◇SH0551◇ヤフー、当社連結子会社における元従業員による顧客情報などの持ち出しについて  荒田龍輔(2016/02/10)

未分類

ヤフー、当社連結子会社における元従業員による
顧客情報などの持ち出しについて 

岩田合同法律事務所

弁護士 荒 田 龍 輔

 ヤフーは、2月2日、連結子会社であるワイジェイFXにおいて、元従業員が同社のサービスに係る顧客情報18万件超及び営業秘密を無断で社外に持ち出した上、それらをインターネット上で第三者が閲覧可能な状態で保存していたとの事実が判明したと公表した。ヤフーのプレスリリースによれば、その後、ワイジェイFXにおいて必要な調査を行った上で当該情報へのインターネットからのアクセスを遮断し、元従業員が個人で所有する端末等に保存していた当該情報を削除させる等の措置を講じたとのことである(当該元従業員が顧客情報等を持ち出した具体的方法は明らかではない。なお、同社の講じた措置等の詳細は別紙参照)。

 近年、ベネッセコーポレーションの事案をはじめとして、企業において、従業員や派遣社員によって顧客情報等の重要情報が不正に持ち出され漏えいする事案が増加傾向にある。かかる事態がひとたび発生すれば、事業に対して大きな影響が生じかねず)、その防止が極めて重要となる。この点、情報漏えいがあった企業における漏えい経路については、経済産業省の調査[1]によると、「中途退職者(正規従業員)による漏えい(50.3%)」、「現職従業員等のミスによる漏えい(26.9%)」、「金銭目的等の動機をもった現職従業員等による漏えい(10.9%)」とのことであり、情報漏えいは内部関係者によるものが半分以上を占めている。そのため、特に、転職や契約期間の終了など従業員が退職するタイミングにおいては情報漏えいへの注意が必要である。

 本件は、正に経産省調査にいう「中途退職者・・・による漏えい」に該当するものであり、以下では退職者による情報漏えい対策について検討したい。

 退職者による情報漏えい対策に関しては、大きく、①退職前の監視強化、②退職時における手続の2つのポイントがある。重要情報にアクセス可能な退職予定従業員を十分に監視していなければ(例えば、業務上必要でないにも関わらず、同従業員のアカウントを凍結しない等)、重要情報を個人所有のUSB等の媒体に移される危険があり(上記①の観点)、当該従業員に対して退職後の競業避止義務等を課す等の制度が未整備であれば、競業他社等で容易に当該情報を使用されてしまう(上記②の観点。もちろん、実際に当該使用が確認できれば不正競争防止法等による措置が考えられるが、「持ち出されない」ことの方が重要であることは言うまでもない。)。

 上記①の退職前の監視強化については、退職の数週間前から退職予定従業員のPC等をシステム管理部門等の管理下に置いた上で監視し、不正行為を抑止することが考えられる。具体的には、当該従業員の電子メールのやりとりや、USBメモリへのコピー、プリントアウト等による情報の持ち出しに係るログを収集すること、重要な情報へのアクセスやUSBメモリの利用を制限すること等が挙げられる。筆者の経験上も、不幸にして元従業員により重要情報が持ち出されてしまった場合の退職前の監視策において、ログの記録等の形で証拠を残しておくことは、極めて重要である。

 上記②の退職時における手続については、当該従業員による退職後の重要情報の持出しを防ぎ、その知り得た重要情報が競合他社に渡らないようにするための措置を講じる必要がある。例えば、入館証の回収、貸出機器の返却、速やかな情報システムのアカウント削除が挙げられ、そして、アカウントの削除漏れが生じないように人事システムとの連携が重要であると考えられる。加えて、退職後の秘密保持契約書を結び、さらに、重要情報を扱っていた従業員との関係では競業避止義務契約を締結することが望ましい。なお、競業避止義務契約については、憲法上の職業選択の自由の観点から、営業秘密等の企業側の守るべき利益の存在・代償措置の存在・対象となる従業員の絞り込み・競業禁止期間・禁止される競業行為の範囲・競業禁止地域等を考慮して適切な範囲に設定する必要があるが、この点の具体的な適用については裁判例においてもケースバイケースで判断されており、明確な指標はない。

 企業にとって、情報漏えいが発生すれば事業に大きな影響が生じかねず、退職者や従業員等によるいわゆる内部不正は企業における脅威の一つであるため、経営陣が真摯に取り組むべき課題であるが、これに十分に取り組まないままに情報漏えいが発生し企業に損害が発生すれば、その役員は責任追及を受けかねない(会社法423条1項等)。そのような事態を引き起こさないためにも、専門家とも連携し、十分な対策を講じることが肝要である。

 

以 上

 

別紙

具体的措置等

1.具体的経緯及び措置

1月28日(木) 夜

外部通報を受け、事実確認等の調査を開始。

1月29日(金)

元従業員が無断で顧客情報および営業秘密を社外に持ち出し、インターネット上で保存していたことが判明したことから、インターネット上の情報へのアクセス遮断を依頼し、同日夜までに遮断されたことを確認。あわせて、検索エンジン事業者へ検索結果からの削除を依頼。

1月30日(土)

元従業員宅において直接ヒアリングを実施し、個人所有端末等に保存されていた情報を削除させ、削除をその場で確認。

1月31日(日)

当該端末を持ち帰り保管し、持ち出された顧客情報の詳細を把握。

2月1日  (月)

当該元従業員の協力を得てレンタルサーバー事業者より持ち出された情報に係るアクセスログを取得し解析を実施。

2月2日  (火)

持ち出された情報へのアクセスログ解析が完了。検索結果からの削除完了を確認。

 

2.持ち出された顧客情報等の内容

  主に、氏名、銀行口座、電話番号、メールアドレス、又は取引情報等であり、合計18万5626件とのこと。

 

3.確認された被害の有無及び今後の対応

  平成28年2月2日時点において確認できた被害はないとのことであり、情報漏えいに係る顧客に個別連絡を開始するとのこと。

以上

 

[1]「営業秘密の管理実態に関するアンケート」調査結果(確報版)

(URL: http://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/121211HP.pdf

 

タイトルとURLをコピーしました