企業の情報漏えい対策とコンプライアンス - dekyo1...
TRANSCRIPT
1
企業の情報漏えい対策とコンプライアンス
情報通信マネジメントシステム研究会 2013年
弁護士 森 亮二
2
目 次
情報セキュリティと法律の関係
内部統制
「営業秘密」による情報セキュリティとその限界
不正競争防止法の営業秘密
ソーシャルメディアと情報漏えい
情報漏えい対策の際の法的留意事項
労働法+従業員のプライバシー
独禁法、下請法
労働者派遣法
3
情報セキュリティと法律の関係
4
CIAによる分類
情報セキュリティの3要素: 「C」 「I」 「A」
「C」onfidentiality
機密性
「I」ntegrity
完全性
「A」vailability
可用性
アクセスを認められた人だけが情報にアクセスできるようにすること
情報と処理方法の完全性・確実性が守られていること
許可された利用者が必要な際に情報に確実にアクセスできるようにすること
情報漏えい 改ざん システム障害
定義
インシデント
5
CIAによる分類
個人情報漏えい事件
・PtoPウイルス
北海道警
ウェブサイトの改ざん
・ 4月以降多発、 IPAが警告を出している。
システム障害
・ みずほ証券株誤発注事件は7月に控訴審判決あり。
情報漏えい 改ざん システム障害
6
法律の要求に着目した分類
内部統制
個人情報保護法
プライバシー
通信の秘密
不正競争防止法の営業秘密
労働法
下請法
セキュリティの確立を義務づける
「守りなさい」
法律で保護を受けるための条件
「これが必要です」
確立に際して踏み外しては
いけないこと「やりすぎてはダメ」
7
法律の要求に着目した分類
セキュリティの確立を義務づける
「守りなさい」e.g.個人情報
法律で保護を受けるための条件
「これが必要です」
確立に際して踏み外しては
いけないこと「やりすぎてはダメ」
義務がなくても守りたい情報
e.g.ノウハウ、技術、顧客
確立の努力
確立の努力
確立の努力
適法かつ法律を活かした
情報セキュリティ
努力の対
象は2つ
8
内部統制
9
情報セキュリティと法律-対応の観点から
セキュリティの確立を義務づける
「守りなさい」e.g.個人情報
法律で保護を受けるための条件
「これが必要です」
確立に際して踏み外しては
いけないこと「やりすぎてはダメ」
義務がなくても守りたい情報
e.g.ノウハウ、技術、顧客
確立の努力
確立の努力
確立の努力
適法かつ法律を活かした
情報セキュリティ
10
金融商品取引法
会社法 第362条4項等
取締役の善管注意義務
内部統制報告制度
業務の適正確保体制決定義務
判例の内部統制構築義務
わが国の法制度に存在する3つの内部統制
11
内部統制の定義①
COSO1992年報告書(平成4年)
「内部統制-統合的枠組み」
大和銀行事件
(大阪地裁平成12.9.20)
ダスキン事件
(大阪高裁平成18.6.9)
会社が営む事業の規模、特性等に応じたリスク管理体制
内部統制とは、①業務の有効性・効率性、②財務報告の信頼性、③関連する法規の遵守の3つの目的の達成に関し
て、合理的な保証を提供することを意図した、会社の取締役会、経営者およびその他の従業員によって遂行されるプロセスであり、以下の相互に関連する要素から構成される。
統制環境、リスクの評価、統制活動、情報と伝達、モニタリング
会社が営む事業の規模、特性等に応じたリスク管理体制
米国サーベンス・オクスリー法のベースとなったもの
12
内部統制の定義②
金融商品取引法
「財務報告に係る内部統制の評価及び監査の基準」 「財務報告に係る内部統制の評価及び監査に関する実施基準」
(平成19年2月15日)
会社法(平成18年5月1日施行)
第348条4項、第362条5項、第416条2項
法令遵守体制
損失危険管理体制
情報保存管理体制
効率性確保体制
企業集団内部統制
監査役監査の実効性確保体制
内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセス
をいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される。
株式会社の業務の適正を確保するために必要なものとして法務省令で定める体制
13
内部統制の定義③
内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセス
をいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される。
株式会社の業務の適正を確保するために必要なものとして法務省令で定める体制
会社が営む事業の規模、特性等に応じたリスク管理体制
内部統制とは、①業務の有効性・効率性、②財務報告の信頼性、③関連する法規の遵守の3つの目的の達成に関して、合理的な保証を提供することを意図した、会社の取締役会、経
営者およびその他の従業員によって遂行されるプロセスであり、以下の相互に関連する要素から構成される。
統制環境、リスクの評価、統制活動、情報と伝達、モニタリング
裁判所
会社法
米国
金融商品取引法
14
内部統制の定義④
内部統制とは?
株主に対する受託責任を果たすための「仕組み」(が経営者によって作られ、それが機能していること)
「仕組み」の具体的な内容は以下のとおり
①法令遵守体制 ⑤企業集団内部統制
②損失危険管理体制 ⑥監査役監査の実効性確保体制
③情報保存管理体制 ⑦財務報告内部統制
④効率性確保体制
15
定義:
要求事項:
構築して運用する。
判例における内部統制 ①
会社が営む事業の規模、特性等に応じたリスク管理体制
16
判例における内部統制②
【ポイント】
米国支店のトレーダーによって、簿外取引による巨額の損失発生
はるか離れた米国のトレーダーを取締役が直接監督するのは無理。
それでも不正行為を防止する「仕組み」(=内部統制システム)ができていなかったことについて取締役に責任があるとして、裁判所は巨額の損害賠償責任を認めた。(「知らなかった」ではすまされない)
大和銀行事件(大阪地裁H12.9.20)
17
【裁判所の判断-内部統制の一般論】
① 健全な会社経営を行うためには、事業の種類に応じて生じる各種のリスクを把握し制御するリスク管理体制=内部統制システムの構築が必要である。
② リスク管理体制の大綱は重要な業務執行であるから、旧会社法第260条2
項により、取締役会で決することを要する。
③ 代表取締役及び業務担当取締役は、②の大綱を踏まえ、担当する部門におけるリスク管理体制を具体的に決定するべき職務を負う。
④ 取締役は、代表取締役及び業務担当取締役が③の義務を履行しているか否かを監視する義務を負う。
⑤ 監査役(小会社を除く)は、業務監査の一環として、取締役がリスク管理体制の整備を行っているか否かを監査すベき義務を負う。
⑥ 構築すべき内部統制の内容は、取締役の経営判断の問題であり、取締役には広い裁量が与えられている。
判例における内部統制③ 大和銀行事件(大阪地裁H12.9.20)
18
判例における内部統制 ④
【事案】
牛乳・乳飲料の製造販売会社が、違法な牛乳の再利用により食中毒事件を起こし、業務停止命令を受けて解散を余儀なくされたところ、解雇された従業員やその遺族から、同社代表取締役である被告が、将来賃金の逸失等について損害賠償請求を受けた事案である。
同社は、金沢市に会社工場を持ち、牛乳・ヨーグルト・清涼飲料水を製造して、北陸3県を中心に販売する会社であった。同社が販売店に販売した牛乳について、異臭がする旨のクレームがあったため、同社はこれを引き上げ、廃棄用冷蔵庫に保管していたが、これを新たに販売する牛乳製造に際して再利用した。
その後、同社により製造された牛乳を飲んだ顧客である小中学校15校の児童生徒など400人あまりに食中毒
が発生した。これを受けて金沢市は同社に無期限の営業停止命令を出し、同社は業務再開の目処が立たないことから、総会決議により解散し、廃業した。
同社の資本金は1000万円。売上高は平成6年度の約15億円がピークであ
る。解散時における同社の株主は、被告代表取締役、その妻およびその間の子ら2名の計4名であって、これらは被告と利益を共通にする親族であり、同社の解散に同意している。
ジャージー高木乳業事件(金沢地裁H15.10.6) (名古屋高裁金沢支部H17.5.18)
19
判例における内部統制 ⑤
ジャージー高木乳業事件(金沢地裁H15.10.6) (名古屋高裁金沢支部H17.5.18)
① 出荷
② 回収
異臭!!
