退職者による機密情報持出し・漏えいへの対応策 - 調査・ヒアリング、規程整備等を中心に

IT・情報セキュリティ
柳田 忍弁護士 牛島総合法律事務所

 情報の漏えいのルートには、従業員のミスによるものや不正アクセスによるものなど、様々なルートがあると思いますが、特に退職者による持出し・漏えいを防ぐために有効な手段はありますか。

 情報へのアクセス権の制限等の物理的・技術的な防止措置を講じることはもちろんのこと、サンクション(懲戒処分等)を背景とした人的(心理的)防止措置を講じることもポイントになります。また、退職者が退職してしまう前に持出し・漏えいの可能性を検知することも重要であり、そのための手段としては、モニタリング制度の活用などが考えられます。

解説

目次

  1. はじめに
  2. 機密情報・個人情報・営業秘密
  3. 機密情報持出し等により会社に生じるリスク
  4. 主な機密情報持出し等の手段、発覚経緯および調査方法
    1. 機密情報持出し等の手段
    2. 機密情報持出し等の発覚経緯
    3. 機密情報持出し等の調査の方法
  5. 機密情報を持ち出した退職者に対するヒアリング
    1. ヒアリング実施前の客観的な裏付けの取得
    2. 事実確認
    3. 私物の電子機器に対する調査の同意取得
  6. 機密情報の持出し等を防ぐ方法
  7. おわりに

はじめに


 退職者(退職予定者も含み、以下同様とします)による機密情報持出し・漏えい(以下、「持出し等」といいます)は、今も昔も企業にとって重大な問題です。たとえば、経済産業省知的財産政策室の「営業秘密の保護・活用について」(平成29年6月)によると、「中途退職者(正規社員)による漏えい」は、2番目に多い情報漏えいルートとしてあげられており、その割合は情報漏えいルート全体のうち24.8%を占めています。さらに、昨今の情報のデータ化を受けて、最近は持出し等の手段がより複雑化し、発覚や防止が困難になっているという現状があります。
 そこで、本稿においては、かかる現状を踏まえて、退職者による機密情報の持出し等への対応策を解説します。

 なお、文中意見にわたる部分は筆者の個人的見解であり、筆者の所属する法律事務所の見解ではない点をご了承下さい。

機密情報・個人情報・営業秘密

 機密情報(秘密情報)の法的な定義はなく、実際、多くの会社において、社内規程等において、各社ごとに秘密として保持すべきと判断した情報を機密情報や秘密情報として保護の対象としています。基本的には、どのような情報を機密情報として保護するかやどの情報をどのように保護するかは会社の判断に委ねられていますが、個人情報の保護に関する法律(以下、「個人情報保護法」といいます)上の個人情報と不正競争防止法上の営業秘密の取扱いについては注意が必要です。

 個人情報は、生存する個人に関する情報であって、特定の個人を識別することができるものであり(個人情報保護法2条1項)、個人情報保護法の定めに従って管理する必要があります

 他方、機密情報が、①秘密として管理されており(秘密管理性)、②有用な情報であり(有用性)、③公然と知られていない(非公知性)情報に該当する場合、不正競争防止法上の「営業秘密」(同法2条6項)に該当し、当該営業秘密の漏えい等について、不正競争防止法に基づいて損害賠償請求や差止請求を行うことが可能となります。
 よって、機密情報が不正競争防止法上の「営業秘密」に該当するよう管理体制を構築することも重要です。

機密情報持出し等により会社に生じるリスク

 退職者による機密情報の持出し等により会社に生じるリスクとしては、主に次の5つがあげられます。

  1. 技術情報、ノウハウや顧客情報などが競合他社等に流出して競争力を失うリスク
  2. 自社が管理している個人情報や他社から管理の委託を受けている個人情報が漏えいして当該個人から損害賠償請求を受けるリスク
  3. 他社から預かっている企業秘密の漏えいにより、当該他社から損害賠償請求を受けるリスク
  4. レピュテーションリスク
  5. 刑事罰の対象となるリスク

 このうち、①については、退職者による転職先への情報漏えい事案において、漏えい元会社から漏えい先会社・退職者に対して約1,000億円の損害賠償を求めて訴訟が提起されたケースがあったことなどが示すとおり、金銭に換算して数百億円から数千億円にわたる情報の流出や被害の発生が想定されます。なお、最近でも、ソフトバンクから楽天モバイルに転職した元従業員がソフトバンクから機密情報を不正に持ち出したとして、ソフトバンクから楽天モバイルと当該元従業員に対し、約1,000億円の損害賠償を求める訴訟が提起されています 1。また、②については、日本ネットワークセキュリティ協会による2018年の調査結果によると、個人情報漏えい事件1件あたりの平均想定損害賠償額は約6億4,000万円であるとされています 2

