Archive for the ‘情報漏洩’ Category
公務員のインターネット情報漏洩|SNS投稿・写真共有でも処分の対象になる?
公務員は国や地方公共団体の国民・住民の個人情報を集め、これを基に重要な政策上の決定を行います。中には、安全保障上重要な情報もあります。これらの情報が漏洩すれば重大な事態になります。近年ではコンピューターウイルスによる攻撃だけでなく、SNSに投稿してしまうなど漏洩が安易になってしまいます。
ここでは、公務員による情報漏洩について説明します。
インターネット時代の情報漏洩
情報漏洩といえば、役所のデータを印刷したり、私用の媒体にコピーして持ち出すという態様が典型的でした。
しかし、現在ではスマートフォンで撮影して持ち出すようなことも可能となってしまいます。
さらに、情報漏洩を意図していなくても、SNSやオンラインゲームで自慢しようと、組織内の者しか知り得ない情報を基にした投稿をしてしまうこともあります。
また、撮影した事務所内の写真に秘密情報が写ってしまうこともあります。文字情報だけでなく、職員の数、職場の雰囲気、所在地なども秘密情報に含まれる場合があり、周囲の風景などを撮影しただけで情報漏洩に当たる場合もあります。
今やこうした態様での漏洩も問題となっています。
公務員の問題
国家公務員法・地方公務員法違反
国家公務員は、国家公務員法第100条1項において、「職員は、職務上知ることのできた秘密を漏らしてはならない。その職を退いた後といえども同様とする」と定められています。
地方公務員についても、地方公務員法で同様に定められています(地方公務員法第34条第1項)。
これらの規定に違反して秘密を洩らしたときは、いずれも1年以下の拘禁刑又は50万円以下の罰金に処されます(国家公務員法第109条第12号、地方公務員法第60条第2号)。
特定秘密保護法違反
我が国の安全保障に関わるような重要な情報は「特定秘密の保護に関する法律(特定秘密保護法)」により保護されています。
この法律では、「国際情勢の複雑化に伴い我が国及び国民の安全の確保に係る情報の重要性が増大するとともに、デジタル社会の発展に伴いその漏えいの危険性が懸念される中で、我が国の安全保障(国の存立に関わる外部からの侵略等に対して国家及び国民の安全を保障することをいう。以下同じ。)に関する情報のうち特に秘匿することが必要であるものについて、これを適確に保護する体制を確立した上で収集し、整理し、及び活用することが重要であることに鑑み、当該情報の保護に関し、特定秘密の指定及び取扱者の制限その他の必要な事項を定めることにより、その漏えいの防止を図り、もって我が国及び国民の安全の確保に資することを目的」としています(特定秘密保護法第1条)。
特定秘密保護法では、「当該行政機関の所掌事務に係る別表に掲げる事項に関する情報であって、公になっていないもののうち、その漏えいが我が国の安全保障に著しい支障を与えるおそれがあるため、特に秘匿することが必要であるもの」が特定秘密として指定されます(特定秘密保護法第3条第1項)。別表には防衛に関する事項や外交に関する事項などが挙げられています。
特定秘密の取り扱いの業務に従事する者がその業務により知得した特定秘密を洩らしたときは、10年以下の拘禁刑に処され、情状によりさらに1000万円以下の罰金に処されます。特定秘密の取り扱いの業務に従事しなくなった後に漏らした場合も同様です(特定秘密保護法第23条第1項)。
また、行政機関の長が内閣に提示したり(同法第4条第5項)、外国の政府や国際機関に提供したり(同法第9条)、国会両議院や裁判所など公益上必要の認められる相手に提供したり(同法第10条)、内閣総理大臣が特定秘密の指定及び解除並びに適正評価の実施のため特定秘密である情報を含む資料の提出を求めること(同法第18条第4項後段)により、特定秘密が第三者に提供されることがあります。
これらの提供の目的である業務により当該特定秘密を知得したものがその特定秘密を洩らしたときは、5年以下の拘禁刑に処され、又は情状によりさらに500万円以下の罰金に処されます(同法第23条第2項)。
これらの罪は未遂も処罰します(同法第23条第3項)。
また、過失により漏らした場合も処罰されます(同法第23条第1項の罪については2年以下の拘禁刑又は50万円以下の罰金。同法第23条2項の罪ついては1年以下の拘禁刑又は30万円以下の罰金)。
懲戒処分
公務員が秘密情報の漏洩等をすれば、厳しい懲戒処分が下されます。
人事院の「懲戒処分の指針について(平成12年3月31日職職―68)」の「第2 標準例」、「1 一般服務関係」では、次のように定められています。