③ 再利用
食中毒
20
判例における内部統制 ⑥
【原審の判断】
被告は担当部長の再利用行為を予見できた。
直接の監督義務違反あり→任務懈怠
【控訴審の判断】
本件会社では,雪印乳業事件以後,金沢市保健所からの本件指導があって,一旦出荷された牛乳等製品についてはこれを再利用しないこととしていた。
そのことは朝礼等を通じて従業員にも周知させていた。
とすると、担当部長による本件再利用は,まことに異例。
よって、本件再利用を事前に予見することは困難。
よって、直接の監督義務違反なし。
しかしながら、被告は,これまでの本件
会社における再利用が違法であることを知ったのであるから,本件会社の代表取締役として,直ちに同法に違反する再利用を廃止する措置を講ずるのはもとより,
ジャージー高木乳業事件(金沢地裁H15.10.6) (名古屋高裁金沢支部H17.5.18)
21
判例における内部統制 ⑦
【控訴審の判断】(つづき)
今後同様の違法な再利用が行われること
のないようにするための適切な措置(再利用に関する取扱基準の策定,従業員に対する教育・指導等の徹底等)を講じて,法令を遵守した業務がなされるような社内体制を構築すべき職責があった
違法な再利用をしない社内体制を築くべき義務があったのに、しなかったことは、任務懈怠。
従業員の違法行為
監督義務違反では?
職掌分担あり、予見可能性なし
(目を届かせるのはムリ)
では内部統制構築義務違反では?
(目が届かなければリスク管理体制で予防せよ!)
ジャージー高木乳業事件(金沢地裁H15.10.6) (名古屋高裁金沢支部H17.5.18) 監督義務違反と
内部統制構築義務違反
直接の
監督義務
内部統制
構築義務
22
判例における内部統制⑧
A自身の違法行為?
直接の監督
義務あり?
内部統制不十分?
違法行為が発生した場合の取締役Aの責任
責 任 な し
責
任
あ
り
YES
NO
NO
NO
YES
YES
23
【事案の概略】
ソフトウェア開発・販売会社(東証2部上場)の
従業員が架空売上げを計上し、有価証券報告書に不実の記載。後に発覚し、当社が事実を公表したことにより、株価が下落。
公表前に株式を購入した株主が、当社代表取締役に不正防止のためのリスク管理体制構築義務違反の過失があったこと等を主張して、当社に対し、会社法第350条に基づく損害賠償を請求。
日本システム技術 架空売上げ事件(最高裁H21.7.9) (東京高裁H20.6.19、東京地裁H19.11.26)
財務部門
事業部門
パッケージ事業本部
ソフトウェア事業
本部
営業部 BM課 CR部
GAKUEN
事業部
判例における内部統制⑨
株式会社は、代表取締役その他の代表者がその職務を行うについて第三者に加えた損害を賠償する責任を負う。
24
【事案】
同社GAKUEN事業部には、顧客との直接交
渉を所管する営業部、注文書や検収書等の形式面を確認するBM課(ビジネスマネジメント課)、ソフトウェアの稼働確認を担当するCR
部(カスタマーリレーション部)あり。
営業担当者が顧客と交渉し、合意できれば、顧客が注文書を営業担当者に渡す。
営業担当者は、注文書をBM課に送付。BM
課は受注処理をして、営業担当者経由で顧客に検収確認依頼。
CR部担当者が、顧客担当者、エンドユーザー担当者等と共に検収。
BM課は検収書を受領して、財務部に売り
上げ報告。財務部は、注文書、検収書等を確認して売上げ計上。
財務部は、毎年9月の中間期末で残高確
認書のフォームを顧客に送付し、記入・返送してもらう。
毎年3月の期末には、監査法人も同様に残高確認。
日本システム技術 架空売上げ事件
判例における内部統制⑩
営業部 BM課 CR部
GAKUEN
事業部
財務部門
25
営 業 部
B M 課
C R 部
顧 客
財務部
注文書
注文書
①
②
検収依頼
③
検収依頼
④
⑤ 検収
検収書
⑥
検収書
⑦
売上報告
⑨売上計上
売掛金残高
確認依頼
⑧
⑩ ⑪
⑫
⑬
売掛金残
高確認書
監査法人
売掛金残高
確認依頼 売掛金残
高確認書
<通常の場合>
判例における内部統制⑪ 日本システム技術 架空売上げ事件
BM課は偽造検収書を受領して、財務部に
売り上げ報告。財務部は、注文書、検収書等を確認して売上げ計上。
財務部・監査法人による残高確認書については、顧客に対し、「送付ミスであるから引き取りに行くまで持っていてほしい」として回収し、顧客の偽造印を押印して、財務部・監査法人に送付。
回収遅延(残高増加)の理由について、財務部は、事業部長から「エンドユーザー(大学)におけるシステム全体の稼働の延期」「大学における予算獲得失敗」などと聞いて信用し、顧客に直接確認する等しなかった。
26
【事案】
本件では、GAKUEN事業部長兼営業部長
が、高い業績を維持するため、部下数名に対し、獲得可能性の高い案件について、実際に注文があったように装い、売上の架空計上を行うよう指示。
部下(営業担当者)は、注文書を偽造し、BM課に送付。
BM課は、営業担当者経由で顧客に検収
確認依頼をするが、もちろんこれは顧客には渡らない。
検収自体が行われないが、営業担当者は検収書を偽造して、BM課に送付。
判例における内部統制⑫
日本システム技術 架空売上げ事件
27
営 業 部
B M 課
顧 客
財務部
注文書
①
検収
依頼
②
検収書
③
売上報告
⑤売上計上
売掛金残高
確認依頼
④
⑦
⑥
⑧
⑨ 監査法人
売掛金残高
確認依頼
<本件の場合>
すみません、送付ミスなので引き取りに行きます。開封しないでください 未記入
で回収
記入済
記入済
判例における内部統制⑬ 日本システム技術 架空売上げ事件
【最高裁の判断】
当社の事件当時の仕組みは以下のとおり、
① 事業部門と財務部門を分離し、
② GAKUEN事業部について、営業部とは別にBM課やCR部を設置して、
それらのチェックを経てはじめて財務部に売上報告がされる体制を整備し
③ 監査法人と監査契約を締結して、財務部と監査法人が定期的に顧客に売掛金残高確認書を送付し、返送を受けていた。
上記仕組みは、通常想定される不正行為を防止し得る程度の管理体制であった。
28
【原審の判断】
GAKUEN事業部は、幅広い業務を分掌。BM課、CR部は同事業部に直属しており、
事業部長が企図すれば容易に不正を行い得るリスクがあった。
代表取締役は、このリスクが現実化する可能性を予見せず、組織体制や事務手続を改革するなどしなかった。
財務部は、長期未収の売掛債権について、直接顧客に確認すべきであったが、これをせず、本件不正発覚の遅れを招いた。これは、代表取締役がリスク管理体制を機能させていなかったことに他ならない。
代表取締役には、適切なリスク管理体制を構築すべき義務を怠った過失あり。
判例における内部統制⑭
日本システム技術 架空売上げ事件
財務部が聞かされていた、回収遅延(残高増加)の理由は合理的で、監査法人も財務諸表について適正意見を表明していたから、財務部が顧客から正しい残高確認書を受領しているものと考えて、直接確認をしなかったとしても、財務部におけるリスク管理体制が機能していなかったとはいえない。
代表取締役に、リスク管理体制を構築す
べき義務に違反した過失があるとはいえない。
29
【最高裁の判断】(続き)
これに対して、本件不正行為は、事業部長が部下数名と共謀して、顧客の偽造印を用いて注文書等を偽造し、BM課の担当を
騙して架空の売上報告をさせたうえ、監査法人と財務部が顧客に郵送した売掛金残高確認書については、言葉巧みに顧客担当者を欺いて未開封のまま回収して金額を記入して偽造印を押して監査法人・財務部に送付して、当社の売掛と顧客の買掛が見かけ上一致するように偽装するという、通常容易に想定し難い方法によるものであった。
本件以前に同様の不正行為が行われたなど、本件不正行為の発生を予見すべき特段の事情もない
判例における内部統制⑮
日本システム技術 架空売上げ事件
30
営業秘密による情報セキュリティ
とその限界
31
情報セキュリティと法律-対応の観点から
セキュリティの確立を義務づける
「守りなさい」e.g.個人情報
法律で保護を受けるための条件
「これが必要です」
確立に際して踏み外しては
いけないこと「やりすぎてはダメ」
義務がなくても守りたい情報
e.g.ノウハウ、技術、顧客
確立の努力
確立の努力
確立の努力
適法かつ法律を活かした
情報セキュリティ
32
不正競争防止法の営業秘密
Q 1
産業スパイが会社の女子社員をたぶらかし、オフィスに入れてもらい、パスワードを借りて会社の重要機密情報にアクセスし、持ち込んだ媒体(USB)に
コピーして持ち出した。窃盗罪は成立するか?犯罪が成立するか?