主な機密情報持出し等の手段、発覚経緯および調査方法

機密情報持出し等の手段

 従前は、機密情報が記載された書類をコピーしたり、機密情報が記載されたデータをプリントアウトして持ち出すといった、いわば物理的な持出し等の手法が主流でしたが、近年は、ウェブメールや「Dropbox」、「Googleドライブ」といったオンラインストレージを利用した持出しの手法もよく見られます。物理的な持出し等についても、USBデバイスを会社の機器に接続したり、機密情報が記載された書面等をスマートフォンで撮影するといった記録媒体を利用した手法が見られるようになっており、これらの様々な持出し等の手段に応じた予防策を講じる必要があります。

機密情報持出し等の発覚経緯

 退職者による機密情報持出し等のタイミングとしては当該退職者が退職する数か月前から退職直前までの期間に行われることが多くなりますが、このような退職者による機密情報持出し等の発覚のタイミングは、当該退職者が退職した後になることが少なくないのが現状です。筆者の経験上も、たとえば、漏えい元の顧客から「退職者から営業の電話があったが、顧客情報が漏えいしているのではないか」との指摘がなされたことや、退職者の退職後、会社が退職者の貸与パソコンのメールやシステム等のチェックを行ったことにより発覚したといったケースがありました。

機密情報持出し等の調査の方法

 機密情報持出し等の事案の調査の方法としては、デジタル・フォレンジックが有用であると思われます。デジタル・フォレンジックとは、不祥事事案等が発生した際に、関連する電子機器内の証拠となり得るデータを収集・取得・保全・調査・分析する手段や技術のことをいいます。

 デジタル・フォレンジックの実施に際しては専門家に委ねることになりますが、企業側で注意すべき点としては、デジタル・フォレンジックの対象となるパソコンの電源をむやみに入れるなどしないことです。デジタル・フォレンジックを実施する際に重要なポイントは、対象のデータが改変・改ざんされることなく保全されて調査・分析の対象とされたことが裏付けられることですが、パソコンを操作するとファイルの最終更新時刻が更新されてしまい、改変・改ざんの疑いをかけられるおそれがあるためです。

機密情報を持ち出した退職者に対するヒアリング

 退職者による機密情報の持出し等またはそのおそれが発覚した場合、当該退職者のヒアリングを行う必要があります。退職者のヒアリングは、退職者による機密情報の持出し等の事実確認を行って被害の拡大や再発の防止策を講じることが第一の目的ではありますが、退職者の処分を決定するためにも必要になります。退職者のヒアリングにおけるポイントは以下のとおりです。

ヒアリング実施前の客観的な裏付けの取得

 ヒアリングの前に、モニタリングやデジタル・フォレンジックの実施などにより、客観的な裏付けを確認しておきます。

事実確認

 まずは、機密情報持出し等の事実の有無をヒアリングすることになりますが、退職者がすんなりと事実を話してくれるとも限りません。そこで、上記5-1で確認した客観的な裏付けを退職者に突きつけて確認を行います。たとえば、ファイルサーバーへのアクセスログが確認できた場合はアクセスの理由等を確認することになるわけですが、そのような場合、多くの退職者は、「業務遂行のために必要な情報を得るためにアクセスした」などと主張します。この場合は、アクセスログの時期と、当時当該対象者が関与していた業務内容を照らし合わせて、疑問点や矛盾点があればそれらを追及していくことになります。

 機密情報へのアクセス理由に関する退職者の説明で、「業務遂行のために必要な情報を得るためにアクセスした」という説明と同じくらい多くなされるのが、「自分の勉強のためにアクセス・保存した」という説明です。持出し等の動機は退職者の懲戒処分等の内容を決める際にも重要なポイントになりますが、退職直前の持出し等については、不当な動機を認定することができる場合が多いものと思われます。また、退職が決まった後の持出し等については、仮に「自分の勉強のため」との退職者の説明が事実であったとしても、それはすなわち転職先における業務遂行のために持ち出したということに他ならないことになりますので、これを懲戒処分等の決定に際して退職者に有利な形で考慮しなくても問題はないのではないかと思料します。

私物の電子機器に対する調査の同意取得

 ヒアリングにおいては、退職者の個人所有のパソコンやスマートフォンへの機密情報の保存の可能性についても確認するべきです。かかる可能性が確認できた場合、これらの電子機器に対しても調査を実施することも検討に値します。一定の状況下においては、業務命令によりこれらを提出させ、調査を実施することも可能であると思われますが、基本的には本人の同意を取得したうえで行うべきものと考えます。

機密情報の持出し等を防ぐ方法

 機密情報の持出し等を防ぐ方法は、以下の図のとおりです。

機密情報の持出し等を防ぐ方法

 まず、(1)物理的・技術的に持出し等を防ぐ方法と、(2)従業員に機密保持の重要性を認識させ、秘密保持義務を負わせて、これに違反した場合のサンクションを知らしめることにより、持出し等を人的(心理的)に防止する方法が考えられます。また、(1)物理的・技術的防止方法については、①機密情報の持出し等自体を防ぐ方法と、②機密情報の持出し等の前提としての機密情報の入手を防ぐ方法とに分けて整理することも可能です。