(8) 秘密漏えい
ア 職務上知ることのできた秘密を故意に漏らし、公務の運営に重大な支障を生じさせた職員は、免職又は停職とする。この場合において、自己の不正な利益を図る目的で秘密を漏らした職員は、免職とする。
イ 具体的に命令され、又は注意喚起された情報セキュリティ対策を怠ったことにより、職務上の秘密が漏えいし、公務の運営に重大な支障を生じさせた職員は、停職、減給又は戒告とする。
(12) 個人の秘密情報の目的外収集
その職権を濫用して、専らその職務の用以外の用に供する目的で個人の秘密に属する事項が記録された文書等を収集した職員は、減給又は戒告とする。
個人情報保護法違反
個人情報の保護に関する法律(個人情報保護法)は、個人情報(同法2条第1項第1号)について、「デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的」としています(同法第1条)。
個人情報保護法は、国の責務として、「この法律の趣旨にのっとり、国の機関、地方公共団体の機関、独立行政法人等、地方独立行政法人及び事業者等による個人情報の適正な取扱いを確保するために必要な施策を総合的に策定し、及びこれを実施する責務を有」すると定めています(同法第4条)。
地方公共団体についても、「この法律の趣旨にのっとり、国の施策との整合性に配慮しつつ、その地方公共団体の区域の特性に応じて、地方公共団体の機関、地方独立行政法人及び当該区域内の事業者等による個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する。」と定められています(同法第5条)。
行政機関の職員でなくても、個人情報を取扱う者は「個人情報取扱事業者」(同法第16条第2項)等に当たり、利用目的の特定、制限、不適正利用禁止等の規定を遵守する必要があります(第17条以下)。報告や立ち入り検査などを受けることもあり、従わなければ違反是正の措置や命令違反の公表などの制裁措置が取られます(第146条以下)。
行政機関等の職員若しくは職員であった者が、正当な理由がないのに、個人の秘密に属する事項が記録された同法第60条第2項第1号(保有個人情報を含む情報の集合物であって、一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの)に係る個人情報ファイル(その全部又は一部を複製し、又は加工したものを含む。)を提供したときは、2年以下の拘禁刑又は100万円以下の罰金に処されます(同法第176条)。
行政機関等の職員がその職権を濫用して、専らその職務の用以外の用に供する目的で個人の秘密に属する事項が記録された文書、図画又は電磁的記録を収集したときは、1年以下の拘禁刑又は50万円以下の罰金に処されます(同法第181条)。
マイナンバー法
マイナンバーは多くの個人の繊細な情報と結びついているため、より慎重な管理が必要になります。そのため、個人情報保護法の特例として、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(マイナンバー法)が定められました。
個人番号利用事務(同法第2条第12項)等に従事する者又は従事していた者が、正当な理由がないのに、その業務に関して取り扱った個人の秘密に属する事項が記録された特定個人情報ファイル(その全部又は一部を複製し、又は加工した特定個人情報ファイルを含む。)を提供したときは、4年以下の拘禁刑若しくは200万円以下の罰金に処され、又はこれを併科されます(同法第48条)。
国の機関、地方公共団体の機関若しくは機構の職員又は独立行政法人等若しくは地方独立行政法人の役員若しくは職員(領事官であってこれらの者以外の者を含む。)が、その職権を濫用して、専らその職務の用以外の用に供する目的で個人の秘密に属する特定個人情報が記録された文書、図画又は電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録をいう。)を収集したときは、2年以下の拘禁刑又は200万円以下の罰金に処されます(同法第52条)。
まとめ
以上のように、公務員でも公務員以外の方でも、情報を漏洩しないように注意しなければなりません。
インターネットでの情報漏洩に不安な方は、弁護士法人あいち刑事事件総合法律事務所へご相談ください。
SNS投稿が会社を危機にさらす 〜SNS時代の内部情報・機密情報漏洩と企業の法的対応〜
はじめに
