個人情報流出問題と共通番号制度再考

1.日本年金機構情報流出問題

 日本年金機構の職員端末に何者かがサイバー攻撃をしかけ、およそ125万人分の個人情報が外部に流出した事件について、6月6日付け産経新聞電子版のまとめ記事により、時系列的に並べてみると凡そ以下のようになるようです。

5月8日 九州ブロック本部、職員が調達業務で使用するため公開しているアドレスに届いたメールを開封後、1台目の感染を確認。機構はこのパソコンのケーブルを抜いて通信を遮断。

5月9日 新種のウイルスと判明したが、15日にウイルス対策会社から「外部に情報を漏洩(ろうえい)するタイプではない」と報告あり。

5月18日~20日 一般に公開されていない複数の職員個人のアドレスに不審メール。
5月19日 機構が警視庁に捜査を依頼。

5月23日 東京本部の人事管理部で19台のパソコンから外部への大量の情報発信を確認。

5月28日 警視庁から「機構から流出したと考えられるデータを発見した」と連絡。
5月29日 機構 全パソコンのインターネット接続を切断。

6月1日  機構 情報流出を公表。


2.どこからの攻撃か

 個人情報の管理に関して、日本年金機構は脇が甘すぎたとの批判を受けるのは当然のことでしょう。しかし、見逃してはならないのが、どのような目的にせよ、違法にサイバー攻撃をしかけてきた輩です。会社内部の身内といえる下請け会社の派遣社員が個人情報を持ち出したベネッセ事件などとは、この点が明確に異なります。新聞報道によれば、警視庁公安部は、メール送信元の特定を進めているようですが、使用した書体から外国の影がちらついているように読めます。また、時を同じくして、米国でも政府職員の人事情報を管理するシステムがサイバー攻撃を受け、約400万人分の個人情報が流出した可能性があるとの発表がありました。発表のタイミングがよすぎるとの印象も受けないことはないのですが、要するに、このような違法サイバー攻撃は、今日日常的に行われていることを物語っています。

=== 産経新聞電子版 6月3日 ===

 また、メールのウイルスには中国語の書体(フォント)が含まれていたことも情報セキュリティー会社への取材で判明。 同社によると、ウイルスの一部に文書ソフトのファイルが含まれており、そのフォントが中国語だった。

=== 産経新聞電子版 6月5日 ===

 米連邦政府の人事管理局は4日、政府職員の人事情報を管理するシステムがサイバー攻撃を受け、約400万人分の個人情報が流出した可能性があると発表した。攻撃元は調査中だが、米メディアは政府高官や議員の話として、中国が関与しているとの見方を伝えた。米中は今月22日から3日間、ワシントンで安全保障や経済問題を協議する「米中戦略・経済対話」を開く。オバマ米政権は中国による南シナ海での岩礁埋め立てに加え、一連のサイバー攻撃も対話に影響を与える可能性が出てきた。

 米政府の発表を受け、中国外務省の洪磊報道官は5日、「サイバー攻撃は匿名性を持ち、国をまたぎ、元をたどるのが難しいという特徴がある。『かもしれない』というのは無責任で、非科学的だ」とした上で、「米国は疑い深く、雲をつかむような不確かな話をしないよう望む」と疑惑を否定した。

 人事管理局は昨年、サイバーセキュリティーの体制を強化。その結果、今年4月にサイバー攻撃を受けたとの情報があることが確認された。政府職員の職務や業務評価などに関する情報に外部からアクセスされたとみられ、国土安全保障省や米連邦捜査局(FBI)が事態の全容解明に乗り出している。

 米メディアは内務省など他の官庁も攻撃を受けたとして、情報機関の職員の個人情報が流出した可能性も指摘。米ウォールストリート・ジャーナル(電子版)は「政府が受けた被害としては最大規模の事例のひとつだ」としている。

 司法省は5月、米半導体メーカーから機密性が高い技術を盗んだとして中国籍の6人を起訴。昨年5月には連邦大陪審が米企業にスパイ行為をしたとして、中国人民解放軍のサイバー攻撃部隊「61398部隊」の将校5人を起訴している。

(下線は浅草社労士)

