアンス、NPOの契約ノウハウ、NPOのガバナンスと理事の責任、遺贈による寄付プログラム、プライバシー・個人情報保護と事故対応、中間支援組織による支援先・助成先への支援のあり方、広報の法的トラブルとその予防策、商標登録・上手な活用法、NPOにおける労働者−ボランティア活動者を中心に、NPOにおける情報管理〜管理規約を中心に〜、NPOの情報発信とアカウンタビリティ

 また、ネットワークの弁護士の有志による無料相談イベントを毎年9月に東京、名古屋、札幌で開催しています。

 今年度の志的勉強会、無料相談イベントの開催予定は、今後このブログで発表していきますので興味があるテーマがあれば是非ご参加ください。
 今後ともNPOのための弁護士ネットワークをよろしくお願いします。
(樽本)
posted by 樽本 at 11:04| Comment(0) | TrackBack(0) | NPOの法律問題