一般企業法務CATEGORY
一般企業法務
投稿日: 弁護士 橋詰 悠佑

退職者による情報持ち出しの予防策・発覚時の法的措置も解説

かつて企業の経営資源は、ヒト、モノ、カネの3つだと言われていましたが、現在は、情報も大切な経営資源の一つとして広く認識されています。最近は、退職者が企業の貴重な経営資源である情報を外部に持ち出し、問題になるケースが増えているようです。背景には、終身雇用制度が崩壊して人材の流動性が高まっていることや、情報のデータ化やインターネット技術の飛躍的な進化、情報記憶装置の大容量化などにより情報の持ち出しが容易になったことがあると考えられます。

このような状況下で、退職者による情報の持ち出しを抑止するための対策、退職者による情報の持ち出しが発覚した場合に被害を最小限に食い止めるための対策を講じることが、企業にとって重要な課題となっています。

今回は、退職者による情報の持ち出しが発生する理由、情報を持ち出された場合のリスク、持ち出しを防ぐための対策、持ち出しが発覚した際の対応、情報を持ち出した退職者に対する法的措置などについて解説します。

退職者による情報を持ち出しが発生する理由

そもそも、なぜ退職時に社内の情報を持ち出す従業員がいるのでしょうか。最も多いのは、従業員が自社を退職してから同種の事業を立ち上げる、または競業他者に就職することが決まっており、そこで現職の技術情報、ノウハウ、顧客情報などを活用するために故意に持ち出しを行うケースではないでしょうか。このような場合、従業員による情報の持ち出しは、会社に露見しないよう、秘密裏で巧妙に行われることが多いようです。

故意ではなく過失により情報が持ち出されるケースもあります。例えば、会社に置いていた私物を退職の際に持ち帰ったところ、その中に会社の機密情報が紛れ込んでおり、それが何らかの理由で外部に流出してしまうような場合です。紛失、置き忘れ、パソコンの誤操作やウイルス感染などにより情報が外部に流出することもあります。このようなケースでは、会社のずさんな情報管理体制が情報漏洩の遠因となっていることがほとんどです。

情報を持ち出された場合のリスク

退職者により社内の情報が持ち出された場合、会社はどのようなリスクを負う可能性があるのでしょうか。具体的なリスクについて説明します。

1.損害賠償リスク

退職者により顧客情報が社外に持ち出されると、そこから顧客の氏名、住所、電話番号等の個人情報が流出します。個人情報が悪用された場合、本人は様々な不利益を被ります。そのため、会社は個人情報を漏洩された被害者に対して損害賠償責任を負う可能性があります。
個人情報が漏洩しても、被害者一人あたりの損害賠償額はそれほど高額にはなりません。しかし、顧客情報の持ち出し等による個人情報の流出は一度に大量に発生することが多く、会社が支払いを求められる損害賠償の額は結果として莫大な金額になることがあります。
日本ネットワークセキュリティ協会がまとめた『2018年情報セキュリティインシデントに関する調査報告書』によると、2018年に起きた個人情報漏洩インシデントの1件当たりの漏洩人数は1万3334人で、1人当たり平均想定損害賠償額は2万9768円、1件当たりの平均想定損害賠償額は6億3767万円でした。このような多額な損害賠償を請求されれば、中小企業はもちろん、大企業であっても存続の危機に立たされる可能性があります。
また、個人情報を漏洩させたという事実が、これまで築いてきた企業の社会的信用を失墜させるおそれもあります。

2.ノウハウ流出リスク

企業が保有する独自の技術情報が流出した場合、自社の競争力の源泉である技術やノウハウが競合他社に利用されて経済的価値が損なわれ、市場における競争力を失うおそれがあります。中小企業では特許権を取得するなど技術情報を守るための措置を十分に講じていないケースもあり、技術情報の流出により致命的なダメージを受ける可能性もあります。

3.顧客流出リスク

退職者が自社と競合する事業を立ち上げたり競合他社に転職したりする際に顧客情報を持ち出す場合があります。顧客情報が持ち出されると、自社の既存顧客が競合他社から営業活動を受け、流出してしまうおそれがあります。

