退職者による情報持ち出しの予防策・発覚時の法的措置も解説
全国14拠点!安心の全国対応
記事目次
かつて企業の経営資源は、ヒト、モノ、カネの3つだと言われていましたが、現在は、情報も大切な経営資源の一つとして広く認識されています。最近は、退職者が企業の貴重な経営資源である情報を外部に持ち出し、問題になるケースが増えているようです。背景には、終身雇用制度が崩壊して人材の流動性が高まっていることや、情報のデータ化やインターネット技術の飛躍的な進化、情報記憶装置の大容量化などにより情報の持ち出しが容易になったことがあると考えられます。
このような状況下で、退職者による情報の持ち出しを抑止するための対策、退職者による情報の持ち出しが発覚した場合に被害を最小限に食い止めるための対策を講じることが、企業にとって重要な課題となっています。
今回は、退職者による情報の持ち出しが発生する理由、情報を持ち出された場合のリスク、情報の持ち出しの事例、持ち出しを防ぐための対策、持ち出しが発覚した際の対応、情報を持ち出した退職者に対する法的措置などについて解説します。
【解説動画】TSL代表弁護士、中川が退職者による情報持ち出しの予防策・発覚時の法的措置について解説
退職者による情報の持ち出しが発生する理由
そもそも、なぜ退職時に社内の情報を持ち出す従業員がいるのでしょうか。最も多いのは、従業員が自社を退職してから同種の事業を立ち上げる、または競業他社に就職することが決まっており、そこで現職の技術情報、ノウハウ、顧客情報などを活用するために故意に持ち出しを行うケースではないでしょうか。このような場合、従業員による情報の持ち出しは、会社に露見しないよう、秘密裏で巧妙に行われることが多いようです。いわゆる「手土産転職」と言われる情報持ち出しのケースです。
故意ではなく過失により情報が持ち出されるケースもあります。例えば、会社に置いていた私物を退職の際に持ち帰ったところ、その中に会社の機密情報が紛れ込んでおり、それが何らかの理由で外部に流出してしまうような場合です。紛失、置き忘れ、パソコンの誤操作やウイルス感染などにより情報が外部に流出することもあります。このようなケースでは、会社のずさんな情報管理体制が情報漏洩の遠因となっていることがほとんどです。
情報を持ち出された場合のリスク
退職者により社内の情報が持ち出された場合、会社はどのようなリスクを負う可能性があるのでしょうか。具体的なリスクについて説明します。
1.損害賠償リスク
退職者により顧客情報が社外に持ち出されると、そこから顧客の氏名、住所、電話番号等の個人情報が流出します。個人情報が悪用された場合、悪用された本人は様々な不利益を被ります。そのため、会社は個人情報を漏洩された被害者に対して損害賠償責任を負う可能性があります。
個人情報が漏洩しても、被害者一人あたりの損害賠償額はそれほど高額にはなりません。しかし、顧客情報の持ち出し等による個人情報の流出は一度に大量に発生することが多く、会社が支払いを求められる損害賠償の額は結果として莫大な金額になることがあります。
日本ネットワークセキュリティ協会がまとめた『2018年情報セキュリティインシデントに関する調査報告書』によると、2018年に起きた個人情報漏洩インシデントの1件当たりの漏洩人数は1万3334人で、1人当たり平均想定損害賠償額は2万9768円、1件当たりの平均想定損害賠償額は6億3767万円でした。このような多額な損害賠償を請求されれば、中小企業はもちろん、大企業であっても存続の危機に立たされる可能性があります。
また、個人情報を漏洩させたという事実が、これまで築いてきた企業の社会的信用を失墜させ、取引先との契約打ち切りや売上の急減につながるおそれもあります。
2.ノウハウ流出リスク
企業が保有する独自の技術情報が流出した場合、自社の競争力の源泉である技術やノウハウが競合他社に利用されて経済的価値が損なわれ、市場における競争力を失うおそれがあります。中小企業では特許権を取得するなど技術情報を守るための措置を十分に講じていないケースもあり、技術情報の流出により致命的なダメージを受ける可能性もあります。
3.顧客流出リスク