建造物侵入
⇒ △
不正アクセス禁止法違反
⇒ △
窃盗
⇒ ☓
33
34
企業秘密保護の必要性が高まる
• 持出し・移転が容易に。
• Winny等による二次被害。
• 安価な労働力に対抗するためには、高付加価値の商品・サービスの提供を可能にする技術・ノウハウ情報が不可欠。
・ 交流の活発化によって
これらの国の企業からの漏えいも。
• 技術・ノウハウを手土産に他社へ。
• 退職者からの漏えい。
• パート、アルバイト、派遣社員からの漏えい。
デジタル化
ネットワーク化
東アジア諸国台頭
雇用の流動化
不正な競争行為の防止を目的とする法律
☞ 他社の商号や営業表示を勝手に利用する行為、
☞ 他社の商品に名前や形がよく似た商品を売り出す行為
☞ 他社の商号や商品と同じドメインを取得する行為
☞ 顧客名簿や技術・ノウハウの情報である「営業秘密」を盗み出す行為
35
不正競争防止法とは
不正競争
36
営業秘密とは①
「営業秘密」とは簡単にいえば、企業秘密のこと。顧客名簿や技術・ノウハウの情報が典型だが、技術と営業に関する事業活動にとって有用な情報は広く「営業秘密」になりうる。
不正競争防止法は、一定の要件を満たす企業秘密を「営業秘密」として、これを盗み出したり、使用・開示する行為を民事・刑事の責任の対象にしている。
もちろん、情報セキュリティの観点から重要なのは、事後的に責任追及をすることではなく、漏えいさせないことだが・・・
事後的に責任を追及されるのであれば手は出しにくい。
「営業秘密」にあたれば、法律によって守られる。
37
営業秘密とは②
「営業秘密」にあたればどんないいことがあるのか?
営業秘密の侵害は犯罪。
営業秘密侵害行為(「不正競争」)については損害額の推定あり。
38
営業秘密の3要件
①秘密として管理されていること(秘密管理性)
②有用な情報であること(有用性)
③公然と知られていないこと(非公知性)
(a)情報にアクセスできる
者が制限されていること(アクセス制限)
(b)情報にアクセスした者にそ
れが秘密であると認識できること(客観的認識可能性)
39
営業秘密に係る「不正競争」の類型
営業秘密については、その侵害行為に対する損害賠償請求、差止請求等が認められている。
「侵害行為」とは?
不正競争防止法第2 条第1 項第4 号~第9 号において、侵害行為、つまり、営業秘密を不正に取得、使用、開示する行為は類型化され「不正競争」と定義される。
これに当てはまる場合にのみ、損害賠償や差止が認められるので、この類型は重要。
民事
「不正競争」は、①事業者から不正に取得する行為から始まる場合と、②事業者から正当に取得した者が不正に使用・開示する行為から始まる場合に分類することができる。
①の始まりである「不正取得行為」は、営業秘密を保有する事業者から、不正の手段で奪取する行為であるのに対して、②の始まりである「不正開示行為」は、事業者が事業者の意思で教えてくれた営業秘密について、事業者の信頼を裏切って使用・開示してしまう行為。
「図利加害目的」とは、不正の競業その他の不正の利益を得る目的やその事業者に損害を加える目的をいう。
40
営業秘密に係る「不正競争」の類型
不正取得行為:
窃取、詐欺、強迫その他の不正の手段により営業秘密を取得する行為
不正開示行為:
事業者からその営業秘密を示された者が、図利加害目的でor守秘義務に違反して、その営業秘密を開示する行為
民事
「不正競争」 -「不正取得行為」で始まるものー
不正取得行為(第2条1項4号) ←で取得した情報を使用・開示する行為(4号)
不正取得行為によって外部に出た営業秘密であることを知って、若しくは重大な過失により知らないで営業秘密を取得する行為(5号)
←で取得した情報を
使用・開示する行為(5号)
取得した時点では、不正取得行為によって外部に出た営業秘密であることを知らなかったが、取得した後に不正取得行為があったことを知って※、又は重大な過失により知らないでその取得した営業秘密を使用・開示する行為(6号)
知り・知るべくして取得
知り・知るべくして使用・開示
※ 取得した後に知るのはどのような場合か・・・ 報道や営業秘密を保有する事業者からの警告
41
民事
42
「不正競争」 -「不正開示行為」で始まるものー
取得は保有者の意思による
正当なもの
不正開示行為によって外部に出た営業秘密であることを知って、若しくは重大な過失により知らないで営業秘密を取得する行為(8号)
←で取得した情報を
使用・開示する行為(8号)
取得した時点では、不正開示行為によって外部に出た営業秘密であることを知らなかったが、取得した後に不正開示行為があったことを知って、又は重大な過失により知らないでその取得した営業秘密を使用・開示する行為(9号)
知り・知るべくして取得
知り・知るべくして使用・開示
不正開示行為(7号)※
※ 7号の行為は、不正開示行為の開示のうち「守秘義務に違反して開示」を含ま ない。「図利加害目的の開示」だけ。また、開示のみならず使用も含まれる。
42
民事
43
「不正競争」に対する救済 –差止請求-
不正競争によって営業上の利益を侵害された場合、営業秘密を保有する事業者は、その侵害行為をやめさせる(差止請求)ことができる。差止請求の一環として以下の請求も可能。
侵害行為によって生じたもの等(侵害組成物)の廃棄
設備や機械を準備して営業秘密を使用する場合には、設備や機械の廃棄
Q: 現在侵害行為が行われている場合はやめさ
せることができるが、侵害行為の準備をしている場合に予防措置を求めることができるか?
A: できる
できない
民事
44
「不正競争」に対する救済 –損害賠償請求-
故意又は過失により不正競争を行って他人の営業上の利益を侵害した者は、それによって生じた損害の賠償責任を負う。
民法の不法行為に比べて、損害の立証が容易になっている。
民法では、損害は被害者が立証しなければならないが、具体的にいくらの損害が生じたということを立証するのは簡単ではない。
特に、営業秘密を奪われただけでは、それがいくらの損害をもたらすのか証明することは困難。
そこで、不正競争防止法は、侵害者が利益を得ている場合には、その利益の額を賠償請求できるとした(第5条2項)。また、技術的情報の侵害の場合は、侵害
者が販売した物の数量×被害者が侵害行為がなければ売ることができた物の単位数量あたりの利益の額を賠償請求できるとした(第5条1項)。
民事
45
「不正競争」に対する救済 –損害賠償請求-
営業秘密盗取!
被害者
売上
5億円
売上
5億円
売上
5億円
加害者
盗取者は
5千万円で
売却
購入者は類似製品を製造
類似製品の販売数10
万個
2010年
3月末
2010年
6月
2011年
3月末
2012年
3月末
民事
46
「不正競争」(民事)の小括
不正競争は様々な類型をカバーしており、かつ差止・損害賠償等の保護もあつい。
営業秘密であることのメリットは大きく、逆にいえば、訴訟において、「秘密管理性」が立証できないことのダメージは大きい。
民事
営業秘密侵害罪の類型-法第21条1項1号~7号-
1号 図利加害目的での不正取得行為
2号 不正取得行為により不正に取得した営業秘密を、図利加害目的で、使用・開示
3号 営業秘密を示された者が、図利加害目的で、その営業秘密の管理に係る任務に背いて、有体物に記録されるなどした営業秘密を領得
4号 営業秘密を示された者が、その営業秘密の管理に係る任務に背いて、領得した営業秘密を、図利加害目的で、使用・開示
5号 営業秘密を示された役員又は従業者が、図利加害目的で、その営業秘密の管理に係る任務に背いて、その営業秘密を使用・開示
6号 営業秘密を示された役員又は従業者であった者が、図利加害目的で、在職中に、その営業秘密の管理に係る任務に背いてその営業秘密の開示の申込みをし、又はその営業秘密の使用・開示について請託を受けて、その営業秘密を退職後に使用・開示
7号 図利加害目的で、上記②④⑤⑥の罪に当たる開示によって営業秘密を取得して、その営業秘密を使用・開示
刑事
営業秘密侵害罪の類型 図利加害目的
「不正の利益を得る目的で、又は保有者に損害を加える目的で」
図利加害目的 → 利益も損害も広く解されている。
Q: 外国政府を利する
目的で外国政府に開示する行為は?