=== 引用 終わり ===

 今日、日本人であっても、外国製のフリーソフトを便利に使用することはありえますし、安易にこれらの記事だけから即断するのは軽率のそしりを免れませんが、外国からのサイバー攻撃というものが現に存在し、国家存立の根底を揺るがしかねない脅威になってきていることを忘れてはなりません。


3.共通番号制度導入の再考を

 今回の個人情報流出事件は、本年10月を目途に順次その適用が開始される予定の共通番号制度にも影響を及ぼすものと見られています。何せ、既に共通番号制度(社会保障番号)で先行している米国では、共通番号で社会保障及び課税関係はいうに及ばず、銀行口座や医療なども一括管理されている状況下、漏洩した番号を使って本人に成りすますことも可能になってきます。だからこそ、IT先進国でもある米国では、サイバー攻撃対策が十分に採られているはずなのですが、それでも悪意のあるハッカー部隊の攻撃に対して、十分に個人情報を守りきれていないのが現状のようです。このようにサイバー空間上に管理される個人情報が、外部からの攻撃に対して脆弱であることがわかってきているにもかかわらず、我が国がどちらの方向を向いているのかを示しているのが、以下の記事です。

=== 5月30日 産経新聞電子版 ===

 政府は29日、産業競争力会議の会合を開き、国民に番号を割り当てるマイナンバー制度で、加入する医療保険や受診歴などが分かる仕組みを導入する方針を示した。平成30年度から段階的に運用を始め、32年の本格運用を目指す。患者情報を一元化して重複診療や処方薬の大量・重複投与を防ぐ狙い。サービスを効率化し、医療費抑制につなげる。法改正を含む具体的な制度設計は、27年中に詰める。

 戸籍や旅券にも32年までにマイナンバーの利用を拡大、6月に策定する新たな成長戦略に反映させる。マイナンバーとは別の医療番号をつくった上で、マイナンバーと関連付ける。別の番号にすることで、個人情報と直接結び付くのを防ぎ、情報を外部に漏れにくくする。

 安倍晋三首相は会合で、「地域の大病院、診療所、介護施設をネットワーク化することで、患者は重複検査や重複投薬から解放される」と述べた。

=== 6月9日 産経新聞電子版 ===

 参院内閣委員会は9日の理事懇談会で、マイナンバー法と個人情報保護法の改正案の審議を当面見送ることで合意した。年金情報の流出問題を踏まえ、政府の原因究明や国民の不安解消を優先させる。参院での採決のめどは立っておらず、今月中の法案成立は困難な情勢となった。

 マイナンバー法改正案は、国民全員に個人番号を割り当てるマイナンバー制度を、2018年から金融機関の預金口座にも適用する内容。個人情報を企業が活用しやすくする個人情報保護法改正案とともに5月21日に衆院を通過し、今月上旬にも参院本会議で成立する見通しだった。

=== 6月11日 産経新聞電子版 ===

 個人情報の活用と保護の両立を目指す個人情報保護法改正案が衆院本会議で可決され、審議の場が参院に移っている。新たなビジネスを創出するために個人情報の流通性を高める一方、不正な利益を得るための情報漏洩に対して新たに罰則を設けるなど規制も強化する。改正後は小規模事業者も適用対象となることなどから、同法施行時に起きた過剰反応や萎縮効果の再来も懸念されている。

 現行の個人情報保護法は平成15年に成立。個人情報の取得目的の明示や安全管理、本人の同意のない第三者提供の原則禁止などを定めた。制定から12年が経過し、IT技術の進展に伴うビッグデータを活用した新産業の創出や情報漏洩事件への対応が求められるようになった。

 そのため、改正案では事業者が本人の同意なく利用目的を変更できる範囲について、「相当の関連性のある範囲」から「相当の」を削除し、個人情報の使い道を変えられる範囲を拡大。政府は「電力会社が消費者の利用状況を基に省エネを奨励したり、安否確認サービスを行ったりするのは許容範囲内だ」と説明する。

 また、氏名を削除するなどして個人を特定できなくした「匿名加工情報」は、一定の条件を満たせば第三者に提供できることも明記された。5月26日の参院内閣委ではIC乗車券「Suica(スイカ)」に記録された個人情報の活用例が紹介された。政府側答弁によると、利用者の氏名や住所の一部などを削除した上で乗降記録を提供することにより、若者の利用が多い改札口側のコンビニエンスストアには若者向けの商品が配置されるようになる。

