新宿の顧問弁護士なら弁護士法人岡本(岡本政明法律事務所)
当事務所では、上場企業(東証プライム)からベンチャー企業まで広範囲、かつ、様々な業種の顧問業務をメインとしつつ、様々な事件に対応しております。
コラム - 202203のエントリ
-
1. 2022年(令和4年)4月1日、またもや個人情報保護法が改正されます。
個人情報の重要性が高まっている中、あらゆる会社に関係する個人情報保護法の改正ですので、しっかりと対応することが重要です。2. 2022年(令和4年)の個人情報保護法改正の内容は、概ね以下の通りです。
① 個人の権利や利益を害するおそれが大きい漏えいが生じた場合等に、個人情報保護委員会への報告をすること及び本人へ通知することが義務化されました。
近時、不正アクセス等による情報漏洩の事案が増加していますが、例えば、①従業員の健康診断の結果を含む個⼈データが漏えいした場合、②送⾦や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個⼈データが漏えいした場合、③不正アクセスにより個⼈データが漏えいした場合、④1000件を超える漏えいの場合には、報告や通知が必要になります。報告義務や通知義務が免除される場合もありますが、①当該事態を知った時点から概ね3~5⽇以内に速報し、②報告対象の事態を知ってから30⽇以内(不正の⽬的によるおそれがある漏えい等の場合は60⽇以内)には確報しなければいけませんので、漏えい事案が生じた場合には、速やかに対応を協議する必要があります。② 外国にある第三者へ個人データを提供する時には、情報提供の充実を図る必要があります。例えば、本人から同意を取得する時に移転先の所在国の名称を提供すること等が義務付けられます。
③ 安全管理のために講じた措置の公表が義務化されます。
そのため、プライバシーポリシーを改訂するか、又は、本人からの求めに応じて遅滞なく回答できるようにしておく必要があります。
安全管理措置に関する規程を社内で整備していない場合には、早急に整備する必要があります。④ 以前は、6ヶ月以内に消去するデータは「保有個人データ」に該当しませんでしたが、今後は「保有個人データ」に該当することになりましたので、開示請求を受けた場合には、原則として開示しなくてはならなくなります。
また、個人データを第三者に提供したり、受領した際の記録も開示請求の対象となります。
さらに、開示方法については、原則として本人が指示できるようになりましたので、書面による交付だけではなく、電磁的記録による交付にも対応しなければならなくなります。
それ以外にも、事業者がデータを利用する必要がなくなった場合や漏えい等が生じた場合にも、保有個人データの利用停止・消去・第三者提供の停止を行わなければならなくなりました。⑤ 違法な行為を営むことが疑われる事業者に個人情報を提供するなどの不適正な方法により個人情報を利用することが禁じられることが明確化されました。
⑥ 提供元では個人データに該当しないものの、提供先において個人データとなることが想定される個人関連情報の第三者提供について、本人の同意が得られていること等の確認が義務付けられます。
個人関連情報には、Cookie等の端末識別子を通じて収集されたサイト閲覧履歴、商品購買履歴・サービス利用履歴、位置情報等が該当します。⑦ 「仮名加工情報」制度が創設され、利用を内部分析に限定するなどを条件に事業者の義務が緩和されました。
仮名加工情報は、漏えい時の報告義務も課されませんし、開示等の請求対象にもなりませんので、データの利活用などがより柔軟にできるようになったとされています。⑧ 違反をした場合の罰則も引き上げられました。
例えば、個人情報保護委員会の措置命令に違反した場合には、1年以下の懲役又は100万円以下の罰金に処することになりました。以上の通り、2022年(令和4年)の個人情報保護法改正により、大きく変わることになります。
他にも、例えば、利用目的についても具体化することが必要なので、一般的・抽象的なプライバシーポリシーになっている場合には、改訂が必要です。
ガイドラインでは、「事業活動に用いるため」、「マーケティング活動に用いるため」というようなよく見かける記載内容では不足しており、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」等と記載することが求められています。
当事務所では、個人情報などの情報管理・情報漏えいに関わる様々な事案に関わっていますので、まだ改正に対応されていない場合には、ご相談頂くのが良いと思います。
以上
1. 経済産業省知的財産政策室は、令和3年6月2日に、「最新の営業秘密侵害事例から見えてくる『営業秘密』保護のポイント~『営業秘密』を保護するために企業はどのような対策が必要か~」と題する資料を公表しています。