A: 図利~である
図利~でない
Q: 企業の不正を告発
する目的で開示。ただし、企業に大損害必至。
A: 図利~である
図利~でない
Q: 残業目的で上司の
許可を得ずに、自宅に持ち帰る。
A: 図利~である
図利~でない
48
刑事
営業秘密侵害罪の類型 不正取得・領得
不正取得(1号、2号、7号)とは、「詐欺等行為」 + 「管理侵害行為」
領得とは(3号、4号、7号)、 営業秘密を事業者から示された者が、その営業秘密を管理する任務に背いて、権限なく営業秘密を保有者の管理支配外に置く行為。
その方法は↓
媒体を横領する行為(3号イ)、
情報の複製を作成する行為(3号ロ)
消去すべきデータを消去せず、かつ、データを消去したように仮装する行為(3号ハ)
人を欺き、人に暴行を加え、又は人を脅迫する行為
• 営業秘密が記録された媒体の窃取
• 営業秘密が管理されている施設への侵入
• 不正アクセス行為
その他の保有者の管理を害する行為
49
刑事
営業秘密侵害罪の特色
親告罪
刑事手続に載せるかどうか、被害企業が決めることができる。なお、刑事手続きにおける秘密保護の仕組みが近時法改正により新設された。
両罰規定
法人の業務に関して一定の営業秘密侵害罪(1号、2号、7号)が行われた場合に
は、侵害者のみならず、侵害者の所属する法人に対しても罰金刑が科されうる(上限3億円)
国外犯の処罰規定
日本国内で管理されていた営業秘密が国外で不正に開示・使用されても処罰されうる。
退職従業員
退職従業員も処罰の対象とされる。退職従業員が在職中の約束に基づいて営業秘密を不正に開示・使用した場合にも、営業秘密侵害罪となる。
50
刑事
51
「営業秘密侵害罪」(刑事)の小括
営業秘密侵害罪も、時代に応じた工夫がなされており、内外の侵害者の責任を追及するツールとしての価値は高い。
ここでも、営業秘密であることのメリットは大きく、逆にいえば、「秘密管理性」がないことのダメージは大きい。
自社において、侵害者の責任追及を決定した場合も問題だが、顧客から刑事告訴を要請された場合には、さらに問題が大きくなる。
刑事
52
営業秘密の3要件(再び)
①秘密として管理されていること(秘密管理性)
②有用な情報であること(有用性)
③公然と知られていないこと(非公知性)
(a)情報にアクセスできる
者が制限されていること(アクセス制限)
(b)情報にアクセスした者にそ
れが秘密であると認識できること(客観的認識可能性)
秘密管理性の判断要素
裁判例は、営業秘密として不正競争防止法上の保護を受けるための要件(秘密管理性)として、①アクセス制限の存在、及び、②客観的認識可能性の存在を必要としているが、裁判例で考慮されている具体的な管理方法をすべて実施していることまでを求めているのではなく、事業規模、業種、情報の性質、侵害態様等も踏まえ、秘密管理の合理性を総合的に判断する傾向にある。事業者においては、具体的管理方法を適切に組み合わせてその管理水準を一定以上のものにすることにより、法的保護の可能性を高めることが望ましい。
(営業秘密管理指針28頁)
秘密管理性の要件は2つ・・
この2つを認めるのに裁判所が着目するのが
A) アクセス権者の限定・無権限者によるアクセスの防止
B) 秘密であることの表示・秘密保持義務等
C) これらが機能するように組織として何らかの仕組みを持っていること(組織的管理)
53
A) アクセス権者の限定・無権限者によるアクセスの防止
アクセス権者の限定
施錠されている保管室への保管
事務所内への外部者の入室の禁止
電子データの複製等の制限
コンピュータへの外部者のアクセス防止措置
システムの外部ネットワークからの遮断
B) 秘密であることの表示・秘密保持義務等
「秘」の印の押印
社員が秘密管理の責務を認知するための教育の実施
就業規則や誓約書・秘密保持契約による秘密保持義務の設定等
C) 組織としての仕組みを持っていること(組織的管理)
情報の扱いに関する上位者の判断を求めるシステムの存在
外部からのアクセスに関する応答に関する周到な手順の設定
裁判例における肯定的な
判断要素の概略
54
55
ソーシャルメディアと情報漏えい
-「営業秘密」の限界-
ソーシャルメディアの発展と
「軽い」情報管理の必要性
個人による情報発信が可能に。
その「発信力」の強さは、想像以上・・・
これらは、携帯などにより簡単に、かつ媒体などを使わないで記憶ベースで漏えい(発信)される。
従来の情報管理策が通用するのか?
56
↓
情報漏えい
掲示板・口コミサイト
↓ 社内情報に基づく誹謗中傷
57
事件発生(Twitterから)
ホテル従業員情報漏えい事件
58
I(サッカー選手)とT(人気モデル)ご来店 Tまじ顔ちっちゃくて可愛かった…今夜は2人で泊まるらしいよ お、これは…(どきどき笑) ____________________________
Posted at 22:50:07
Permalink-2011年01月11日
#:XXX:2011/01/12(水) 02:44:29.84 ID:
店員馬鹿だなー
#:XXX:2011/01/12(水) 02:46:59.78 ID:
これマジっぽいな。
# :XXX:2011/01/12(水) 02:45:47.39 ID:
守秘義務ってもんがあるだろ ふざけた店だな
#:XXX: 2011/01/12(水) 02:42:21.12 ID:
a●●による
問題の投稿
ホテル従業員情報漏えい事件
59
久々にバイト先で芸能人見たー 大沢たかおが店に来た…!
意外とフツーな感じだったけど、コーヒー出した時 目を合わせてありがとうって言われてかっこよかったぜ…!背がめちゃくちゃ高かったなぁ…180はあるんじゃない?
____________________________11:17 PM Jan 4th Keitai Mailから
#:XXX: 2011/01/12(水) 02:46:58.93 ID:
不特定多数の人間に誰々が泊まってるとかバラして良いの?
#:XXX: 2011/01/12(水) 02:47:48.80 ID:
カップルうんぬんより、この暴露した店の所在が気になる
# : XXX:2011/01/12(水) 03:09:11.68 ID:
ホテル従業員情報漏えい事件
60
そしてバイト先のホテルを通り過ぎて帰路 後ろの右にあるビルの最上階´∀` 今日忙しいんだろうなぁ笑
2010年11月20日 17:01:28
#:XXX: 2011/01/12(水) 03:10:41.39 ID:
大沢たかお危なかったなw
#:XXX: 2011/01/12(水) 03:12:15.91 ID:
いやな店だな。
# :XXX: 2011/01/12(水) 03:21:34.78 ID:
こいつのTL読んでみたけどこれホテルなんだろ?
ばれたら相当やばいんじゃね
# :XXX: 2011/01/12(水) 03:15:11.18 ID:
これ見るとウェスティンホテル東京がバイト先?
#:XXX: 2011/01/12(水) 03:15:35.88 ID:
こいつよりこの店の信用が終わり
#:XXX: 2011/01/12(水) 03:21:18.40 ID:
芸能記者は今からそのホテルではってればいいんだなw
# :XXX: 2011/01/12(水) 03:32:26.02 ID:
ホテルにとっちゃとんでもないイメージダウンだろ
# :XXX: 2011/01/12(水) 03:29:41.05 ID:
# :XXX: 2011/01/12(水) 03:31:54.49 ID:
なんでこういうこと軽々と漏らしちゃうかなあ
ホテル従業員情報漏えい事件
61
私、ホテルの中のレストランでアルバイトをしているんですが…うちにStevie Wonderが泊まってるらしい!会いたいー笑
#:XXX: 2011/01/12(水) 03:57:08.35 ID:
# :XXX: 2011/01/12(水) 04:02:43.50 ID:
コイツの口の軽さはなんなのwww
ホテル従業員情報漏えい事件
62
私、明日もバイトなわけだが…明日は超超VIPな人が来る。うちのレストランのマネ2人が玄関に迎えに行く程の。警視庁のSPが警備に来るとかどんだけwwwwww
11:09 PM Oct 18th, 2010 ついっぷる/twippleから
@a●●だれ!?聞いていいのかな!
