情報漏えいとは?
定義・原因・事例・対策などを
分かりやすく解説!
おすすめ資料を無料でダウンロードできます ✅ 営業秘密に関する研修資料 |
- この記事のまとめ
-
「情報漏えい」とは、会社や組織の内部に留めておくべき情報が、何らかの原因によって外部に漏れてしまうことをいいます。
現代は、情報が大きな価値をもつ時代であるがゆえに、
・役員や従業員による情報漏えい
・サイバー攻撃による情報漏えい
などが多発し、被害が拡大し続けています。このような犯罪行為に対抗するため、不正競争防止法や個人情報保護法、不正アクセス禁止法などでは、情報管理や情報漏えいに関するルールが定められています。
情報漏えいが生じた場合には、これらの法律により、
・民事上の責任を負う
・刑事罰や行政処分の対象となる
こともあります。本記事では、情報漏えいの定義や原因、情報漏えいを起こした者が負う責任、情報漏えいを起こさないための対策などを解説します。
※この記事は、2024年1月19日に執筆され、同時点の法令等に基づいています。
※この記事では、法令名を次のように記載しています。
- 個人情報保護法…個人情報の保護に関する法律
- 不正アクセス禁止法…不正アクセス行為の禁止等に関する法律
目次
情報漏えいとは
情報漏えいの定義
情報漏えいとは、会社や組織の内部に留めておくべき情報が何らかの原因によって外部に漏れてしまうことをいいます。
情報漏えいの対象
情報漏えいの対象となるのは、会社や組織に蓄積されている全ての情報です。
会社や組織に蓄積されている情報の中でも、漏えいした際に特に問題となるのが、以下の情報です。
- 営業秘密
- 個人情報
営業秘密とは
営業秘密とは、以下の3要件を満たす情報をいいます(不正競争防止法2条6項)。
① 秘密として管理されていること(秘密管理性)
② 有用な技術上または営業上の情報であること(有用性)
③ 公然と知られていないこと(非公知性)
個人情報とは
個人情報とは、生存する個人に関する情報であって、次のいずれかに該当するものをいいます(個人情報保護法2条1項)。
① 特定の個人を識別できるもの(他の情報と容易に照合できることで、特定の個人を識別できるものを含む)(1号)
② 個人識別符号(=その情報単体から個人を特定できる符号)が含まれるもの(2号)
これらの情報の漏えいについては、漏えいによる影響が大きいことから、不正競争防止法や個人情報保護法により、漏えいした者の民事責任や刑事罰、行政処分などについての規定が置かれています。
情報漏えいの原因
情報漏えいの原因は、「故意に行われた場合」と「過失による場合」に大別されます。
原因1|故意(わざと)
故意に行われた場合とは、第三者が自己や他者の利益のために意図的に情報を盗みだした場合をいいます。
これらの情報漏えいは、以下のような不正な目的をもって意図的に行われます。
- 持ち出した情報を他者に売却する
- 再就職先で持ち出した情報を利用する
- 情報を持ち出された会社に対し、「情報を買い戻せ」といった金銭の要求をする
原因2|過失(うっかり)
これに対し、過失による漏えいは、例えば、
- 情報が記載されたメールを誤送信する
- 情報が記録された媒体を紛失する
など、情報を管理・利用する者の過失により情報が漏えいした場合をいいます。
過失による情報漏えいは、不正な目的で行われたものではありませんが、以下のような損害を被る可能性があります。
- 自社の重要な営業秘密が他社に渡り、利用される
- 業務委託者から管理を委託されている情報を誤って漏えいしたことで、業務委託者から損害賠償を請求される、契約を解除される
- 個人情報を誤って漏えいしたことにより、情報主体である個人に損害賠償しなければならなくなる
情報漏えいの典型的なパターンと予防するための対策
対策1|役員・従業員による漏えい
情報漏えいの典型的なパターンとして「役員・従業員による漏えい」があります。
役員・従業員は、
- 職務上の権限により情報にアクセスすることが可能である
- 権限がなくとも外部者に比べ情報への接触が容易である
- 立場上、その情報の価値も十分に認識している
ことから、情報漏えいをしやすい立場にあるためです。
- 役員・従業員による漏えいの手口
-
■有権限型
