はじめに
神奈川県川崎市の新規採用職員が、LINEのオープンチャットに研修用資料の写真を投稿し、外部に拡散する事態が報じられました。報道によれば、投稿された資料には研修の日程や目的のほか、外部講師の氏名・勤務先も写り込んでいたとされています。LINEのオープンチャットは不特定多数が閲覧できるグループトークであり、内部資料の投稿は、たとえ軽い気持ちであっても、組織の信用を大きく傷つける行為になり得ます。(テレ朝NEWS)
近年は、新入社員や若手社員によるSNS投稿をきっかけに、研修資料、社外秘資料、業務画面、シフト表、顧客情報、社内体制に関する情報などが外部に拡散される事例が相次いでいます。日刊ゲンダイも、川崎市の事案のほか、番組制作現場の資料、社外秘書類、業務用PC画面、内部資料がSNS上に投稿された例を取り上げています。(日刊ゲンダイDIGITAL)
企業にとって、内部情報・機密情報の漏洩は、単なる「従業員の不注意」では終わりません。取引先からの信用低下、損害賠償請求、個人情報保護法上の報告義務、著作権侵害、労務対応、懲戒処分、刑事事件化、SNS炎上対応など、複数の法的リスクが同時に発生する可能性があります。
本記事では、企業の経営者・管理部門向けに、内部情報・機密情報漏洩の法律上の問題点、問題発生時の初動対応、事前の予防策、そして弁護士が行う具体的な対応について解説します。
1. 内部情報・機密情報のSNSへの漏洩はなぜ危険なのか
内部情報・機密情報の漏洩というと、顧客名簿や技術情報の持ち出しを想像しがちです。
しかし、実務上は、次のような情報も問題になります。
1. 研修資料、会議資料、営業資料
2. 取引先名、担当者名、講師名、参加者名
3. 社内スケジュール、会議日程、イベント運営情報
4. 業務用PC画面、チャット画面、社内システム画面
5. 商品開発資料、価格表、見積書、契約書案
6. 顧客対応履歴、クレーム情報、トラブル対応記録
7. 人事情報、評価情報、採用情報、シフト表
8. 社内ルール、マニュアル、研修テキスト
9. 未公表のプレスリリース、キャンペーン情報
10. 事故・不祥事・行政対応に関する資料
問題は、投稿した本人に「漏洩させた」という意識がない場合でも、法的には漏洩・無断開示・目的外利用・著作権侵害・守秘義務違反などに該当し得ることです。
特にSNSでは、投稿後すぐに削除しても、スクリーンショット、転載、まとめサイト、検索エンジンのキャッシュなどにより、情報が半永久的に残ることがあります。企業としては、「削除したから問題ない」ではなく、「誰が、いつ、どの情報を、どこに、どの範囲で公開したのか」を直ちに確認する必要があります。
2. 内部情報・機密情報漏洩に関する主な法律問題
2-1. 不正競争防止法上の「営業秘密」
企業の重要情報が漏洩した場合、まず検討すべき法律の一つが不正競争防止法です。
不正競争防止法2条6項によれば、「秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないもの」が営業秘密に該当し、不正競争防止法によって保護されることになるとされています。
経済産業省は、営業秘密について、不正競争防止法で定義される「有用性」「秘密管理性」「非公知性」の3要件を満たす情報であり、企業が持つ秘密情報が不正に持ち出された場合には、民事上・刑事上の措置をとることができると説明しています。(経済産業省 「営業秘密~営業秘密を守り活用する~」)
つまり、社内で「秘密」として管理され、事業活動に役立ち、一般に知られていない情報であれば、営業秘密として法的保護を受けられる可能性があります。
たとえば、次のような情報は営業秘密に該当し得ます。
1. 顧客名簿
2. 仕入先・取引先リスト
3. 価格設定資料
4. 営業ノウハウ
5. 製造方法・設計図・研究開発データ
6. 未公開の商品企画
7. 契約交渉資料
8. 社内のリスク管理マニュアル
ただし、単に「これは秘密情報です」と企業側が考えているだけでは不十分です。秘密情報としてアクセス制限をしているか、社外秘表示をしているか、従業員に守秘義務を周知しているか、持ち出しルールを定めているかなど、実際の管理状況が重要になります。