11:14 PM Oct 18th, 2010 Twitter for iPhoneから a●●宛
@XXX 日銀の総裁と日産のCEOwwwww たぶん円高への対応と中国と今後の日本経済についての密談じゃないかな?←完全に個人的推測です
11:20 PM Oct 18th, 2010 twittmail.jpから XXX宛
#:XXX: 2011/01/12(水) 04:22:50.44 ID:
# :XXX: 2011/01/12(水) 04:23:01.79 ID:
ワロタw
# :XXX: 2011/01/12(水) 04:24:15.15 ID:
完全に信用なくなったな
# :XXX: 2011/01/12(水) 04:45:39.61 ID:
わざわざ隠れられるいい店予約したら 従業員が食ってる間ツイッターで全世界に報告してんだぜ マジで信じられない
ホテル従業員情報漏えい事件
63
6. 個人情報の提供について
当ホテルでは、次の場合を除いて、お客様の個人情報を第三者に提供、または開示することはありません。
https://www.westin-tokyo.co.jp/policy/index.html
2011年5月、スポーツブランド店Aの銀座店舗に来店した現役Jリーガーについて店員のツイッター・・
本件も、本人の氏名、経歴等が特定されたうえ、本人、家族、彼氏の写真も出ていたことから、多数の掲示板等で晒される結果に
スポーツブランド店は、Jリーガーと家族に謝罪。
同種の事件ースポーツブランド店店員事件
64
そいえば今日×××が来た。ビッチを具現化したような女と一緒に来てて、何かお腹大っきい気がしたけど結婚してんの(^ω^)??
アシュトンカッチャー劣化版みたいな男が沢尻劣化版みたいな女連れてきたよwとりあえずデカイね、ホントにwww
ホットドッグチェーンの事件(2005年8月)
コミックマーケット会場に出店したホットドッグチェーン店の店員が、コミケ参加者
に対して自身のブログで侮蔑的な表現を行う。これが掲示板などで反発を買い、掲示板で騒ぎに。同チェーンのフランチャイズ本部にも苦情が寄せられ、本部はホームページで謝罪した。
男性アイドル宿泊室レポートの事件(2011年8月)
男性アイドルが宿泊したホテルの従業員が、アイドルがチェックアウトした後の部屋の空き缶や灰皿を撮影してツイッターに投稿。
大手デパート内定者の事件(2011年2月)
東京都の私大学生がTwitterで、「レイプねー。別に悪いと思わないね。」「女がわりー」とツイートして、炎上。内定先への抗議電話等もあり、Yahoo!ニュースで報道される。
同種の事件ーその他
65
牛丼チェーンの事件(2007年12月)
牛丼チェーンの従業員が、深夜の店舗で「テラ豚丼」と称する特大盛りのどんぶ
りを作ってその様子を撮影。ニコニコ動画にアップした。「食べ物を粗末にする」「不衛生」といった批判がなされて、テレビや新聞でも報道された。牛丼チェーンは「お客様相談室」名義で謝罪。その後、従業員は特定され「処分」。
アイスクリーム用冷凍ケースの事件-高知(2013年7月)
高知県のコンビニのアルバイトが、アイスクリーム用の冷凍ケース内に寝そべった写真をツイッターに投稿。店舗は休業。
ハンバーガーチェーンの事件(2013年6月)
ハンバーガーの全国チェーン店で、アルバイトが床におかれた大量のバンズの
上に寝そべる写真をツイッターに投稿。チェーンは、店舗とアルバイトに対して「厳重な処分を下した」とする。
「不適切投稿」の類型
66
一般的な対策のリスト
社内からのアクセスのモニタリング
届出制と情報発信のチェック
個別契約の締結・誓約書の徴求
就業規則による利用制限
利用ガイドラインの作成
67
原因究明
謝罪
再発防止策の策定
苦情・質問窓口の設置
発信者の懲戒処分
事前の対策 事後の対策
「軽い」情報管理の必要性
個人による情報発信が可能に。
その「発信力」の強さは、想像以上・・・
これらはいずれも従業員が社外に情報を持ち出す形で行われるが、営業秘密による「重い」情報管理の対象とならない情報が持ち出される場合が多い。
これまでも、ブログやホームページの失言が原因となって、発信者が叩かれることはしばしばあった。しかし、Twitterは、気軽に身の回りのことを素材にして更新でき、かつ友人からも反応があるため、気軽になんでも発信する人が出てくる。
68
↓
情報漏えい
掲示板・口コミサイト
↓ 社内情報に基づく誹謗中傷
特に、業務に関連することを事細かに発信するケースあり。
情報の秘密性が失われたことによる損害というよりも、情報漏えいを起点として、風評被害が生じ、会社の信頼が損なわれる。
Twitter等への書き込みは自宅から携帯でもできるので、会社におけるモニタリングなどは意味がない。
そもそも、私的領域における行為であり、決定的な事前防止策はない。個々の従業員に注意をしてもらうしかない。
同種案件は多数あり、ほぼ全件なんらかの形で発信者が特定され、多くのケースで、氏名、学歴、勤務先等が調査されて、まとめサイトなどにより晒されている。
「軽い」情報管理の必要性
69
会社のリソースをまったく必要としないことに注意!
研修などにより従業員の意識を高め、不用意な漏えい行為は従業員自身にとってもたいへんな苦痛となりうることを周知すべき。
攻撃側の発信者に関する情報調査では、SNSが非常に大きな機能を果たしている。
結局は、従業員個人の方がダメージは大きいのであり、そのことを知ってもらうことが有効な対応策となる。
「利用のガイドライン」を作成することは有効
「軽い」情報管理の必要性
70
ソーシャルメディア利用ガイドライン①
ソーシャルメディアの利用について
(コンプライアンス・マニュアルNo.XXXX)
2012年○月○日
近時、会社の従業員がTwitterやブログ、掲示板などのソーシャルメディアを利
用して、①会社や会社の顧客の秘密情報を漏えいする、②会社や会社の顧客を誹謗中傷する、③自身の不行跡を公表するなどした結果、会社に風評被害をもたらす事件が相次いでいます。そのような事態を防止し適切なソーシャルメディアの利用をするため、「ソーシャルメディアの利用について(コンプライアンス・マニュアルNo.XXXX)」(以下「本マニュアル」)を策定しました。
1.インターネット上で情報を発信することの意味
インターネット上で発信した情報は世界中のすべての人が見ることができます。
当然のことですが、誰に見られてもいい情報のみを発信すべきです。ソーシャルメディアでの情報発信は、「友人同士のやり取り」のように感じられますが、実際には世界中に発信していることに注意しましょう。
71
ソーシャルメディア利用ガイドライン②
2.業務関連情報の漏えいに注意
ソーシャルメディアを利用すれば、あなたの身の回りのことを何でも簡単に発信
できます。「今日会社(店舗)でこんなことがあった」「会社(店舗)でこんな人に会った」といった業務に関連する情報を発信することは、業務上の秘密の漏えいにつながります。
3.「うっかり発信」に注意
ソーシャルメディアを利用した情報発信は、非常にかんたんで、場所も選ばず携
帯やスマートフォンからすぐに発信できます。このため、情報の内容をよく吟味せずに発信してしまうことが多く、後から問題に気付くことになります。内容が適切なものかどうか、送信する前に考えましょう。
4.更新を急がない、「面白く」しない
頻繁に更新しようとしたり、面白い情報発信をしようとすると、事実ではなくなったり、人の悪口になったりしがちです。
72
ソーシャルメディア利用ガイドライン③
5.会社に対する批判に注意
会社の仕組みや上司に対する批判があっても不思議ではありません。実際に
改善すべき点があることも多々あるでしょう。ただ、それを掲示板等に書き込むのはあなたにとっても会社にとってもいいことではありません。会社は誰が書いたか分からない情報を正当な批判ではなく誹謗中傷と考えて、法的手続きを通じて情報の発信者を特定することになります。あなたは会社に法的手続きの負担を強いたことについて処分を受ける可能性があります。他方で、会社はあなたが指摘しようとした問題を是正する機会を失うことになります。
会社の仕組みや上司に問題があれば、社内通報制度を利用してください。社
内通報制度を利用する場合、会社はそれを理由にあなたを処分することはできません。[あなたが批判する上司に対してあなたが批判したことが伝わることもありません。]社内通報制度の詳細については下記のウェブサイトを参照してください。 http://xxxxx.co.jp/compliance/hotline/
73
ソーシャルメディア利用ガイドライン④
6.発信者自身の被害
ツイッターが炎上した事案では、ほぼ全件、発信者個人が特定され、氏名、経
歴、顔写真などが晒されています。家族や友人の個人情報が対象になることもあります。軽率な発信は、自分や家族や友人を傷つけることになります。
7.問題発生時の対応
ソーシャルメディアの利用により、問題が発生した場合には、直ちに【担当部署】に相談してください。
2012年●月●日施行
[担当部署名]
[責任者]
74
不適切投稿は、情報漏えいというよりは、企業に対する嫌がらせ。
炎上して、発信者が特定されて晒されることとなる構造は同じ。
学生アルバイトなどが主な発信者であり、企業に対する帰属意識は低く、啓発・教育等の効果については疑問がある。懲戒処分の効果も低い。
客による店舗への嫌がらせのようなケースもあり、従業員によるものであっても、企業に対する直接的・意図的な加害行為として、民事(損害賠償責任)・刑事(器物損壊、業務妨害)を問う方が効果的ではないか。
ただし、従業員に対する損害賠償責任追及の訴訟においては、認容される金額はかなり少額となる。
「不適切投稿」の類型への対応
75
もっとも、児童による場合には、必ずしも厳しい対応が適切とは言い難く、社会全体の対応が期待される。
「若者が店舗などで不適切な写真を撮影し、ツイッターやフェイスブックなどに投稿する問題が相次いでいることから、総務省は、高校生や中学生たちによるソーシャルメディアの不適切な利用を防ぐためのガイドラインの作成を学校側に促すことになりました。」 9月6日NHKのウェブサイトより
「不適切投稿」の類型への対応
76
77
情報漏えい対策の際の
留意事項
【リソース】
経済産業省
「情報セキュリティ関連法令の要求事項集」
78
情報セキュリティと法律-対応の観点から
セキュリティの確立を義務づける
「守りなさい」e.g.個人情報
法律で保護を受けるための条件
「これが必要です」
確立に際して踏み外しては
いけないこと「やりすぎてはダメ」
義務がなくても守りたい情報
e.g.ノウハウ、技術、顧客
確立の努力
確立の努力
確立の努力
適法かつ法律を活かした
情報セキュリティ
問題の所在
79
情報セキュリティを高めようとして
従業員をシメる
委託先をシメる
委託先社員を指導
労働法違反!
