企業法務・社内法務について
契約書(合意書・覚書)作成、相手方からの契約書精査
社内規程作成、社内規程修正、議事録作成
個人情報保護、規約作成、法務リスクの洗い出しなど
法務部なしの企業、一人法務をサポートします
株式会社に限らず、法人や個人が事業を行っていくための法律の規制があります。
規制を受ける一方で、その法律によって守られていることも事実です。
商法、会社法、税法、人事系(労働基準法ほか)の法等、そして業種ごとに遵守すべき法、事業形態によって適用される法、さまざまに存在します。
個人事業主として自宅で料理教室を運営するような規模・形態であっても、事業者であれば消費者には該当しないため、うっかりと契約してしまったサービスを消費者関連法(消費者契約法などの複数の法の総称)で解除することもできなくなります。
事業者となると、いざトラブルというときに、「そんな法は知らなかった」という言い訳は通用しないのです。
法令種類のおおよそ
- 憲法
- 条約
- 法律
- 政令
- 省令・府令
- 地方自治体の条例・規則など
企業法務ではその法人が適用される法を理解し、上手に活用してこそ事業に資することが可能になります。
しかしながら、設立から間もない企業や事業系の人員が大半を占めている企業で、法改正や新法にアンテナを張っておき、それを実務に落とし込んで社内運用を行っていくことは人的にもコストもかなりの負担になるのも事実です。
契約書・合意書・覚書 ・規約
契約書、合意書、覚書、念書など、文書のタイトルはさまざまですが、どれも当事者間の決めごとを文書にして記名(署名)捺印したもの、ということに変わりはありません。
むろん明確に文書の性質がわかるようにすることは必要ですが、文書の名称で法的効力に差がつくことはありません。
民法では次の13種類の契約を「典型契約」として定めています。
①財産グループ: 贈与・売買・交換
②貸し借りグループ: 消費貸借・賃貸借・使用貸借
③労務提供グループ: 雇用・請負・委任と準委任
④その他のグループ: 寄託・組合・終身定期金・和解
ただし、「契約自由の原則」により、上記以外の契約を結ぶことが自由にできるのが原則です。
企業や事業者は、取引をするとき、従業員を雇用するとき等の場面で当事者間の合意を契約書として文書にすることで、後日の“言った言わない”“そのようなつもりではなかった”を回避しています。
書籍やweb上で見たひな形のままの契約書を使用したり、古い定型契約書をそのまま使い続けることは大きなリスクです。契約の目的、事業規模、相手方との力関係、法的に有効な文言を使っているか、合理的か・・・たくさんの要素をクリアして確実な合意をすることが後日になって役立ちます。また、相手方から渡された契約書でそのまま契約締結をすることでもリスクは残ります。
契約書作成、契約書精査ともに丁寧に行うことが事業を守ることにつながるのです。
社内規程
人数規模の小さな企業でも基本的に備えているのが就業規則であり、すぐに思い浮かべるのは社員向けの労務管理のための規程のようです。
社内規程は労務管理だけのものではありません。 下記はかなり網羅的に整備した企業の例ですが、企業規模や事業の内容により社内規程は多岐にわたる場合があります。
区 分 | 規程名称 |
---|---|
基本規程 | ①取締役会規程 |
②監査役監査規程 | |
③会議規程 | |
④規程管理規程 | |
⑤株式取扱規程 | |
組織規程 | ①組織規程 |
②職務権限規程 | |
③職務権限表 | |
④職務分掌規程 | |
⑤業務分掌規程 | |
⑥稟議規程 | |
⑦稟議事項 | |
業務に関する規程 | ①営業管理規程 |
②購買管理規程 | |
③与信管理規程 | |
④経理規程 | |
⑤期末実施たな卸要領 | |
⑥固定資産管理規程 | |
⑦棚卸資産管理規程 | |
⑧原価計算規程 | |
⑨予算管理規程 | |
⑩連結財務諸表作成規程 | |
⑪内部監査規程 | |
⑫文書取扱規程 | |
⑬経理規程運用細則 | |
人事労務に関する規程 | ①就業規則 |
②パート社員規則 | |
③安全衛生管理規程 | |
④給与規程 | |
⑤退職金規程 | |
⑥人事考課規程 | |
⑦役員退職慰労金規程 | |
⑧国内出張旅費規程 | |
⑨海外出張旅費規程 | |