退職者が自社と競合する事業を立ち上げたり競合他社に転職したりする際に顧客情報を持ち出す場合があります。顧客情報が持ち出されると、自社の既存顧客が競合他社から営業活動を受け、顧客が流出してしまうおそれがあります。
4.刑事罰
個人情報保護法は、個人情報を取り扱う事業者が守るべき義務を定めており、国はこれに違反した事業者に対して立ち入り検査、指導・助言、勧告、命令などを行うことができます。令和2年に、改正個人情報保護法案が可決され、事業者へのペナルティが引き上げられました。この命令に従わない事業所に対して、法改正前は6か月以下の懲役または30万円以下の罰金が科されていましたが、改正法では、命令違反の法定刑が1年以下の懲役または100万円以下の罰金刑に引き上げられました(改正法第83条)。
また、従業員が自己もしくは第三者の不正な利益を得る目的で個人情報データベース等を提供・盗用した場合、1年以下の懲役または50万円以下の罰金が科されます。この罰則は従業員だけではなく法人である会社に対しても適用されますが、改正法では、法人と個人の資力の差を踏まえ、法人に対しては不正した従業員よりも高額の1億円以下の罰金刑が科されることとなりました(改正法第87条1項)。
個人情報とは、生存する個人に関する情報であって、氏名や生年月日などにより特定の個人を識別することができるものをいいます。また、単体では特定の個人を識別できない場合であっても、他の情報と容易に照合することができ、それにより特定の個人を識別することができる場合、その情報は個人情報とみなされます。
かつては取り扱う個人情報の数が5,000件以下の事業者は個人情報保護法の規制対象から外されていました。しかし、2017年に改正個人情報保護法が施行され、現在では個人情報を取り扱う全ての事業者が適用対象となっています。
退職者による情報の持ち出しの事例
退職者が持ち出した情報を転職先に持ちこむ「手土産転職」の事例は後を絶ちません。最近の事例をご紹介します。
1.ソフトバンク・楽天モバイル事件
2019年、ソフトバンクを退職し、楽天モバイルに転職した人物が、ソフトバンクの営業秘密であるネットワーク技術の情報を不正に持ち出した事件がメディアで報道され、世間の注目を集めました。
同人物は、不正競争防止法違反の容疑で2021年1月に逮捕、2月に起訴されています。また、同年5月、ソフトバンクは楽天モバイルと同人物に対して、営業秘密の利用停止と、約1,000億円の損害賠償請求権の一部として10億円の支払い等を求める民事訴訟を提起しました。
同人物は、自分の私用メールに機密情報を添付して送付し、退職後もソフトバンクのサーバーにアクセスしていました。ソフトバンクでは、以前にも、元社員が元外交官のロシア人から接待を受け、電話基地局設置に関する営業秘密を社内サーバーから不正に取得し、対価を得て漏洩させた事件が発生しており、会社のセキュリティ体制にも厳しい目が向けられました。
2.積水化学事件
2020年には、積水化学の元社員が、社内サーバーから営業秘密情報を私物のUSBにコピーして取得し、私用PCやフリーメールに添付して中国企業に送信していたという事件が報道されました。
この情報漏洩事件は、同僚がこの人物の不正に気付き、社内調査が実施された結果、発覚しました。会社はこの人物を懲戒解雇し、刑事告訴しました。その後、この人物は不正競争防止法違反容疑で書類送検されました。
退職者による情報の持ち出しの防止策
退職者が情報を不正に持ち出したとしても、持ち出しが可能であった会社の情報管理体制の不備が指摘され、ひいては会社の信用失墜につながります。そのため、きちんと防止策をとっておく必要があります。
そして、退職者による情報持ち出しを防止するための対策は、物理的・技術的な防御と心理的な抑止の2つに大別されます。それぞれの対策の内容について説明します。
1.物理的・技術的な防御
物理的・技術的な抑止とは、従業員が社内の機密情報に接触したり、持ち出したりすることを直接的に制限することにより、情報の持ち出しを防止することです。
