◇SH2807◇企業活力を生む経営管理システム―高い生産性と高い自己浄化能力を共に実現する―(第65回) 齋藤憲道(2019/10/03)

未分類

企業活力を生む経営管理システム

―高い生産性と高い自己浄化能力を共に実現する―

同志社大学法学部
企業法務教育スーパーバイザー

齋 藤 憲 道

 

3. 情報の取り扱い基準の共有

(2) 情報セキュリティ管理

 企業には顧客・取引先・製品や製造の技術・コスト・経営計画・社員等に関する多種類の価値ある情報[1]が存在し、関係ない者や外部に流出しないように管理されている。

  1. (管理の例)
  2. ・ 情報へのアクセス権限を制限する。
    特定の情報へのアクセス権限(ID、パスワード、生体認証等)を特定の者“Need to Know”に付与する。
  3. ・ 不正侵入を防ぐ最新プログラムを設定する。
  4. ・ 侵入(アクセス)記録を残す。

 情報を保護する主な目的として、次の4つが挙げられる。

  1. 1  自社の財産を守る
  2. 2  他社とのトラブルに巻き込まれない(他社から秘密保持義務を負って預かった情報の流出等)
  3. 3  情報を適切なルールに則って社内で共有し、積極的に活用して業務を活性化する
  4. 4  情報セキュリティを自社のブランド・イメージの一部にして、セキュリティ事業を拡大する

 情報の記録媒体には、紙・写真・試作品・USB等の電子記録媒体等、様々なものがある。

 近年、大量の情報が蓄積された電子情報を狙うサイバー攻撃による被害が頻繁に発覚している。多くの機関・企業等が防衛策を開発し、それが多くの企業に浸透しているが、侵略の手口はいよいよ巧妙化し、被害が減る兆しが見られない。

  1. (注) 情報セキュリティ管理の仕組みは、全社的な観点で構築する必要がある。1か所でも脆弱な穴があると、そこから機密情報が流出し、他の部門の秘密情報管理の努力が水泡に帰す。

 次に、多くの企業が共通して重点管理している情報について、管理の要点を示す。

  1. (注) 同一の情報が下記の複数の「管理対象」に該当することがある。例えば、個人顧客のリストは「営業秘密」であり「個人情報」でもある。また、企業の合併に係る情報は「営業秘密」であり、上場会社においては「インサイダー情報」にもなり得る。

管理対象1 営業秘密

 自社の情報セキュリティ管理規程を制定し[2]、厳格に運用する。

  1. 従業員の「在職中」は労働協約・就業規則等で企業秘密の保持義務を定め、「退職後」も契約で競業避止義務を課す企業が増えている。
  2. 〔競業避止義務契約の有効性判断の要点[3]
    ①守るべき企業の利益があるか、②従業員の地位・業務内容、③地域的な限定、④競業避止義務の存続期間、⑤禁止される競業行為の範囲(業務内容、職種等)について必要な制限が設けられている、⑥代償措置(義務の対価)の有無

 重要管理項目の運用を記録して保存する。

  例 情報へのアクセス記録、監視カメラ記録、データの取得・複写の記録、プログラム・データ等の書換え履歴

  1. (参考) 不正競争防止法で保護される営業秘密
    「秘密管理性」「有用性」「非公知性」の3要件を満たす技術等の企業情報が、営業秘密として法的(民事、刑事)に保護される[4]

管理対象2 個人情報(顧客情報、取引先情報、社員情報)

 自社の個人情報管理規程[5]を制定し、運用してその実績を記録・保管する。

 日本では、個人情報保護法が2005年に全面施行されたのを機に、多くの企業が社内規程(個人情報の利用目的特定、取得時の利用目的通知、内容の正確性確保等を行う旨等を定める)を制定し、それを運用している。

  1. (注1) 流出した場合の損害賠償請求訴訟では1人当たり若干の慰謝料と弁護士費用が支払われているが、流出件数が多いと、支払い総額が大きくなる。顧客情報が流出した日本企業が1人当たり500円相当の金券を「お詫び」として顧客に配る例がある[6]が、流出件数が極めて多い場合にこの例に従うと、経営が破綻することも考えられる。
  2. (注2) 個人情報は企業内のどこにでも存在するので、企業の特定の部門が中心となって全社の個人情報保護活動を統括する例が多い。

 個人データについては、国・地域によって規制のあり方が異なっており、企業がその対応に戸惑うことがしばしばある。

 企業としては、それぞれの規制に対応して現実的に行動せざるを得ないが、留意すべきは、自社の個人情報保護管理の基本スタンスを確立することである。国・地域毎に個別の対応を重ねると、自社の管理の仕組みが複雑になり、無用な混乱を招く。