神奈川県川崎市の新規採用職員が、LINEのオープンチャットに研修用資料の写真を投稿し、外部に拡散する事態が報じられました。報道によれば、投稿された資料には研修の日程や目的のほか、外部講師の氏名・勤務先も写り込んでいたとされています。LINEのオープンチャットは不特定多数が閲覧できるグループトークであり、内部資料の投稿は、たとえ軽い気持ちであっても、組織の信用を大きく傷つける行為になり得ます。(テレ朝NEWS)
近年は、新入社員や若手社員によるSNS投稿をきっかけに、研修資料、社外秘資料、業務画面、シフト表、顧客情報、社内体制に関する情報などが外部に拡散される事例が相次いでいます。日刊ゲンダイも、川崎市の事案のほか、番組制作現場の資料、社外秘書類、業務用PC画面、内部資料がSNS上に投稿された例を取り上げています。(日刊ゲンダイDIGITAL)
企業にとって、内部情報・機密情報の漏洩は、単なる「従業員の不注意」では終わりません。取引先からの信用低下、損害賠償請求、個人情報保護法上の報告義務、著作権侵害、労務対応、懲戒処分、刑事事件化、SNS炎上対応など、複数の法的リスクが同時に発生する可能性があります。
本記事では、企業の経営者・管理部門向けに、内部情報・機密情報漏洩の法律上の問題点、問題発生時の初動対応、事前の予防策、そして弁護士が行う具体的な対応について解説します。
1. 内部情報・機密情報のSNSへの漏洩はなぜ危険なのか
内部情報・機密情報の漏洩というと、顧客名簿や技術情報の持ち出しを想像しがちです。
しかし、実務上は、次のような情報も問題になります。
1. 研修資料、会議資料、営業資料
2. 取引先名、担当者名、講師名、参加者名
3. 社内スケジュール、会議日程、イベント運営情報
4. 業務用PC画面、チャット画面、社内システム画面
5. 商品開発資料、価格表、見積書、契約書案
6. 顧客対応履歴、クレーム情報、トラブル対応記録
7. 人事情報、評価情報、採用情報、シフト表
8. 社内ルール、マニュアル、研修テキスト
9. 未公表のプレスリリース、キャンペーン情報
10. 事故・不祥事・行政対応に関する資料
問題は、投稿した本人に「漏洩させた」という意識がない場合でも、法的には漏洩・無断開示・目的外利用・著作権侵害・守秘義務違反などに該当し得ることです。
特にSNSでは、投稿後すぐに削除しても、スクリーンショット、転載、まとめサイト、検索エンジンのキャッシュなどにより、情報が半永久的に残ることがあります。企業としては、「削除したから問題ない」ではなく、「誰が、いつ、どの情報を、どこに、どの範囲で公開したのか」を直ちに確認する必要があります。
2. 内部情報・機密情報漏洩に関する主な法律問題
2-1. 不正競争防止法上の「営業秘密」
企業の重要情報が漏洩した場合、まず検討すべき法律の一つが不正競争防止法です。
不正競争防止法2条6項によれば、「秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないもの」が営業秘密に該当し、不正競争防止法によって保護されることになるとされています。
経済産業省は、営業秘密について、不正競争防止法で定義される「有用性」「秘密管理性」「非公知性」の3要件を満たす情報であり、企業が持つ秘密情報が不正に持ち出された場合には、民事上・刑事上の措置をとることができると説明しています。(経済産業省 「営業秘密~営業秘密を守り活用する~」)
つまり、社内で「秘密」として管理され、事業活動に役立ち、一般に知られていない情報であれば、営業秘密として法的保護を受けられる可能性があります。
たとえば、次のような情報は営業秘密に該当し得ます。
1. 顧客名簿
2. 仕入先・取引先リスト
3. 価格設定資料
4. 営業ノウハウ
5. 製造方法・設計図・研究開発データ
6. 未公開の商品企画
7. 契約交渉資料
8. 社内のリスク管理マニュアル
ただし、単に「これは秘密情報です」と企業側が考えているだけでは不十分です。秘密情報としてアクセス制限をしているか、社外秘表示をしているか、従業員に守秘義務を周知しているか、持ち出しルールを定めているかなど、実際の管理状況が重要になります。
不正競争防止法に違反して営業秘密を漏洩させた場合、民事上の責任として、損害賠償責任を負うことになります。
また、不正競争防止法には刑罰規定もあり、不正競争防止法21条2項2号によれば、不正の利益を得る目的や、営業秘密保有者を害する目的で営業秘密の開示をおこなった場合、10年以下の拘禁刑若しくは2000万円以下の罰金刑またはその併科が予定されています。
2-2. 個人情報保護法上の問題
漏洩した資料に、氏名、勤務先、メールアドレス、顔写真、ID、住所、電話番号などが含まれる場合、個人情報保護法上の問題が生じます。