独禁法(下請法)違反!
労働者派遣法違反!
80
労働法+従業員のプライバシー
労働法に関する問題
私用メールの禁止とメールやPCのモニタリング
誓約書の徴求
退職従業員の秘密保持+競業禁止
事故発生時に協力させること
違反行為に対する懲戒処分の有効性
81
情報セキュリティを高めようとして
従業員をシメる 労働法違反!
82
私用メールの禁止
メール・PCのモニタリング
83
私用メール禁止規定の有効性
私用メール禁止には、一定の合理性(服務規律)あり。
しかし他方で過度に渡らない私用メール等が許容されるべきことは社会通念として定着しているので、配慮も必要
全面禁止をする場合には
合理的理由(業務の性質上漏えいのおそれ大etc)
代替する私的通信手段の利用の配慮
の2つが必要
Q: 「会社のメールアカウ
ントを用いた私用メールは一切禁止」の規定は有効か?
情報セキュリティ関連法令の要求事項集
モニタリングの可否①
Q: 営業秘密等の漏えい
を防止するために、メールやPCのモニタリ
ングをすることは可能か?
モニタリングによって内容を取得すると①プライバシー侵害、②個人情報保護法の問題が発生。
プライバシー侵害の基準は以下の要素を総合的に考慮し、社会通念上相当として許容される範囲を逸脱するかどうかによる
目的が企業運営上必要かつ合理的なものか
手段・態様は相当か
従業員の人格や自由に対する行き過ぎた支配や拘束にならないか
従業員の側に監視を受けることも止むを得ないような具体的事情が存在するか
84
情報セキュリティ関連法令の要求事項集
モニタリングの可否②
プライバシー侵害の効果は?
もちろん損害賠償請求権。
ただし、程度が重大である場合には、
そのようなモニタリング等によって得られた情報は従業員に対する懲戒処分等の不利益を課す証拠となし得ないものとされる可能性もある(このような処理の可能性を認めた例として、東京地判H16.9 .13)。
以下のような事項についてモニタリングに関する規定を作成して周知すべき。
対象となる機器等の私的利用に関するルール(私的利用の許容範囲等)
モニタリングを実施する権限と責任の所在
モニタリングを実施する目的
モニタリングの具体的実施方法(対象となる媒体等及び調査の手法、事前予告の有無等)
収集した情報の保存期間
モニタリングの適正を確保するための監査に関する事項
85
実質的就業規則となり得ることに注意
【事案】
原告従業員は、使用者である被告R機構に対しH13年12月末に退職したい旨の申出をして、11月から有給。
12月10日・17日発売の週刊誌にR機構の内部告発記事が掲載される。
告発内容から情報提供者は原告ではないかと考えたR機構は、原告が使用していたPCをチェック。
その結果①就業時間中に他部署の文書データを閲覧した事実が多数判明し、②内部文書を直接週刊誌に提供した疑いが生じた。
監督官庁への説明等のため、原告の事情聴取の必要があるとして、R機構は、原告に出頭命令をしたが、③原告はこれを拒否し、予定どおり退職。
【事案】(続き)
R機構は、①~③の就業規則違反を理由に退職金を10%減額して支給。
原告は、この減額分の支払請求とPC
チェックによるプライバシー侵害等の不法行為を根拠とする損害賠償請求を理由としてR機構を提訴。
【争点】
就業規則違反は認められるか
PCのチェックはプライバシー侵害か
東京地判H16.9.13(原審)
R機構 批判記事事件①
86
【原審の判断-退職金減額について】
①就業時間中に他部署の文書データを閲覧した事実が多数あるが、大部分は、業務と関連があり私用のために行われたと推認することは困難。
②内部文書を直接週刊誌に提供したとは認められない。
③出頭命令の拒否については、対面の方がメールや郵便よりも事情聴取として迅速・確実であり、原告は有給休暇中ではあったが、出頭は可能であったことから、出頭命令は合理的で、原告はこれに応じる義務があった。
したがって、これを無視した原告には就業規則違反があり、10%の減額は有効。
【原審の判断-プライバシーについて】
仮に証拠収集がプライバシー侵害に当たる場合でも、証拠排除の対象となるのは、侵害の程度が著しい場合に限られる。
調査目的は監督官庁への説明等。
調査方法は、リース元への返却に伴い原告から回収した後で調査項目を作業の対象となった電子ファイルの保存場所、ファイル名、作業開始日時、継続期間等に限って調査するもの。
調査目的は正当であり、調査態様も妥当。
プライバシー侵害なし
東京地判H16.9.13(原審)
R機構 批判記事事件②
87
【控訴審の判断-退職金減額について】
①は原審と同じ。
②は原審と同じ。
③出頭命令の拒否については、まず原告は、資料管理課の課長代理であり、企業秩序違反事件に協力するような職責にない。
「公費を湯水のように使う」「観光目的で海外出張をしている」等の記事に対する反論は、R機構内部の調査によることが効果的であり、原告の事情聴取は必要ではない。
したがって、これを無視した原告には義務違反はなく、10%の減額は裁量を逸脱するものとして無効。
【控訴審の判断-プライバシーについて】
原審と同じく、プライバシー侵害なし。
【上告審の判断】
上告理由なし⇒棄却
上告受理申し立ても理由なし。
東京高判H17.3.23(控訴審)
R機構 批判記事事件③
88
最決H17.9.20(上告審)
89
私有端末の企業利用(BYOD)
従業員の私有PC、スマートフォンで企業のメールやサーバーにアクセスするBYOD (Bring Your Own Device) が増加。
私有デバイスの紛失や盗難による、企業情報の漏えいや不正侵入などのリスクあり。
BYODの運用をどのようにするかは、企業の情報セキュリティと従業員の権利のバランスの問題の一類型。
一般社団法人コンピュータソフトウェア協会(「CSAJ」)が規程類と解説を策定して公表。
http://www.csaj.jp/info/13/130711_byod.html
私有端末の企業利用(BYOD)
90
<BYOD運用規程 骨子案>
1.利用の条件
利用者について
• 希望者に限るべきか。
• バイト、委託先等についてはみとめるべきではないのではないか。
• 教育を条件とするべきでは。
業務の限定
• 必要性と許容性に関する検討が必要ではないか。
デバイスの要件
• ハード、ソフト(MDM)のスペック
2.利用開始の手続き
申請・承認等の手続き
利用の条件の確認、デバイスのチェック、アクセス権限の設定等
私有端末の企業利用(BYOD)
91
<BYOD運用規程 骨子案>
3.モニタリング
デバイスチェックの手続き
4.緊急事態
紛失等の報告の手続き
報告を受けた後の会社側の手続き
5.利用終了時の処理
情報の消去の確認
私有端末の企業利用(BYOD)
92
93
退職従業員の問題
【事案】
産業用ロボット・金属工作機械の製造メーカーの従業員2名が独立して同業の会社を立ち上げて、元いた会社(原告)の顧客3社から仕事を受注。原告会社は、競業避止義務違反に基づく損害賠償(1350万円)を求めて2名と新会社を提訴。
競業行為を禁じる就業規則、個別合意はない。
【争点】
在職中の開業準備行為は労働契約に基づく競業避止義務違反となるか?