当該資料によりますと、近年の営業秘密侵害罪の検挙件数は、平成25年がわずか5件だったものが、令和2年には22件になっているとのことです。
要するに、営業秘密漏洩に関する事件はかなり増加しているのと同時に、近年は、警察や検察もかなり積極的に捜査してくれているということだと思います。
実際、当事務所でも、営業秘密を漏洩した犯人に対する刑事告訴を多数扱っておりますが、昔とは比べ物にならない程警察がしっかり対応してくれていると思います。当事務所の弁護士が執筆した「Q&A 競業避止、営業秘密侵害等の不正競争に関する実務」(日本加除出版)にも詳しいので、ご覧ください。
2. コロナ禍においては、在宅勤務やテレワーク(リモートワーク)が一つのトレンドとなっておりますが、このような場合、情報漏洩が起きやすいことが問題です。
これまで営業秘密は社内にしか存在しなかったにもかかわらず、在宅勤務やテレワークによって営業秘密が社外(自宅など)に持ち帰れるようになったわけですから、当然のことと言えます。
また、ウイルス感染や不正アクセスのリスクも高まります。
2020年6月に「個人情報の保護に関する法律等の一部を改正する法律」が成立し、2022年4月、個人情報漏洩時に「個人情報保護委員会への報告と被害者への通知」が義務化されるほか、罰則が引き上げられるので(命令違反の場合、懲役1年以下又は罰金100万円以下)、個人情報の漏洩にも気を付けないといけません。
それにもかかわらず、在宅勤務やテレワークで営業秘密を取り使う場合のルールをきちんと定めていない会社が多いと言われています。
確かに、コロナ禍の緊急事態の中、テレワークを導入している会社が多いと思いますので、これまでしっかりとした制度になっていなかったことはやむを得ないとも言えますが、今後は、しっかりとした制度にしておかないと、いざという時に法的に保護されなくなってしまいます。
3. 会社として行っておかなければならないこととして、テレワーク対象従業員との間で秘密保持義務に関する誓約書を締結することが重要です。通常の業務を想定して秘密保持義務に関する誓約書を締結していた場合であっても、テレワークの場合にも対応できているかについては、十分吟味した方が良いです。
次に、就業規則などの社内規程の見直しも重要です。多くの場合、社内規程はコロナ禍以前に作成されており、在宅勤務やテレワークなどが対象になっていないことが多いです。
秘密情報の持ち出しが前提となっているテレワークの場合、情報の持ち出しを例外的に考えている従来の社内規程では対応しきれないことが多いので、注意してください。
4. テレワーク時のセキュリティ対策として具体的に採るべき内容としては、令和3年5月、総務省が「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」を公表していますので、参考にすると良いと思います。「中小企業」とは記載されていますが、なかなか全てに手が回らない大企業が多いと思いますので、大企業にとってもとても有用だと思います。
ここでは、総務省のチェックリストに掲載されている「最低限必要となる」事柄をいくつか紹介しておきます。自社において、いくつ当てはまっているかチェックして頂けると良いと思います。
þ テレワークで利用しているシステムや取り扱う重要情報を把握しているか
þ テレワーク端末にウイルス対策ソフトをインストールし、リアルタイムスキャンが有効になる設定としているか
þ システムによるアクセス制御や重要情報そのものに対するパスワード設定等により、重要情報は許可された人のみが利用できるようにしているか
þ オンライン会議の主催者はミーティングの開始時及び途中参加者がいる場合に、参加者の本人確認を実施しているか
þ テレワーク端末に対してのぞき見防止フィルタを貼付し、離席時にはスクリーンロックをかけるようルール化しているか
þ 情報セキュリティインシデント発生時に備えて、インシデントが発生した場合や、そのおそれがある状況(不審なメールを開封した場合等)における対応手順を決定しており、関係者への各種連絡体制を定めているか
þ テレワーク端末と接続先の各システムの時刻が同期されるように設定しているか
þ テレワーク端末からオフィスネットワークに接続する際のアクセスログを収集しているか
þ テレワーク端末(スマートフォン等)の紛失時に端末の位置情報を検出できるようにしているか
þ テレワーク端末には原則として重要情報を保管しておらず、もし重要情報を保管しなければならない場合には、ファイルの暗号化(パスワード設定等)を実施しているか
þ オンライン会議を実施する際に、会議のタイトルや議題に重要情報を記載していないか
