増え続ける退職者による情報漏洩名刺情報の持ち出しに関わる法的リスク
名刺情報は個人情報ではない。そう思われている方は多いのではないでしょうか。名刺情報の管理については認識の間違いが多く、そのまま放置すれば法的リスクを伴う場合も。そこで、企業が名刺情報を適切に扱うために注意すべきことについて、TMIプライバシー&セキュリティコンサルティング株式会社 代表取締役でありTMI総合法律事務所のパートナー弁護士の大井 哲也氏に法的な観点から語っていただきました。
TMIプライバシー&セキュリティコンサルティング株式会社
代表取締役
TMI総合法律事務所
パートナー弁護士
大井 哲也 氏
クラウド、インターネット・インフラ / コンテンツ、SNS、アプリ・システム開発、アドテクノロジー、ビッグデータアナリティクス、IoT、AI、サイバーセキュリティの各産業分野における実務を専門とし、個人情報保護法に適合したDMP導入支援、企業へのサイバーアタック、情報漏えいインシデント対応、国内外におけるデータ保護規制に対応したセキュリティアセスメントに従事。セキュリティISMS認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省の情報セキュリティに関するタスクフォース委員を歴任する。自分達のサービスがクライアントのビジネスにいかに貢献できるか、価値を提供できるかに持ちうる全神経を注ぐことを信条とする。
退職者による情報の持ち出しに関する相談は増えていますか?
このところ、退職者による情報の持ち出しに関する問い合わせは増えています。きっかけは2022年に明るみに出て、後に刑事事件にもなった大手回転ずしチェーンの元取締役による営業秘密の持ち出しが非常に大きく報じられたことです。それ以前から、退職者が個人情報や営業秘密を持ち出すケースは多かったのですが、持ち出された側の企業には諦めざるを得ない雰囲気が漂っていました。しかし、先の報道により情報を持ち出した退職者だけでなく、転職先の企業に対しても訴えを起こせることがわかり、相談件数が増えています。
退職者に持ち出されることが多いのは、どのような情報でしょうか?
大きく報道されるのは、刑事手続きが行われるような機密情報の持ち出しです。半導体に関する機密情報や大手通信事業者の携帯電話基地局の位置情報などが持ち出されたという報道を覚えていらっしゃる方も多いのではないでしょうか。このような誰もが機密情報だとわかる情報を持ち出せば、法に触れると理解されている方は多いと思います。しかし、持ち出してはいけないにもかかわらず、退職時に持ち出されている情報で最も多いのが名刺情報です。例えば、皆さんが通っている美容院で担当の美容師さんが独立することになったとき、新店舗の連絡が届いた経験はありませんか? 美容院の場合、多くは名刺ではなく顧客リストですが、同じことが一般の企業でも行われていると考えれば、退職時の名刺情報の持ち出しが多いことに気づくと思います。
最も持ち出されているにもかかわらず、名刺情報の管理について規定を設けている企業はまだ多くはありません。退職時に名刺情報を持ち出すことが違法となることを知らない人が多いのも、その影響が大きいと思います。また、退職時に持ち出された名刺情報を転職先で容易に使われてしまう要因となっているのが、個人で契約する名刺管理サービスの利用です。個人契約のサービスに名刺情報を登録すれば、情報は企業が管理できない個人アカウントで利用されるクラウド領域に置かれますから、持ち出す際に会社のサーバーからダウンロードしたり、物理的に名刺を持ち帰る必要がありません。しかし、組織として管理できないクラウド領域にお客様の情報が保存されているということは、情報の漏洩につながる危険な状態です。
弊社でも「業務で得た名刺は組織のもの」「個人契約の名刺管理サービスは業務利用NG」という2つのポイントを訴えているのですが、経営層以外の方には響きづらいと感じています。
名刺の管理権は、受け取った従業員個人にあると誤解している方は多いと思いますが、業務を遂行する過程で得た取引先の名刺は企業や組織が管理権を持つことになります。従って、従業員が個人で契約している個人アカウントの名刺管理サービスへの取り込みはもちろん、自宅に持ち帰って個人用の名刺ファイルにファイリングすることも認められません。
個人利用を前提とした名刺管理サービスへの登録は、業務で得た名刺が個人の情報資産だという勘違いを助長させてしまいますし、退職時に従業員に対して削除を促しても従業員が個人で契約しているサービスに対して企業が強制することは困難です。しかし、これでは「うちの会社で得た名刺情報を転職先でも使ってよいです」と言っているのと同じです。
