父の会社でのこと。 今まで情報管理をしていた担当者が急に辞職し、自分で会社を立ち上げたいと言い出した。 顧客情報や販売価格、売り上げ、販売ルート等、1人でデータの情報管理していた職員だったが、どうやら、その顧客データや販売価格などを利用し、ネット販売会社を自分で立ち上げる様子である。
個人情報保護法から言っても、会社員として父の会社で得た情報に関しては守秘義務があると思うが、その職員1人にずっとまかせっきりであったため、既に会社のデータを自宅へ持ち帰っている可能性が非常に高く、今後も不正アクセス等をしてくる危険性がある。
父も職員1人に任せきりであった事に対しては反省しているが、対策方法が判らず、苦悩している。現在、この職員は会社に出勤はしていないが、他の職員もコンピュータに弱いため、どう対策すれば良いのか判らない。
なお、父の会社の規模は、有限会社で資本金300万円、決算時の年間売上実績1億2千万円、社員20名以下である。
個人情報保護法上の「個人情報取扱事業者」に該当し、また、職員が立ち上げる会社も「個人情報取扱事業者」に該当する。会社の社員規約等に、「営業上知りえた情報は退社後も口外しない」等の規定は無い。口頭で説明した程度である。
まず個人情報保護法は、担当する従業員自身に対して義務を課すものではなく、個人情報取扱事業者に対してその保護を義務化するものである。個人情報の保護のために、個人情報取扱事業者に対して、従業員に守秘義務等を課すなどという安全管理措置を要求するという構図になっている。
したがって、元従業員との関係では顧客情報等の保護については、個人情報保護法ではなく不正競争防止法、雇用契約上の守秘義務、競業避止義務が問題となる。ただ、不正取得による個人情報を利用するということになれば、元従業員が立ち上げるという会社の当該個人情報の利用が個人情報保護法違反となる可能性はある。
上記の不正競争防止法、雇用契約上の義務で保護される営業秘密は、「秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないもの」を指し、これは秘密管理性・有用性・非公知性が要件である。特に秘密管理性が重要な要件とされており、客観的な秘密管理の事実が必要とされている。 その情報がどのような管理をされていたのかによって秘密管理性の要件が判断されるので、これだけの情報では具体的な判断をすることが出来ない。
仮に顧客情報等が上記要件を満たした営業秘密であるとすると、元従業員に守秘義務が認められるかだが、「退職後に」守秘義務があるかどうかは、雇用契約上で明確に退職後の守秘義務特約を付していたりすることが必要になる。補足情報記載のように「口頭で説明した」というだけでは、争いになった場合に水掛け論になる可能性があり、退職後の守秘義務契約をしたという認定はかなり難しいだろう。もし、退職前であれば、守秘義務は雇用契約上の付随義務として認めることもできると思われる。
情報を持ち出している場合、会社所有の記録媒体に入れているのを持ち出したというのであれば、そのデータが記録された媒体の返還を求めるということはできると思うが、物と結合していない無形のデータだけを持ち出した(たとえばメールやFTP等でデータ送信してしまったなど)
場合には、返還自体はコピーがいくらでもできるのであまり実効性が無い。いかに外部に流出したものの利用を止めるかということが重要になる。
持ち出していることが確実であれば、その利用について民法上の損害賠償請求(債務不履行ないしは不法行為)をする、背任ないしは業務上横領にあたるものとして刑事告訴をするといった選択肢がある。また、不正競争防止法上でも、同法2条において営業秘密に関して保護が与えられている。
不正に取得して不正利用する行為だけでなく、取得は適正であったが自分の利益を図るために不正利用する行為(情報処理担当者であれば、後者のことが多いと思われる)についても保護している。この条項のいずれかの不正利用行為に該当するとして、差止請求(3条1項)、損害賠償請求(4条)が可能である。
なお、今後も当該担当者が外部からアクセスして情報を取り出す不安があり、そうしたことを防ぐ必要があるというのであれば、別の技術者に依頼して、実際になんらかのセキュリティ対策を行うことが必要かと思うが、それは技術的な問題なので技術者に見てもらうことが必要である。
法律問題としては、元従業員に正規に与えていたアクセス権限を抹消しても、なお元従業員がアクセスできるとすれば、不正アクセス防止法違反行為に該当する可能性が高く、不正アクセス防止法の問題にもなり、刑事罰を課される。
いずれにせよ、技術面からの今後の流出防止措置をとることと、仮に元従業員が会社の情報をもとに会社営業をするとなれば、損害賠償請求、差止請求といった対応をとることが必要になると思われる。いずれも、これだけでは解決策を具体的に提案することもむずかしいため、コンピュータ技術者や弁護士などに直接相談した方がよい。
個人情報保護法が施行されて1年以上経過するが、施行時は、それなりに社会的ニュースにもなり、消費者の関心も高かったので、その法律の内容がはっきり分からなくても、それに関係するのではないかと判断して、個人情報に関する相談が一時的に増えた時期があった。個人情報保護法は、正直なかなか相談現場では使い難く、いまいち相談者のニーズを掴んでいない感じを受けた。個人的には個人情報保護法の苦情相談受付窓口にもいるので、当初は大変苦労した経緯がある。そこでは「消費者の誤解を解くのも必要」と言われたが、消費者のニーズに合った法改正のほうが必要だろう。
さて、特にこのケースのような顧客データの持ち出しには、事業者としても細心の注意を払って欲しいと思っている。顧客からしてみても、持ち出した人物よりも、その会社自体に問題があると見るのが当然である。
「以前結んだ契約を解除してあげますよ」「受けていた通信教育が終わっていません」などといって、消費者が二次被害に遭う被害も後を絶たないのだが、これらも顧客データ流出によるものがいくつもあると思われる。
それとともに、会社にあるデータや情報を無断で持ち出された場合、その無形なものに縛りをかけることが、いかに困難であることが良く分かる。また、それらがP2P等にてインターネット上に流出した場合、それを回収することは事実上不可能である。社内データの社外への持ち出しをいかに防ぐか、という部分でも、その会社のセキュリティ度合いが測られており、それが今の社会ではごく当たり前なことなのだと思う。「何も対策をしていない」「対応マニュアルが無い」では、会社としてはもう通らないのだと思う。