2014/07/23 “官製個人情報”が新たな情報漏えいの火種に?(会員限定)

投稿日時: 投稿者:

 ベネッセコーポレーションで発生した大量の個人情報流出とその後の度重なる同社に関する報道は、個人情報流出のリスク管理の重要性を改めて企業に認識させたことだろう。

 こうした中、もし漏えいすれば大問題に発展することが確実な“官製個人情報”への対応が企業を悩ませている。それが、平成28年1月にスタートする予定のマイナンバー制度における「個人番号」だ。

 マイナンバー制度とは、国民一人ひとりに独自の番号を割り振り、この番号と個人情報を紐付けることで、行政事務の効率化を図ろうというもの。批判を込めて“国民総背番号制”と呼ばれることもある。

 個人番号は、主に年金や健康保険といった社会保障分野や税分野で使われることになるが、現在企業が頭を悩ませているのが、上場株式配当の支払通知書への個人番号の記載。これは、マイナンバー制度の導入とともに税法で義務付けられることとなるため(改正租税特別措置法施行規則4条の4第1項1号)、企業にとって「記載しない」という選択肢はない。

 ただ、配当支払通知書は従来から普通郵便で郵送されており、ポストからの盗難、配送ミス、転居により新しい居住者の手に渡ってしまうなどにより、個人番号が漏えいするリスクは否定できない。特に都市部のマンションではポストに氏名を表示しないケースが多く、旧居住者の郵便物が投函されていることも珍しくない。

 名前や住所とあわせて個人番号が漏えいした場合、“なりすまし”による犯罪行為につながる恐れがあり、単なる個人情報の流出よりも大きな問題になる可能性がある。

 こうした中、一部企業は従来の普通郵便をやめ、書留で配当支払通知書を送付することも検討している。実際にそうすることになれば、株主の多い企業にとっては大幅なコスト増になるだろう。配当支払通知書への個人番号記載義務付けは、マイナンバー法の施行と同じ平成28年1月~が予定されているが、役員はそれまでに、「個人情報の漏えい防止」と「コストアップ」の狭間で難しい経営判断を迫られることになりそうだ。

2014/07/22 ビッグデータの活用と個人情報保護法

投稿日時: 投稿者:

 多くの企業がビッグデータの活用に動いているが、その障害となりかねないのが個人情報保護法だ。

 個人情報保護法では、個人情報を取り扱う際には「利用目的をできる限り特定とする」こととしたうえで(同法15条)、「本人の同意を得ることなく、その利用目的を超えて個人情報を取り扱うこと」を禁止している(同法16条)。ビッグデータを分析、解析したり、第三者に提供することがこれらの規定に抵触するかどうかは“グレーゾーン”と言える。

 ビッグデータの活用を考える企業にとって、個人情報保護法が求める「本人の同意」を得ることは負担感が大きい。このため、ビッグデータの活用に二の足を踏む企業も見られるが、この問題は来年には解消されることになりそうだ 。

 政府は現在、「本人の同意がなくてもデータの利活用を可能とする枠組み」の導入を検討している。具体的には、ビッグデータを・・・

このコンテンツは会員限定です。会員登録(有料)すると続きをお読みいただけます。

続きはこちら
まだログインがお済みでない場合はログイン画面に遷移します。
会員登録はこちらから

2014/07/22 ビッグデータの活用と個人情報保護法(会員限定)

投稿日時: 投稿者:

 多くの企業がビッグデータの活用に動いているが、その障害となりかねないのが個人情報保護法だ。

 個人情報保護法では、個人情報を取り扱う際には「利用目的をできる限り特定とする」こととしたうえで(同法15条)、「本人の同意を得ることなく、その利用目的を超えて個人情報を取り扱うこと」を禁止している(同法16条)。ビッグデータを分析、解析したり、第三者に提供することがこれらの規定に抵触するかどうかは“グレーゾーン”と言える。

 ビッグデータの活用を考える企業にとって、個人情報保護法が求める「本人の同意」を得ることは負担感が大きい。このため、ビッグデータの活用に二の足を踏む企業も見られるが、この問題は来年には解消されることになりそうだ 。

 政府は現在、「本人の同意がなくてもデータの利活用を可能とする枠組み」の導入を検討している。具体的には、ビッグデータを「個人の特定性を低減したデータ」へと加工することで、「本人の同意を得ずに」第三者への提供等を可能にする新たな仕組みを法律に設けることとしている(内閣官房IT総合戦略室「パーソナルデータの利活用に関する制度改正大綱」参照)。