⑩福利厚生規程 | |
⑪転勤規程 | |
その他 | ①印章管理規程 |
②営業秘密管理規程 | |
③カード利用規程 | |
④支社支店・出張所管理規程 | |
⑤個人情報管理規程 | |
⑥特定個人情報取扱規程 | |
⑦コンプライアンス規程 | |
⑧関係会社管理規程 |
事業を取り巻く環境は早いスピードで変化していきます。すでに存在する規程でも、規程の種類、内容とも、適宜に見直しをかけることが大切です。例えば、最近ではSNSで社内情報を発信してしまう事例が多くある・企業規模拡大のため地方事業所への転勤制度ができた・法改正によりマイナンバーに対応など、特化した規程をあらたに整備することをお勧めします。トラブルや不祥事が起きたり、社員が不満に感じることが起きた後であわてて対処するよりも、良い結果を生むものです。
社内規程には管理のためのツールであるだけでなく、ルールをあらかじめ明確にすることで社員と会社を守る働きもあります。
当事務所では、クライアント企業に必要な規程を絞り込む、状況と目的をお聞きして規程を作成するだけでなく、附属する帳票も同時に作成し、運用に載せるお手伝いまでを包括的に承ることも可能です。企業勤務での経験から、規程整備や変更のために担当部署が全社に対し説明会や研修プログラムを開催するなど、総務部や法務の実務フローを理解しています。
会議運営・議事録
企業の総務部門、法務部門で担当する業務に会議運営とその議事録の作成、保管があります。
上場、未上場、同族ほか、企業のタイプによりその内容は大きく異なりますが、企業法務の基本的な考え方では、意思決定をする権限の有無に関係なく、会議の議事内容は出席者・議題・検討プロセス・資料・結論を明確に文書で保存することが前提です。
また、商業登記の申請をする際に議事録が必要になるケースも多くあり、基礎的な議事録の作成方法は身に着けておくと便利でしょう。
議事録という名称の中でも、株主総会議事録、取締役会議事録のように会社法の規定を理解して形式や内容を整備する必要のあるものと、部内会議の発言を記録するものなど、種類はさまざまです。総務、法務のように議事録作成を担当することの多い部署では、目的により使い分けられるようにフォーマットを作成しておくことが一般的です。
個人情報・マイナンバー
「個人情報の保護に関する法律」(平成十五年法律第五十七号)は平成17年の全面施行から複数回の改正を経ています。
今やプライバシーマークを付与された事業者数は平成29年時点で15,000を大きく超えています。サービス業に限らず、プライバシーマークを付与されたことで適正な個人情報管理をしていることを外部に印象づけ、内部では適正取り扱いの基準がわかりやすいというメリットは大きいものです。
マイナンバー法とは「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成二十五年五月三十一日法律第二十七号)です。すでに平成28年からはマイナンバーカードも交付されています。法の施行前には詳細が理解されていないこともあり、企業では「特定個人情報管理規程」の作成や従業者ほかからの個人番号(マイナンバー)取得に関しての準備作業に追われました。そもそもマイナンバーは社会保障、税、災害対策の三分野で同一人物の確認が簡単にできるようにして、それを活用する目的を持っています。そのため、平成30年現在では、これからも活用分野が広がっていく途中にあります。
平成28年の施行時に整備した社内規程と附属帳票についても、不都合な点がないか、改良すべきか、PDCAの一環として見直すタイミングかもしれません。
平成30年現在でもマイナンバーカードの交付を受けていない個人が多く、社内で従業者向けにそのメリットをあらためて説明することも良いでしょう。
http://www.cao.go.jp/bangouseido/pdf/card_toriatukai.pdf
※「内閣府 マイナンバーカードとは」から転載
個人情報・特定個人情報の保護・管理 安全管理措置 (ⅰ)
個人情報、マイナンバー(特定個人情報)、そして事業上の機密と、どれもその管理手法は基本的に共通しています。 そもそもマイナンバー(個人番号)についても個人情報保護法が適用されますので、具体的な保護手法は同様です。担当部署や件数が異なる場合でもコンプライアンスの一環として適切な管理を行うことが求められます。