不正競争防止法に違反して営業秘密を漏洩させた場合、民事上の責任として、損害賠償責任を負うことになります。
また、不正競争防止法には刑罰規定もあり、不正競争防止法21条2項2号によれば、不正の利益を得る目的や、営業秘密保有者を害する目的で営業秘密の開示をおこなった場合、10年以下の拘禁刑若しくは2000万円以下の罰金刑またはその併科が予定されています。
2-2. 個人情報保護法上の問題
漏洩した資料に、氏名、勤務先、メールアドレス、顔写真、ID、住所、電話番号などが含まれる場合、個人情報保護法上の問題が生じます。
個人情報保護法上の個人情報とは、個人情報保護法2条1項に定義があり、
1号によれば、「当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」とされ、
2号によれば、「個人識別符号が含まれるもの」が個人情報に該当するとされます。
この定義について、政府広報オンラインは、個人情報について、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいうと説明しています。また、他の情報と容易に照合することで特定個人を識別できる情報も個人情報に該当し得ます。
個人データについては、漏洩等が生じないよう安全管理措置を講じる必要があり、従業者や委託先についても必要かつ適切な監督を行わなければならないとされています。さらに、個人の権利利益を害するおそれが大きい漏洩等が発生した場合には、個人情報保護委員会への報告と本人通知が必要になります。
個人情報保護委員会は、漏洩等報告について、発覚後まず速やかに報告し、目安として発覚日から3〜5日以内に速報、原則として30日以内に確報、不正な目的で行われたおそれがある場合は60日以内に確報を行う旨を案内しています。
そのため、企業は漏洩発覚後すぐに、次の点を確認する必要があります。
1. 個人情報が含まれているか
2. 個人データに該当するか
3. 要配慮個人情報が含まれているか
4. 不正利用による財産的被害のおそれがあるか
5. 不正目的による漏洩のおそれがあるか
6. 漏洩した本人の人数が基準を超えるか
7. 個人情報保護委員会への報告義務があるか
8. 本人通知が必要か
従業員が顧客の個人データを不正に持ち出して第三者に提供した場合なども、報告対象になり得る例として個人情報保護委員会が挙げています。
個人情報を不正に開示してしまった場合、会社は漏洩の対象となった顧客に対する損害賠償責任を負いますし、個人情報保護委員会の対応も必要になります。
確かに、ベネッセ事件(東京高裁令和2年3月25日判決)によれば、一人当たり3300円の損害賠償が認められていますが、賠償額は漏洩してしまった情報の内容にもよりますし、漏洩の対象となった人数が膨大になると、企業としては多額の損害賠償責任を負うことになります。
2-3. 雇用契約・就業規則上の守秘義務違反
従業員は、雇用契約上、会社の秘密や業務上知り得た情報をみだりに外部へ開示しない義務を負います。多くの企業では、就業規則、秘密保持誓約書、情報セキュリティ規程、SNS利用規程などで、業務情報の持ち出しや外部投稿を禁止しています。
そのため、内部資料をSNSに投稿した従業員に対しては、事案の内容に応じて、注意指導、始末書、懲戒処分、配置転換、損害賠償請求、退職後の競業・漏洩防止措置などを検討することになります。
ただし、懲戒処分は慎重に行う必要があります。投稿の内容、故意・過失の程度、漏洩範囲、会社への損害、過去の教育状況、就業規則の定め、他の処分例との均衡などを踏まえなければ、処分が無効と判断されるリスクがあります。
3. 問題発生時に企業が取るべき初動対応
内部情報・機密情報の漏洩が発覚した場合、最も重要なのは初動対応です。対応が遅れると、情報拡散、証拠散逸、取引先対応の遅れ、二次被害、炎上拡大につながります。
3-1. 直ちに事実確認を行う
まず、次の事項を確認します。
1. 投稿者は誰か
2. 投稿日時はいつか
3. 投稿先はどこか
4. 投稿された資料・画像・動画は何か
5. 個人情報・営業秘密・著作物が含まれるか
6. 閲覧可能範囲はどこまでか
7. 既に転載・拡散されているか
8. 削除済みか、まだ閲覧可能か