自分に与えられた権限を利用して、利用価値の高い情報(営業秘密や個人情報)にアクセス。その後、それらをプリントアウトする、USBなどの記憶媒体に保存する、ファイル化してメールに添付して送信する、スマートフォンなどで撮影するなどの方法により外部に持ち出す。■無権限型
有権限者が管理するID・パスワードや鍵などを盗みとり、利用価値の高い情報にアクセスし、それらを有権限型と同様の方法で外部に持ち出す。
これらの手口による情報漏えいを防止するためには、例えば、以下のような対策をとると良いでしょう。
- プリントアウトや外部媒体への出力には、複数の管理者の許可を必要とする
- メール送付時には、自動的に上司または他の管理者にメールのコピーが送られるようにする
- 重要な情報が保管されている場所へのスマートフォンの持ち込みを禁止する
- 重要な情報が保管されている場所に荷物を持ち込む際には、透明のバックを使用させる
- 重要な情報が記載された会議資料などは回収する
対策2|退職者による漏えい
“退職した”役員・従業員による漏えいも、情報漏えいのよくあるパターンです。
これは次のような要因によります。
- 退職した役員・従業員は、退職までの間は、情報にアクセスする権限を与えられており、情報にアクセスしやすい状態にある
- 同業他社に有益な情報を持ち出すことで、転職市場での自己の価値が高まるのではないかとの心理が働き、情報を盗み出すインセンティブが働く
退職者による情報漏えいは、在職中に情報を持ち出したうえで、持ち出した情報を退職後に他者に漏えいする態様がほとんどです。
そこで、情報漏えいを防止するためには、「対策1|役員・従業員による漏えい」で記載した対策をとることに加え、以下のような対策をとると良いでしょう。
- 就業規則や退職時の個別誓約書に競業避止義務や秘密保持義務を定め、また、これらの違反に対するペナルティを明確化する
- 社員の退職に関する動向に注意を払い、退職の兆候を察知した場合、情報へのアクセスを制限する
- 退職者が営業秘密を持ち出したおそれがある場合、転職先に対し退職者が営業秘密を保有していることについて警告する書面を発送する
対策3|取引先からの漏えい
取引先からの漏えいの態様としては、以下のようなものがあります。
- 情報管理を委託していた委託先の社員が故意に漏えいした
- 情報管理を委託していた委託先の過失や委託先へのサイバー攻撃により漏えいした
- 取引に関連して開示した情報が開示先から漏えいした
取引先からの漏えいについては、取引先の情報管理の方法や情報漏えいが生じているかどうかが確認しづらいことから、自社内での情報漏えいに比べ、発見が難しく、また、発見時にも取引先の協力がないと対応できないという問題点があります。
そこで、取引先からの情報漏えいへの対策としては、以下のような方法で、契約により取引先に情報管理に関する義務を負わせることが有効です。
秘密保持契約や業務委託契約内の秘密保持条項などで、
・情報管理義務や秘密保持義務を定め、これらの違反に対するペナルティを明確化する
・取引先での秘密情報の取り扱い者を限定する
・漏えい事故が生じた際の報告・対応義務を定める
さらに、以下のような対策も有益です。
- 取引先の情報取扱基準や技術情報管理認証、JIS Q 15001などの取得状況を確認する
- 取引先に開示・管理委託する情報を必要最低限のものとする
- 複製できない媒体で開示する
対策4|過失による漏えい
過失による漏えいは、例えば、以下のような態様で生じます。
- 情報を記載した資料やタブレット、PC、外部記憶媒体などを置き忘れる
- 情報を添付したメールを誤送信する
- 情報を記載したFAXを誤送信する
過失による漏えいは、多くは人為的なミスにより発生するものですから、対策としては、次の2つが考えられます。
① 人為的なミスを少なくする
・情報の持ち出し自体を禁止する
・登録先にしかメール・FAXできないシステムとする
・情報を添付したメールの送信やFAXの送信の際には、宛先を複数名でチェックする
・定期的に情報セキュリティについての研修を実施する
② ミスが生じた場合にも、漏えいしない対策をとる
・持ち出し可能なタブレット、PCには重要な情報を保存しない
・タブレット、PC、ファイルには必ずパスワードをかける