マイナンバー法施行をきっかけとして、ITベンダーによる「個人番号収集サービス(システム)」の利用を開始した企業も多くおありと思います。同様に人事部門における「人事情報管理システム」の利用も一般的には給与計算業務と連動されています。
どちらの場合にもシステムでカバーしきれない場面や当該情報の委託契約、従業員・取引先・株主等からの問合せ・提供拒否に対応することもあります。 システム任せにせず法の趣旨を理解し、オーバーにならない現実的な安全管理措置を講じることが担当部門の役割です。
■個人情報・マイナンバー 取扱と保護のチェックポイント■
1. 個人情報の取得
① 可能なかぎり具体的に利用目的を特定し、それを公表または本人に通知する。
例:
× 「当社の事業活動のため」
○ 「御注文のあったコスメの発送、アフターサービスのため」
② 従業員に対しても利用目的を通知等により知らせる。
③ 第三者提供をするのであれば、それを利用目的に含めて公表または通知する。
④ 個人情報を違法に取得・販売する業者等から不正取得をしない。
2. マイナンバー(個人番号)の収集
① 本人確認(個人番号の確認及び実在確認)を行う。
本人確認書類は対象者や提供方法によりそれぞれ定められています。
例: 〔本人から個人番号の提供を受ける場合の本人確認書類〕
① マイナンバーカード(個人番号カード)で個人番号確認をおこなう場合
当該カードだけで個人番号、実在確認とも可能。
② 通知カード/住民票で個人番号確認をおこなう場合
・運転免許証、旅券、在留カード、官公署が発行した本人の写真のある証明書で、個人番号利用事務実施者が適当と認める書類の提示またはコピー提出による実在確認。
③ 上記の3つの提示(またはコピーの提出)が困難である場合
この場合は非常に煩雑です。 個人番号確認のためには次のような書類を要します。
・機構への確認
・過去に本人確認をした上で特定個人情報ファイルを作成していれば、当該ファイルの確認 ・官公署等から発行された書類で個人番号利用事務実施者が適当と認める書類 上記に加えて、実在確認のための書類の提示または提出をします。
煩雑な事務といえども適正に行わないことでリスクが生まれます。 適正な手続きで法務リスクを予防し、且つ作業効率を上げることが企業法務の実務です。
3. 保管・管理する 〔個人情報保護〕
個人情報の安全管理措置については、法では下記のように定めています。
(安全管理措置) 第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
そして第21条以下で従業者の監督、委託先の監督と続きますが、企業は具体的に何をすれば良いのでしょう。個人情報保護委員会がガイドラインを定めています。
ガイドラインに沿って安全管理措置を考えることは早道です。自社の規模、取扱う個人情報の数、第三者提供の有無等によって、法令を遵守しつつも無理のない現実的な安全管理措置を構築するようにしましょう。 例えば「個人データの取扱に係る規律の整備」として、社内規程を策定するのか、または社内ルールで手順を定めておく、と、措置の規模の大小はあって当然と思われます。
下記は、業種によりプライバシーマーク取得の必要が事業上ある、情報数が膨大である、事故の際の影響が深刻である、等の理由から規程策定をする場合の例です。
〔マイナンバー(個人番号)〕 個人情報保護委員会 特定個人情報保護ガイドライン
個人情報・特定個人情報の保護・管理 安全管理措置 (ⅱ)
ここでは個人情報と個人番号を含めて個人情報とし、個別の法令の細部ではなく、個人情報の担当部署・会社が何をすべきか、何をしなくてはならないかを基礎~運用で御説明します。
会社が守るべき情報は個人情報以外にも事業にかかわる営業情報、特許技術など多岐にわたります。情報全般の保護の基礎を理解していただく一助になれば幸いです。
【基 礎】
個人情報保護法、マイナンバー法の目的は、単純に個人情報・特定個人情報を保護するだけではなく、情報を産業・行政に活用することです。
今後もビッグデーター、匿名加工情報等の活用とテクノロジーの進歩により社会問題の解決や便利な暮らしに結びつくことが期待されます。 同様に社内での安全管理措置も、保護と活用のバランスをとりながら実施しましょう。