 ただし、“グレーゾーン”の内容や個人の権利・利益の侵害の可能性・度合いは、情報通信技術の進展や個人情報に対する個人の考え方によって変化することから、法律では大枠を定めるだけにとどめ、具体的な内容は政省令やガイドライン、民間の自主規制ルールによって柔軟に定める。

 ビッグデータの活用は政府が進める日本経済の成長戦略にも有効であることから、政府は来年の通常国会に個人情報保護法の改正案を提出し、早期の成立を目指す方向だ。

 改正により、企業がビッグデータを活用する時代が本格的に到来することになろう。それに伴い、日本で圧倒的に不足している「データ・サイエンティスト」や「データ・アナリスト」と呼ばれるビックデータを分析・解析できる専門家の争奪戦も起こることになりそうだ。

2014/07/18 2014年7月度チェックテスト第10問解答画面(正解)

投稿日時: 投稿者:

正解です。
 今3月決算の上場企業の定時株主総会における買収防衛策の導入議案に対しては、議決権行使助言会社の反対推奨が相次ぎ、50%台という極めて低い賛成率でかろうじて可決されるケースが続出しました。1件ではありますが、初の否決事例(カプコン)も出ています。その一方で、議決権行使助言会社が賛成推奨している例があるのは興味深いところです。買収防衛策の導入に際しては、議決権行使助言会社の賛成推奨事例の研究が不可欠と言えるでしょう。

こちらの記事で再確認!
2014/07/28 6月株主総会総括 買収防衛策の導入議案で初の否決、監査役への退職慰労金は過半数割れ寸前に(会員限定)

2014/07/18 「継続企業の保証」は取締役の責任?本家・英国コーポレートガバナンス・コード改定が迷走

投稿日時: 投稿者:

 我が国では、今年2月のスチュワードシップ・コードに続き、2015年の株主総会シーズンまでにコーポレートガバナンス・コードを策定することが、政府の成長戦略(「日本再興戦略」改訂2014 、30ページ参照)に盛り込まれた。スチュワードシップ・コード同様、コーポレートガバナンス・コードのモデルも“英国版”だが、本家英国版のコーポレートガバナンス・コードが揺れている。

 英国のコーポレートガバナンス・コードは、時代の変化に応じ、2年に1度見直しが行われている。通常は4月に改定案が発表され、同年の10月から新コードが導入される流れとなっており、直近の改定案も今年(2014年)4月に発表された。ところが、その内容が年金基金や機関投資家から強い批判を浴びており、今月(7月)末には英議会の経済委員会が公聴会を開催、英国コーポレートガバナンス・コードを策定しているFRC(財務報告評議会)を喚問する事態となっている。

 批判の的となっているのが、「継続企業(ゴーイング・コンサーン=going concern)* 」に関するコードだ。

* 会社が将来にわたって事業を継続していくという前提のこと。

 英国では、2008年のリーマンショックの際に 監査法人から・・・

このコンテンツは会員限定です。会員登録(有料)すると続きをお読みいただけます。

続きはこちら
まだログインがお済みでない場合はログイン画面に遷移します。
会員登録はこちらから

2014/07/18 「継続企業の保証」は取締役の責任?本家・英国コーポレートガバナンス・コード改定が迷走(会員限定)

投稿日時: 投稿者:

 我が国では、今年2月のスチュワードシップ・コードに続き、2015年の株主総会シーズンまでにコーポレートガバナンス・コードを策定することが、政府の成長戦略(「日本再興戦略」改訂2014 、30ページ参照)に盛り込まれた。スチュワードシップ・コード同様、コーポレートガバナンス・コードのモデルも“英国版”だが、本家英国版のコーポレートガバナンス・コードが揺れている。

 英国のコーポレートガバナンス・コードは、時代の変化に応じ、2年に1度見直しが行われている。通常は4月に改定案が発表され、同年の10月から新コードが導入される流れとなっており、直近の改定案も今年(2014年)4月に発表された。ところが、その内容が年金基金や機関投資家から強い批判を浴びており、今月(7月)末には英議会の経済委員会が公聴会を開催、英国コーポレートガバナンス・コードを策定しているFRC(財務報告評議会)を喚問する事態となっている。

 批判の的となっているのが、「継続企業(ゴーイング・コンサーン=going concern)* 」に関するコードだ。

* 会社が将来にわたって事業を継続していくという前提のこと。

 英国では、2008年のリーマンショックの際に 監査法人から「無限定適正意見*」を受けた銀行のうちの複数がその直後に経営危機に陥り、公的支援を受けたことから、「継続企業」の判断のあり方が議論されてきた。こうした中、FRCの依頼を受け、2012年には「継続企業の開示を巡る課題に関する報告書」が公表されている。