・メール送信の場合、パスワードはファイルを添付したメールとは別のメールで連絡する
・誤送信時に取り消せるようメールの送信を一定時間保留できるシステムとする
・タブレット、PCの情報を外部から消去できるシステムを導入する
対策5|サイバー攻撃による漏えい
株式会社東京商工リサーチの調査によれば、2022年の情報漏えい・紛失事故の過半数が「ウイルス感染・不正アクセス」とされており、サイバー攻撃による情報漏えいは、近時、増加傾向にあります。
これに対しては、以下のような方法が有効です。
- セキュリティソフトの最新化
- システムに脆弱性がないかの確認
- テレワークについては、強固なセキュリティシステムのあるソリューションを活用する
また、従業員に対しても、ID・パスワードの管理や、不審なメールの取り扱いなど、サイバー攻撃に対抗するためのセキュリティについて、定期的な研修を行うと良いでしょう。
情報漏えいを行った者の責任・刑罰に関する法律
次に、情報漏えいを行った者の責任・刑罰に関する法律にはどのようなものがあるか、見ていきましょう。
法律1|民法
会社の役員・従業員や取引先は、以下のような契約により、会社の情報について、秘密保持義務を負っています。
- 役員・従業員→社内規則などに秘密保持条項がなくとも、業務委託契約(役員)や雇用契約(従業員)に基づく付随的義務として、当然に秘密保持義務を負う
- 退職者→社内規則や誓約書に退職後の秘密保持義務が定められている場合、義務を負う
- 取引先→秘密保持契約や秘密保持条項のある契約を締結している場合、義務を負う
そこで、このような契約により秘密保持義務を有する者が当該義務に違反して情報を漏えいした場合、情報を漏えいした者は、漏えいされたものに対し、秘密保持義務違反による損害賠償義務を負います。(民法415条)
また、個人情報を取り扱う会社は、個人情報保護法23条に基づき個人情報の安全管理のために必要かつ適切な措置を講ずる義務を負っているため、故意または過失により個人情報を漏えいした場合は、当該義務に違反したとして不法行為に当たり、情報主体である個人に対し、不法行為に基づく損害賠償義務を負います。(民法709条)
法律2|刑法
刑法には、情報漏えい自体を罰する規定はありません。
しかし、情報が記録された紙や記録媒体などの有体物を持ち出した場合、以下の刑罰が科される可能性があります。
・自分が管理している有体物を持ち出した場合
→横領罪(5年以下の懲役。刑法252条1項)
業務上横領罪(10年以下の懲役。刑法253条)
・自分に管理権限のない有体物を持ち出した場合
→窃盗罪(10年以下の懲役または50万円以下の罰金。刑法235条)
また、情報が記録された有体物を持ち出すのではなく、
- 写真に撮る
- 通信手段を利用して外部に送信する
といった方法で持ち出した場合でも、自己が管理している情報を、自己が利益を得るなどの目的のために持ち出したときには、背任罪が成立し、5年以下の懲役または50万円以下の罰金が科される可能性があります。(刑法247条)
他方で、情報の管理に関与していない者が、写真に撮る方法や通信手段を利用して外部に送信する方法で持ち出したとしても、刑法上の犯罪行為には当たりません。
しかし、このような行為も違法性が高いことから、2003年に不正競争防止法が改正され、一定の態様でなされた営業秘密の漏えいが処罰の対象となりました。
以下では、不正競争防止法によりどのような行為が規制されているか見ていきましょう。
法律3|不正競争防止法
不正競争防止法では、営業秘密の侵害行為について民事上の損害賠償義務と刑事上の罰則の両面から規定しています。
不正競争防止法|民事上の損害賠償義務
民事上の損害賠償義務については、対象となる営業秘密侵害行為を以下の3類型に分けて規定しています。(不正競争防止法2条1項)
- 営業秘密侵害行為の3類型
-
(1)不正取得類型(取得自体が不正の場合)
①窃取、詐欺、脅迫その他の不正の手段により営業秘密を取得する行為(営業秘密不正取得行為)(4号)
②営業秘密不正取得行為により取得した営業秘密を使用または開示する行為(5号)(2)不正開示類型(開示などが不正の場合)
営業秘密保持者から開示された営業秘密を不正の利益を得る目的などで使用または開示する行為(7号)(3)譲渡類型(成果物の譲渡の場合)
