近年、企業がデジタル活用やDX化によって、個人情報や営業秘密など重要な情報をデジタルデータとして取り扱うケースが増加しました。中小企業においても、これまでは紙面で管理していた情報をデジタル化し、コンピュータを通じてインターネット上で管理することが一般的になりつつあります。

デジタル活用によって、これまで以上に情報を活用する選択肢が増え、マーケティング活動や顧客満足度の向上に活用できるようになった反面、これまで以上に情報管理に注力することが必要になりました。個人情報漏えいや営業秘密の流出など、トラブルに関する事件も絶えません。
そこで今回は、企業法務に詳しい角元弁護士に「デジタル化を進める企業が注意するべき”情報保護”」をテーマに、法律の観点から企業が取り組むべき対策をご紹介いただきました。

よくあるトラブルの例と対策 

(ケース1)個人情報が流出してしまった場合 

実際にあったトラブルの事例 

個人情報が流出してしまうトラブルの原因としてよく見られるものとして、①不正アクセス・ウイルス感染(例:個人情報を保存しているサーバーに不正アクセスを受け、情報が流出してしまった。)、②ヒューマンエラー(例:個人情報が保存されたクラウドサービスの設定が誤っており、外部からも確認ができる状態になってしまったことから、個人情報が流出してしまった。)、③従業員による管理不足・不正(例:個人情報が入ったUSBを社外に持ち出して紛失し、USBに保存されていた個人情報が流出してしまった。)というような場合が考えられます。 

対処方法 

  • トラブルが発生した場合、第一に、更なる被害の拡大を防止する必要があります。そのためには、流出の原因によりますが、不正アクセスやウイルス感染の場合にはサーバーを外部から遮断する、ヒューマンエラーの場合にはその原因を突き止めて修正するなど、その原因に応じて被害の拡大を防止するようにしてください。 
  • 流出した情報が犯罪等に利用される二次被害を防止することも重要です。そのためには、例えば流出した情報がインターネット上に公表されてしまった場合、弁護士に依頼して削除請求をすることを検討することも考えられます。また、顧客のIDやパスワードが流出したような場合には、顧客にID・パスワードの変更を依頼する、クレジットカードの情報が流出した場合には、クレジットカード会社に連絡してクレジットカードの利用を停止することを求めるなど、流出した情報の内容に応じた対応が考えられます。 
  • また、個人情報が流出した場合、その個人情報が、①要配慮個人情報である場合、②不正利用によって財産的被害が生じるおそれがある場合、③不正な目的による行為(不正アクセス等)によって漏えいが生じた場合、④1000人を超える個人データが漏えいした場合には(①から④の事態が発生したおそれがある場合も含みます。)、個人情報保護法により本人(被害者)に対して通知をする必要があり、通知が困難な場合には公表をすることになります。しかし、このような場合に該当しない場合であっても、漏えいの概要や対象となった個人データの内容・原因・対策などをその状況に応じて速やかに連絡する方が望ましいと考えられます。 
  • 上記の①~④に該当する場合には、個人情報保護法に基づいて個人情報保護委員会という機関に対して報告を行わなければなりません。また、個人情報保護法に関するガイドラインでは、二次被害の防止、類似事案の発生防止等の観点から、公表を行うことも望ましいとされています。しかし、流出した情報の内容や事業内容、流出の程度・方法によって、どのような措置をとるべきかが変わりますので、弁護士に相談し、報告先や自主的なものも含めて公表するかどうかを検討することがよいと思われます。 
  • 最終的には、被害に対する対応(被害者への謝罪や賠償)を行うことも考えられます。なお、被害者が流出させた会社に対して賠償を求めた裁判例は存在しますが、氏名や住所が流出した事案に関する裁判例でも、1人当たり3000円程度の慰謝料しか認められていません。流出した情報によっては賠償額がより高額になる可能性はあるものの、あまり高額な慰謝料は認められない傾向にあるようです。 
  • その他、大規模な個人情報の流出の場合、マスコミ・ネット対応も必要となりますし、被害者に対する相談受付窓口を設けるという対応も考えられます。 

社内の話としては、個人情報の流出に関与した従業員に対する処分等も考えられますが、いずれにせよ、個人情報の流出の規模によって対応は様々ですので、困った場合には弁護士に相談を行い、対応を相談することをおすすめします。 