  1. (注) 2018年5月にEU一般データ保護規則(GDPR)が施行されたとき、多くの日本企業が、自社の既存の管理体制の整合状況を点検し、個人情報管理規程・プライバシーポリシー・EU域外移転基準等を改定・整備し、標準契約条項の締結を進める等して対応した。その後、2019年1月に、日本・EU間の相互の円滑な個人データ移転を図る枠組みが発効して、日本・EU の市民が、個人データの移転における強固な保護を享受する一方で、日本・EU の全ての企業が、互いの経済圏への自由なデータ移転による便益を享受することになった[7]

 「個人情報」を法律で保護する範囲は国によって異なり、世界の潮流は、これを厚く保護しようとする日本・EU・米国等と、これを国の統制下に置こうとする中国等の2つに分かれつつある。

 多数の個人情報を蓄積したビッグ・データを利活用することにより、様々な産業分野で多くの効用が見込まれているが、個人を識別する機能をどのレベルまで希薄化した場合に、匿名加工情報として利用できるかについては、各国で議論・試行が続いている。

 日本では、2017年施行の改正個人情報保護法で一定の定義がなされたが、安定的な制度として定着するためには、今後とも、技術変化や国際動向との調整が要るだろう。

 なお、個人情報は、少数の特定企業[8]に集中的に蓄積される傾向があり、独占禁止法の適用のあり方が問題になる。

  1. (注) 日本の公正取引委員会は、「優越的地位の濫用[9]」の適用のあり方を検討している[10]。人工知能の開発・利用に関して、いわゆるデジタル・カルテルの弊害の兆しが認められる場合は、どの段階から「不当な取引制限[11]」に該当するのかが問題になる。

管理対象3 インサイダー情報

 上場会社の役員・従業員・主要株主等の関係者が、その地位・職務等によって知り得たその会社の株価に影響を与える未公表の内部情報を利用して、一般投資家に比べて有利な立場で株を売買する(儲ける又は損失を少なくする)ことは、他の投資家と比べて不公平であるとして禁止されている[12]

  1. (注1) 公開買付者等関係者によるインサイダー取引も禁止される[13]
  2. (注2) インサイダー取引を間接的に防止することを目的として「役員及び主要株主の売買報告制度」が導入され、上場会社の役員等は「短期売買利益」の返還義務を負う[14]

 このため、上場各社はインサイダー情報管理規程を制定[15]して運用している。

 守るべきインサイダー情報の範囲(種類、期間)を明確にするために、社内情報の公表基準を併せて定めることが望ましい。

  1. (筆者の見方) 公表された情報はインサイダー情報ではなくなる。従って、公表時期を早めに設定すると、その分だけインサイダー取引のリスクが小さくなる。

[1] 裁判の判決では、製造方法、図面、データ、経営情報(開発方針等)、取引先情報、従業者情報等の多くの種類の営業秘密が保護されている。

[2] 経済産業省「営業秘密管理指針」「秘密情報保護ハンドブック」、ISO27000要求事項 等を参照。

[3] 経済産業省「秘密情報保護ハンドブック(平成28年2月)参考資料5」より

[4] 不正競争防止法2条6項

[5] 個人情報保護委員会 平成30年9月28日改正「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(別添:特定個人情報に関する安全管理措置<事業者編>)、プライバシーマーク(JIS Q15001要求事項)の管理項目等を参照。

[6] ㈱ベネッセコーポレーションは、同社の業務委託先元社員が不正に取得して流出させた同社の顧客情報(約2,895万件)の対象者に、「お詫びの品」として各500円分の金券を用意した。(2014年9月10日 同社広報)

[7] 内閣府・個人情報保護委員会HP「日EU間の相互の円滑な個人データ移転を図る枠組み発効」(平成31年1月23日発効)より

[8] Google、Apple、Facebook、Amazon(4社をGAFAと略称)等。なお、中国では、百度Baidu(B)、アリババAlibaba(A)、テンセントTencent(T)、ファウェイHUAWEI(H)(4社をBATHと略称)が寡占状態にある。

[9] 独占禁止法2条9項5号、一般指定14項

[10]「データと競争政策に関する検討会 報告書」を公表(2017年(平成29年)6月6日 公正取引委員会)

[11] 独占禁止法2条6項

[12] 金融商品取引法166条、東京証券取引所「有価証券上場規程」442条

[13] 金融商品取引法167条

[14] 金融商品取引法163条~166条

[15] 金融庁HP「インサイダー取引規制に関するQ&A」を参照。

 

タイトルとURLをコピーしました