 ベネッセコーポレーションの顧客情報流出事件を受け、不正な利益を得ようとする情報漏洩者に対しては「1年以下の懲役または50万円以下の罰金」とする罰則も新たに定める。これまで適用外だった5千人以下の個人情報を取り扱う事業者も適用対象とした。

(下線は浅草社労士)

=== 引用 終わり ===

 要は、効率最重視の経済的観点から、共通番号で個人情報を一括管理していくことは今日必須であり、時代の流れということのようです。しかし、この議論には決定的な瑕疵があり、それは国防・安全保障の観点がすっぽりと欠落してしまっていることです。共通番号制度は、確かに効率的で、今では多くの先進国で多かれ少なかれ採用されている制度です。ですが、サイバー攻撃に対するその脆弱性がこれほど白日の下にさらされるようになってきた今頃になって、これまで共通番号制度なしで何とかやってきた我が国が、周回遅れで慌てて見切り発車的に採用すべき制度であるのかどうか、今回の日本年金機構の事件は、もう一度立ち止まって考え直す好いきっかけではないかと思えるのです。

201505_浅草隅田川@桜橋_SBSH0093

パワハラと業務上の叱責_前田道路事件(松山地裁判決)

 先日、ハラスメントに関する社労仕向けの研修を受講して参ったのですが、○○ハラスメントという言葉が濫発される中、名称にはあまりこだわらず、人としての権利や尊厳が侵害されているか否かという視点で見て行くことにより、よりましな判断ができるだろうという結論でした。「本人が不快なセクハラと感じたならば、セクハラなのだ」いった類の解釈もさかんに喧伝されているようですが、社会通念及び合理的妥当性の観点から、じっくりと判断基準を熟考しておくべきことを痛感させられました。

 43歳の営業所長の自殺の原因が会社によるパワハラであるとして、不法行為及び債務不履行による損害賠償の請求が争われた前田道路事件を採り上げます。この事件では、労災認定において会社側が遺族の生活を第一にという方針で全面協力を行い、労災認定がなされましたが、その後遺族が会社に対して民事上の損害賠償請求の訴えを起こしたものです。1審の松山地裁は、自殺した営業所長の責任による過失相殺は是認したものの、遺族側の訴えをある程度まで認めて、会社側に損害賠償を命じましたが、控訴審では、1審判決を取消し、控訴を棄却しました。高裁判決は、上告審でも支持され、本件は訴えた遺族側の敗訴が確定しています。


1.事案の概要

 Y(被告、控訴人)の四国支店東予営業所長を務めていたAが、平成16年9月13日、同営業所内で自殺したことに関して、Aの相続人であるXら(原告、控訴人)が、Yに対し、Aの自殺は、上司から社会通念上許容される範囲を著しく超えた過剰なノルマ達成の強要や執拗な叱責を受けたことなどにより、心理的負荷を受けてうつ病を発症し、又は増悪させたためであるなどと主張して、
1.主位的に、不法行為(民法 715 条)に基づき、損害賠償金及び遅延損害金の支払を求めた。
また、Xらは、
2.予備的に、(1)恒常的な長時間労働、(2)計画目標の達成の強要、(3)有能な人材を配置するなどの支援の欠如、(4)A に対する叱責と架空出来高の改善命令、(5)業績検討会等における叱責、(6)メンタルヘルス対策の欠如等の債務不履行(安全配慮義務違反)に基づき、損害賠償金及び遅延損害金の支払を求めた。

 請求の金額は合わせて1億4500万円を超える額に上り、具体的には、以下のようなものでした。
1.不法行為に関する請求
  (1)原告X1に対し、7316万4397円及びこれに対する平成16年9月13日から支払済みまで年5分の割合による金員の支払い。
  (2)原告X2に対し、7206万4397円及びこれに対する平成16年9月13日から支払済みまで年5分の割合による金員の支払い。
2.債務不履行(安全配慮義務違反)に関する請求
  (1)原告X1に対し、7316万4397円及びこれに対する平成17年12月10日から支払済みまで年5分の割合による金員の支払い。
  (2)原告X2に対し、7206万4397円及びこれに対する平成17年12月10日から支払済みまで年5分の割合による金員の支払い。


