従業員による資料印刷・持ち出しの法的リスク クラウド環境・テレワーク下での法的解釈や対策を弁護士解説
人事労務テレワークの普及に伴い、従業員が自宅で業務資料を印刷したり、外出先に紙の資料を持ち出したりするケースが増えています。営業秘密や個人情報を含む資料の社外持ち出しについて、企業としてどのような法的リスクがあり、どのような対策を講じるべきでしょうか。
業務資料の社外持ち出しは、不正競争防止法上の営業秘密の秘密管理性の喪失や、個人情報保護法上の安全管理措置義務違反につながるリスクがあります。就業規則や情報セキュリティポリシーで印刷・持ち出しのルールを明確に定め、承認手続の整備やDLP等の技術的対策を組み合わせることが重要です。
解説
目次
業務資料の印刷・持ち出しがもたらす法的リスク
営業秘密について、不正競争防止法2条6項は秘密管理性・有用性・非公知性の3要件を求めています。このうち秘密管理性は、裁判実務上最も争点となることが多い要件です。最近では、経済産業省「営業秘密管理指針」(令和7年3月31日改訂)において、テレワーク環境やクラウド利用の普及などの技術動向を踏まえ、秘密管理性の判断基準についての新たな整理が行われました。
業務資料の社外印刷・持ち出しが常態化し、印刷物の管理が不十分な状態が続くと、「秘密として管理されている」という要件が否定されるおそれがあります。退職予定の従業員が転職先での利用を意図して顧客リスト等を持ち出すケースや、テレワーク環境下で自宅プリンターにより印刷した資料の管理が不十分となるケースが典型的なリスク場面です。
営業秘密侵害罪の法定刑は重く、個人で10年以下の拘禁刑または2,000万円以下の罰金、法人で5億円以下の罰金と定められています 1。海外での使用・開示目的がある場合にはさらに加重されます。
個人情報保護法23条の安全管理措置義務および同法24条の従業者監督義務との関係では、従業員が個人データを含む業務資料を印刷して社外に持ち出した結果、漏洩し、報告対象事態に該当する場合、個人情報保護委員会への報告義務および本人通知義務が生じます 2。2022年4月施行の改正法により報告義務が法定化されており、従業者またはその元従業者が不正の利益を図る目的で提供または盗用した場合は、件数を問わず報告義務の対象です 3。命令違反には1年以下の拘禁刑または100万円以下の罰金が科されます 4。
このほか、インサイダー情報 5、マイナンバー 6、NDA対象の取引先秘密情報、輸出管理対象技術 7 なども、持ち出しに伴うリスクが高い情報類型として留意が必要です。
なお、紙媒体の資料そのものを無断で持ち出した場合には、当該資料(有体物)に対する窃盗罪 8 が成立しうるほか、業務上の委託に基づき管理していた資料を不正に持ち出した場合には業務上横領罪 9 が成立しうる場合もあります。
これらの刑事責任は民事上の損害賠償請求とは独立して追及されるものであり、企業としては被害回復の手段と社会的責任の観点の双方から、刑事告訴を含めた対応方針を検討する必要があります。情報の無形的な価値と有体物たる媒体の価値の双方が侵害される点に留意し、法的対応の選択肢を適切に把握しておくことが肝要です。
参考となる裁判例
かっぱ寿司事件
かっぱ寿司事件は、回転寿司チェーン「かっぱ寿司」の運営会社カッパ・クリエイトの前社長が、競合他社「はま寿司」の食材原価データおよび仕入れ先データを不正に取得・使用した事案です。東京地裁令和5年5月31日判決では、前社長個人に懲役3年(執行猶予4年)および罰金200万円が言い渡されました。
また、東京地裁令和6年2月26日判決では、法人であるカッパ・クリエイトに罰金3,000万円、共犯の元商品本部商品部長に懲役2年6月(執行猶予4年)および罰金100万円が言い渡されました。裁判所は、当該データがパスワード付きで管理され、退職者に守秘義務が課されていたこと等から営業秘密該当性を認定しています。なお、第二審である東京高裁令和6年10月9日判決でも一審判決が支持されました。
伊藤忠商事ほか事件
伊藤忠商事ほか事件(東京地裁令和4年12月26日判決)は、退職が決まった従業員が社内資料を個人のクラウドアカウントにアップロードした事案です。裁判所は、当該情報について不正競争防止法上の営業秘密該当性は否定しましたが、情報流出に係る非違行為に対しては損害賠償による事後的な救済の実効性に限界があることを指摘し、企業に金銭的損害が現実に生じていない段階であっても、情報の保存行為が私的目的であると推認されることを理由に、懲戒解雇を有効と判断しました。
退職に際しての資料持ち出し・保存行為に対する裁判所の厳格な姿勢を示す裁判例として実務の参考となります。
NTT西日本子会社事件
NTT西日本子会社事件では、NTTビジネスソリューションズの元派遣社員が約10年間にわたりサーバーから約928万件の顧客データを不正にダウンロードし、名簿業者に売却等していました。岡山地裁津山支部は令和6年7月11日に懲役3年(執行猶予4年)および罰金100万円の有罪判決を言い渡しています。調査報告書では、システム管理者権限の悪用を防止するためのアクセス制御や監視体制の不備が指摘されており、内部不正を長期間にわたり許す結果となりました。アクセス権限の設計、ダウンロード行為のログ監視体制、外部記憶媒体の管理の徹底が求められることを示す事案です。