個人情報保護法上の個人情報とは、個人情報保護法2条1項に定義があり、
1号によれば、「当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」とされ、
2号によれば、「個人識別符号が含まれるもの」が個人情報に該当するとされます。
この定義について、政府広報オンラインは、個人情報について、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいうと説明しています。また、他の情報と容易に照合することで特定個人を識別できる情報も個人情報に該当し得ます。
個人データについては、漏洩等が生じないよう安全管理措置を講じる必要があり、従業者や委託先についても必要かつ適切な監督を行わなければならないとされています。さらに、個人の権利利益を害するおそれが大きい漏洩等が発生した場合には、個人情報保護委員会への報告と本人通知が必要になります。
個人情報保護委員会は、漏洩等報告について、発覚後まず速やかに報告し、目安として発覚日から3〜5日以内に速報、原則として30日以内に確報、不正な目的で行われたおそれがある場合は60日以内に確報を行う旨を案内しています。
そのため、企業は漏洩発覚後すぐに、次の点を確認する必要があります。
1. 個人情報が含まれているか
2. 個人データに該当するか
3. 要配慮個人情報が含まれているか
4. 不正利用による財産的被害のおそれがあるか
5. 不正目的による漏洩のおそれがあるか
6. 漏洩した本人の人数が基準を超えるか
7. 個人情報保護委員会への報告義務があるか
8. 本人通知が必要か
従業員が顧客の個人データを不正に持ち出して第三者に提供した場合なども、報告対象になり得る例として個人情報保護委員会が挙げています。
個人情報を不正に開示してしまった場合、会社は漏洩の対象となった顧客に対する損害賠償責任を負いますし、個人情報保護委員会の対応も必要になります。
確かに、ベネッセ事件(東京高裁令和2年3月25日判決)によれば、一人当たり3300円の損害賠償が認められていますが、賠償額は漏洩してしまった情報の内容にもよりますし、漏洩の対象となった人数が膨大になると、企業としては多額の損害賠償責任を負うことになります。
2-3. 雇用契約・就業規則上の守秘義務違反
従業員は、雇用契約上、会社の秘密や業務上知り得た情報をみだりに外部へ開示しない義務を負います。多くの企業では、就業規則、秘密保持誓約書、情報セキュリティ規程、SNS利用規程などで、業務情報の持ち出しや外部投稿を禁止しています。
そのため、内部資料をSNSに投稿した従業員に対しては、事案の内容に応じて、注意指導、始末書、懲戒処分、配置転換、損害賠償請求、退職後の競業・漏洩防止措置などを検討することになります。
ただし、懲戒処分は慎重に行う必要があります。投稿の内容、故意・過失の程度、漏洩範囲、会社への損害、過去の教育状況、就業規則の定め、他の処分例との均衡などを踏まえなければ、処分が無効と判断されるリスクがあります。
3. 問題発生時に企業が取るべき初動対応
内部情報・機密情報の漏洩が発覚した場合、最も重要なのは初動対応です。対応が遅れると、情報拡散、証拠散逸、取引先対応の遅れ、二次被害、炎上拡大につながります。
3-1. 直ちに事実確認を行う
まず、次の事項を確認します。
1. 投稿者は誰か
2. 投稿日時はいつか
3. 投稿先はどこか
4. 投稿された資料・画像・動画は何か
5. 個人情報・営業秘密・著作物が含まれるか
6. 閲覧可能範囲はどこまでか
7. 既に転載・拡散されているか
8. 削除済みか、まだ閲覧可能か
9. 取引先・顧客・講師・従業員への影響はあるか
10. 法令上の報告義務があるか
この段階では、投稿者を責めるよりも、証拠保全と被害拡大防止を優先すべきです。
3-2. 証拠を保全する
投稿が削除される前に、スクリーンショット、URL、投稿日時、アカウント名、閲覧数、コメント、転載先などを保存します。
ただし、違法に取得された情報を無制限に社内共有すると、かえって二次漏洩につながるため、調査チームを限定し、保存場所や閲覧権限を管理する必要があります。
3-3. 削除要請・拡散防止を行う
SNS、掲示板、まとめサイト、動画サイト、検索結果などに情報が残っている場合、削除要請を行います。著作権侵害、個人情報侵害、名誉毀損、プライバシー侵害、営業秘密侵害など、法的根拠を整理したうえで要請することが重要です。
削除要請は、文面の作り方を誤ると、かえって炎上を招くことがあります。強圧的な表現ではなく、権利侵害の内容、削除を求める理由、対象URL、期限、連絡先を明確に示す必要があります。