4.刑事罰

個人情報保護法は、個人情報を取り扱う事業者が守るべき義務を定めており、国はこれに違反した事業者に対して立ち入り検査、指導・助言、勧告、命令などを行うことができます。国からの命令に従わない事業所に対しては、6か月以下の懲役または30万円以下の罰金が科されます。

また、従業員が自己もしくは第三者の不正な利益を得る目的で個人情報データベース等を提供・盗用した場合、1年以下の懲役または50万円以下の罰金が科されます。この罰則は従業員だけではなく法人である会社に対しても適用されます。

個人情報とは、生存する個人に関する情報であって、氏名や生年月日などにより特定の個人を識別することができるものをいいます。また、単体では特定の個人を識別できない場合であっても、他の情報と容易に照合することができ、それにより特定の個人を識別することができる場合、その情報は個人情報とみなされます。
かつては取り扱う個人情報の数が5,000件以下の事業者は個人情報保護法の適用が免除されていました。しかし、2017年に改正個人情報保護法が施行され、現在では個人情報を取り扱う全ての事業者が適用対象となっています。

退職者による情報の持ち出しの防止策

退職者による情報持ち出しを防止するための対策は、物理的・技術的な防御と心理的な抑止の2つに大別されます。それぞれの対策の内容について説明します。

1.物理的・技術的な防御

物理的・技術的な抑止とは、従業員が社内の機密情報に接触したり、持ち出したりすることを直接的に制限することにより、情報の持ち出しを防止することです。
物理的・技術的な抑止の一つとして、機密情報は特定の棚や倉庫にまとめて保管して施錠しておき、機密情報が保管されている棚や倉庫を開錠できる者や機密情報にアクセスできる場所に立ち入ることができる者を制限する方法があります。機密情報にアクセスできる場所への立ち入りを制限することをゾーニングといいます。

機密情報へアクセスできる者を制限するためには、情報管理に関する社内規程を作成し、機密情報の保護のために必要な事項を規定しておく必要があります。情報管理に関する社内規程に定めておくべき主な項目として以下のような項目があります。

  • 適用範囲(役員、従業員、派遣労働者、自社内において勤務する委託先従業員など)
  • 対象なる機密情報の定義
  • 機密情報の分類(役員外秘、部外秘、社外秘など)
  • 分類ごとの対策(アクセス権者の設定、持ち出しの禁止等)

アクセス権を設定する際には、「その従業員が本当に業務上その情報を知る必要があるか」という観点から検討を行い、必要性がある者に限定することが大切です。

従業員が機密情報を持ち出すことを困難にすることも効果的な物理的・技術的な抑止の一つです。昨今、ノートパソコン、スマートフォン、USBメモリなど小型の情報記憶装置に膨大なデータを保存することが可能です。ノートパソコンやUSBメモリを社外に持ち出すことを禁止して社内で適正に管理する、個人のスマートフォンやUSBメモリを社内に持ち込むことを禁止する等の対策を講じることにより情報の持ち出しを防止できます。

最近は、クラウド型システムやテレワークの普及により、自宅など社外から社内の機密情報にアクセスする機会も増えています。社外から社内の機密情報にアクセスして情報を持ち出すことを防ぐためには、テレワーク時に私物のパソコンを使用することを禁止してセキュリティ対策を十分に施した会社のパソコンのみを使用させる、機密情報の一括ダウンロードができないように設定するなどの対策を行う必要があります。

2.心理的な抑止

心理的な抑止とは、従業員が機密情報を持ち出そうという気持ちを抱かせないようにすることをいいます。
例えば、以下のような対策が考えられます。

  • 機密情報が保管されている棚や倉庫の近くに録画機能付きの防犯カメラを設置する
  • レイアウトを工夫して機密情報を管理者や他の従業員から見えやすい場所に保管する
  • 機密情報の保管場所やサーバールーム等への入退室を記録する
  • 機密情報にアクセスしたり、ファイルなどをダウンロードしたりした者の履歴(ログ)が残るようにする
  • 紙の資料、ファイルの紛失及び持ち出しがすぐにわかるように通し番号を付けて管理する