þ テレワーク端末へログインするためのパスワードや、テレワークで利用する各システムのアカウントの初期パスワードは変更しているか
þ テレワーク端末やテレワークで利用する各システムのアカウントが一定回数以上パスワードを誤入力した場合、それ以上パスワード入力ができなくなるように制限しているか
þ テレワーク端末やテレワークで利用する各システムにおいて、業務上必要な最小限の人に管理者権限を与えているか
5. いかがでしたでしょうか。
総務省の手引きには、あくまで基本的なものであるとされていますが、しっかり対策できているものもあれば、対策が不十分だったものもあるかもしれません。
不十分なものがあるからといって、それだけで法的な保護が受けられなくなるわけではありませんが、しっかり対策して頂いた方が良いと思います。
仮にテレワークにおいて情報漏洩が生じてしまった場合、このような対策がどの程度取れているかによって、法的な措置が取れるかどうかも変わってくることが多いからです。
これからテレワークでの情報漏洩対策を取る場合でも、既にテレワークで情報漏洩が起きてしまった場合でも、一度当事務所にご相談いただけると良いと思います。
以 上
- 独立行政法人情報処理推進機構セキュリティセンターは、2021年3月18日に、「企業における営業秘密管理に関する実態調査2020」報告書を発表しています。
当該発表によりますと、4年前に比べて、中途退職者(役員・正規社員)による情報漏洩(内部犯行)が大幅に増加しているようです。また、漏洩した情報としては、「製造に関するノウハウ、成分表」、「設計図」、「戦略に関する情報」も少なくありませんがが、「顧客情報」が61.9%にも及んでいます。
そして、当然のことながら、情報の漏洩先は競合他社が多いです。
要するに、営業秘密が漏洩するということは、自社の競争力を減殺し、他社との競争に負けることを意味しかねません。
そのため、近年、このようなリスクに気づいた会社は、営業秘密漏洩対策を取り始めていますので、まだ対策を取られていない方は、早急に対策を取っていただくのが良いと思います。
対策の具体的内容については、これまでのコラムにも記載していますし、当事務所の弁護士が執筆した「Q&A 競業避止、営業秘密侵害等の不正競争に関する実務」(日本加除出版)にも詳しいので、ご覧ください。 - では、残念ながら、情報漏洩が発覚した場合、初動としてどのようなことをすれば良いでしょうか。
まずは、システム上に残された証拠を消さないように保全しないといけません。
外部からアクセスされている場合には、ネックワークを遮断して、外部からのアクセスを防止しないといけませんし、ID・パスワードの不正利用がなされているようであれば、ID・パスワードの利用を停止することも重要です。
その上で、早急に事実調査を行うことが必要です。
経済産業省によれば、
・いつ:いつ漏れたか。一度だけか。数回に分けて漏れたか。
漏洩を把握するまでの時系列は。
・だれが:誰が漏らしたか。社員か、委託先か。その者はどのような権限を
持っていたか。外部者の場合、自社とどのような関わりがある者か。
・なにを:漏洩した情報の内容は何か。どのくらいの量の情報が漏れたか。
どのような形で保存されていた情報か。
・どのように:どのような方法・原因で漏洩したか。ネットワークを
通じたものか。どのようにセキュリティが破られたか
を調査することが重要とされています。
当事者のヒアリングの他、アクセスログの確認、メールやSNSの確保、防犯カメラの確認、パソコン内に入っているデータのバックアップ等が重要です。
当事者のヒアリングの場合には、録音や録画をしておくことも重要です。
場合によっては、デジタルフォレンジックという専門の調査を行うことも考えられます。デジタルの証拠の場合、素人が誤った操作を行うと簡単に消滅したり変化してしまいかねませんので、注意が必要です。 - その後の対応を考えた場合、具体的にどのような証拠を確保することに努めると良いのでしょうか。
具体的な状況によって変わるのですが、例えば、①どのような態様で情報が漏洩したのかが分かるアクセスログ、メールログ、入退室記録、複製のログ、②犯人の目的が分かるような他社とのメールや金銭のやりとりに関するデータ、③通信記録等を探すと良いと言われています。
漏洩したと思われる当事者から携帯電話やパソコン等を開示してもらえた場合は、写真撮影などをしておくと証拠になるとも言われています。 - 営業秘密の漏洩が発覚した場合、重要なのは初動です。
初動を間違えると、対応できる選択肢が狭まってしまう可能性もありますので、早急に弁護士に相談しながら対応をしていくことが重要です。
営業秘密の漏洩が増加している中、当事務所では、多くの事例を扱っておりますので、気軽にご相談いただけますと幸いです。