営業秘密の不正使用により生じた物を譲渡したり、電気通信回線を通じて提供したりする行為(10号)
上記のような営業秘密侵害行為を行い、他人の営業上の利益を侵害した者は、営業秘密を侵害された者に対し、損害賠償義務を負います。(不正競争防止法4条)
さらに、上記のような侵害行為を行った者から、営業秘密を転得した者(悪意・重過失のあるものに限る)も、損害賠償義務を負います。(不正競争防止法2条1項6号、8号、9号、4条)
不正競争防止法|刑事上の罰則
また、刑事上の罰則として、以下のような規定が置かれています。
まず、以下に定める行為を行った者には10年以下の懲役もしくは2000万円以下の罰金が科され、またはこれらが併科されます。(不正競争防止法21条1項)
- 刑事罰の対象になる行為
-
① 図利加害目的で、詐欺等行為または管理侵害行為によって、営業秘密を不正に取得する行為(1号)
② 不正に取得した営業秘密を、図利加害目的で、使用または開示する行為(2号)
③ 営業秘密を保有者から示された者が、図利加害目的で、その営業秘密の管理に係る任務に背き、(イ)媒体等の横領、(ロ)複製の作成、(ハ)消去義務違反+仮装、のいずれかの方法により営業秘密を領得する行為(3号)
④ 営業秘密を保有者から示された者が、③の方法によって領得した営業秘密を、図利加害目的で、その営業秘密の管理に係る任務に背き、使用または開示する行為(4号)
⑤ 営業秘密を保有者から示された現職の役員または従業者が、図利加害目的で、その営業秘密の管理に係る任務に背き、 営業秘密を使用または開示する行為(5号)
⑥ 営業秘密を保有者から示された退職者が、図利加害目的で、在職中に、その営業秘密の管理に係る任務に背いて営業秘密の開示の申込みをし、またはその営業秘密の使用もしくは開示について請託を受け、退職後に使用または開示する行為(6号)
⑦ 図利加害目的で、②、④~⑥の罪に当たる開示(海外重罰の場合を含む)によって取得した営業秘密を、使用または開示する行為(2次的な取得者を対象)(7号)
⑧ 図利加害目的で、②、④~⑦の罪に当たる開示(海外重罰の場合を含む)が介在したことを知って営業秘密を取得し、それを使用または開示する行為(3次以降の取得者を全て対象)(8号)
⑨ 図利加害目的で、②、④~⑧の罪に当たる使用(海外重課の場合を含む)によって生産された物を、譲渡・輸出入する行為(9号)
また、法人の代表者や使用人その他の従業者が、その法人の業務に関し、上記①②⑦⑧⑨の行為をしたときは、その法人に対し、5億円以下の罰金刑が科されます。(不正競争防止法22条1項2号)
なお、海外での使用目的で営業秘密の侵害行為を行ったものは、さらに重い罪が科されます。(海外重罰)
具体的には、以下の行為を行った者には、10年以下の懲役もしくは3000万円以下の罰金が科され、またはこれらが併科されます。(不正競争防止法21条3項)
① 日本国外で使用する目的での上記①または③の行為
② 日本国外で使用する目的をもつ相手方に、それを知って上記②、④~⑧に当たる開示をする行為
③ 日本国外で上記②、④~⑧に当たる使用をする行為
また、法人の代表者や使用人その他の従業者が、その法人の業務に関し、海外重罰に該当する行為をしたときは、その法人に対し、10億円以下の罰金刑が科されます。(不正競争防止法22条1項1号)
法律4|個人情報保護法
個人情報保護法にも個人情報の漏えいに関する罰則があります。
具体的には、役員や従業員(退職者を含む)が、業務に関して取り扱った個人情報データベース等を、自己もしくは第三者の不正な利益を図る目的で提供・盗用した場合、1年以下の懲役または50万円以下の罰金が科されます。(個人情報保護法179条)
また、役員や従業者が、179条に掲げる違反行為を行った場合、当該法人に対し、1億円以下の罰金刑が科される可能性があります。(個人情報保護法184条)
法律5|不正アクセス禁止法
不正アクセス禁止法は、
- 不正アクセス行為
- 不正アクセス行為につながる行為
を防止するために設けられた法律です。
- 不正アクセス行為とは(不正アクセス禁止法2条4項)
-
・他人のID・パスワードなどの識別符号を無断で利用する行為(1号)