対策方法 

  • トラブルを未然に防ぐためには、上記であげたような個人情報の流出の原因をなくすことが必要です。 
  • 不正アクセス・ウイルス感染に対しては、IDやパスワードの適切な管理を行う、ウイルス対策ソフトを導入するなど、一般的な不正アクセス対策が有効です。 
  • ヒューマンエラーについては防止することが難しいものの、個人情報の管理についてはダブルチェックを行うなど、ヒューマンエラーを起こしづらいような管理体制・社内規程を整備することで、そのリスクは減らすことが可能です。 
  • 従業員による不正やミスを防止するためには、従業員との間で秘密保持契約を締結することによって、一定の抑止力とすることができます。その他、社内の体制として、個人情報が含まれる記録媒体の閲覧・複製・持ち出しをする場合には、管理者の許可を必要としたり、記録を作成したりするなど、個人情報を安易に持ち出すことができないような状況にすることも対策として重要となります。 
  • なお、従業員による流出という事案とは少し異なりますが、頻繁に行う業務を第三者に委託(再委託)する場合にも注意が必要です。委託先や再委託先に対して個人情報を提供しなければならない場合、個人情報保護法によれば、委託元は個人情報を提供した先を監督しなければならないとされています。そのため、委託先に対して、一定のセキュリティ基準を守らせることを契約書に入れたり、場合によっては委託先から更に再委託を禁止したりするなどの対応が考えられますし、実際に遵守されているのかの確認も重要です。 
  • また、コンピューターの利用状況や通信記録を確認できるようにするなどにより、トラブルが生じた場合に流出の原因をいちはやく突き止め、証拠を確保するような手段を事前に講じておくことが考えられます。 

(ケース2)取引先の情報を他の企業に送付してしまった場合 

実際にあったトラブルの事例 

業務にあたって、取引先に対してメールやFAXを送ることもあると思いますが、その際にA社に送ることを予定していたメールを誤ってB社に送付してしまうということが起こり得ます。そして、このメールにA社の機密情報が含まれているような場合には問題となることがあります。 

対処方法 

  • 個人情報保護法に基づく対応 
    このケースも取引先の情報を他の企業に「流出させた」場合にあたるため、ケース1と同様、個人情報保護法に基づく対応も必要となる場合もあります。 
  • B社に対する対応 
    B社(誤った送信先の企業)に対して、お詫びの上で、送ったメールやFAXを廃棄してもらえるように依頼をしてください。 
  • A社に対する対応
    A社との間で秘密保持契約を締結している場合に、送ってしまった情報が秘密保持契約の対象になるのであれば、秘密保持契約違反になり得ますので注意が必要です。また、秘密保持契約には秘密情報を漏えいしてしまった場合の対処方法(漏えいが分かった場合に相手方に報告をする等)が定められている場合が多いと思いますので、秘密保持契約に従った対応をすることが必要です。 

秘密保持契約の有無にかかわらず、相手の機密情報を誤って漏えいさせてしまい、それによって相手に損害が生じた場合には、損害賠償の対象になる可能性があるため、まずは、情報が拡散されないような措置を優先的に行うことが求められます。 

対策方法(トラブルを未然に防ぐためにとるべき対応) 

このようなトラブルは、メールやFAXを送信する従業員のミスによるものである場合が多いので、メールを送付する際に送付先を念入りに確認するよう日常的に注意するなど、各従業員に対する意識づけが重要になります。 

加えて、意識づけにとどまらず、一般的な誤送信防止ソフト(外部にメールを送信する場合には追加のクリックなどの手続きが必要になる。)を採用するなど、ミスを減らせるような管理体制を整備することも対策になります。 

執筆者

角元 洋利 / Hirotoshi Kakumoto

弁護士 桃尾・松尾・難波法律事務所  パートナー
(取扱分野)
資金調達/企業法務一般/訴訟・仲裁/不祥事対応・不正調査/事業再生・倒産/国際取引

HPはこちら

お問い合わせ

お問い合わせは各お問い合わせページより受け付けております。
桃尾・松尾・難波法律事務所では、一般的なリーガルサービスの他DXに関連する法律面からのサポートも行っています。法律相談や角元弁護士へのご相談は、下記ボタンからお問い合わせください。

|工場経営ニュース|
お問い合わせ
記事に関するご質問はこちら
|桃尾・松尾・難波法律事務所|
お問い合わせ
内容に関するご質問はこちら