反社チェックは違法ではない――個人情報保護法との正しい関係

■ はじめに

「反社チェックをしたいが個人情報保護法に引っかかるのではないか」という懸念により反社会的勢力への対応を後回しにしている企業は少なくありません。コンプライアンス担当者や経営者から「調査すること自体が違法になるのでは」「本人の同意なく情報を集めてよいのか」といった相談が後を絶たないのが実情です。

結論から言えば、適切な目的と方法のもとで行われる反社チェックは個人情報保護法に違反しません。それどころか反社チェックの実施は企業の法的義務や善管注意義務に直結する正当かつ必要な行為となります。本コラムでは反社チェックと個人情報保護法の関係を法律の構造に沿って順序立てて解説します。

■ そもそも反社チェックとは何か

反社チェック（コンプライアンスチェックとも呼ばれます）とは、取引先・従業員などが反社会的勢力に該当しないかを確認するための調査活動のことです。

政府は2007年（平成19年）犯罪対策閣僚会議において「企業が反社会的勢力による被害を防止するための指針（企業暴排指針）」を策定しました。この指針では反社会的勢力を「暴力・威力と詐欺的手法を駆使して経済的利益を追求する集団または個人」と定義し、企業はこれらの勢力と一切の関係を持ってはならないという基本原則を明示しています。法務省が公表する同指針の解説においても反社会的勢力との関係遮断は企業の社会的責任であると同時に従業員や株主を含む企業自身を守るための「企業防衛」として不可欠な要請であることが強調されています。

さらに2011年までに全都道府県で暴力団排除条例（暴排条例）が施行され、企業が反社会的勢力との関係遮断に努める義務が広く法的に裏付けられるようになりました。今日では契約書への暴力団排除条項（暴排条項）の規定とあわせて、反社チェックは企業の内部統制において不可欠な取り組みとして定着しています。

問題は反社チェックの対象が「人」である場合、そこに個人情報保護法が絡んでくる点です。この点について法律の構造を正確に理解することが重要です。

■ 個人情報保護法の基本的な仕組みを押さえる

個人情報保護法は、名・住所・生年月日など特定の個人を識別できる情報（個人情報）の取扱いを規律する法律です。企業が個人情報データベースを事業に利用している場合にその企業は「個人情報取扱事業者」に該当し個人情報の適正な取得・管理・利用・提供が求められます。

法律が求めるルールは大きく「①取得・利用」「②第三者提供」「③本人からの開示請求等への対応」という順序で整理できます。それぞれの段階に反社チェックとの関係で重要な規定と例外が存在します。以下ではこの流れに沿って反社チェックがなぜ適法に実施できるのかを説明します。

■ 取得・利用①――利用目的の特定と「正当な事業活動」の範囲

個人情報を取得する際はその利用目的をあらかじめ特定・公表しておく必要があります（個人情報保護法17条・21条）。反社チェックのための情報収集についてもこの原則は当然に適用されます。

実務上はプライバシーポリシーや個人情報取扱方針の中に「反社会的勢力排除のための確認・調査に利用する場合がある」旨を明記しておくことが望ましいとされています。多くの金融機関や大企業では、顧客や取引先の情報を取得する際にこの趣旨を利用目的の一つとして列挙しています。

なお、インターネット上の公開情報（ニュース記事・官報・裁判所データベースなど）を活用して調査することは適法な取得方法として広く認められています。一方で詐称や虚偽の説明によって情報を引き出すような「不正な手段による取得」は目的の正当性とは別に法の明示的な禁止事項に該当します。目的が正当であっても手段の適法性は別途問われることを忘れてはなりません。

■ 取得・利用②――要配慮個人情報と本人同意取得の例外

反社チェックにおいて対象者の前科・犯罪歴・逮捕事実などが問題になることがあります。これらは「要配慮個人情報」に分類され原則として本人の事前同意なく取得することは禁じられています。

しかし個人情報保護法は一定の場合に本人同意取得の例外を認めています。「人の生命・身体または財産の保護のために必要がある場合であって本人の同意を得ることが困難なとき」がそれです。

反社対策という正当な目的のもとで同業者間において反社情報を共有する行為はこの例外規定によって法律が認める範囲内の行為となります。ただし、繰り返しになりますが例外が認められるのは手段も適正である場合に限られます。

