社員が社外に持ち出した顧客情報が、第三者に売却されたり、情報を保存したPCのウイルス感染によりネット上に流出する――。こうした事態は、企業にとって悪夢です。会社の社会的信用が失墜するばかりか、流出した情報が悪用されることによる二次被害の恐れもあるからです。

では、顧客情報を流出させた個人や企業は、法律上どのような責任を負うのでしょうか? 今回は、個人が情報を持ち出した場合の「罪」と、企業が負うべき「責任」と「対応方法」について、詳しくみていくことにします。(編集部)

【Q】顧客情報の「持ち出し」や「流出」、どんな罪に問われるの?

最近、顧客情報を流出させたという事件を報道でよく目にします。顧客情報を、故意に持ち出した場合、どのような罪に問われる可能性があるのでしょうか。また、顧客情報が漏えいした場合、流出元の会社にはどのような責任が発生することになるのでしょうか。顧客情報が漏えいしてしまった場合、会社はどのような対応を行えばよいのでしょうか。


【A】「窃盗罪」や「不正アクセス禁止法違反」などの可能性があります。

顧客情報が持ち出されるという事件は後を絶ちません。顧客情報を持ち出すことは、持ち出す方法によっては、「窃盗罪」や「不正アクセス禁止法違反」「不正競争防止法違反」を構成することになります。また、顧客情報を漏えいした会社は、「プライバシー権」を侵害したとして損害賠償責任を負う可能性があるほか、個人情報保護法で定める「安全管理措置(個人情報保護法第20条)」などの義務に違反したとされる可能性があります。顧客情報が漏えいした場合には、まず、情報の流出を止めた上で、事実関係を調査し、事実関係の公表、情報が漏えいした顧客への連絡、主務大臣への報告などの対応を検討することになります。

従業員や業務委託先が会社の顧客情報を持ち出して第三者に売却するという事件がしばしば起こっています。このように顧客情報を持ち出した場合、何らかの刑事責任を問われることになるでしょうか。

また、顧客情報が流出してしまった場合、会社はどのような対応をとるべきでしょうか。

「情報の持ち出し」はどんな罪に問われる?

情報を不正に入手する際の行為態様によっては、犯罪を構成することになります。例えば、顧客情報をプリントアウトした紙やデータを保存したメモリなどを持ち去った場合には、「窃盗罪(刑法第235条)」や「業務上横領罪(同法第253条)」に該当しうることになりますし、情報を不正に入手するために立ち入りが禁じられている場所に立ち入った場合には、「住居侵入罪(刑法第130条)」に該当し得ることになります。

また、コンピューターネットワークに接続しており、アクセス制御機能(IDやパスワードなどの「識別符号」を入力することによってPCの使用が可能となる機能)を有しているPCの内部に蔵置された顧客情報を入手するにあたって、アクセス制御機能を回避するために他人のIDを利用したり、セキュリティホールを利用したりしたような場合には、「不正アクセス禁止法」第3条に定める「不正アクセス行為」を行ったことになり、処罰の対象となる可能性があります(同法第8条1号)。

また、媒体を持ち去る行為や不法な侵入行為がなくても、顧客情報が企業の「営業秘密」に該当する場合には、これを不正に取得したり開示したりする行為は、「不正競争防止法」により処罰の対象となる可能性があります。営業秘密にあたるためには、顧客情報が(1)秘密として管理されていること、(2)事業活動に有用な情報であること、(3)公然と知られていないこと、の全てを満たしている必要があります。

一方で、顧客情報を不正に入手し、第三者に売却したことについては、会社に対しては「秘密保持義務違反」として、当該顧客に対しては「プライバシー権の侵害」として、それぞれ民事上損害賠償義務を負うことになります。顧客情報が営業秘密に該当する場合には、企業は漏えい者に対して、不正競争防止法に基づき、(1)差止請求と(2)損害賠償請求を行うことができます。

情報流出した場合の会社の「対応」と「責任」は?

(1)顧客情報が流出した場合の会社の対応

会社が保有している顧客情報が流出してしまった場合、会社としては、顧客情報の流出の拡大を防いで二次被害を防止することが、まず必要となります。特に顧客情報が電子データの形で漏えいした場合には、容易に被害が拡大することになりますので、顧客情報の流出が「どこで、どのように行われたのか」を把握し、情報のさらなる拡散を防止する必要があります。また、顧客情報の漏えいは、第三者が意図的に持ち出したような場合に加えて、企業が過失により、誰もが閲覧可能なWebサイト上に顧客情報を放置してしまったという事例もあり、このような場合には早急に対応する必要があります。

いずれにせよ、流出元・経路等の事実関係を調査し、漏えいの原因を究明することは、適切な対応を行うために常に必要です。

次に、把握した事実関係をもとに、(1)情報が流出した被害者本人への連絡、(2)事実関係についての公表、(3)主務大臣への報告を行うことを検討します。まず、第一の「本人への連絡」については、謝罪と二次被害防止の趣旨から可能な限り行うべきとされています。ただし、漏えい後、第三者に見られることなく速やかに回収した場合など、本人の権利侵害の可能性が極めて小さい場合には不要です。

次に、「主務大臣への報告」については、原則として行うべきです。

さらに、「事実関係の公表」は、二次被害防止の観点から公表の必要がないと考えられる場合を除き、行うべきです。事実関係の公表が必要ではないと考えられるケースとしては、流出した個人情報の本人の全てに連絡ができたケースや、第三者に見られることなく速やかに個人情報を回収できたケースなど、二次被害防止のための対策をすでに行った場合が挙げられます。なお、事実関係の詳細を公表しない場合であっても、信頼回復のためには、再発防止計画については公表すべきでしょう。

このような措置に加えて、流出した情報の性質、規模に応じて、会社に問い合わせの窓口を設けるなどの対応をする例もあります。

なお、実際にこれらの対応を検討する場合には、自社に適用される政府のガイドラインを参照して行うようにしてください。

(2)顧客情報が流出した場合の会社の責任

漏えい事業者は、本人の「プライバシー権を侵害」したとして、当該顧客に対して損害賠償義務を負うことになります。裁判所は、情報の性質に応じて、1人あたり数千円から数十万円の損害賠償を認めています。ただ、かつて懸念されていたような大規模な訴訟は起きておらず、原告の数は今のところ最高でも十数人に留まっています。

もっとも、顧客情報を流出させると取引先からの信頼を失います。法的責任は決して重いものではありませんが、失われた信頼は会社にとって大きなダメージになることがあります。

(安藤広人/英知法律事務所)

弁護士法人 英知法律事務所

情報ネットワーク、情報セキュリティ、内部統制など新しい分野の法律問題に関するエキスパートとして、会社法、損害賠償法など伝統的な法律分野との融合を目指し、企業法務に特化した業務を展開している弁護士法人。大阪の西天満と東京の神谷町に事務所を開設している。 同事務所のURLはこちら→ http://www.law.co.jp/