3-4. 個人情報保護委員会への報告・本人通知を検討する
個人データの漏洩等に該当し、報告対象事態にあたる場合には、個人情報保護委員会への報告と本人通知が必要です。
この判断を誤ると、行政対応の遅れ、本人対応の混乱、企業イメージの悪化につながります。特に、健康情報、金融情報、ログイン情報、本人確認書類、顧客情報、従業員情報が含まれる場合は、早期に弁護士へ相談すべきです。
3-5. 取引先・関係者への説明を行う
外部講師、取引先、顧客、委託先、共同事業者の情報が含まれている場合、企業は関係者への説明を検討する必要があります。
説明では、次の点を整理します。
1. 何が起きたのか
2. どの情報が漏洩したのか
3. どの範囲に拡散した可能性があるのか
4. 現在どのような削除・調査対応をしているのか
5. 二次被害防止策は何か
6. 再発防止策は何か
7. 今後の連絡窓口はどこか
不確実な段階で断定的に説明すると、後日訂正が必要になることがあります。一方で、説明が遅すぎると「隠していた」と受け取られる危険もあります。事実確認と説明のタイミングのバランスが重要です。
4. 事前に行うべき予防策
4-1. 「SNSに投稿してはいけない情報」を具体化する
情報漏洩対策で最も重要なのは、抽象的な注意喚起で終わらせないことです。
「機密情報を漏らさないように」と言うだけでは、従業員には伝わりません。次のように、投稿禁止例を具体的に示す必要があります。
1. 会社の資料を撮影して投稿しない
2. 業務用PC画面を写して投稿しない
3. 会議室・ホワイトボード・資料棚を背景にしない
4. 入館証・社員証・名刺を写さない
5. 取引先名や顧客名を投稿しない
6. 研修内容や講師名を無断で投稿しない
7. 未公表の商品・サービスを投稿しない
8. 会社のトラブルやクレーム対応を投稿しない
9. 「社外秘」「Confidential」と書かれた資料を撮影しない
10. 退職後も在職中に知った情報を投稿しない
4-2. 入社時・研修時の教育を強化する
今回のような事案は、新入社員研修や若手社員研修での教育不足が原因となることがあります。
特に、デジタルネイティブ世代はSNS投稿に慣れている一方で、業務情報と私的投稿の境界が曖昧になりやすいことがあります。そのため、研修では、実際の炎上事例、損害賠償リスク、懲戒処分例、取引先への影響、個人情報保護法上の報告義務などを具体的に説明することが有効です。
4-3. 就業規則・SNS利用規程を整備する
企業は、就業規則や社内規程において、次の事項を明確化しておくべきです。
1. 秘密情報の定義
2. 個人情報の取扱い
3. 社内資料の撮影・複製・持ち出し禁止
4. SNS投稿時の禁止事項
5. 業務用端末・私物端末の利用ルール
6. クラウドサービス・チャットツールの利用ルール
7. 違反時の懲戒処分
8. 退職後の守秘義務
9. 事故発生時の報告義務
10. 調査協力義務
規程が曖昧なままでは、漏洩後に従業員へ処分を行う際にも支障が出ます。
4-4. 秘密情報の管理体制を見直す
営業秘密として法的保護を受けるためには、秘密管理性が重要です。
そのため、企業は次のような管理体制を整える必要があります。
1. 社外秘表示を行う
2. アクセス権限を限定する
3. 印刷・ダウンロードを制限する
4. 共有リンクの外部公開を禁止する
5. 重要資料の閲覧ログを取得する
6. 退職者のアカウントを速やかに停止する
7. 私物端末への保存を制限する
8. 研修資料の撮影禁止を明示する
9. 外部講師資料の利用範囲を契約で定める
10. 情報分類ルールを設ける
5. 効果的な対応方法と弁護士の弁護活動
内部情報・機密情報漏洩が起きた場合、弁護士は次のような支援を行います。
5-1. 初動対応の法的整理
弁護士は、漏洩した情報の内容を確認し、営業秘密、個人情報、著作物、プライバシー情報、取引先情報に該当するかを整理します。
そのうえで、削除要請、個人情報保護委員会への報告、本人通知、取引先対応、社内調査、懲戒処分、損害賠償請求など、優先順位を付けて対応方針を立てます。
5-2. 削除要請・発信者対応
SNSや掲示板で拡散された場合、弁護士は、投稿先のプラットフォームやサイト管理者に対し、法的根拠に基づく削除要請を行います。
必要に応じて、発信者情報開示請求、仮処分、損害賠償請求、刑事告訴も検討します。
5-3. 個人情報保護委員会対応
個人情報が含まれる場合、報告対象事態に該当するかを判断し、速報・確報の内容を整理します。