2.解 説

(1)争 点

 パワハラが原因で営業所長が自殺した事件とされる本事案では、以下の点が争点となりました。
① 不法行為又は債務不履行(安全配慮義務違反)の有無
   ア 社会通念上正当と認められる職務上の業務命令の限界を著しく超えた過剰なノルマ達成の強要及び叱責の有無について
   イ 恒常的長時間労働、計画目標の達成強化、支援の欠如、叱責と改善命令、業績検討会における叱責等、安全配慮義務違反を根拠付ける事実の存否
② 相当因果関係の有無
  労災認定においては、Aの自殺とAの営業所長としての業務との相当因果関係が既に認められている。
③ 予見可能性の対象及びその有無
④ 損害額
⑤ 過失相殺の可否
  自殺の当時、営業所長であったAは、自ら作成した営業所の事業計画の達成状況を良好に見せるため、「不正経理」を行っており、Yからその一部を指摘され、その是正を求められていたが、1年以上も指摘された不正経理の是正を行わなかった。その上、不正経理の全容をYに開示することもなかった。

(2)判決要旨

① 不法行為又は債務不履行(安全配慮義務違反)の有無
 Xらは、Yは、Aに対し、社会通念上正当と認められる職務上の業務命令の限界を著しく超えた過剰なノルマ達成の強要又は執拗な叱責をしたと主張する。
  ア 認定した事実によれば、営業所は、独立採算を基本にしており、過去の実績を踏まえて翌年度の目標を立てて年間の事業計画書を作成していたこと、東予営業所の第79期の計画はAの前任者が作成したが、第80期の年間計画は東予営業所の過去の実績を踏まえてAが作成し、四国支店から、特に事業計画の変更要請はなかったことが明らかであり、東予営業所における営業環境が困難なものであることを考慮しても、当初の事業計画に基づく目標の達成に関しては、Yが、Aに対し、過剰なノルマ達成を強要したとは認められない。
  イ しかし、約1800万円の架空出来高を遅くとも会計年度の終わりまでに解消することを踏まえた上での事業計画の目標値は、年間業績で赤字を計上したこともあったことなど東予営業所を取り巻く営業環境に照らして達成困難な目標値であったというほかなく、平成16年のお盆以降に、毎朝工事日報を報告させて、その際ほかの職員が端から見て明らかに落ち込んだ様子を見せるに至るまで叱責したり、業績検討会の際に「会社を辞めれば済むと思っているかもしれないが、辞めても楽にならない」旨の発言をして叱責したことは、不正経理の改善や工事日報を報告するよう指導すること自体が正当な業務の範囲内に入ることを考慮しても、社会通念上許される業務上の指導の範疇を超えるものと評価せざるを得ないものであり、Aの自殺と叱責との間に相当因果関係があることなどを考慮すると、上記Aに対する上司の叱責などは過剰なノルマ達成の強要あるいは執拗な叱責として違法であるというべきである。

 Xらは、さらに、恒常的長時間労働、計画目標の達成強化、支援の欠如、叱責と改善命令、業績検討会等における叱責等を安全配慮義務違反を根拠付ける事実として主張する。この点、前記のとおり、不正経理是正に伴って設定された目標値が達成困難なものであり、不正経理是正等のためにAに対してなされた叱責は、過剰なノルマ達成の強要あるいは執拗な叱責として違法と評価せざるを得ないものであるから、これらが被告の安全配慮義務違反を基礎付ける事実に当たることは明らかであるので、その余の点について判断するまでもなくYの安全配慮義務違反を認めることができる。

② 相当因果関係の有無
 認定した事実によれば、Aは、東予営業所所長に就任後、自らの営業成績を仮装するために行った不正経理の是正のため、平成16年7月2日には四国支店に呼び出されて上司から叱責を受け、同年8月中旬以降からは早朝に工事日報を報告するよう指導され、日報報告の際に電話で叱責を受けることがあったこと、同年9月9日には東予営業所を訪れた四国支店長から業務遂行における改善指導を受け、同月10日に行われた四国支店上司が出席する業績検討会においても同上司らから不正経理の責任を取るのは所長である旨叱責・注意を受けたこと、同年8月中旬以降に作成された「怒られるのも、言い訳するのも、つかれました」との内容を記載した遺書を残して、前記業績検討会の3日後に自殺したことが明らかであり、遺書の内容や責任を追及する旨の叱責が行われた業績検討会に近接した時期に自殺が行われたことや遅くとも自殺の直前にはうつ病に罹患していたことを考慮すると、不正経理についての上司によるAに対する叱責・注意が、Aの死亡という結果を生じさせたと見るのが相当である。