* 外部の監査人である公認会計士や監査法人が、会計監査の結果、財務諸表等に虚偽記載等が発見されず、記載内容が適正であると判断した場合に表明する監査意見。

 この報告書では、「継続企業」とは「将来にわたって債務を履行することができる企業」である旨の見解が示されたが、報告書の作成を依頼したFRCが今年4月に公表したコーポレートガバナンス・コードの改定案では、現行コードで取締役に求められている「継続企業であるとの宣言」が「継続企業を前提とした会計基準を適用することの適切性の宣言」に“トーンダウン”している。さらに、新たなコードとして、「取締役は、企業の現状とリスクを考慮したうえで、“一定期間”にわたり事業を継続可能と合理的に予測できるとの宣言」が追加されている。これらの改定は、将来にわたる事業継続の“保証”に難色を示す企業や監査法人の声を受けたものと言える。

 これに対し年金基金や機関投資家は、「企業の継続を保証することこそが取締役の責任であり、これにコミットするべき」と批判している。

 今後我が国でも策定されるコーポレートガバナンス・コードは英国版がモデルとなるだけに、本家の迷走は気になるところだ。

2014/07/17 (新用語・難解用語)コンピュータ・フォレンジック

投稿日時: 投稿者:

 従業員等による情報漏えい、横領などの不正は後を絶たないが、近年はこうした不正行為の多くに「電子データ」が絡んでいる。例えば情報漏えい事件では、機密情報への不正アクセス、そのダウンロード、USBメモリへのコピー、メール添付による外部への送付、横領事件では、会計データの改ざんなどが行われる。

 こうした行為の痕跡はパソコンやサーバ、ネットワーク機器、携帯電話、スマートフォンなどに残ることになるが、不正を行った者がこうした痕跡を削除、破壊することにより証拠隠滅を図るケースもある。

 コンピュータ・フォレンジックとは、不正を行った者のパソコンのハードディスクから証拠となるファイルを探し出したり、削除、破壊されたデータの復元、サーバのログファイルの分析による不正アクセスの割出し、さらには、データが捏造されたものかどうかを検証することなどにより、電子データについて「いつ」「誰が」「どのような操作を行ったのか」を明らかにする技術のこと。デジタル・フォレンジックと呼ばれることもある。フォレンジック(forensic)とは「鑑識」を意味する。

 情報漏えいや横領事件は民事・刑事訴訟へと発展することがしばしばあるが、コンピュータ・フォレンジックにより得た証拠は訴訟で利用・・・

このコンテンツは会員限定です。会員登録(有料)すると続きをお読みいただけます。

続きはこちら
まだログインがお済みでない場合はログイン画面に遷移します。
会員登録はこちらから

2014/07/17 (新用語・難解用語)コンピュータ・フォレンジック(会員限定)

投稿日時: 投稿者:

 従業員等による情報漏えい、横領などの不正は後を絶たないが、近年はこうした不正行為の多くに「電子データ」が絡んでいる。例えば情報漏えい事件では、機密情報への不正アクセス、そのダウンロード、USBメモリへのコピー、メール添付による外部への送付、横領事件では、会計データの改ざんなどが行われる。

 こうした行為の痕跡はパソコンやサーバ、ネットワーク機器、携帯電話、スマートフォンなどに残ることになるが、不正を行った者がこうした痕跡を削除、破壊することにより証拠隠滅を図るケースもある。

 コンピュータ・フォレンジックとは、不正を行った者のパソコンのハードディスクから証拠となるファイルを探し出したり、削除、破壊されたデータの復元、サーバのログファイルの分析による不正アクセスの割出し、さらには、データが捏造されたものかどうかを検証することなどにより、電子データについて「いつ」「誰が」「どのような操作を行ったのか」を明らかにする技術のこと。デジタル・フォレンジックと呼ばれることもある。フォレンジック(forensic)とは「鑑識」を意味する。

 情報漏えいや横領事件は民事・刑事訴訟へと発展することがしばしばあるが、コンピュータ・フォレンジックにより得た証拠は訴訟で利用されることも多い。ただ、デジタルデータは改ざんが容易なため、これが裁判で証拠として採用されるためには、証拠の保全が極めて重要になる。コンピュータ・フォレンジック業者を選定する際には、訴訟対応の経験があるところを選定した方が無難だろう。

 コンピュータ・フォレンジックは、不正行為に限らず、社内のパソコンでのWebメールの利用履歴、削除されたメールの復元、インターネットの私的利用など、従業員の勤務状況を把握するために利用されることもある。大部分の業務が電子機器を通じで行われる現在、コンピュータ・フォレンジックは、企業のリスクマネジメント上、不可欠な技術になっていると言えよう。

 なお、コンピュータ・フォレンジックに関連する技術として、「ネットワーク・フォレンジック」というものがある。これは、社内に出入りしたパケット(宛先のアドレスや発信者の情報などが付与されたデータ)を解析する技術であり、情報漏えい等の不正発見にも有効。必要に応じ、コンピュータ・フォレンジックとの併用を検討するとよいだろう。

2014/07/16 個人情報の漏洩は集団訴訟の対象になるか?