・セキュリティ・ホールを攻撃し、ID・パスワードなどを入力しないでコンピュータに侵入する行為(2号、3号)
上記のような不正アクセス行為を行ったものは、3年以下の懲役または100万円以下の罰金が科されます。(不正アクセス禁止法11条)
情報漏えい事故を起こした会社の責任
民事上の責任
会社が自社に関する情報を漏えいした場合、自社が不利益を被るのみで、原則として他者に対する責任はありません。
しかし、
を漏えいしてしまった場合は、債務不履行に基づく損害賠償義務を負います。(民法415条)
また、個人情報を漏えいした場合には、不法行為に基づく損害賠償義務を負います。(個人情報保護法23条、民法709条)
行政上の責任
個人情報を取り扱う会社は、個人情報保護法上、安全管理措置を講じる義務を負っています。
そして、個人データの漏えい等が発生し、以下のいずれかに当たる場合は、個人情報保護委員会への報告および本人への通知が必要となります。(個人情報保護法26条)
- 報告・通知が必要となるケース(個人情報保護法施行規則7条)
-
①要配慮個人情報が含まれる個人データの漏えい等が発生した場合・発生したおそれがある場合(1号)
②不正に利用されることで財産的被害が生じるおそれがある個人データの漏えい等が発生した場合・発生したおそれがある場合(2号)
③不正の目的をもって行われたおそれがある個人データの漏えい等が発生した場合・発生したおそれがある場合(3号)
④1,000人を超える漏えい等が発生した場合・発生したおそれがある場合(4号)
また、個人情報漏えい事故が生じた場合、個人情報保護委員会から、以下のような処分がなされる可能性があります。
- 報告や資料の提出(個人情報保護法146条)
- 立入検査(同法146条)
- 個人情報等の取り扱いに関し必要な指導・助言(同法147条)
- 安全管理措置義務違反を是正するために必要な措置をとるべき旨の勧告(同法148条1項)
- 148条1項の勧告に係る措置をとるべき旨の命令(個人の重大な権利利益の侵害が切迫していると認めるとき。同法148条2項)
- 安全管理措置義務違反を是正するために必要な措置をとるべき旨の命令(個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるとき。同法148条3項)
刑事上の責任
上記のとおり、個人情報が漏えいした場合、個人情報保護委員会から処分がなされる可能性がありますが、その処分に従わなかった場合、以下の罰則が科されます。
違反行為 | 罰則 | 根拠条文 |
---|---|---|
148条2項または3項の規定による命令に違反した場合 | 1年以下の懲役または100万円以下の罰金 | 178条 |
146条に違反し、報告や資料の提出をせず、または虚偽の報告や虚偽の資料を提出した場合 | 50万円以下の罰金 | 182条1項 |
そして、個人情報を取り扱う会社の役員や従業者が、法人の業務に関して、178条に掲げる違反行為を行った場合、当該法人に対し、1億円以下の罰金刑が科されます。また、182条1項に掲げる違反行為を行った場合、当該法人に対し、50万円以下の罰金刑が科される可能性があります。(個人情報保護法184条)
情報漏えいの有名な事例
事例1|自動車商品企画情報刑事事件
- 事件の概要
-
日産自動車株式会社に勤務する社員が、会社から付与されたID・パスワードを利用して会社のサーバーにアクセス。
自動車の商品企画に関する情報などが含まれるデータを、会社のサーバーから自己のハードディスクに転送し、データの複製を作成した事件。
この事件では、不正競争防止法21条1項3号に定める「不正の利益を得る目的」があったかどうかが問題となりました。
裁判では、営業秘密に該当する情報の複製が、
- 勤務先の業務遂行の目的によるものでない
- 他に正当な目的の存在をうかがわせる事情がない
という事実に基づき、複製が自身または転職先その他の勤務先以外の第三者のために退職後に利用することを目的としたものであったことは合理的に推認できるから、「不正の利益を得る目的」があったと判断されました。
事例2|新日鐵住金・ポスコ事件
- 事件の概要
-