 さらに、退職者による機密情報の持出し等を防ぐには、(3)モニタリングを活用することがポイントとなります。
 上記のとおり、退職者による機密情報の持出しや漏えい事案の多くは、退職者が会社を去った後に発覚しています。しかし、退職者が退職した後は、業務命令をもって退職者を調査に協力させることはできません。そのため、退職者を会社の調査に協力させることは容易なことではありません。また、退職者の転職先が海外の企業であった場合には、退職者や転職先を相手として損害賠償請求や差止請求を行うに際して裁判制度を利用することに困難を伴う場合があります。

 よって、退職者の情報の持出し等を防ぐには、退職者が退職する前(国外へ転出する前)に持出し等の可能性を把握することがポイントになると思われます。そのために、競合他社に転職予定の者の貸与パソコンでの電子メールのやりとりやインターネットの閲覧履歴、ファイルサーバーへのアクセスログなどをモニタリングすることが考えられます。

 従業員の貸与パソコンを定期的にモニタリングすることも、予防策や抑止的効果の観点から有効であると思われます。もっとも、モニタリングに際しては従業員のプライバシーの侵害にあたらないよう注意する必要があります。従業員のプライバシー権の違法な侵害にあたらないためには、モニタリングが「社会通念上相当な範囲を逸脱」しないことが必要になります(F社Z事業部事件・東京地裁平成13年12月3日判決・労判826号76頁)。「社会通念上相当な範囲を逸脱」しないためには、個人情報保護委員会の「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」(平成29年2月16日・令和3年9月10日更新)を参考に、以下のとおり、就業規則等の社内規程に定めるなどしたうえで、当該規程に沿ってモニタリングを行う必要があります。

【参考】個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」(平成29年2月16日・令和3年9月10日更新)

Q5-7 従業者に対する監督の一環として、個人データを取り扱う従業者を対象とするビデオやオンライン等による監視(モニタリング)を実施する際の留意点について教えてください。

A5-7 個人データの取扱いに関する従業者の監督、その他安全管理措置の一環として従業者を対象とするビデオ及びオンラインによるモニタリングを実施する場合は、次のような点に留意することが考えられます。なお、モニタリングに関して、個人情報の取扱いに係る重要事項等を定めるときは、あらかじめ労働組合等に通知し必要に応じて協議を行うことが望ましく、また、その重要事項等を定めたときは、従業者に周知することが望ましいと考えられます。
  • モニタリングの目的をあらかじめ特定した上で、社内規程等に定め、従業者に明示すること
  • モニタリングの実施に関する責任者及びその権限を定めること
  • あらかじめモニタリングの実施に関するルールを策定し、その内容を運用者に徹底すること
  • モニタリングがあらかじめ定めたルールに従って適正に行われているか、確認を行うこと
従業員のモニタリングに関して社内規程に定めるべき事項
  • モニタリング対象となる機器等の私的利用(私用メール等)に関するルール(私的利用の許容範囲等)
  • モニタリングを実施する権限と責任の所在(権限・責任が帰属する職制・部署等)
  • モニタリングを実施する目的(収集情報の利用目的)
  • モニタリングの具体的実施方法(調査の対象となる媒体等および調査の手法、事前予告の有無等の調査実施手続き)

  • 参照:経済産業省「情報セキュリティ関連法令の要求事項集」(平成23年4月)

 以上のとおり、モニタリングは、機密情報の持出し等のおそれを検知し、これを防ぐことを可能にするものです。さらに、モニタリング制度を社内規程に定めて周知することにより、従業員に対する抑止効果が期待できるというメリットもあります。

おわりに


 退職者による機密情報の持出し等は、会社に対して甚大な被害をもたらしかねない重大な問題ではありますが、機密情報の持出し等を行った退職者に対しても重大なサンクション(懲戒処分、多額の損害賠償請求、刑事罰等)が課され得るものです。会社が情報の持出し等を見過ごさない姿勢を示せば、これによる抑止効果を期待することができます。よって、会社においては、上記防止措置を備えたうえで、機密情報の持出し等を行った退職者に対して厳しい姿勢で対応することが重要となると考えます。

BUSINESS LAWYERS COMPLIANCEのご案内

BUSINESS LAWYERS COMPLIANCEは、わかりやすく面白いドラマ形式のオンライン研修動画でコンプライアンス研修の実効性向上をサポートするサービスです。パワハラやセクハラ、下請法違反など、企業が陥りがちな違反ケースをそろえた動画コンテンツは、すべて弁護士が監修。従業員の受講状況や確認テスト結果などの一元管理も可能です。

詳しくはこちら

  1. ソフトバンク株式会社プレスリリース「楽天モバイルと楽天モバイル元社員に対する訴訟を提起 1,000億円規模の損害賠償請求権を主張」(2021年5月6日、2022年1月18日閲覧) ↩︎

  2. 日本ネットワークセキュリティ協会「情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版)」(2019年6月10日) ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する