物理的・技術的な抑止の一つとして、機密情報は特定の棚や倉庫にまとめて保管して施錠しておき、機密情報が保管されている棚や倉庫を開錠できる者や機密情報にアクセスできる場所に立ち入ることができる者を制限する方法があります。機密情報にアクセスできる場所への立ち入りを制限することをゾーニングといいます。
機密情報へアクセスできる者を制限するためには、情報管理に関する社内規程を作成し、機密情報の保護のために必要な事項を規定しておく必要があります。情報管理に関する社内規程に定めておくべき主な項目として以下のような項目があります。
- 適用範囲(役員、従業員、派遣労働者、自社内において勤務する委託先従業員など)
- 対象なる機密情報の定義
- 機密情報の分類(役員外秘、部外秘、社外秘など)
- 分類ごとの対策(アクセス権者の設定、持ち出しの禁止等)
アクセス権を設定する際には、「その従業員が本当に業務上その情報を知る必要があるか」という観点から検討を行い、必要性がある者に限定することが大切です。
従業員が機密情報を持ち出すことを困難にすることも効果的な物理的・技術的な抑止の一つです。昨今、ノートパソコン、スマートフォン、USBメモリなど小型の情報記憶装置に膨大なデータを保存することが可能です。ノートパソコンやUSBメモリを社外に持ち出すことを禁止して社内で適正に管理する、個人のスマートフォンやUSBメモリを社内に持ち込むことを禁止する等の対策を講じることにより情報の持ち出しを防止できます。
最近は、クラウド型システムやテレワークの普及により、自宅など社外から社内の機密情報にアクセスする機会も増えています。社外から社内の機密情報にアクセスして情報を持ち出すことを防ぐためには、テレワーク時に私物のパソコンを使用することを禁止してセキュリティ対策を十分に施した会社のパソコンのみを使用させる、機密情報の一括ダウンロードができないように設定するなどの対策を行う必要があります。
2.心理的な抑止
心理的な抑止とは、従業員が機密情報を持ち出そうという気持ちを抱かせないようにすることをいいます。
例えば、以下のような対策が考えられます。
- 機密情報が保管されている棚や倉庫の近くに録画機能付きの防犯カメラを設置する
- レイアウトを工夫して機密情報を管理者や他の従業員から見えやすい場所に保管する
- 機密情報の保管場所やサーバールーム等への入退室を記録する
- 機密情報にアクセスしたり、ファイルなどをダウンロードしたりした者の履歴(ログ)が残るようにする
- 紙の資料、ファイルの紛失及び持ち出しがすぐにわかるように通し番号を付けて管理する
防犯カメラの映像等の記録は、情報の持ち出しを行った者の責任を追及する際の客観的な証拠として用いることもできます。
また、従業員に対して情報セキュリティの研修を行い、情報の流出が会社と自分自身にどれほど深刻な事態をもたらすかについて情報漏洩事故の事例を交えて説明することも心理的な抑止力をもたらします。
3.認識の向上
退職者による情報持ち出しを防止するためには、退職予定の従業員に、持ち出してはいけない情報の確認をさせることにより、情報漏洩の認識を高めることも効果的です。
これにより、情報を持ち出した退職者が、「持ち出してはいけない情報とは知らなかった」などという言い訳ができなくなるという効果が期待できます。具体的には、次のような対策を講じることが考えられます。
- 秘密保持誓約書を提出させ、対象となる情報のデータを全て変換、消去させる義務を課し、退職後に一切保有しないことを約束させる
なお、秘密保持誓約書は入社時に書かせることが多いですが、退職時にも書かせることを検討したほうが良いでしょう。 - 競業避止義務契約を締結し、ライバル会社への手土産転職を防止する
- 就業規則に情報の持ち出しの禁止し、懲戒解雇事由に該当することを明記する
競業避止義務については、退職者の職業選択の自由を阻害するような内容にした場合は有効性が問題になるため、事前に企業法務に精通した弁護士に相談して、内容を精査することをおすすめします。
上記の対策の中には、費用や手間がかかるものもありますが、会社の規模や保有している情報の性質などを考慮して必要な対策を選択し、無理のない範囲内から実施するとよいでしょう。
情報持ち出しによる被害を最小限に抑えるための措置