報告書には、事案の概要、漏洩した情報の項目、本人の数、原因、二次被害の有無、本人通知の方法、再発防止策などを記載する必要があります。弁護士が関与することで、法的に過不足のない説明を行いやすくなります。
5-4. 従業員対応・懲戒処分のサポート
投稿した従業員への事情聴取、懲戒処分の検討、退職勧奨の可否、損害賠償請求の可否などは、労務法務の観点から慎重な対応が必要です。
弁護士は、就業規則、秘密保持誓約書、過去の処分例、漏洩の重大性を確認し、処分が重すぎる・軽すぎるとならないよう助言します。
5-5. 取引先・顧客・外部講師への説明文作成
漏洩により関係者へ迷惑をかけた場合、説明文や謝罪文の内容が重要です。
弁護士は、企業の法的責任を不必要に広げないよう配慮しながら、事実関係、対応状況、再発防止策を適切に整理した文書を作成します。
5-6. 再発防止策の構築
弁護士は、漏洩後の一時対応だけでなく、再発防止のための社内体制整備も支援します。
具体的には、就業規則、SNS利用規程、秘密保持誓約書、研修資料、情報管理規程、委託契約書、外部講師契約書、退職時誓約書などを見直します。
6. 経営者・管理部門が今すぐ確認すべきチェックリスト
1. 社内にSNS利用規程があるか
2. 研修資料・会議資料の撮影禁止を明示しているか
3. 新入社員研修で情報漏洩リスクを具体例付きで説明しているか
4. 秘密情報の定義が就業規則や規程に明記されているか
5. 社外秘資料に表示やアクセス制限をしているか
6. 個人情報漏洩時の報告フローがあるか
7. 個人情報保護委員会への報告判断を誰が行うか決まっているか
8. SNS炎上時の広報対応フローがあるか
9. 外部講師・委託先資料の利用範囲を契約で定めているか
10. 退職者から秘密保持誓約書を取得しているか
11. 私物端末・クラウドサービスの利用ルールがあるか
12. 漏洩発覚時に相談できる弁護士が決まっているか
7. まとめ
内部情報・機密情報の漏洩は、悪意ある持ち出しだけでなく、日常的なSNS投稿、研修中の写真撮影、業務画面の写り込み、外部チャットへの軽率な投稿からも発生します。
企業に求められるのは、「従業員の常識に任せる」対応ではありません。SNS時代に合わせて、投稿禁止事項を具体化し、研修を行い、社内規程を整備し、漏洩時の初動対応フローを準備しておくことが重要です。
万が一、内部情報・機密情報の漏洩が発生した場合には、早期に弁護士へ相談し、事実確認、証拠保全、削除要請、個人情報保護委員会対応、取引先対応、従業員対応、再発防止策を一体的に進める必要があります。
情報漏洩は、対応を誤ると企業の信用を大きく損ないます。一方で、迅速かつ適切な対応を行えば、被害の拡大を抑え、取引先・顧客・従業員からの信頼回復につなげることができます。経営者・管理部門は、平時から情報管理体制を見直し、有事に備えた法務体制を整えておくことが重要です。
ネットと情報漏洩
インターネットを通して多くの情報のやり取りが行われるようになりました。しかし一方で、情報漏洩のリスクも大きくなりました。特に個人情報や秘密情報を漏洩してしまうと、重大な被害が生じかねません。
ここでは、インターネットでの情報漏洩について解説します。
インターネットで情報漏洩のリスク
情報漏洩のリスクとしては、電子メールの送信先の間違い、コンピューターウイルスによる被害などの場合があります。
また、SNSで職務上扱う情報を投稿してしまい、漏洩するおそれもあります。
公務員の守秘義務
国家公務員は、国家公務員法100条1項において、「職員は、職務上知ることのできた秘密を漏らしてはならない。その職を退いた後といえども同様とする」と定められています。地方公務員についても、地方公務員法で同様に定められています(地方公務員法34条1項)。
この「秘密」とは、「非公知の事項であつて、実質的にもそれを秘密として保護するに価すると認められるもの」とされています(昭和52年12月19日最高裁第二小法廷決定(徴税トラの巻事件))。
これらの規定に違反して秘密を洩らしたときは、いずれも1年以下の拘禁刑又は50万円以下の罰金に処されます(国家公務員法109条12号、地方公務員法60条2号)。
特定秘密保護法
「特定秘密の保護に関する法律(特定秘密保護法)」では、「国際情勢の複雑化に伴い我が国及び国民の安全の確保に係る情報の重要性が増大するとともに、デジタル社会の発展に伴いその漏えいの危険性が懸念される中で、我が国の安全保障(国の存立に関わる外部からの侵略等に対して国家及び国民の安全を保障することをいう。以下同じ。)に関する情報のうち特に秘匿することが必要であるものについて、これを適確に保護する体制を確立した上で収集し、整理し、及び活用することが重要であることに鑑み、当該情報の保護に関し、特定秘密の指定及び取扱者の制限その他の必要な事項を定めることにより、その漏えいの防止を図り、もって我が国及び国民の安全の確保に資することを目的」としています(同法第1条)。