従業員の皆さんに認識を改めてもらうには、先にお伝えした大手回転ずしチェーンや大手通信事業者の事案を伝えることが効果的です。わかりやすい営業秘密の持ち出しと同様に、民事での損害賠償請求だけでなく刑事罰を受ける可能性があることがわかれば、名刺情報の管理権が個人ではなく企業や組織にあると理解できると思います。
名刺情報を持ち出されないために重要な
ルールの整備と誓約書の提出
ルールの
名刺情報に関連した判例があれば、名刺の管理権について伝わりやすいと思いますが、それほど多くないような気がしています。
確かに、刑事事件で起訴されるのはレアケースです。基本的には、まず転職元の企業が転職先に民事上の法的な請求をします。その後、持ち出した情報についての調査が行われますが、退職者による名刺情報の不正持ち出しの報道が少ないのは、ほとんどのケースで当事者間の合意による示談が成立しているからです。報道されたり、刑事事件にならなくても、何を持ち出したのかを調査される。これだけでも名刺情報を持ち出した本人にとっては衝撃が強いと思います。
また、判例を使う以外にも、名刺情報が会社の情報資産だと理解してもらうための説明はできます。例えば、自動車メーカーの新車の開発をイメージしてください。部品はもちろん、デザインに利用するPCも、企画会議のために作成した資料も何から何まで会社の資産です。当然、部品を私的利用の目的で持ち帰ることは許されません。新規顧客の開拓も会社が給与を支払ってくれるからこそリソースと時間を費やすことができますよね。従って、その過程や結果で得られた名刺情報、顧客リストも当然会社の情報資産です。
個人のPCやスマートフォンで利用される、名刺管理サービスの業務利用を禁止するために企業ができる対策についてお聞かせください。
個人所有の端末に対し、ITシステムでは制御することができません。まずは、企業や組織が契約している名刺管理サービス以外は利用してはいけないことを就業規則などに明記してください。また、データとして取り込んだ後の名刺はシュレッダーにかけるなど、退職時に情報を持ち出されないために必要な対応は漏れなく記載します。さらに、それらのルールを従業員に順守してもらうための誓約書を提出してもらうことも必要です。
実際に、国内の企業でそこまでの整備が進んでいるのは、上場企業の中でも一部の大手企業にとどまります。しかし、退職者による名刺情報の持ち出しが後を絶たない現状を考えると、環境の整備が急務です。多くの情報は社内システムで一元管理されていると思いますが、大抵の場合、紙で受け取る名刺については、自宅に持ち帰ってもシステムで追跡することはできません。もちろん、会社に戻る途中で個人のスマートフォンから個人アカウントの名刺管理サービスに取り込んだとしても、システムでの制御は不可能です。この状況を店舗の現金管理に例えると、管理を任されているスーパーバイザーが、売上金を現金収集袋に入れて銀行に預けに行く途中、自分の財布に入れてしまっているようなものです。
ここに、名刺情報を管理する難しさ、特殊性があります。そのため、個人アカウントの名刺管理サービスを利用することの禁止には、ルールを整備して禁止行為を明示したり、誓約書の提出で防ぐしかありません。
近年は減っていると思いますが、企業のデータベースから顧客情報をダウンロードするという手口に対して有効なのは、やはりログのチェックでしょうか。
会社から支給したPCからのデータベースへのアクセスやデータのダウンロードについては、すでに多くの企業がSKYSEA Client Viewのようなログ管理システムでチェックできる環境を整備されていると思います。しかし、ログを取っているだけでは不正な操作に気づきづらいため、「UIで確認すれば解決する情報を、なぜかわざわざダウンロードしている」という特殊な操作については、アラートを適用したり管理者にメールが届くようにしておけば、操作が行われたことにすぐに気づけるので有用です図1。近年、退職が決まった従業員に対しては、ログでの監視を強化する企業が増えています。
不正に持ち出した名刺情報を
自社に持ち込ませないための対策も必要
自社に
システム的な対策以外に、企業が情報の持ち出しに対して備えるべき対応についてお聞かせください。
論点になるのは、営業秘密に該当するかどうかです。営業秘密には「秘密管理性」という要件図2がありますが、まず企業の営業資産が秘密として管理されているということを従業員に伝えているか。さらにその情報がシステム上で管理された状態にあるかについて問われます。
名刺の場合「名刺情報は会社の秘密情報にあたり、営業秘密に該当します」と周知し、SKYPCEのように法人が導入したサービスで名刺情報を管理できているか。ここが大事なポイントです。
転職先の企業が、不正に持ち出された名刺情報を自社に持ち込ませないために取るべき対策はありますか?