9. 取引先・顧客・講師・従業員への影響はあるか
10. 法令上の報告義務があるか
この段階では、投稿者を責めるよりも、証拠保全と被害拡大防止を優先すべきです。
3-2. 証拠を保全する
投稿が削除される前に、スクリーンショット、URL、投稿日時、アカウント名、閲覧数、コメント、転載先などを保存します。
ただし、違法に取得された情報を無制限に社内共有すると、かえって二次漏洩につながるため、調査チームを限定し、保存場所や閲覧権限を管理する必要があります。
3-3. 削除要請・拡散防止を行う
SNS、掲示板、まとめサイト、動画サイト、検索結果などに情報が残っている場合、削除要請を行います。著作権侵害、個人情報侵害、名誉毀損、プライバシー侵害、営業秘密侵害など、法的根拠を整理したうえで要請することが重要です。
削除要請は、文面の作り方を誤ると、かえって炎上を招くことがあります。強圧的な表現ではなく、権利侵害の内容、削除を求める理由、対象URL、期限、連絡先を明確に示す必要があります。
3-4. 個人情報保護委員会への報告・本人通知を検討する
個人データの漏洩等に該当し、報告対象事態にあたる場合には、個人情報保護委員会への報告と本人通知が必要です。
この判断を誤ると、行政対応の遅れ、本人対応の混乱、企業イメージの悪化につながります。特に、健康情報、金融情報、ログイン情報、本人確認書類、顧客情報、従業員情報が含まれる場合は、早期に弁護士へ相談すべきです。
3-5. 取引先・関係者への説明を行う
外部講師、取引先、顧客、委託先、共同事業者の情報が含まれている場合、企業は関係者への説明を検討する必要があります。
説明では、次の点を整理します。
1. 何が起きたのか
2. どの情報が漏洩したのか
3. どの範囲に拡散した可能性があるのか
4. 現在どのような削除・調査対応をしているのか
5. 二次被害防止策は何か
6. 再発防止策は何か
7. 今後の連絡窓口はどこか
不確実な段階で断定的に説明すると、後日訂正が必要になることがあります。一方で、説明が遅すぎると「隠していた」と受け取られる危険もあります。事実確認と説明のタイミングのバランスが重要です。
4. 事前に行うべき予防策
4-1. 「SNSに投稿してはいけない情報」を具体化する
情報漏洩対策で最も重要なのは、抽象的な注意喚起で終わらせないことです。
「機密情報を漏らさないように」と言うだけでは、従業員には伝わりません。次のように、投稿禁止例を具体的に示す必要があります。
1. 会社の資料を撮影して投稿しない
2. 業務用PC画面を写して投稿しない
3. 会議室・ホワイトボード・資料棚を背景にしない
4. 入館証・社員証・名刺を写さない
5. 取引先名や顧客名を投稿しない
6. 研修内容や講師名を無断で投稿しない
7. 未公表の商品・サービスを投稿しない
8. 会社のトラブルやクレーム対応を投稿しない
9. 「社外秘」「Confidential」と書かれた資料を撮影しない
10. 退職後も在職中に知った情報を投稿しない
4-2. 入社時・研修時の教育を強化する
今回のような事案は、新入社員研修や若手社員研修での教育不足が原因となることがあります。
特に、デジタルネイティブ世代はSNS投稿に慣れている一方で、業務情報と私的投稿の境界が曖昧になりやすいことがあります。そのため、研修では、実際の炎上事例、損害賠償リスク、懲戒処分例、取引先への影響、個人情報保護法上の報告義務などを具体的に説明することが有効です。
4-3. 就業規則・SNS利用規程を整備する
企業は、就業規則や社内規程において、次の事項を明確化しておくべきです。
1. 秘密情報の定義
2. 個人情報の取扱い
3. 社内資料の撮影・複製・持ち出し禁止
4. SNS投稿時の禁止事項
5. 業務用端末・私物端末の利用ルール
6. クラウドサービス・チャットツールの利用ルール
7. 違反時の懲戒処分
8. 退職後の守秘義務
9. 事故発生時の報告義務
10. 調査協力義務
規程が曖昧なままでは、漏洩後に従業員へ処分を行う際にも支障が出ます。
4-4. 秘密情報の管理体制を見直す
営業秘密として法的保護を受けるためには、秘密管理性が重要です。
そのため、企業は次のような管理体制を整える必要があります。