特定秘密保護法では、「当該行政機関の所掌事務に係る別表に掲げる事項に関する情報であって、公になっていないもののうち、その漏えいが我が国の安全保障に著しい支障を与えるおそれがあるため、特に秘匿することが必要であるもの」が特定秘密として指定されます(同法3条1項)。別表には「一 防衛に関する事項」「二 外交に関する事項」「三 特定有害活動の防止に関する事項」「四 テロリズムの防止に関する事項」など、我が国や国民一般にとって需要な情報が含まれています。
特定秘密の取り扱いの業務に従事する者がその業務により知得した特定秘密を洩らしたときは、10年以下の拘禁刑に処され、情状によりさらに1000万円以下の罰金に処されます。特定秘密の取り扱いの業務に従事しなくなった後に漏らした場合も同様です(同法23条1項)。
また、行政機関の長が内閣に提示したり(同法4条5項)、外国の政府や国際機関に提供したり(9条)、国会両議院や裁判所など公益上必要の認められる相手に提供したり(10条)、内閣総理大臣が特定秘密の指定及び解除並びに適正評価の実施のため特定秘密である情報を含む資料の提出を求めること(18条4項後段)により、特定秘密が第三者に提供されることがあります。これらの提供の目的である業務により当該特定秘密を知得したものがその特定秘密を洩らしたときは、5年以下の拘禁刑に処され、又は情状によりさらに500万円以下の罰金に処されます(同法23条2項)。
これらの罪は未遂も処罰します(同法23条3項)。また、過失により漏らした場合も処罰されます(23条1項の罪については2年以下の禁錮又は50万円以下の罰金。23条2項の罪ついては1年以下の禁錮又は30万円以下の罰金)。
公務員がこのような情報漏洩をすると、厳しい懲戒処分が下されます。
人事院の「懲戒処分の指針について(平成12年3月31日職職―68)」によると、「1 一般服務関係 イ 情報セキュリティ対策のけ怠による秘密漏えい」については、停職・減給・戒告処分の対象となります。「ア 故意の秘密漏えい」は免職又は停職となり、特に「自己の不正な利益を図る目的」の場合は、必ず免職となります。
個人情報保護法
公務員だけでなく、企業も個人情報という重要な情報を扱います。
個人情報の保護に関する法律(個人情報保護法)は、「デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的」としています(第1条)。
個人情報とは、生存する個人に関する情報であって、氏名、生年月日その他の記述等により特定の個人を識別することができるもの(第2条第1項第1号)や個人識別符号(第2条第2項)が含まれるもの(第2条第1項第2号)をいいます。
企業については「第四章 個人情報取扱事業者等の義務等」において定められています。
個人情報データベース等(同法第16条第1項・個人情報の保護に関する法律施行令(個人情報保護法施行令)第4条。個人情報を含む情報の集合物であって、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したものなど)を事業の用に関している企業などは個人情報取扱事業者とされます(同法第16条第2項)。
顧客の氏名などを検索すれば出せるようにすれば該当するので、顧客の氏名等の情報をデータとして保存している企業であれば、個人情報取扱事業者に該当するでしょう。
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならず(同法第17条第1項)、あらかじめ本人の同意を得ないで、この利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはなりません(同法第18条第1項)。
個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはなりません(同法第19条)。
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはなりません(同法第20条第1項)。
