旬刊経理情報連載記事

事例でみる企業不祥事とその対策
第5回　個人情報保護法への対応

新日本有限責任監査法人　公認会計士
大久保　和孝

2005年に発生したJR福知山線の脱線事故の際に、当時、負傷者が搬送された一部の医療機関が、被害者の家族による肉親の安否の問い合わせや報道機関に対して、個人情報であることを理由に、患者情報の回答を拒絶した問題が起き、大きな議論を呼びました。

そもそも、個人情報保護法は何のためにある法律なのでしょうか。情報化社会の進展に伴って、個人情報の利用価値が高まった反面、プライバシー侵害への危険性や不安感が増大し、個人の情報が勝手に他人に渡ることで不利益を被りかねない者を保護する必要性から、個人情報を取り扱う事業者に情報の管理や保護を求めたものです。

脱線事故当時、メディアを通じて悲惨な事故を目の前にした近隣住民の多くが、自分の肉親も事故に巻き込まれたのではないかと心配し、被害者に関する安否情報の確認を行うことが社会から強く求められていました。しかし、一部の医療機関が患者情報を開示しなかったことは、社会からの要請や期待に反した行動をとってしまったと言わざるを得ません。同法23条1項2号では、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。」には、緊急事態が生じたものとし、必ずしも本人の同意がなくても個人情報を第三者へ提供することを禁止していません。その意味では、医療機関側がとった対応は過剰反応と言われても仕方がありません。

このことは、単に担当者の法令への十分な理解がなく、過剰反応をしたことが問題だったのでしょうか。平成9年の故橋本元総理大臣による行政改革・規制改革を契機に、法令規則が増大している昨今の状況を前提に考えると、現場での業務に従事する従業員が、それら全ての規則を念頭においた行動をとることは現実的には限界があります。ましてや、「但し書き」に関する規定など日常的ではないことまで理解し瞬時の対応を求めることは、法律の専門家ならまだしも実務的には無理があります。

しかし、同法が、個人情報が漏えいされては困る者を保護することを目的として定められたという立法趣旨を理解し、かつ事故当時の社会環境を踏まえた行動を採ることができれば、仮に細かな条文内容を知らなかったとしても、社会の期待に応えた適切な対応をとることはできたのではないでしょうか。「個人情報にあたる医療情報は他人には回答をしてはならない」という中途半端な法知識が念頭にあったことが、かえって過剰反応を招いた側面も否めません。

法律の専門家でもない、かつ多忙な業務を日常的に抱える現場の従業員に、次々と制定される法令の規則要件を理解させようとしても、いくら優秀な従業員でも限界があります。また、中途半端な法知識は、かえって社会からの期待や要請に反した行動に出かねません。従業員に対するコンプライアンス教育にあたって、最も大切なことは、法令の規則要件を覚えることよりも、まず、それぞれの立法の趣旨やその背後にある社会からの期待や要請を正確に理解させることです。立法や法改正の契機となった事例等を踏まえた環境変化を理解させることで、法令の背後にある社会からの要請の変化や立法趣旨を捉えつつ積極的に社会の期待に応えることを可能にし、結果として法令等への正確な理解を進めることになります。