③ 予見可能性の対象及びその有無
 労働者の疲労や心理的負荷等が過度に蓄積すると、労働者の心身の健康を損なう危険のあることは周知のところであること、Aの上司は、Aに対し、不正経理の是正等のため叱責等を繰り返し行っており、その中には社会通念上許される業務上の注意の範疇を超えるものと評価せざるを得ない叱責等もあること、会社を辞めても楽にはならない旨の発言をするなどAが会社を辞めなければならなくなる程度に苦しい立場にあること自体は認識していたこと、東予営業所の実情を調査せず、Aの申告による約1800万円の架空出来高の背後に更に大きな不正経理があることに気付かないまま、結果的には効果的ではなかった是正策を厳しく求めたことなどに照らすと、Aが心理的負荷から精神障害等を発症し自殺に至ることもあるということを予見することもできたというべきである。

 Yは、Aの上司らは、Aがうつ病に罹患していることやその兆候となる事実をAの上司らが認識していたとの事実は認められず、認識し得る事情もないと主張するが、前記にあげた事情を考慮すると、うつ病に罹患していることやその兆候なる事実を認識しあるいは認識可能でなかったとしても、自殺に至ることは予見可能であったというべきであるし、適切な調査をしておれば、更にその認識可能性はあったというべきであり、自殺に至ることも予見可能であったというべきである。

④損害額、⑤過失相殺の可否
 身体に対する加害行為を原因とする被害者の損害賠償請求において、裁判所は、加害者の賠償すべき額を決定するに当たり、損害を公平に分担させるという損害賠償法の理念に照らし、民法722条2項の過失相殺の規定を類推適用して、損害の発生又は拡大に寄与した被害者の性格等の心因的要因を一定の限度でしんしゃくすることができる(最高裁判所昭和59年(オ)第33号同63年4月21日第一小法廷判決・民集42巻4号243頁参照)。

 認定した事実によれば、Aの上司による叱責等はAが行った不正経理に端を発することや上司に隠匿していた不正経理がうつ病の発症に影響を及ぼしたと推認できることが明らかであり、これらの事情は損害の発生又は拡大に寄与した要因であると認められる。そして、一連の経緯の発端、東予営業所に関する経営状況、Aの上司の叱責等の内容、Aが隠匿していた不正経理の総額とそこに至った事情等を総合的に考慮すると、Aにおける過失割合は6割を下らないと認めるのが相当である

 以上によれば、Aに生じた損害額合計1億1701万4165円、原告X1に生じた損害額300万円及び原告X2に生じた損害額200万円についてそれぞれ6割の過失相殺を行うと、Aに生じた損害額は4680万5666円、原告X1は120万円、原告X2は80万円となる。原告らは、葬祭料115万7820円を受けており、これは損益相殺としてAに生じた損害額から控除すべきである。そうすると、Aに生じた損害額は4564万7846円となり、原告らはこれを2分の1ずつ相続するから、原告X1の損害額合計は2402万3923円、原告X2の損害額合計は2362万3923円となる。原告X1に対する労働者災害補償保険法60条、64条による遺族補償年金前払一時金の最高限度額は1929万7000円であり(そのうち、310万2957円は既に支給を受けたと認められる)、これは損益相殺として原告X1に生じた損害額から控除すべきである。結局、原告X1は、Yに対し、472万6923円を請求することができ、原告X2は、被告に対し、2362万3923円を請求することができることになる。