退職後、原告会社の顧客から仕事を受注する行為は、債務不履行・不法行為にあたるか?
【地裁の判断】
① 開業準備行為について
労働者は労働契約存続中は、付随的
義務として使用者の利益に著しく反する競業行為を差し控える義務を負う。被告らは労働契約存続中に事業資金の借り入れなどの開業準備行為を行ったが、在職中に競業行為をおこなったわけではなく、開業準備行為については原告会社の利益に著しく反するような事情もないから、労働契約に基づく競業避止義務違反にはあたらない。
② 退職後の行為は債務不履行か?
競業禁止の就業規則・個別合意がないので債務不履行ではない。
名古屋地裁一宮支部H20.8.28 名古屋高裁H21.3.5 最高裁H22.3.25
三佳テック事件①
94
【地裁の判断】(続き)
③ 退職後の行為は不法行為か?
労働者には、退職後は職業選択の自由があり、原則として競業行為は禁じられない。退職後の競業行為が不法行為となるためには、退職前に知り得た営業秘密を利用したり、取引上逸脱した方法、態様で営業上の利益を侵害するなどの事情が認められる場合に限られる。
本件においては、在職中に担当していたB社らとの取引に関する知識、経験、技能等を生かして原告の顧客から仕事を受注し、原告の利益を損なったものといえる。しかし
B社に対して、原告会社と同種の事業をしており、同様に仕事を受注できるという説明を超えて積極的に働きかけたわけではない
在職中に得られた知識を利用して原告会社より有利な条件で取引を持ち掛けたといった事情はない
B社からの原告会社に対する発注もなくなったわけではない
B社は原告会社の取引先の一部に過ぎない
被告らは開業当初B社以外からも仕
事を受注しており、もっぱら原告会社の取引先から受注することを企図して開業したとは認められない
ことからすると、取引上逸脱した方法、態様で原告会社の営業上の利益を侵害したと評価することはできない。したがって、不法行為は成立しない。
名古屋地裁一宮支部H20.8.28 名古屋高裁H21.3.5 最高裁H22.3.25
三佳テック事件②
95
【高裁の判断】
一般に、被用者は、使用者の正当な利益を労使間の信頼関係に反するような態様で侵害してはならないという雇用契約上の付随義務ないし信義則上の義務を負う。被用中に競業行為を行って使用者の正当な利益を害した場合は、上記義務の違反として債務不履行責任を負うとともに、不法行為責任を負う。
他方、雇用契約終了後は、当然に競業避止義務を負うものではないが、元従業員の競業行為が社会通念上自由競争の範囲を逸脱した違法な態様で雇用者の顧客を奪取したとみられるような場合等は、不法行為を構成することがある。
本件においては、在職中に業務を通じ
てその需要や受注内容を熟知していたB社らを主たる取引先として事業を運
営していくことを企図して原告会社と同種の事業を行う会社を立ち上げ、その企図どおり、個人の資質・信用というよりはむしろ原告会社の顧客情報を利用して、さらに原告会社の窮状に乗じてB
社からの売り上げを奪い、原告会社に大きな営業損を生じさせた反面、新会社のほぼ全営業を原告会社の従前からの顧客に依存させるような結果を生じたことを考え合わせると、被告らの行為はもはや社会通念を逸脱した違法な行為と評価せざるを得ない。したがって不法行為が成立する。
名古屋地裁一宮支部H20.8.28 名古屋高裁H21.3.5 最高裁H22.3.25
三佳テック事件③
96
【最判の判断】
(一般論は高裁と同じ) 本件被告らは、
退職のあいさつの際に取引先の一部に対して、独立後の受注希望を伝えているものの、原告会社の営業担当としての人的関係を利用することを超えて、原告会社の営業秘密に係る情報を用いたり、その信用を貶める等の不当な方法で営業活動を行ったわけではない。
承継した取引先4社のうちB社以外の3社は新会社開業後5カ月ほど経過した時点で取引が始まった
開業後すぐに取引が始まったB社
についてはそもそも原告会社が営業に消極的な面があった。
原告会社の弱体化状況をことさらに利用したとも言い難い。
以上を総合考慮すると、本件競業行為
は、社会通念上、自由競争の範囲を逸脱した違法なものということはできず、被告らに不法行為は成立しない。
名古屋地裁一宮支部H20.8.28 名古屋高裁H21.3.5 最高裁H22.3.25
三佳テック事件④
97
98
退職従業員と秘密保持義務・競業避止義務
秘密については、営業秘密として不正競争防止法で保護。
強力な保護だが要件も厳格
就業規則にこれらの義務を記載。
裁判例は有効性を認める傾向にある。
しかし、就業規則には退職後の法律関係を定めることはできないとする見解が依然有力
個別契約
ただしやり過ぎると無効に・・
△
○
○
Q: 退職した従業員に秘
密保持義務・競業避止義務を負わせるために有効な方法は?
99
退職従業員と競業禁止義務規定①
程度問題
裁判例が着目するポイントは以下のとおり
使用者の正当な利益
従業員の地位(在職時の職責)
禁止される行為の内容
行為が禁止される場所・期間
代償措置の有無
使用者の利益
独自性のある技術上・営業上の情報
形成に特別な投資を必要とする顧客関係
禁止される行為
同業者への再就職自体を禁止するのは場合によっては従業員に酷
Q: 退職した従業員に「競業禁
止義務」を負わせる就業規則・個別契約の規定は退職従業員の職業選択の自由を奪うものとして無効となるか?
100
退職従業員と競業禁止義務規定②
禁止される場所・期間
退職後の期間: 2年○ 10年×
制限される場所: 担当地域○ 全国×
ただし、使用者の利益が技術情報である、使用者が全国展開しているなどの理由により、場所的限定がなくても有効とした裁判例あり。
代償措置
有効性の不可欠な要件とする裁判例と有効性判断の一事情とする裁判例有り。
代償措置なく有効性を認めた事案の多くは、禁止の内容が制限されている事案
広範な制限規定に対して合理的限度で有効とする限定解釈の裁判例が出てきている。
Q: 退職した従業員に「競業禁
止義務」を負わせる就業規則・個別契約の規定は退職従業員の職業選択の自由を奪うものとして無効となるか?
101
秘密保持契約
締結時期は何時がよいか
①入社時
→ 秘密情報の特定が困難
②退職時
→ 拒否されるおそれあり
③秘密情報を開示する段階
秘密保持契約は退社後も有効か
東京地判H14.8.30
秘密の性質・範囲・価値・従業員の退職前の地位に照らし合理性が認められれば有効
違約金の定めは効果的だが・・・
Q: 退職した従業員に秘密
保持義務を負わせるために有効な方法は?
契約書に違約金を規定してもいいか?
退職従業員と秘密保持契約①
102
違約金の定めは、(i)威嚇効果あり(ii)損害の立証の困難を回避できる しかし・・・
労基法第16条
「使用者は、労働契約の不履行について
違約金を定め、又は損害賠償額を予定する契約をしてはならない。」
本条違反は、「6箇月以下の懲役又は30万円以下の罰金」(労基法第119条1号)
第16条は、金額を予定することを禁止する
のであって、現実に生じた損害について賠償を請求することを禁止する趣旨ではない。(昭22・9・13次官通達17号)
競業禁止義務違反の場合の退職金減額規定を認めた最判S52.8.9もある・・・
「会社に生じた損害は賠償するものとする」
くらいはOKでは。
Q: 退職した従業員に秘
密保持義務を負わせるために有効な方法は?