■ 第三者提供――情報共有の場面における考え方

通常、個人データの第三者提供には本人の事前同意が原則として必要です。しかし反社対策の情報共有については前述の「人の生命・身体または財産の保護のために必要がある場合であって本人の同意を得ることが困難なとき」という例外規定が第三者提供の場面にも適用されます。

したがって反社対策を目的として同業他社・業界団体のデータベースなどと情報を共有する行為はこの例外に基づいて適法に行いうるものと解されています。

■ 本人からの開示請求――反社情報は「保有個人データ」に該当しない場合がある

個人情報保護法では本人からの開示・訂正・削除請求の対象となる情報を「保有個人データ」として定義しています。ただし法律はこの定義から一定の例外を設けており、その存否が明らかになることで「違法または不当な行為を助長しまたは誘発するおそれがある」ものは保有個人データとして扱わなくてよいとされています（個人情報保護法施行令4条2号）。

つまり企業が反社対策のために保有している反社情報は、そもそも本人による開示・削除請求の対象外となりうるのです。もし反社構成員からの「自分の情報を開示せよ」「削除せよ」という要求に応じなければならないとしたらそれは反社対策の実効性を根本から損なうことになります。法律はこの点を正確に捉え例外規定によってバランスを図っています。

なぜ反社情報の存否が明らかになると「違法な行為を誘発するおそれ」が生じるのでしょうか。それはある企業が特定の人物を反社と判断しているかどうかが明らかになってしまうとその判断を口実にして不当な責任追及が行なわれたりし、情報収集能力の低い企業が反社勢力から狙われやすくなるなどの弊害が生じうるからです。この点もガイドラインや法律実務の議論において明確に整理されています。

■ 実務上のリスクと注意点――「正しい反社チェック」とは

反社チェックが違法でないとしても実務において注意すべき点は存在します。法律を遵守しながら実効性の高いチェックを行うために以下の点を意識することが重要です。

第一に調査の目的を明確にすることです。「反社会的勢力との関係排除」という目的を社内規程やプライバシーポリシーに明記し、その目的の範囲内でのみ情報を利用することが基本です。目的外利用はたとえ社内であっても問題が生じます。

第二に取得手段の適法性です。インターネット上の公開情報（ニュース記事・官報・裁判所データベースなど）を調査することは適法な方法として広く認められています。一方で詐称や虚偽の説明によって情報を引き出すような不正な手段は法の明示的な禁止事項に該当します。

第三に情報管理の厳格化です。反社チェックによって収集した情報は漏洩すると対象者や企業に重大なリスクをもたらします。アクセス権限の制限や適切な保管・廃棄ルールの整備・担当者への守秘義務の徹底が求められます。

■ 金融業界における先行実例

個人情報保護法と反社チェックの関係は金融業界において特に精緻に議論されてきました。金融庁は「金融分野における個人情報保護に関するガイドライン」において反社会的勢力に属する者に関する情報は「保有個人データ」の例外に当たりうることを明記しており金融機関はこのガイドラインに沿って反社対応を構築しています。

金融機関が反社対策として保有する情報の「存否が明らかになることにより違法または不当な行為を助長しまたは誘発するおそれがある」という判断は単なる形式論ではありません。反社情報を適切に管理・保護することそのものが反社会的勢力による不当要求の排除につながるという実質的な根拠に基づいたものです。

■ 反社チェックを怠ることのリスク

反社チェックを適切に実施しないことは法的・経営的な両面で深刻なリスクが伴います。

法的側面においては取締役の善管注意義務違反が問われる可能性があります。政府の企業暴排指針は法令ではないものの内部統制システム構築の一環として裁判所が参考にする可能性があると明示されており、反社チェックを怠った取締役の責任が追及される場面も想定されます。

経営面では反社との取引が発覚した後の対応コスト（契約解消・法的手続き・風評被害対応など）はチェックを実施するコストを大きく上回ることがほとんどです。反社と知らずに関係を持ってしまった後に契約を解消するためには法的手続きや交渉が必要となり多大な時間と費用を要します。予防的なチェックのコストは事後対応に比べれば微々たるものです。

■ よくある質問（FAQ）