どれだけ情報漏洩対策を徹底しても、退職者による情報の持ち出しを完璧に阻止することは困難です。そのため、万一、退職者による情報の持ち出しが発覚した際は、迅速に被害を最小限にするための措置をとることが重要です。
情報漏洩が発覚した時に最初にやるべきことは事実を正確に把握することです。いつ、誰が、どの情報を、どのようにして流出したのかを確認しましょう。
退職者による情報の持ち出しだということが判明した場合、早急に内容証明郵便等で警告を行うべきでしょう。流出した情報の使用を止めさせ、被害の拡大を防ぐことを優先すべきであるからです。その後、その退職者に対する聴取、防犯カメラやログの確認、目撃者への聞き取りなどを進めます。その際、証拠の隠滅、関係者間の口裏合わせなどが行われないように十分注意する必要があります。
また、明らかになった事実を元に、自社、取引先、消費者等の関係者にどのような損失が生じる可能性があるのか検討する必要があります。情報の流出による直接的な影響だけではなく、信用の低下などの間接的な影響も含めて検討しましょう。
これらの検討が完了したら、被害を最小限に食い止めるために必要な措置を行います。具体的には、以下のような措置が考えられます。
- ネットワークの遮断
- 情報を持ち出した退職者への警告
- 個人情報保護法に基づく行政への報告
- 対外的な公表(事実の経緯、漏洩した情報の内容、再発防止策など)
- 被害者への謝罪
情報漏洩が発覚した際は迅速な対応が求められます。必要に応じてシステムや法律の専門化に相談しながら、可能な限り迅速に対応を進めましょう。
情報を持ち出した退職者に対する法的措置
最後に、情報を持ち出した退職者に対してどのような法的な措置を取ることが可能なのか説明します。
1.刑事責任の追及
情報の持ち出しは、不正競争防止法や不正アクセス禁止法の罰則規定などが合わせて問題となることもあり、場合によっては、刑法の電子計算機使用詐欺罪(246条の2)、背任罪(第247条)、横領罪(第252条)も同時に問題となっている可能性もあります。
前述のソフトバンク・楽天モバイル事件や積水化学事件の他にも、2014年に発生したベネッセコーポレーションのグループ企業に派遣されていた派遣社員が、顧客情報を不正に持ち出した事件においては、持ち出した派遣社員は、不正競争防止法違反に問われ、懲役2年6か月、罰金300万円の実刑判決が確定しています。
情報を不正に持ち出した社員を刑事責任を追及することで会社の損害が回復されるとは限りませんが、警察など捜査機関の協力の下で事実関係を明らかにし、持ち出しを行った退職者との金銭による示談をスムーズに進めるためには重要でしょう。
2.民事責任の追及
情報の持ち出しにより会社に損害が生じている場合には、情報の持ち出しを行った退職者に対して民事責任を追及できる可能性があります。民事責任の追及の手段として、交渉により和解を目指す、訴訟を提起して持ち出した機密情報の使用差し止め請求や損害賠償請求を行うなどの方法があります。
まとめ
今回は、退職者による情報の持ち出しが発生する理由、情報を持ち出された場合のリスク、持ち出しを防ぐための対策、持ち出しが発覚した際の対応、情報を持ち出した退職者に対する法的措置などについて解説しました。
退職者による情報の持ち出しから会社を守るためには、社内規程の策定や情報管理体制の整備など防止策を徹底することは非常に重要です。また、万一、情報漏洩が発生した際に被害を最小限に食い止めるために迅速な初動対応を行うとともに情報を漏洩させた退職者に対する法的措置を検討する必要があります。
東京スタートアップ法律事務所では、我々自身がテレワークを導入して情報セキュリティ対策に取り組んだ経験も踏まえつつ、様々な企業の状況や方針に合わせた情報セキュリティ対策についてアドバイスさせていただいております。お電話やオンライン会議システムによるご相談も受け付けていますので、お気軽にご相談いただければと思います。
- 得意分野
- 一般民事
- プロフィール
- 名古屋大学法学部法律政治学科 卒業 名古屋大学法科大学院 修了 弁護士登録 都内法律事務所 勤務 東京スタートアップ法律事務所 入所