共通点は「管理体制の不備」
これらの裁判例に共通するのは、情報管理体制の不備が不正行為を容易にしたという点です。いずれの事案においても、技術的なアクセス制御や物理的な持ち出し防止策が不十分であったことが被害拡大の一因となっています。企業としては、規程の整備にとどまらず、その実効性を担保するための運用面の検証と見直しを継続的に行うことが求められます。
事前の対策
規程上の対策
規程面では、就業規則において秘密情報の定義(営業秘密、個人情報、顧客情報等の保護対象の範囲)を明確にし、禁止行為を具体的に列挙します。業務上の必要性のない印刷、社外への持ち出し、私用端末への保存、SNSへの投稿等が禁止行為の例です。違反時の懲戒処分を明記し、退職後も一定期間、秘密保持義務を負う旨を規定します(ただし、退職後の秘密保持義務は範囲・期間の合理性が問われるため、過度に広範な定めは無効となりうる点に留意が必要です)。
情報セキュリティポリシーでは、情報資産の分類と管理基準(機密・社外秘・一般等のレベル分け)、印刷・持ち出しの承認手続(所属長の事前承認、申請書の提出等)、テレワーク環境における印刷の制限または禁止を定めます。業務上の必要性の判断基準として、以下を総合的に考慮する旨を明記しておくことも有益です。
- どの業務のために必要か
- 持ち出し以外の代替手段(VPN経由のリモートアクセス等)の有無
- 情報の秘密度・重要度
入社時および退職時の秘密保持誓約書の取得も、実務上広く行われています。社内の営業秘密管理規程を策定しておくことも、従業員に秘密として管理する意思を認識させる手段として有効です。
技術上の対策
技術的対策としては、DLP(Data Loss Prevention)ツールによる機密情報の外部送信・USB保存・印刷の監視と制限、VDI(仮想デスクトップ基盤)の導入によるデータの端末非保存化、印刷ログの取得と定期的な監査、社外印刷を制限する設定(ネットワークプリンター限定、印刷時の透かし挿入等)があげられます。
退職予定者については、アクセス権限を速やかに制限し、大量のデータダウンロードや印刷を検知するアラートを設定しておくことが推奨されます。
体制管理上の対策
テレワーク環境下での印刷ルールについては、機密情報の印刷は原則禁止とし、業務上やむを得ない場合は所属長の事前承認を要件とする運用が考えられます。承認を得た場合でも、使用済みの印刷物はシュレッダーで速やかに廃棄する義務を課します。これらのルールを規程に明記するとともに、入社時研修および定期的な教育を通じて従業員の理解と遵守を促進することが重要です。
漏洩発覚時の初動対応
漏洩が発覚した場合には、まず当該従業員のシステムアクセス権限の即時停止と端末(PC、スマートフォン等)の回収・保全を行います。アクセスログ、印刷ログ、メール送受信ログ、外部記憶媒体の接続ログ等をフォレンジックの手法で保全し(改ざん防止のため、イメージコピーの取得が望ましい)、漏洩経路の特定と追加漏洩の防止を図ります。報告対象事態に該当する個人データの漏洩等が確認された場合は個人情報保護委員会への速報(おおむね3〜5日以内)を行い、本人への通知も必要です 10。確報は原則30日以内(不正の目的によるおそれがある場合は60日以内)に提出します。
営業秘密の漏洩が確認された場合は、不正競争防止法に基づく差止請求 11、損害賠償請求 12、刑事告訴 13 も検討対象となります。前述のかっぱ寿司事件が示すとおり、営業秘密侵害に対しては法人・個人の双方に対して重い刑事罰が科される場合があります。被害企業としては刑事告訴を含む断固たる姿勢を示すことが、全社的な情報管理意識の醸成にもつながります。
懲戒処分については、伊藤忠商事ほか事件が示すとおり、現実の損害が発生していない段階であっても、情報の不正な保存・持ち出し行為に対して懲戒解雇が有効と判断される場合があります。もっとも、処分の相当性は、違反の動機・態様・悪質性、企業に生じた損害の有無と程度、過去の処分例との均衡等を総合的に考慮して判断されるため、個別事案に即した慎重な検討が必要です。
複数の法的リスクを正しく理解し、重層的かつ継続的な対策を
業務資料の社外持ち出しは、不正競争防止法上の営業秘密侵害、個人情報保護法上の安全管理措置義務違反、さらには刑法上の窃盗罪・業務上横領罪等、複数の法的リスクを伴います。かっぱ寿司事件や伊藤忠商事ほか事件が示すとおり、裁判所は営業秘密の不正取得・使用に対して厳しい刑事罰を科し、現実の損害が発生していない段階での懲戒解雇が有効と判断される場合があることを示しています。
企業としては、就業規則・情報セキュリティポリシーにおける秘密情報の定義と禁止行為の明確化、入社時・退職時の秘密保持誓約書の取得、DLP・VDI等の技術的対策の導入、退職予定者に対するアクセス権限の速やかな制限とログ監視の強化を、重層的に講じる必要があります。
万一漏洩が発覚した場合には、システムアクセス権限の即時停止、フォレンジックによる証拠保全、個人情報保護委員会への速報、不正競争防止法に基づく差止請求・損害賠償請求・刑事告訴の検討を、迅速かつ的確に実施することが求められます。規程の整備と技術的対策の導入、そしてそれらの実効性を担保する運用面の継続的な検証が、情報漏洩リスクへの最も有効な備えとなります。
弁護士法人長瀬総合法律事務所