ESET/マルウェア情報局

社内データの持ち出しで逮捕されないために、テレワーク時代の情報漏えいリスク防止とは

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「社内データの持ち出しで逮捕される!?業務を持ち帰る前に知るべきこと」を再編集したものです。

法律に沿ったルール作りが求められるテレワークの実情

 社員が場所を選ばず仕事ができるテレワークを実現するためには、業務に必要な社内データへのアクセスを許可しなければならない。しかし、社内データへのアクセスを社外からも許可することは、従業員に大きな恩恵を与える一方で、極めて情報漏えいリスクが高い。しかも、従来の紙データと異なり、デジタルデータは大量のデータ流出も懸念される。

 効率的に業務をおこなうことがもはやミッションと化す中、従業員は社内データへのアクセスを当然とみなしがちである。場合によっては社外にデータを持ち出し、業務をおこなうこともあるかもしれない。しかし、重要な社内データの無断の持ち出し行為は、会社と取り交わす雇用契約などに基づく秘密保持に抵触する可能性がある。加えて、法律に基づいて刑事責任や民事責任に問われることすらあるのだ。

 社内データの持ち出しや共有についてルール作りをする経営側も、法律について理解を深める必要がある。いくら業務にとって重要な情報でも、適切な管理がなされていない場合は、法的に重要データとみなされないこともあるからだ。

どんな行為がどんな罪に問われるのか

 社内データを持ち出す場合、すべてが罪に問われるわけではない。社内データを持ち出しただけで罪に問われるのであれば、テレワーク環境を構築することはできない。一定の条件を満たした場合に犯罪行為となる。それでは、どんな行為がどんな罪に問われるのだろうか。

 ・窃盗罪

 他人の物を「盗む」行為が罪に問われる、最も古典的な犯罪が窃盗罪だ。万引きなど軽犯罪と思われるようなものでも10年以下の懲役又は50万円以下の罰金に処される可能性がある。社内のデータの持ち出しは、窃盗罪に該当する可能性があるのだ。

 しかし、刑法が定める窃盗罪の対象に、情報は含まれていない。情報が記載された紙や会社貸与のUSBメモリーで持ち出せば、「紙」や「USBメモリー」を窃盗したという罪となる。しかし、従業員個人が所有するUSBメモリーやスマートフォンに社内データを格納したり、写真撮影したりして持ち出しても窃盗罪には該当しないことには注意が必要だ。

 ・不正競争防止法違反

 窃盗罪に問われないからといって、情報は持ち出したい放題という状況が許されるわけではない。社内データのうち、営業秘密の要件を満たすデータは不正競争防止法により保護される。営業秘密の要件を満たす社内データを持ち出した場合、民事責任だけではなく刑事責任にも問われる可能性が高い。大手通信教育会社や大手通信販売会社などでは、情報を流出したとされる従業員が、刑事責任を問われている。ここでいう「営業秘密」とは、不正競争防止法第2条6項で次のように定義されている。

『この法律において「営業秘密」とは、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。』

 営業秘密として機密情報を不正競争防止法に基づく保護の対象とするためには、以下に挙げる3つの要件を全て満たさなければならない。逆に、3つの要件を満たさない場合は、たとえ一般的には機密情報に該当するであろうデータも、営業秘密とは認定されないので注意したい。

1)秘密管理性

 客観的にみて、「秘密として管理されていると認識できる状態」にあることが求められる。要件として抽象性が高く、どの程度までの秘密管理措置をとっていれば要件を満たすことができるのか分かりにくい側面があるが、一般的には情報にアクセスできる者が制限されていることや、情報にアクセスした者が営業秘密と認識できるようにしていることが求められると考えてよいだろう。前者の場合は、鍵のかかった部屋やアクセスコントロールが施されたフォルダに情報が格納されていることが挙げられる。一方で後者の場合は、書類やファイル名に「部外秘」と記載されているといったことが考えられる。