(3)控 訴

 当判決を受け、Xら及びYは、共に判決内容を不服として、控訴することになります。

日本年金機構職員端末にサイバー攻撃

 「日本年金機構は1日、職員の端末がサイバー攻撃を受け、個人情報約125万件が外部に流出したと発表した。いずれも加入者の氏名と基礎年金番号が含まれ、うち約5万2000件には住所や生年月日も含まれていた。」というニュースが飛び込んできました。年金記録問題が大分落ち着いてきた日本年金機構にとっては、厄介な問題がまたしても降って湧いたような感じかもしれません。対サイバー戦は、もはや最重要の安全保障問題の一つといっても過言ではありません。ホワイト・ハッカーで構成される大規模なサイバー部隊を整備して、こういった攻撃に備える万全の体制を国家主導で準備すべき時代が到来しているのでしょうか。

 思い起こせば、年金記録問題が民主党の長妻議員から追及されたのをきっかけに、その後大きな社会問題となったのは、第一次安倍政権のときでした。今回3度目の正直で国会に上程されている、少々評判の芳しくない「労働者派遣法改正法案」は、またしても成立が厳しくなったといわざるをえないでしょう。なぜこのような情報漏洩が防げられなかったかの原因究明をはじめ適切な対応を、そしてこのような事件を惹き起こした犯人の逮捕を、切に願う次第です。

=== 時事通信 6月1日 ===

 同機構によると、電子メールの添付ファイルを開封したことで端末がウイルスに感染し、不正アクセスを受けた。情報流出は5月28日に判明。基幹システムである社会保険オンラインシステムへの不正アクセスは今のところ確認されていないが、さらに調査を進めている。流出したのは約125万件の基礎年金番号など。うち約116万7000件には生年月日が、約5万2000件には住所と生年月日が含まれていた。

 同機構は2日から、情報が流出した加入者から年金の手続きがあった場合には、本人確認をした上で手続きを行う。今後、基礎年金番号を変更して対処する方針。流出した加入者には個別に通知して謝罪するとともに、不審な連絡があった場合の専用電話窓口を設置した。電話番号はフリーダイヤル(0120)818211。

=== 日本経済新聞電子版 ===

 日本年金機構は1日、年金情報を管理するシステムに職員の端末を通じて外部から不正アクセスがあり、個人情報約125万件が外部に流出したとみられると発表した。情報には基礎年金番号や氏名が含まれ、うち約5万2千件には生年月日や住所も含まれていた。職員がウイルスの組み込まれた電子メールの添付ファイルを誤って開封し、不正アクセスされたと想定されるという。 同日記者会見した水島藤一郎理事長は「深くおわびする。誠に申し訳ない」と陳謝した。同機構を巡り、これだけ大規模な情報流出が発覚したのは初めて。

 流出したのは年金記録を管理するのに一人一人に割り当てられている基礎年金番号と氏名の計約125万件。このうち約116万7千件には生年月日が、約5万2千件には住所と生年月日が含まれていた。流出した約125万件のうち、約70万件にはパスワードが設定されていたが、それ以外は設定されておらず、機構の内規に違反した状態だった可能性があるという。

 同機構によると、最初にウイルスへの感染を確認したのは5月8日。年金情報を管理する機構内の通信システムに不正アクセスされている記録が見つかり、1人の職員の端末の感染を確認した。機構内で職員に注意喚起したが、18日までに複数の職員の端末の感染が確認されたという。機構は19日に警視庁に被害について相談し、28日に警視庁からの情報提供で情報流出が判明したという。基幹システムである社会保険オンラインシステムへの不正アクセスは現時点で確認されていないが、調査を進める。情報流出により被害を受けたとの報告はないという。

 記者会見した塩崎恭久厚生労働相は「年金機構における今後の情報管理の在り方について、第三者委員会を早急に立ち上げ、全力かつ可及的に速やかに取り組む」と述べた。

(下線は浅草社労士)

=== 時事通信 6月1日 ===

 安倍晋三首相は1日午後、日本年金機構がサイバー攻撃を受け、個人情報が流出したことについて「国民の大事な年金だ。年金受給者のことを考え、万全を期すように、塩崎恭久厚生労働相に指示した」と語った。首相官邸で記者団に述べた。政府は、情報流出を受けて「サイバーセキュリティ対策推進会議」(議長・杉田和博官房副長官)を首相官邸で開き、対応を協議。杉田氏は席上、再発防止に向け、各府省庁の情報システムの点検を速やかに実施するとともに、所管する独立行政法人なども含め、個人情報の管理を徹底するよう指示した。

=== 転載 終わり ===

201505_浅草隅田川@桜橋_SBSH0091