<担当者・会社・全社員が行うこと>
個人情報・個人番号とは何か? を知る
①最初に定義と保護法成立の経緯を知りましょう。
JIPDEC(日本情報経済社会推進協会・プライバシーマーク制度付与機関)のサイトでは、消費者向けのわかりやすい説明を見ることができます。
◇ミニ知識◇ 個人情報保護法とプライバシーマークの違い
プライバシーマーク制度とは、事業者が個人情報を適切に取り扱うための体制等の整備について審査を受け合格し、その証明として“プライバシーマーク”の使用をする制度です。 特にコールセンター事業、個人消費者向けのサービス事業などを行う企業では、業務受託や入札の要件ともなっています。
プライバシーマーク付与のためのJIS Q 15001「個人情報保護マネジメントシステム」の要求事項を満たす必要があるため、個人情報保護法における規定よりもハードルは高いものです。
② 個人情報保護方針の策定と公表
社のトップ、全社員の決意を公表しましょう。 その方針に基づき、個人情報保護担当部署では具体的な個人情報の取扱いについて公表文書を作成します。
<個人情報保護担当者・部署が行うこと>
① 体制整備
・個人情報保護責任者を決め、役割ごとの担当者、部署ごとの担当者を決定します。
個人情報保護責任者は取締役など、一定の権限をもつ立場の人間がなります。
・実務サポートの責任者も定めましょう。
・社内の情報システム部門も重要な役割を担います。
・その他の必要な役割は、社内向け教育、内部監査、クレーム対応の決定機関。
・事故の際の報告ラインを規定し、企業トップに報告が迅速に伝えられる仕組みとその運用。
下記は体制にいれる必須の役割です。
② 社内規程
全社的な個人情報保護方針を代表者がアナウンスすることから始まり、社内規程・細則・マニュアル・帳票など(企業により名称は異なる)のルールを作成し、適正な承認を得ます。
施行後もPDCAサイクルにより、恒常的に必要な改善を行います。
③ 委託先や協力企業の管理
個人情報を利用した業務委託先などに対し、その保護体制を確認し、自社との間のルール策定、
そして契約書に該当条項を追加します。
この場合も契約書の内容の見直し、保護体制アンケートや誓約書等の書類(紙媒体・電子媒体)が必要になります。
下記は契約の内容として、最低限必要な条文の文例です。
【個人情報の委託先との契約書 文例】
第〇条(個人情報の授受)
甲から乙に個人情報及びそれに係る資料(電磁的記録を含む)を受け渡す場合は、
次の事項を含む項目を書面等に記入してその授受を記録し、甲が管理する。
① 受渡し及び返却の担当者
② 受渡し日付
③ 授受の対象となる個人情報の名称及びその数量
④ 返却の有無(返却せず廃棄する場合はその廃棄方法)
⑤ 返却又は廃棄した日付及び担当者
第〇条(再委託)
乙は、甲の書面による事前の承諾を得ることにより、委託された業務の全部又は一部を第三者に再委託することができる。
その場合、乙はその再委託先の管理監督を行い、当該再委託先の行為により甲に損害をあたえたときには
損害の回復、賠償等の責任を負うものとする。
第〇条(個人情報及びそれに係る資料の管理)
乙は本件業務遂行のために甲から委託された個人情報及びそれに係る資料を善管注意義務をもって管理するものとし、
本契約終了後は速やかにそれらを甲に返却する。
第〇条(守秘義務)
乙は本件業務遂行につき知りえた個人情報、甲が機密と指定した業務上の機密、顧客に関する情報等を
本契約中のみならず本契約終了後〇年経過まで、第三者に公表、漏洩、転売、又は自ら利用してはならない。
④ 社内の研修・教育
全社に個人情報保護の必要性やリスクを理解してもらい、具体的に何をすべきか、してはならないか、の研修を行います。
全社で共通意識を持ち、取り組めるようになることが目標です。
実際には、各部署での担当者に個人情報保護をより深く理解してもらい、そこから、その部署における教育担当となってもらいます。
また、e-LeaningによりPCやスマホ研修を実施することにより、取締役を含めた全社員が研修を受けるようにしましょう。
研修後は必ず効果測定テストを行い、その理解度を測ります。
合格ラインを決め、極端に理解ができていない社員に対してはフォローすることも必要です。
【運 用】
安全管理措置は、大きく次の4つにカテゴライズされます。
a. 組織的安全管理措置
