福岡県弁護士会コラム(会内広報誌「月報」より)
2015年2月号 月報
「転ばぬ先の杖」(第12回) 顧客情報外部流出への備え
月報記事
ホームページ委員会 委員
是 枝 秀 幸(60期)
1 顧客情報外部流出
昨年起きた大きな出来事の一つとして、大手通信教育業者が保有していた顧客情報を外部へ多数流出させたことは、皆さんも記憶に新しいと思います。
顧客情報は、事業規模にかかわらず、多くの事業者において、営業活動のための情報として、日々、取得・使用されています。
もし顧客情報が外部へ流出してしまえば、流出を食い止めたり情報を回収したりすることは困難で、事業者は、相当期間にわたり、顧客情報を保有していたことによる競業他社に対する優位性を喪失するとともに、顧客からの信用も著しく失墜することとなるでしょう。
とはいえ、顧客情報は、事業者において、日々、取得・使用しているもので、外部へ流出することを完全に防止することはできません。
本稿では、顧客情報外部流出の発生の機会や影響をできるかぎり限定するための備えについて、何をすべきか、簡単に紹介したいと思います。
2 機密書類に「秘」印を押しておけばよい?
顧客情報外部流出への備えとしては、不正競争防止法上の営業秘密として管理することや個人情報保護法上の安全管理措置を講じること等が考えられ、経済産業省もガイドラインを公表しています。
経済産業省の営業秘密管理指針によれば、概ね、次のとおりです。
(営業秘密管理指針より、一部変更のうえ、抜粋)
【秘密管理性の判断要素として着目すべき点】
- アクセスできる者が限定され、権限のない者によるアクセスを防ぐような手段が取られている(アクセス権者の限定・無権限者によるアクセスの防止)
- アクセスした者が、管理の対象となっている情報をそれと認識し、またアクセス権限のある者がそれを秘密として管理することに関する意識を持ち、責務を果たすような状況になっている(秘密であることの表示・秘密保持義務等の設定)
- それらが機能するように組織として何らかの仕組みを持っている(組織的管理)
【Aに関する具体的な管理方法】
- アクセス権者の限定
- 施錠されている保管室への保管
- 事務所内への外部者の入室の禁止
- 電子データの複製等の制限
- コンピュータへの外部者のアクセス防止措置
- システムの外部ネットワークからの遮断
【Bに関する具体的な管理方法】
- 社員が秘密管理の責務を認知するための教育の実施
- 就業規則や誓約書・秘密保持契約による秘密保持義務の設定等
【Cに関する具体的な管理方法】
- 情報の扱いに関する上位者の判断を求めるシステムの存在
- 外部からのアクセスに関する応答に関する周到な手順の設定
以上のとおり、秘密管理性等は、具体的な管理方法等を踏まえ、総合的に判断されるものです。
機密書類に「秘」印を押しておけばよい、という簡単なものではありませんので、注意が必要です。
3 弁護士にご相談を
顧客情報外部流出への備えを実施するためには、情報技術的な事項に関してIT事業者に相談するとともに、秘密保持義務の設定等の法技術的な事項に関して弁護士に相談することが望ましいでしょう。
秘密管理性等は、具体的な管理方法だけでなく、事業規模、業種、情報の性質、侵害態様等を踏まえ、総合的に判断されることになります。
顧客情報外部流出への備えは現実的に可能な範囲で一応実施しているという場合には、弁護士に法的観点から検証してもらうとよいかもしれません。