個人情報取扱事業者(法人の場合は、その役員)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部または一部を複製し、又は加工したものを含みます。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の拘禁刑又は50万円以下の罰金に処されます(同法第179条)。法人の代表者や従業者等がその法人の業務に関しこの違反をしたときは、法人も1億円以下の罰金に処されます(同法第184条第1項第1号)。
まとめ
以上のように、インターネットで情報漏洩をすると、重大な事態になりかねません。
インターネットでの情報漏洩にお悩みの方は、弁護士法人あいち刑事事件総合法律事務所へご相談ください。
こちらの記事もご覧ください。
リベンジポルノ対策
交際中に、恋人に対し自身の性的な画像を送るよう求められるかもしれません。しかし、この様に自身の性的な画像を渡してしまうと、交際が終了した後で、流出されてしまうことがあります。
ここでは、このようなリベンジポルノの削除について解説します。
【事例】
Aさんは,Bさんと付き合っており,カップルの関係にありましたが,数か月前に別れてしまいました。
Aさんが何気なくX(旧ツイッター)を見ていたところ,Bさんと性行為をした際の写真が顔などにモザイクが入れられること無く,公開されているのを発見しました。そのため,Aさんとしては,このBさんとの性行為の際の写真を削除することを考えました。
このような事件が起こった場合に,どのような対応ができるのか解説していきます。
このような,リベンジポルノが公開されてしまった場合,私事性的画像記録の提供等による被害の防止に関する法律(リベンジポルノ防止法)違反を理由として,警察に通報することができるのですが,同時に流出してしまった写真や動画の削除も検討しなければなりません。特に,警察に通報したからといって問題となった投稿を削除してくれるわけではないので,投稿されたリベンジポルノの削除については,弁護士に相談して対応してもらう必要があります。
警察に対応してもらって何もしないでいたところ,リベンジポルノが拡散してしまい,被害が広がってしまったということもありますので,注意が必要です。
このような,リベンジポルノを削除するためには,大きく,①X(旧ツイッター)に対して,投稿フォームなどを用いて,削除申請を行うか,②裁判所を通じて削除請求を行う方法によって削除することができます。
(1)X(旧ツイッター)に対して削除請求を行う方法
X(旧ツイッター)に対して削除請求を行う方法として,まず投稿フォームを使って,ポストを削除する方法があります。
この方法は一般的に,複数手段があります。
①対象のポストから削除請求を行う方法
対象となるポストの「・・・」アイコンを選択して,【ポストを報告】を選択します。
その上で,どういう問題があるか聞かれますので,「ハラスメント」などを選択します。
そうして,報告内容について,どういう問題があるのかX社で検討して,「有害な投稿」との表示を行ったり,投稿したアカウントの凍結などを行います。
②対象アカウントのプロフィールから削除請求を行う方法
プロフィールの「・・・」アイコンを選択します。
「○○さんを報告する」を選択し,報告する問題の種類を選択します。
そうすることで,X社がアカウントの凍結などの形で対応してくれます。
③ヘルプセンターから報告する方法
Xのヘルプセンターを開き,「ルールとポリシー」→「すべての記事を見る」→「違反の報告」の順に選択していきます。
その「違反の報告」の中で,報告を求める理由を選択し,X社に対応を求めます。
この①~③の手段を使うと,X社から身分証明書の提示を求められ,本人確認が済んだら,アカウントの所有者に対して,対応が行われるようです。
しかし,このように,X(旧ツイッター)に削除請求を求めても,「有害な投稿」との表示を行うだけであったりするため,迅速で確実な対応とは癒えない点に注意が必要です。
(2)裁判所の手続を使ってX(旧ツイッター)に対応を求める場合
X(旧ツイッター)が充分な対応をしない場合,裁判所を利用して,ポストの削除を求めることになります。
具体的には,削除仮処分を申し立てることによって,Xの不適切なポストの削除を求めることになります。
この場合,X社を被申立人として,どのような投稿に寄って,名誉が侵害されたのか,URLは何かということを明らかにして投稿の削除を求めます。
この手段を使い,申し立てが認められるとX社はたいていの場合,投稿の削除に応じてくれます。
今回の事例のような場合のリベンジポルノであっても,X社に対して,投稿削除仮処分を申し立てることによって,なるだけ確実に削除を行うことができます。
リベンジポルノでお困りの場合には,弁護士法人あいち刑事事件総合法律事務所に迅速にご相談ください。
こちらの記事もご覧ください
