名刺データの不正持ち出し、個人情報保護法の不正提供容疑で逮捕

情報漏洩の対策では、個人情報保護法の適用を想定する必要も！

2023年9月、転職元の名刺情報管理システムのログインID、パスワードを不正に転職先の社員に提供し、同システムを第三者が利用可能な状態にしたとして、転職元の元社員が個人情報保護法違反で警視庁に逮捕されました。転職元の名刺情報管理システムには、数万件の営業先などの名刺データが保管されており、転職先の社員に共有されたID・パスワードですべて閲覧できる状態になっていました。報道によると、個人情報保護法の不正提供容疑での逮捕は全国で初めてです。

企業情報の不正な持ち出しに対しては、一般的に不正競争防止法の適用が考えられます。しかし、第三者に渡すことが前提である名刺に記載された情報は、不正競争防止法上の「営業秘密 注1）」を構成する要件の一つである「非公知性」を満たしていないと判断され、同法が適用されなかったと推察されます。

一方で、個人情報保護法は、2015年の改正（2017年施行）によって、「個人情報データベース等 注2）」を自己または第三者の不正な利益を得る目的で提供したり盗用したりする行為に対し、1年以下の懲役または50万円以下の罰金が科せられるようになっています 注3）。

このように、個人情報保護法では、不正競争防止法上の営業秘密に該当しない情報であっても、刑罰の対象となる場合があり、企業としては、個人情報保護法が対象とする情報に対しても不正な持ち出しを防ぐための対策が重要となります。企業においては、自社の営業秘密の管理にあたり、情報管理ルールの策定、従業員や退職者への秘密保持の義務付け、情報へのアクセス制御（アクセス者の制限、外部からの不正アクセスの防止）といった漏えい防止対策に取り組まれていますが、今回の事例を踏まえれば、個人情報保護法の適用も想定して、管理対象とすべき情報の範囲を拡大し、対策を講じていくことが求められるといえます。

注）
1）営業秘密とは、①秘密として管理されている（秘密管理性）、②事業などに有用（有用性）、③公然と知られていない（非公知性）の 3要件をすべて満たすもの。
2）個人情報データベース等とは、特定の個人情報を検索することができるように体系的に構成された個人情報の集合物であり、コンピューターで検索できるようにしたものや、紙面で一定の規則に従って整理・分類された個人情報を簡単に検索できるように目次や索引を付けているもの。
3）個人情報データベース等の不正提供等については両罰規定があり、2020年の改正により、法人に科せられる罰金刑の最高額が1億円に引き上げられた。

企業が果たすべきプライバシーの保護、個人情報漏洩対策のあり方

従来、プライバシー問題に対する取り組みは、「私生活をみだりに公開されない法的保障または権利」や「放っておいてもらう権利」の保護に重点が置かれ、個人情報保護法を遵守することが基本でしたが、情報通信技術の進展に伴ってプライバシーの概念は「自己情報のコントロール」にまで発展、企業が配慮すべき範囲も個人情報保護法の範疇を超えて広範になってきています。

すなわち、プライバシーに対する個人的な感じ方、社会受容性は時間の経過によって変わり得るために、法令を遵守していても対応如何によっては「プライバシー侵害」だけでなく本人への差別・不利益・不安を与えるなどの指摘を受け、経営上の悪影響につながるリスクとして跳ね返ってくる可能性があります。

そのような環境下で、プライバシー保護を単なる「コンプライアンス」と受け止めず、重要な経営戦略の一環として捉え、自社ビジネスに関連して起こり得るプライバシーリスクを適切に評価して対応することで社会的な信頼を得て、企業価値向上につなげている企業も現れています。個人情報保護委員会は、PIA（Privacy Impact Assessment、個人情報保護評価）の取り組みを「個人データの管理や従業員への教育効果等も含め、事業者自身にとって、効率的かつ効果的に必要十分な取組を進めるための有用な手段である」と評価していますので、参考にしてください。

※本記事は、2023年12月1日発行のMS&AD InterRisk Report・ESGトピックス「企業情報の不正持ち出しに関する個人情報保護法の適用を踏まえた留意点」、2021年12月6日発行のMS&AD InterRisk Report・サイバーセキュリティニュース「令和2年個人情報保護法の改正について」を再編集したものです。