〔“もしも”のために知っておく〕
中小企業の情報管理と法的責任
【第1回】
「転職した従業員が自社の情報を持ち出した場合」
弁護士 影島 広泰
-Question-
転職した従業員が、①自社の顧客リストを持ち出した場合と、②自社の事業計画を持ち出した場合で、会社が問われる責任は変わりますか?
-Answer-
①は個人情報保護法の義務を果たしていたかが問われることになり、場合によっては個人情報保護委員会からの勧告・命令の対象となります。
これに対して、②の場合は、会社が義務違反を問われることは通常はありません。
1 個人情報と不正競争防止法とは?
会社が管理すべき情報には、大きく分類すると「個人情報」と「営業秘密」の2種類がある。個人情報は「個人情報保護法」がこれを保護しており、営業秘密は「不正競争防止法」がこれを保護している。
まず、個人情報保護法(正式名称:個人情報の保護に関する法律)は、「個人情報」(※1)に該当する情報について、安全管理措置を講じる義務を課している。すなわち、個人情報保護法に従って安全管理措置を講じないと、個人情報保護法に違反することになってしまう。
(※1) 厳密には「個人情報」ではなく「個人データ」である。両者の違いについては後述する。
これに対し、不正競争防止法は、「営業秘密」に該当する情報について、万が一盗まれたり不正に利用されたりしている場合に、漏えい先に対して差止請求や損害賠償請求をすることができる権利を与えている法律である。
つまり、個人情報保護法は企業に「義務」を課している法律であるのに対し、不正競争防止法は企業に「権利」を与えている法律であるという点で、方向性が真逆の法律なのである。
したがって、個人情報保護法に関して個人情報保護委員会(以下「委員会」という)が公表しているガイドラインに従って安全管理措置を講じていなければ、委員会からの勧告や命令の対象になり、命令に違反した場合などには罰則が課せられることになる。
これに対し、不正競争防止法に関して経済産業省が公表している「営業秘密管理指針」や「秘密情報の保護ハンドブック」は、これらに従って情報管理しなかったからといって罰せられたりするものではない。これらに従っておけば、万が一自社の情報が盗まれてライバル会社で不正に使用されるような事態が発生した場合に、当該ライバル会社に対して削除や損害賠償請求などができる権利が確保できるものなのである。
この権利は、裁判所の判決や命令によって確保されることになるから、経済産業省の上記の資料は、単なる参考資料に過ぎず、最終的には裁判所の判断を仰ぐことになる。
2 個人情報保護法が定める「安全管理措置」とは?
(1) 規制の対象となる「個人情報」とは何か
個人情報保護法が規制の対象としている「個人情報」とは、概要以下のとおり定義されている(個人情報保護法2条1項1号(※2))。
「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
(※2) なお、このほかに「個人識別符号」と呼ばれる生体認証の情報や役所が発行している各種の符号(免許証番号、パスポート番号、マイナンバー等)も個人情報に含まれる。
つまり、「特定の個人を識別することができる情報」が個人情報である。しばしば、氏名や生年月日が個人情報であると誤解されているが、氏名や生年月日は例示に過ぎない。氏名や生年月日が分からなくても、特定の個人を識別することができる情報であれば、それは個人情報に当たることになるのである。
例えば、筆者がコンビニに入店して防犯カメラに顔が写っているケースを考える。その映像を見た人は、筆者のことを知らなければ、そこに写っている人物が「影島広泰」という名前であるということは分からない。しかし、顔が写っている以上は「特定の個人を識別することができる」。したがって、防犯カメラの映像は個人情報なのである。
なお、若干細かい話になるが、個人情報を、(容易に)検索できるように体系的に構成したものを「個人情報データベース等」といい、個人情報データベース等を構成している個人情報のことを「個人データ」という。
例えば、取引先で名刺交換をして名刺を1枚オフィスに持って帰ってくると、その状態の名刺が「個人情報」である。その名刺の情報を、エクセル上で表形式に作った取引先一覧に入力したり、名刺そのものを五十音順の名刺フォルダに入れると、(容易に)検索できるようになるため「個人情報データベース等」となり、そこに格納されている個人情報を「個人データ」というのである。
(2) 「安全管理措置」とは
個人情報保護法20条は、個人データの管理について、以下のとおり義務を課している。
(安全管理措置)
第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
つまり、個人データを取り扱う以上は、それが漏えいしたり、滅失したり、毀損したりしないように、「必要かつ適切な措置」を講じなければならないと義務づけられている。ここでいう「必要かつ適切な措置」を「安全管理措置」と呼ぶ。
もっとも、個人情報保護法20条は、上記のとおり「必要かつ適切な措置」と一言いうだけであり、これでは具体的に何をしたらよいのか分からない。そこで、個人情報保護委員会がガイドラインを公表し、ここでいう「必要かつ適切な措置」とは何なのかを以下のように具体的に規定しているのである。
◆個人情報保護法のガイドラインが定める安全管理措置(概要)
① 基本方針の策定
基本方針を策定することが重要である
② 「規律」の整備
基本的な取扱い方法を整備する
③ 組織的安全管理措置
(1) 組織体制の整備
(2) 個人データの取扱いに係る規律に従った運用
(3) 個人データの取扱状況を確認する手段の整備
(4) 漏えい等の事案に対応する体制の整備
(5) 取扱状況の把握及び安全管理措置の見直し
④ 人的安全管理措置
適正な取扱いを従業者に周知徹底するとともに適切な教育を行う
⑤ 物理的安全管理措置
(1) 個人データを取り扱う区域の管理
(2) 機器及び電子媒体等の盗難等の防止
(3) 電子媒体等を持ち運ぶ場合の漏えい等の防止
(4) 個人データの削除及び機器、電子媒体等の廃棄
⑥ 技術的安全管理措置
(1) アクセス制御
(2) アクセス者の識別と認証
(3) 外部からの不正アクセス等の防止
(4) 情報システムの使用に伴う漏えい等の防止
3 不正競争防止法で保護される「営業秘密」とは?
不正競争防止法は、保護される「営業秘密」を以下のとおり定義している。
(定義)
第2条
6 この法律において「営業秘密」とは、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。
営業秘密の漏えいの典型例は、退職者が、顧客リストを持ち出して転職し、転職先でそのリストを使って営業攻勢をかけるというケースである。このケースにおいて、その顧客リストが「営業秘密」に該当し、一定の要件を満たした場合には、転職先の会社に対して当該顧客リストの廃棄や損害賠償請求をすることができる。
このケースについて、裁判になった場面を考えてみると、有用性や非公知性は大きな問題とならないことはお分かりいただけるであろう。転職先の会社から反論として出てくるのは、「いや、その顧客リストは、誰でも見られるようになっていて、秘密として管理されていなかった」という主張である。つまり、営業秘密として保護されるためには、「秘密として管理されている」といえるかどうか(秘密管理性)がポイントとなるのである。
* * *
次回以降、個人情報保護法の安全管理措置や、不正競争防止法の秘密管理性を満たすためにどうすればよいか、具体的に解説していく。
(了)
「〔“もしも”のために知っておく〕中小企業の情報管理と法的責任」は、毎月第2週に掲載されます。