1980年代後半から長期にわたり、株式会社ポスコが、新日鐵住金株式会社のOBに多額の報酬を支払うなどにより、新日鐵住金の製造技術に関する営業秘密を不正に取得していた事件
この事件では、情報を漏えいした新日鐵住金のOBの自宅から契約書、報告書、議事録、技術資料など、膨大な数の営業秘密が発見されています。
新日鐵住金は、2012年、日本において、不正競争防止法に基づき約1000億円の損害賠償と差し止めを求め提起、米国において、米国特許権侵害に基づく損害賠償と差し止めを求め提訴しました。
その後、ポスコが新日鐵住金へ300億円の和解金を支払うことで和解しています。
事例3|ベネッセコーポレーションの情報漏えい事件
- 事件の概要
-
ベネッセコーポレーションのグループ会社に勤務していた、外部委託のシステムエンジニアが、同社から与えられていた業務に関連するデータベースへのアクセス権を利用して、大量の顧客情報を不正に外部へ持ち出した事件。
流出した顧客情報は4800万人分ともいわれている。
この事件では、情報流出に関連し、各地で損害賠償請求訴訟が提起され、一人当たり1000円から3300円の損害賠償請求が認められました。
また、経済産業省から、個人情報保護法に基づき、個人情報の保護体制を明確化するなどの対策を求める勧告処分が出されています。
事例4|PlayStation Network個人情報流出事件
- 事件の概要
-
2011年に発生したソニーが運営するPlayStation Networkにおける大規模な情報流出事件
この事件では、ハッカーがPlayStation Networkのシステムへ不正侵入し、利用者約7700万件分の個人情報を不正に流出させていますが、犯人や不正侵入の手口は特定されていません。
アメリカではこの事件に関し、ソニーに対して集団訴訟が提起され、1500万ドル相当のゲームとサービスを無料で提供するかたちで和解が成立しています。
情報漏えいが生じた場合の対応
被害者対応
漏えいした情報が、委託を受け管理していた情報や秘密保持義務を課されていた情報の場合、秘密保持に関する契約条項の定めに従い、委託者や情報の開示元に対し、情報漏えいの事実を報告する必要があります。
契約によっては、「漏えいのおそれ」が生じた時点での報告義務や、情報漏えい時には、委託者や情報開示者の指示に従い被害拡大防止措置をとるべき義務が定められている場合もあります。
そこで、情報漏えいの可能性を検知した場合には、事実確認と並行して契約に記載されている情報漏えい発生時の義務を再度確認し、必要な措置をとる必要があります。
また、顧客情報などの個人情報が流出した場合には、顧客に対する対応も必要です。
「行政上の責任」で記載したとおり、個人情報保護法上、一定の場合には、個人情報保護委員会および本人への通知義務があります。
また、個人情報保護法上は通知義務がない事案であっても、個人情報の漏えいは顧客にとって重大な関心事です。そのため、漏えいの隠蔽などが疑われないよう、必要に応じ公表すべき事案かを十分に検討し、適切なかたちで公表すると良いでしょう。
なお、個人情報の漏えいは、漏えいした内容によっては被害が大きくなる可能性があります。
そこで、被害を抑えるために個人でとりうる対策をできるだけ早く告知するとともに、被害対応窓口の設置や、謝罪金の配布などもあわせて検討すると良いでしょう。
加害者対応
情報を漏えいした加害者が明らかとなった場合、加害者に対し、損害賠償請求をすることが可能です。
また、不正競争防止法では、不正競争行為によって営業上の利益を侵害され、または侵害されるおそれのある者に、その侵害の停止または予防を請求する権利(以下「差止請求権」)を認めています。(不正競争防止法3条1項)
そこで、「法律3|不正競争防止法」で記載した、営業秘密侵害行為により、漏えいされた者の営業上の利益が侵害される場合、侵害者に対して営業秘密の使用の差し止めを求めることができます。
具体的には、以下の3種類の差止請求を行うことができます。(不正競争防止法3条)
(1) 現在行われている停止を求める差止請求権
(2) 将来の侵害行為の予防を求める予防請求権
(3) 侵害の行為を組成した物(侵害の行為により生じた物を含む)の廃棄、侵害の行為に供した設備の除却、その他の侵害の停止または予防に必要な行為を求める除去請求権
