実学・企業法務(第32回)
第1章 企業の一生
同志社大学法学部
企業法務教育スーパーバイザー
齋 藤 憲 道
(4) 情報(知的財産、経営情報)
2) 情報セキュリティ管理と特定の情報の取扱い
企業には、技術・製造・購買・販売・人事・経理・その他事業に関する多くの経営情報が存在する。競争相手の技術開発、製造ノウハウ、新商品(仕様、発売時期、価格等)、生産計画、原価、取引先に関する情報、社員の個人情報等の情報を入手すれば、自社を有利に導く経営判断を行うことができるので、企業間で活発な諜報戦が行われ、しばしばトラブルが発生する。
多くの企業は、①情報の機密性(Confidentiality)、②完全性(Integrity)、③可用性(Availability)の3要素を適切に統制し、かつ、情報を有効に活用する目的で、情報セキュリティ管理規程等の社内規程を定め、秘密指定した経営情報[1]を重要度に応じて厳秘・秘等に分類し、ランクに応じた秘密情報管理を行っている。
組織が保有する情報に関するリスクを適切に管理し、組織の価値向上を図る国際規格としてISO 27001があり、日本でもこの認証を取得する企業が増えている。
情報セキュリティ管理を徹底するには、情報漏洩問題が発覚したときに、徹底的に事実関係を調査し、「営業秘密」を侵害した不正行為者を明らかにして、損害賠償請求・告訴等することが重要である。不正を明らかにして追及する姿勢が弱ければ、社員等が管理の必要性を認識せず、作業の生産性低下につながりやすい情報セキュリティ管理が現場で徹底されない可能性が大きい。
なお、企業の経営情報の中には、法律・契約等で定めた取り扱い方に違反すると、損害賠償・行政制裁・刑事罰等の対象になるものがある。
この例として、以下に「個人情報」、「インサイダー情報(内部者情報)」、「裁判所から保全・提出を命じられた情報」を挙げる。企業は、これらの情報の取り扱いについて遵法を確保できる仕組みを構築しなければならない。
(1) 個人情報
個人情報保護法[2]の個人情報とは、①生存する個人に関する情報であって、②特定の個人を識別できるものである。映像・音声は、特定の個人を識別できる限りにおいて個人情報に該当するが、死者・法人に関する情報は、基本的に該当しない[3]。
個人情報取扱い事業者には、次の①~⑧のルールを守る義務がある。
- ① 個人情報の利用目的の特定、目的外利用の禁止
- ② 適正な取得、取得時の利用目的の通知等
- ③ 個人データ内容の正確性の確保
- ④ 安全管理措置[4]
- ⑤ 従業者・委託先の監督
-
⑥ 予め本人の同意なく第三者提供することの制限
(例外として、次の4つの場合は個人情報の第三者提供が可能。a.法令に基づく場合、b.人の生命・身体又は財産の保護に必要な場合、c.公衆衛生・児童の健全育成に特に必要な場合、d.国等に協力する場合) - ⑦ 利用目的等を本人に通知、本人の求めに応じて開示・訂正・利用停止等
- ⑧ 本人からの苦情の処理
当事者間でトラブルが解決されない場合は、主務大臣が報告を徴収して助言し、違反行為の是正を勧告し、勧告に必要な措置をとることを命令できる(31~36条)。
個人情報保護法は、5つの分野(報道・著述・学術研究・宗教・政治)の目的のための取扱いについては、上記①~⑧の義務規定の適用を除外している(66条1項)。
- (a) 被害者の保護
-
〔民事〕個人情報が漏洩して被害者を受けた者は、民事訴訟で損害賠償を請求できる[5]。電子データ漏洩の場合のように流出件数が多いと、企業は莫大な対策費を負担することになる。
個人情報が流出した企業が「お詫びの品」を対象者に配付する例もある。 -
〔刑事〕個人情報を不正に流出した者には、各種の法律で刑事罰が科される。
個人情報保護委員会の委員等の秘密保持義務違反(2年以下の懲役又は100万円以下の罰金。73条)
個人情報保護法の命令違反(6ヵ月以下の懲役又は30万円以下の罰金。74条)
不正競争防止法の営業秘密侵害(10年以下の懲役又は2,000万円以下の罰金。21条1項)
刑法の業務上横領(10年以下の懲役。253条)
不正アクセス禁止法違反(3年以下の懲役又は100万円以下の罰金。11条)
著作権法のデータ・ベース複製等(10年以下の懲役又は1,000万円以下の罰金。119条1項)
身分・資格に伴う守秘義務違反(刑法134条1項〔医師、薬剤師、弁護士他〕、国家公務員法等) -
(b) 個人情報保護委員会
マイナンバー制度の運用開始やビッグ・データ活用ビジネスの出現等を受けて、2016年1月に個人情報保護委員会が設置され、個人の権利利益を保護するため、個人情報の適正な取扱いの確保を図る取り組み(個人番号利用事務等実施者に対する指導・助言その他の措置を講ずることを含む)が開始された。 -
(c) 第三者認証制度
個人情報を適切に管理[6]していることを第三者が認証する仕組みとして、ISO27001/ISMS適合性評価制度、プライバシーマーク制度(日本)、TRUSTe(米国)等がある。
[1] 裁判で営業秘密と主張された経営情報の例:製造方法、機械の製造工程、製品の製造方法(配合割合、加熱温度、撹拌方法、冷却温度等)、図面(金型、組立、部品)、ソフト・プログラム、機械効率のデータ、経営情報(ソフトの開発方針、取締役会議事録)、輸入先に関する情報(生産者氏名、住所、連絡先)、顧客目録(顧客名、住所、連絡先、過去の取引実績・支払状況等)、技術者の情報(連絡先、売上高、報酬額等)、派遣社員情報(氏名、連絡先、年齢、性別、経歴、資格、派遣実績等)
[2] 個人情報の保護に関する法律
[3] 個人情報保護法2条
[4] セキュリティ確保のためのシステム・機器の整備、情報セキュリティ管理システムの構築等
[5] (損害賠償等の事例)宇治市住民基本台帳データ漏洩事件1人15,000円(慰謝料+弁護士費用)。早稲田大学江沢民講演会事件1人慰謝料5,000円。エステサロンTBC事件:2次被害有り1人35,000円(慰謝料+弁護士費用)、2次被害無し1人22,000円(慰謝料+弁護士費用)。ローソン事件(カード会員約56万人分が流出)500円商品券と詫状を全会員に配付。ベネッセ事件(顧客情報推計2,895万件が流出)お詫びの品として500円分の金券(電子マネーギフト又は全国共通図書カード)を送付。
[6] 国際標準規格ISO/IEC27001、日本工業規格JISQ27001、日本工業規格JISQ15001等