退職従業員と秘密保持契約②
103
事故発生時の調査協力等
104
調査協力の限界①
企業は、企業秩序違反事件について調査をすることができる。
しかし、労働者が、これに対応して、いつ、いかなる場合にも、当然に、企業の行う右調査に協力すべき義務を負うわけではない(最判S52.12.13)
調査協力義務を負うのは次の二つの場合であることが明確にされている。
第1に、管理職のように、その職責に照らし
て職場秩序維持に責任を負っているために、調査に協力することが職務の内容となっており、調査に協力する義務が労務提供義務の履行そのものであるといえる場合。
Q: 情報漏えいを発生させた従
業員に対して調査の協力を求めたい。具体的には、私物PCを調べたいのだが・・
105
調査協力の限界②
第2に、一般の従業員であっても、労働者が労務提供義務を果たす上で必要かつ合理的であると認められる範囲においてこの義務を負うことになる。
受忍すべき調査協力の内容に関して、具体的には、調査対象である違反行為がどのような性質・内容を有するものであるのか、違反行為が労働者の職務遂行とどのような関係にあるのか、ほかに適切な調査方法がないのか等が総合的に判断されることになる。
これを前提とすると、たとえば、従業員が私物PCに業務上の情報を保管し、Winny
などにより、その情報の流出事故を生じさせたような場合、かかる行為は、企業に多大なる損害を与える性質・内容であり、従業員の職務遂行上密接に関係するものであり、事件を解明するために従業員の私物PCを調査する方法として合理性があると考えられるので、従業員は、調査協力義務を負う。
情報セキュリティ関連法令の要求事項集
106
始末書・職業訓練
始末書徴求
客観的な状況説明に過ぎないものであればOK。
謝意を強制する内容のものは、懲戒処分にあたるので就業規則上の規定が必要。
教育訓練
会社には実施権限がある。もっとも実質的には教育の意味のない「見せしめ」的なものはダメ。
Q: 情報漏えいを発生させた従
業員に対して、①始末書を書かせたい。②職業訓練をしたい。
107
違反行為に対する懲戒処分
情報漏えいの事後対応 ToDoリスト
<すぐに>
• 漏えい情報の範囲の確定
• 原因・状況の確定
• 漏えい継続の回避
• 二次被害の検討
• 被害者(もしいれば)への連絡・通知(二次被害回避のため)
<次に>
• 所管官庁等への報告
• 公表・開示
• 窓口の設置
• 想定問答作成
• 再発防止策(概略)
<その次に>
• 関与者の処分
• 再発防止策(詳細)
• 犯人に対する法的責任の追及・被害回復
知る・止める
外に知らせる
事後の処理
懲戒処分-ソーシャルメディアからの漏えいに注意-
情報漏えいによって会社に損害を与えた従業員に対して懲戒処分を行うことは、再発防止策として重要。適切な懲戒が為されないと、他の従業員による同種事案の再発につながることも・・
しかし、他方で、具体的事情の下において度を越した懲戒処分は無効(労働契約法第15条)。特に、懲戒解雇については慎重な判断が必要(労働契約法第16
条)。
特に、ソーシャルメディアからの情報漏えいの場合、従業員の私生活上の行動であることに注意を要する。
私生活上の行動については、原則として会社の規制に服することはないが、従業員の私生活上の行動によって会社の社会的評価が低下したり、企業秩序が乱されたりした場合には、懲戒処分の対象となり得る。
もっとも、私生活上の行動を理由とする懲戒処分の有効性は、厳格に判断される。
109
「当該行為の性質、情状のほか、会社の事業の種類・態様・規模、会社の経済界に占める地位、経営方針およびその従業員の会社における地位・職種等諸般の事情から総合的に判断して、右行為により会社の社会的評価に及ぼす悪影響が相当程度重大であると客観的に評価される場合でなければならない」とする日本鋼管事件(最判昭和49年3月15日)が概ね踏襲されている。
懲戒処分には、就業規則における懲戒事由の規定が必要。社外・勤務時間外におけるソーシャルメディアの利用については懲戒事由のうち、「不名誉な行為により会社の体面・信用を傷つけたとき」等の体面汚損条項が根拠となる。
顧客のプライバシー侵害や、顧客に対する誹謗中傷が原因となって会社の社会的評価が大きく低下したと評価できる場合には、この条項を根拠とする懲戒処分が認められる。
バス・タクシーの運転手が職場外の飲酒運転について最判昭和53年11月30日、大津地判平成元年1月10日(いずれも有効)、電車内の痴漢行為について東京高判平成15年12月11日(一部有効)
110
懲戒処分-ソーシャルメディアからの漏えいに注意-
111
独禁法・下請法
独禁法(下請法に関する問題)
112
情報セキュリティを高めようとして
委託先をシメる 独禁法(下請法)違反!
委託先に対してセキュリティの強化を求めること(委託先の費用負担)は、許されるか。
セキュリティの懸念を理由とする業務委託契約の解除は許されるか。
113
委託先への監視カメラ設置要求
● 再委託先に対して監視カメラの設置を要請。ただし費用は委託先持ち。
● 違反すると公正取引委員会から勧告を受け、企業名、違反事実の概要が公表される。
● 購入強制は、独禁法の「優越的地位の濫用」にもあたる可能性がある。(平成21
年改正で課徴金の対象に)
「買いたたき」の禁止
通常の対価に比べて
著しく低い額を定めること
「下請代金の減額」禁止
発注時に定めた金額か
ら減額すること
「物の強制購入」禁止
発注者が指定する商品
等を強制して購入させる
→ 通常レベルのセキュリティの要求は許されるはず・・・
114
セキュリティの懸念を理由とする解除①
業務委託契約における委託先の義務の中には、その業務にかかわる情報の流出・漏えいを防止すべき義務が含まれる。
仮に契約書に書かれていなくとも、委託契約上の付随義務として認められる。
したがって、委託先が情報を流出・漏えいさせることは、委託契約の不履行(契約上の義務違反)に該当し、契約解除の理由となる(民法541条)。
契約の解釈等にかかわる紛争を避けるためには、委託契約中に、あらかじめ、「情報の流出・漏えいがあった場合には、ただちに契約を解除することができる」という条項を規定しておくことが有益である。
情報の流出・漏えいのおそれがあるにすぎない場合には、まだ契約違反が発生していないので、明示的な解除条項がないにもかかわらず契約を解除することは難しい
情報セキュリティ関連法令の要求事項集
115
セキュリティの懸念を理由とする解除②
契約書にはっきり書くべきだが、その場合にも、その内容は、委託元の恣意的な判断を許すものであってはならず、客観的に合理性を有するものでなければならない。
具体的には、解除条項が「当社(委託元)が、流出・漏えいのおそれがあると認める場合」といった内容になっていると、訴訟になった場合に、有効性が完全に認められるとは限らない。「委託先において情報の流出・漏えいのおそれがあることを合理的に示す事情がある場合」というように、客観的な合理性が認められる条項とすべき。
委託契約が継続的契約にあたる場合には、解除条項が契約に書かれていたとしても、文言どおりに効力が認められない可能性がある。これは、継続的契約の解除には、「重大な契約違反」や「信頼関係の破壊」が必要であると考えられているためである。もっとも、情報の流出・漏えいは、今日では通常、「重大な契約違反」に当たるであろう。
情報セキュリティ関連法令の要求事項集
116
労働者派遣法
労働者派遣法に関する問題
常駐する委託先社員の対して、セキュリティに関する教育訓練等を行うことは可能か。
委託先社員から誓約書を徴求することは可能か。
117
情報セキュリティを高めようとして
委託先社員を指導 労働者派遣法違反!
118
偽装請負とは何か
委託・請負においては、直接の指揮監督は認められないことに注意。直接の指揮監督が例外的に許容されるのが派遣であり、この場合は、労働者派遣としての規制に服する。委託・請負と称して、実態が派遣になってしまっているものが、「偽装請負」
委託先従業員に対する直接の教育訓練(指揮命令)は認められない。
元の会社 出先の会社
従業員
雇用関係
指揮命令
元の会社 出先の会社
従業員
雇用関係
指揮命令
<委託、請負> <派遣>
119
委託先従業員から誓約書をとることの可否
派遣であれば、直接の指揮命令で誓約書もとれるが、委託ではムリ。
しかし、委託契約の中で、委託先(企業)に対して、委託先従業員から誓約書をとってもらい、これを委託元に提出してもらうように義務付ければよい。
情報セキュリティ関連法令の要求事項集
120
ご清聴ありがとうございました