おかげさまで引き合いが続く我が社の法務チーム。
最近は、個人情報の提供をせがまれて困りました。たとえば、次のような相談です。
- 被通報者に、内部通報窓口に通報された内容を通報者に無断で開示してよいか
- 取引先に、関係する個人との関連契約や取引実績を当該個人に無断で開示してよいか
「個人情報」か
直感的には、
- 1は絶対ダメ
- 2はOKな場面もあるかも?
と思うわけですが、もう少し考えてみます。
ひとつめ、内部通報は、基本的に個人が行うものなので、顕名であれば個人情報になるでしょう。となれば、本人同意なく第三者にすることはできません。
なら、匿名だったりして個人が特定できなければ第三者に提供してもよいかといえば、それもちょっとありえませんよね。通報内容を通報者の承諾なく被通報者に開示したりすれば、内部通報制度の信用に関わりますので。
ふたつめは、その個人との契約に取引先名や取引先での肩書きが記載され、支払先口座も取引先の名義になっていれば、取引先自身による照会と扱えるでしょう。しかし、相談のあったケースでは、なぜか取引先名は一切記載されておらず、外野の私から見れば「どこの誰??」と思わざるを得ない、まったくの個人のお名前と関連情報しか記載されていませんでした*1。これは完全に個人情報です。
本人同意を要しない例外ケースに該当するか
ふたつめのケースは、取引先内での不正疑惑の全容解明に協力してほしいというご依頼だったのですが、個人情報である以上、原則として本人の同意なしに第三者に提供できません(個人情報保護法27条1項柱書)。それがたとえ取引先であったとしても…
とはいえ、内部調査で本人から同意を得るのも厳しそうです。ならば、本人同意が不要な例外的ケースに該当するとは考えられないか。可能性があるとすれば、個人情報保護法27条1項2号「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。」か。
しかし、残念ながらそれも難しい模様。ガイドライン通則編には、この例外に当てはまる事例として以下を挙げていますが(3-6-1で参照する3-1-5)、ちょっとレベルが違いそう・・・
事例1)急病その他の事態が生じたときに、本人について、その血液型や家族の連絡先等を医師や看護師に提供する場合
事例2)大規模災害や事故等の緊急時に、被災者情報・負傷者情報等を家族、行政機関、地方自治体等に提供する場合
事例3)事業者間において、暴力団等の反社会的勢力情報、振り込め詐欺に利用された口座に関する情報、意図的に業務妨害を行う者の情報について共有する場合
事例4)製造した商品に関連して事故が生じたため、又は、事故は生じていないが、人の生命若しくは身体に危害を及ぼす急迫した危険が存在するため、当該商品の製造事業者等が当該商品をリコールする場合で、販売事業者、修理事業者又は設置工事事業者等が当該製造事業者等に対して、当該商品の購入者等の情報を提供する場合
事例5)上記事例4のほか、商品に重大な欠陥があり人の生命、身体又は財産の保護が必要となるような緊急時に、製造事業者から顧客情報の提供を求められ、これに応じる必要がある場合
事例6)不正送金等の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために、他の事業者に提供する場合
顧問弁護士にも、「今回のケースでは、すでに内部調査の存在は本人も知っているのだから本人に提出させたり、それができなければ弁護士会照会とかを使えばよいのでは…なぜうちがリスクをとって開示しなければならないのか」と言われました。
ご理解いただけないときのネクストアクション
「本人に無断で個人情報を他人に提供してはならない」というのはビジネスパーソンにの常識になったと思っています。なので、本人同意を得ずに個人情報の提供をせがまれること自体、強い違和感を覚えるのですが*2、実際には、「いうことが聞けないなら取引中止じゃ!帰れー!」とおっしゃる取引先もまだあったりします(今回がそうでした…)。「そうなったらどうすればいいの?」と聞かれれば、「説得しようとせずに、とりあえず帰ってきてください。本当にダメなら取引中止です」と答えてしまう…
営業担当にとって取引先は神も同然なので、多少の犠牲を払ってでも取引先の希望に応えたい気持ちはよく理解できます。が、外野の私たちには「きっとこの先ロクなことが待っていない」と思えてしまいます。
本人からクレーム等を受けるリスクがあるのは当然、こちらに法令違反を強要する取引先は、また別の場面でとんでもないことを要求するのではないかと。
しかし、いつも「AかBかで考えないで、Cを探そう」と言いながら、こういう大事なときに「法令遵守か取引先か、だったら法令遵守に決まっているでしょ!」と現場に二択を迫るのはよくないな…と自己嫌悪に陥ってしまいました…