名刺情報は、同業他社への転職の場合に持ち出されるケースがほとんどです。転職先の企業はその人物の人間関係に期待して採用する側面もありますから、当然、人脈を大いに活用したいと思っているでしょう。しかし、使っていいのは人脈だけです。名刺情報を利用すれば、犯罪になります。転職先の企業は、入社前に前職で得た名刺情報は「受け取らない」「持ち込ませない」ということを、必ず伝えておかなければなりません。
しかし、入社前に伝えても、転職先での実績を急いで作るために、転職元の企業で得た名刺情報を利用しようとする人もいるかもしれません。そのようなケースに備えて、自社のガバナンスが適切に効かせられるかを確認しておくことも必要です。例えば、転職者が送ろうとしているダイレクトメールの送り先情報が、前職で得た大量の名刺情報だと気づいたとしましょう。その際、すぐに関係部署に連絡し、法務部門によるチェックを実施。「営業秘密の持ち出しに該当する犯罪」だと伝えることができるかどうかが重要です。転職元の企業から訴えられるリスクに備え、今すぐガイドラインへの記載と実効性を確認しておく必要があります。
個人情報の漏洩だと気づかずに行っている可能性のある、名刺管理の間違いについてお聞かせください。
営業車のトランクに名刺ファイルを入れて、気がついたらなくなっていたという話を聞いたことはありませんか? 実はこれも個人情報の漏洩に該当します。では、名刺ファイルを持ち歩いて1枚だけ名刺を落としてしまったケースではどうでしょう。1枚だけなら大丈夫だと思っていませんか? 名刺1枚でも紛失すれば個人情報の漏洩となる可能性があります。
また、飲食を伴う店での接待を営業活動に有効活用されている経営層、営業職の方は多いと思いますが、その際に受け取った名刺を帰り道でポイ捨てしていませんか? 夜の街でもらった名刺も、例外ではなく個人情報の対象です。本名が書かれていない名刺だからと安心せず、適切に扱ってください。
最後に、経営層の方、営業職の方へのメッセージをお願いします。
まずは、競争力の源泉となる情報資産をしっかり押さえて守るという意識を持ってください。製薬会社であれば、薬のレシピにあたる特許情報が該当します。このように、業種によって異なる対象もありますが、すべての企業に共通する競争力の源泉。それは、顧客情報です。興味を持ったサービスや実際に購入した製品など、営業担当者が顧客に提案する上で重要なさまざまな情報で構成されています。
名刺情報は、顧客情報の最初の構成要素です。その大事な競争力の源泉の一つ、名刺情報を守るためのシステムが、皆さまの組織ではすでに実装されているでしょうか? まずは、個人で契約している名刺管理サービスの利用を禁止して、組織で契約したサービスへの登録を徹底することが重要です。
そして登録したデータベースをサイバー攻撃から守るためには、不審な振る舞いを検知するEDR(Endpoint Detection and Response)製品や、PCの操作履歴を記録したログを収集できるツールなど、必要なシステムが装備されているかを確認して、自社の競争力の源泉を守ってください。
(「SKYPCE NEWS vol.14」 2024年10月掲載 / 2024年8月取材)