b. 人的安全管理措置
c. 物理的安全管理措置
d. 技術的安全管理措置
a. は、前述の体制整備などの措置、b. は研修教育、 c.は入退室の管理や情報の施錠保管など、
d.はデータへのアクセス制御やログ保管などが実例です。
どれも前述の社内規程、マニュアル等で事前にルールを定めておき、運用開始後は改善を継続します。
<個人情報保護担当者・部署が行うこと>
各部署での担当者と全社体制が整備された段階で行うものです。
⑤各部署で保有している個人情報のリストアップ
実際には“データから個人情報を自動で検出”~“個人情報へのアクセスログ収集”~“管理台帳作成管理”までを
システムで実施することも可能です。
必要な項目さえ網羅していれば、あとは自社に合せて作成運用をなさって下さい。
⑥ リスク分析とリスク対応
個人情報の種類により、どのようなリスクがあるかは異なります。そのリスクを分析します。
そして、分析したリスクにどのように対応すべきかを決定します。
<リスク管理の考え方 >
個人情報保護にもバランスのとれた考え方が必要です。
漏洩した場合にどれぐらいの被害が予想されるか。 その個人情報が自社の事業にどの程度の必要性があるか。
事業への価値。漏洩や改竄のリスク発生のおそれは高いのか、低いのか。
一般に個人情報に関するリスク対応の方法は次のような種類が考えられます。
ⅰ.リスクの低減:入退室管理や情報暗号化などの対策でリスクを低くすること
ⅱ.リスクの回避:リスク発生のおそれを取り去ることです。
その個人情報活用による利益よりもリスク発生時の影響が過大なケースで行います。
例としては該当する個人情報を削除してしまう、等。
ⅲ.リスクの受容:リスク発生による影響が小さいケースで用います。そのままリスクを受け入れる。
ⅳ.リスクの転嫁:漏洩保険に加入する、他社に個人情報を移転するなど、リスク発生の影響を移転すること。
【世界的な動向】
◇ミニ知識◇ GDPR General Data Protection Regulation(一般データ保護規則)
EUで1995年から適応されているEUデータ保護指令に代わり、2018年5月25日から施行されました。
○ IPアドレスやCookieのようなオンライン識別子も個人情報と定義される。
○ 企業は個人情報を取得する際に、自らの身元や連絡先、処理の目的、第三者提供の有無、保管期間等を明記し、ユーザーの同意を得なければならない。
Cookieなどは従前では個人情報とされていなかったデータですが、それも個人情報とされるようになり、取得する際にはユーザーの同意が必要です。
そういえば、企業のサイトを閲覧している際に「当社ではcookieを収集します。当社webサイトを一定時間以上使用することで同意したことになります。」という意味のメッセージが表示されるようになりました。
それ以外の点でも個人情報の取扱が厳格になっています。
• 大量の個人情報を扱う企業はデータ保護オフィサーを任命する。
• 個人情報の使用目的を達成するために必要な期間を超えて個人情報を保持することを禁止。 GDPRの対象企業 日本の事業者であってもGDPRが適用される対象があります。
(1) EUに子会社や支店、営業所などを有している企業
(2) 日本からEUに商品やサービスを提供している企業
(3) EUから個人データの処理について委託を受けている企業
出典:アーンスト・アンド・ヤング 情報センサー
EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項
※英語等による商品やサービス提供サイトを運営している場合は要注意です。
例としては来日観光客向けサイトetc.
~~~~~~~~~~~ 応用編はあらためて今後に追記します。
その他
行政書士としての企業にかかわるサポートは、ほかにも
会社設立、各種の助成金申請、許認可申請や、外国人の在留資格取得にかかるサポートがあります。また、知的財産権の一つである著作権登録も行政書士の業務です。
知的財産権とは:
特許権、実用新案権、育成者権、意匠権、著作権、商標権その他の知的財産に関して法令により定められた権利又は法律上保護される利益に係る権利。
当事務所では必要に応じて、弁護士、弁理士、司法書士などとの連携や御紹介により、ワンストップ・サービスに努めています。