防犯カメラの映像等の記録は、情報の持ち出しを行った者の責任を追及する際の客観的な証拠として用いることもできます
また、従業員に対する研修を行い、情報の流出が会社と自分自身にどれほど深刻な事態をもたらすかについて情報漏洩事故の事例を交えて説明することも心理的な抑止力をもたらします。

上記の対策の中には、費用や手間がかかるものもありますが、会社の規模や保有している情報の性質などを考慮して必要な対策を選択し、無理のない範囲内から実施するとよいでしょう。

情報持ち出しによる被害を最小限に抑えるための措置

どれだけ情報漏洩対策を徹底しても、退職者による情報の持ち出しを完璧に阻止することは困難です。そのため、万一、退職者による情報の持ち出しが発覚した際は、迅速に被害を最小限にするための措置をとることが重要です。

情報漏洩が発覚した時に最初にやるべきことは事実を正確に把握することです。いつ、誰が、どの情報を、どのようにして流出したのかを確認しましょう。

退職者による情報の持ち出しだということが判明した場合、その退職者に対する聴取、防犯カメラやログの確認、目撃者への聞き取りなどを進めます。その際、証拠の隠滅、関係者間の口裏合わせなどが行われないように十分注意する必要があります。
また、明らかになった事実を元に、自社、取引先、消費者等の関係者にどのような損失が生じる可能性があるのか検討する必要があります。情報の流出による直接的な影響だけではなく、信用の低下などの間接的な影響も含めて検討しましょう。

これらの検討が完了したら、被害を最小限に食い止めるために必要な措置を行います。具体的には、以下のような措置が考えられます。

  • ネットワークの遮断
  • 情報を持ち出した退職者への警告
  • 個人情報保護法に基づく行政への報告
  • 対外的な公表(事実の経緯、漏洩した情報の内容、再発防止策など)
  • 被害者への謝罪

情報漏洩が発覚した際は迅速な対応が求められます。必要に応じてシステムや法律の専門化に相談しながら、可能な限り迅速に対応を進めましょう。

情報を持ち出した退職者に対する法的措置

最後に、情報を持ち出した退職者に対してどのような法的な措置を取ることが可能なのか説明します。

1.刑事責任の追及

情報の持ち出しは、不正競争防止法や不正アクセス禁止法の罰則規定などが合わせて問題となることもあり、場合によっては、刑法の電子計算機使用詐欺罪(246条の2)、背任罪(第247条)、横領罪(第252条)も同時に問題となっている可能性もあります。
刑事責任を追及することで会社の損害が回復されるとは限りませんが、警察など捜査機関の協力の下で事実関係を明らかにし、持ち出しを行った退職者との金銭による示談をスムーズに進めるために重要です。

2.民事責任の追及

情報の持ち出しにより会社に損害が生じている場合には、情報の持ち出しを行った退職者に対して民事責任を追及できる可能性があります。民事責任の追及の手段として、交渉により和解を目指す、訴訟を提起して持ち出した機密情報の使用差し止め請求や損害賠償請求を行うなどの方法があります。

まとめ

今回は、退職者による情報の持ち出しが発生する理由、情報を持ち出された場合のリスク、持ち出しを防ぐための対策、持ち出しが発覚した際の対応、情報を持ち出した退職者に対する法的措置などについて解説しました。

退職者による情報の持ち出しから会社を守るためには、社内規程の策定や情報管理体制の整備など防止策を徹底することは非常に重要です。また、万一、情報漏洩が発生した際に被害を最小限に食い止めるために迅速な初動対応を行うとともに情報を漏洩させた退職者に対する法的措置を検討する必要があります。

東京スタートアップ法律事務所では、我々自身がテレワークを導入して情報セキュリティ対策に取り組んだ経験も踏まえつつ、様々な企業の状況や方針に合わせた情報セキュリティ対策についてアドバイスさせていただいております。お電話やオンライン会議システムによるご相談も受け付けていますので、お気軽にご相談いただければと思います。

弁護士橋詰 悠佑 第一東京弁護士会
9年弱ほど検事として職務を経験。日本の制度の歪みや理不尽がまかり通り、そのしわ寄せが様々なところに生じている現状に気付き、弁護士として立場を変え新たな一歩を踏み出す。