1. 社外秘表示を行う
2. アクセス権限を限定する
3. 印刷・ダウンロードを制限する
4. 共有リンクの外部公開を禁止する
5. 重要資料の閲覧ログを取得する
6. 退職者のアカウントを速やかに停止する
7. 私物端末への保存を制限する
8. 研修資料の撮影禁止を明示する
9. 外部講師資料の利用範囲を契約で定める
10. 情報分類ルールを設ける
5. 効果的な対応方法と弁護士の弁護活動
内部情報・機密情報漏洩が起きた場合、弁護士は次のような支援を行います。
5-1. 初動対応の法的整理
弁護士は、漏洩した情報の内容を確認し、営業秘密、個人情報、著作物、プライバシー情報、取引先情報に該当するかを整理します。
そのうえで、削除要請、個人情報保護委員会への報告、本人通知、取引先対応、社内調査、懲戒処分、損害賠償請求など、優先順位を付けて対応方針を立てます。
5-2. 削除要請・発信者対応
SNSや掲示板で拡散された場合、弁護士は、投稿先のプラットフォームやサイト管理者に対し、法的根拠に基づく削除要請を行います。
必要に応じて、発信者情報開示請求、仮処分、損害賠償請求、刑事告訴も検討します。
5-3. 個人情報保護委員会対応
個人情報が含まれる場合、報告対象事態に該当するかを判断し、速報・確報の内容を整理します。
報告書には、事案の概要、漏洩した情報の項目、本人の数、原因、二次被害の有無、本人通知の方法、再発防止策などを記載する必要があります。弁護士が関与することで、法的に過不足のない説明を行いやすくなります。
5-4. 従業員対応・懲戒処分のサポート
投稿した従業員への事情聴取、懲戒処分の検討、退職勧奨の可否、損害賠償請求の可否などは、労務法務の観点から慎重な対応が必要です。
弁護士は、就業規則、秘密保持誓約書、過去の処分例、漏洩の重大性を確認し、処分が重すぎる・軽すぎるとならないよう助言します。
5-5. 取引先・顧客・外部講師への説明文作成
漏洩により関係者へ迷惑をかけた場合、説明文や謝罪文の内容が重要です。
弁護士は、企業の法的責任を不必要に広げないよう配慮しながら、事実関係、対応状況、再発防止策を適切に整理した文書を作成します。
5-6. 再発防止策の構築
弁護士は、漏洩後の一時対応だけでなく、再発防止のための社内体制整備も支援します。
具体的には、就業規則、SNS利用規程、秘密保持誓約書、研修資料、情報管理規程、委託契約書、外部講師契約書、退職時誓約書などを見直します。
6. 経営者・管理部門が今すぐ確認すべきチェックリスト
1. 社内にSNS利用規程があるか
2. 研修資料・会議資料の撮影禁止を明示しているか
3. 新入社員研修で情報漏洩リスクを具体例付きで説明しているか
4. 秘密情報の定義が就業規則や規程に明記されているか
5. 社外秘資料に表示やアクセス制限をしているか
6. 個人情報漏洩時の報告フローがあるか
7. 個人情報保護委員会への報告判断を誰が行うか決まっているか
8. SNS炎上時の広報対応フローがあるか
9. 外部講師・委託先資料の利用範囲を契約で定めているか
10. 退職者から秘密保持誓約書を取得しているか
11. 私物端末・クラウドサービスの利用ルールがあるか
12. 漏洩発覚時に相談できる弁護士が決まっているか
7. まとめ
内部情報・機密情報の漏洩は、悪意ある持ち出しだけでなく、日常的なSNS投稿、研修中の写真撮影、業務画面の写り込み、外部チャットへの軽率な投稿からも発生します。
企業に求められるのは、「従業員の常識に任せる」対応ではありません。SNS時代に合わせて、投稿禁止事項を具体化し、研修を行い、社内規程を整備し、漏洩時の初動対応フローを準備しておくことが重要です。
万が一、内部情報・機密情報の漏洩が発生した場合には、早期に弁護士へ相談し、事実確認、証拠保全、削除要請、個人情報保護委員会対応、取引先対応、従業員対応、再発防止策を一体的に進める必要があります。
情報漏洩は、対応を誤ると企業の信用を大きく損ないます。一方で、迅速かつ適切な対応を行えば、被害の拡大を抑え、取引先・顧客・従業員からの信頼回復につなげることができます。経営者・管理部門は、平時から情報管理体制を見直し、有事に備えた法務体制を整えておくことが重要です。