投稿日時: 投稿者:

 ベネッセコーポレーションで発生した大規模な個人情報の漏えい事件は、企業に個人情報管理の難しさ、リスクを改めて認識させたことだろう。2003年における個人情報保護法の成立以降、企業は個人情報の取扱いには注意を払ってきたが、それでも、個人情報の流出が世間を賑わすケースは後を絶たない。

 折しも、昨年(2013年)秋の臨時国会では、集団訴訟を可能にする「消費者裁判手続特例法(通称「集団訴訟法」。特定適格消費者団体が個々の消費者に代わって損害賠償請求訴訟を提起する仕組み)が成立しているが、結論から言うと、個人情報の流出自体が同法の対象になることはまずないだろう。一般に、個人情報の流出では“精神的苦痛”を受けたことによる慰謝料の支払いが問題になるが、集団訴訟法では「精神上の苦痛を受けたことによる損害」は適用対象から除外されているためだ(同法3条2項6号)。ただし、個人情報の流出に伴って金銭的な被害が発生したとなれば(例えば、クレジットカード情報が流出し、不正に使用された場合)、同法の適用対象になる(なお、同法の施行は「2013年12月11日の公布日から3年以内」とされ、まだ施行に至っていないことに加え、同法は施行後に生じた事案にのみ適用されるため、今回のベネッセの情報漏えい事件は適用対象外となる)。

 ただ、訴訟を提起されるリスクがないわけではない。まず、被害者個人が・・・

このコンテンツは会員限定です。会員登録(有料)すると続きをお読みいただけます。

続きはこちら
まだログインがお済みでない場合はログイン画面に遷移します。
会員登録はこちらから

2014/07/16 個人情報の漏洩は集団訴訟の対象になるか?(会員限定)

投稿日時: 投稿者:

 ベネッセコーポレーションで発生した大規模な個人情報の漏えい事件は、企業に個人情報管理の難しさ、リスクを改めて認識させたことだろう。2003年における個人情報保護法の成立以降、企業は個人情報の取扱いには注意を払ってきたが、それでも、個人情報の流出が世間を賑わすケースは後を絶たない。

 折しも、昨年(2013年)秋の臨時国会では、集団訴訟を可能にする「消費者裁判手続特例法(通称「集団訴訟法」。特定適格消費者団体が個々の消費者に代わって損害賠償請求訴訟を提起する仕組み)が成立しているが、結論から言うと、個人情報の流出自体が同法の対象になることはまずないだろう。一般に、個人情報の流出では“精神的苦痛”を受けたことによる慰謝料の支払いが問題になるが、集団訴訟法では「精神上の苦痛を受けたことによる損害」は適用対象から除外されているためだ(同法3条2項6号)。ただし、個人情報の流出に伴って金銭的な被害が発生したとなれば(例えば、クレジットカード情報が流出し、不正に使用された場合)、同法の適用対象になる(なお、同法の施行は「2013年12月11日の公布日から3年以内」とされ、まだ施行に至っていないことに加え、同法は施行後に生じた事案にのみ適用されるため、今回のベネッセの情報漏えい事件は適用対象外となる)。

 ただ、訴訟を提起されるリスクがないわけではない。まず、被害者個人が慰謝料の支払いを求め、損害賠償請求訴訟を起こすことは十分あり得る。また、大型の消費者事件や公害事件、薬害事件などでみられる「弁護団方式(弁護士が被害者を支援する方式)」による集団訴訟による訴えが起こされる可能性もある。実際、弁護団方式による集団訴訟で、企業に慰謝料の支払いを企業に命じた裁判例も存在する。この裁判例はエステ業者が有する個人情報が流出したケースであるが、裁判所は、「住所や氏名の情報の流出はプライバシーの侵害に該当し、個人情報を取り扱う企業として安全対策を講ずる義務に違反した」ことを判決理由としている(東京地裁平成19年2月8日判決)。

 企業としては、個人情報流出には訴訟リスクが伴うと認識したうえで、外部のシステム会社を含む管理体制の見直しなどの予防策を改めて検討しておくべきだろう。