さらに、加害者の行為が刑事罰の対象となる場合、刑事告訴や告発を行うことを検討しても良いでしょう。
社内対応
情報漏えいが生じた場合、被害者対応や加害者対応を行う前提として、情報漏えいの原因や内容について以下のような調査が必要です。
(1)状況の正確な把握・原因究明
(2)被害の検証
(3)秘密保持に関する社内体制(人的面・システム面)に不備がないか
また、調査と並行して対策チームを設置し、以下の点についての方針を早急に定め、対応を実施すると良いでしょう。
- 被害者対応(どのようなかたちで報告・公表するか、その後、どのような対応をとるか)
- 加害者対応(損害賠償請求・差止請求を行うか。刑事告訴を行うか。社内処分をどうするか)
- 行政対応(行政への報告が必要な事案か、また、報告する場合、どのような内容とするか)
- 再発防止対応(社内体制に不備があった場合、対応をどうするか)
情報漏えいを防止する方法
情報漏えいを防止するためには、漏えい要因毎に以下のような対策を行う必要があります。
(1) 秘密情報に近寄りにくくするための対策
(2) 秘密情報の持ち出しを困難にするための対策
(3) 漏えいを発見しやすい環境づくりのための対策
(4) 秘密情報だと思わなかったという事態を招かないための対策
(5) 社員のやる気を高め、秘密情報を持ち出そうという考えを起こさせないための対策
それぞれについて具体的に、以下のような対策などが考えられます
(1)秘密情報に近寄りにくくするための対策
- アクセス権を適切に設定する
- 秘密情報を保存したPCを不必要にインターネットにつながない
- 施錠管理を徹底する
- フォルダを分離する
- ペーパーレス化を図る
- ファイアーウォールを導入する
(2)秘密情報の持ち出しを困難にするための対策
- 私用USBメモリの利用・持ち込みを禁止する
- 会議資料などを適切に回収する
- 電子データを暗号化する
- 外部へのアップロードを制限する
(3)漏えいを発見しやすい環境づくりのための対策
- 座席配置・レイアウトを工夫する
- 防犯カメラを設置する
- PCログの記録を保存する
- 作業を録画などの方法で記録する
(4)秘密情報だと思わなかったという事態を招かないための対策
- 秘密情報にマル秘表示をする
- 秘密情報管理に関するルールを策定し、周知する
- 無断持出禁止の張り紙をする
- 秘密情報管理に関する研修を実施
(5)社員のやる気を高め、秘密情報を持ち出そうという考えを起こさせないための対策
- ワーク・ライフ・バランスを推進する
- コミュニケーションを促進する
- 社内表彰などを通じて、社員のやる気を惹起する
- 処分内容を含めた漏えい事例の周知を行う
終わりに
高度情報化社会では、情報は重要な資産です。
自社が情報漏えいを起こした場合、自社が不利益を被るだけでなく、
- 他者に対して損害賠償義務が生じる
- 行政処分、刑事罰の対象となり得る
- 社会的な信用をなくす
など、大きな悪影響が生じます。
また、取引先に自社の情報を漏えいされた場合も、大きな不利益を被る可能性があります。
そこで、情報漏えいについての規制を踏まえ、自社や取引先から情報が漏えいすることを防ぐ体制や、情報漏えいが生じたときに素早く対応できる体制をあらかじめ構築しておく必要性があります。
本記事では、情報漏えいに関する法規制、情報漏えいを起こした場合の責任、情報漏えいが起きた場合の対応や、情報漏えいを起こさないための対策を紹介していますので、これらを参考に、自社の情報管理が適切に行われているかを再度確認してみると良いでしょう。
参考文献
経済産業省「秘密情報の保護ハンドブック」(最終改訂令和4年5月)
経済産業省知的財産政策室「最新の営業秘密侵害事例から見えてくる「営業秘密」保護のポイント~「営業秘密」を保護するために企業はどのような対策が必要か~」令和3年6月2日
個人情報保護委員会「漏えい等報告・本人への通知の義務化について」
経済産業省 独立行政法人・情報処理推進機構「サイバーセキュリティ経営ガイドライン Ver 3.0」
岡本直也著『Q&A競業避止、営業秘密侵害等の不正競争に関する実務』日本加除出版、2021年
おすすめ資料を無料でダウンロードできます ✅ 営業秘密に関する研修資料 |