2)有用性

 情報が客観的にみて事業活動に活用されることで、「経営効率の向上や競争優位を生み出していること」が求められる。過去の事例では、顧客情報、設計図、実験データ、販売マニュアル、生産方法、といった情報について有用性が認められた。一方で、公序良俗に反する、犯罪の手口や麻薬・覚醒剤の製造方法といった情報には有用性は認めらない。

3)非公知性

 非公知性とは、「公然と知られていないこと」であり、誰でも容易に入手できないことが求められる。特許の要件である「発明の新規性」に近い要件で、刊行物、学会発表、インターネットなどを通じて、誰でも容易に入手できるような情報は、非公知性が認められないと考えてよい。

 事業活動をおこなうために、従業員に広く知れ渡っている情報であっても、外部に公開されていない場合は非公知性が認められる可能性が高い。しかし、雇用契約などで秘密保持契約を締結していないと秘密管理性の要件を満たすことができないので注意したい。外部の会社と共有している情報の場合は、秘密保持契約を締結していれば、非公知性を満たす可能性が高い。

社内データを持ち出した際に問われる刑事責任や民事責任

 それでは、営業秘密には該当しないデータで、紙やUSBメモリーに格納されていないものは、いくら持ち出しても法的な責任は問われないのだろうか。実は、データを持ち出すこと自体に対し、法律に基づく刑事責任や民事責任を問うのは難しい。ところが、営業秘密には該当しないデータでも、持ち出しにより第三者に損害を与えた場合には、法的な責任を問われる可能性がある。具体的にどのような罪に問われることになるのか、刑法と民法に分けて解説する。

 ・刑法

 自分の利益確保や会社に損害を与える目的で社内データを持ち出し、その結果、会社に損害を与えた場合は、背任罪の要件が成立する可能性がある。背任罪の適用要件は、自己もしくは第三者の利益を図る目的、もしくは本人に損害を与える目的があることが求められる。持ち出した情報が個人情報であれば、個人情報が公開されたことで個人の名誉を傷つけた場合に、名誉毀損罪が成立し刑事責任を問われることもある。

 そして、データを持ち出すこと自体に刑事責任を問う「不正アクセス禁止法」という法律もある。アクセス権限のない従業員が、パスワードを不正に入手するなどして社内データを持ち出した場合には、第三者に損害を与えていなくても、その行為自体に刑事責任が問われる可能性があるのだ。

 ・民法

 社内データの持ち出しは、たとえそれが営業秘密ではなくとも、民法に基づく損害賠償責任を負う可能性が高い。ほとんどの場合、会社と雇用契約を取り交わすはずだ。雇用契約の中には、秘密保持条項が含まれることが一般的である。そうなると、債務不履行による損害賠償請求の対象になりうる。

 社外データの持ち出しにより、会社が社会的な責任を失うなどの損害を被った場合には、不法行為にもとづく損害賠償責任を問われる可能性が高い。一般的に、情報漏えいにより会社が受ける損害は、莫大なものとなりやすい。このため、個人でも億単位の損害賠償が請求されることもある。

適切な業務をおこなえるような環境改善を

 働き方改革が叫ばれ、社内での業務が制限されている企業も少なくない。そうした中で規定の業務量をこなすためには社外で業務をおこなわざるを得ないという悲痛な叫ぶにも似た声が聞こえてくる。しかし、今回の記事で見てきたように、社外へのデータ持ち出しは場合によって民事罰だけでなく、刑事罰にすら問われる可能性があることは頭に入れておくべきだろう。

 求められる業務に対応することは本来望ましい行動であるものの、その結果として犯罪に問われる可能性が出てくるとしたら従業員としては板挟みの状況でしかない。だからこそ、こうした可能性を経営サイドに適切に訴え、現状に対応できるように業務量の調整や社内規定の整備を進めていくことが求められているのではないだろうか。