更新日:2020/10/09
今後ますますテレワークが拡大し、定着していくと考えられますが、それに伴い情報漏洩に関するトラブルの予防・対応も、会社としては必須になっていきます。テレワークで高まる情報漏洩リスクへの対応を弁護士が解説します。
新型コロナウィルス感染症の拡大を契機として、テレワーク(特に在宅勤務)が広く普及しました。それと同時に、テレワーク拡大に伴う情報セキュリティに関するトラブルも増加しつつあります。
もともとオフィスで勤務していた従業員にテレワークを認める場合、業務のために文書やデータを社外へ持ち出す必要性が生じ、文書の紛失・盗難や、データがウィルスの脅威にさらされるなど、情報セキュリティ上のリスクが高まります。
以下では、テレワークにおいて考えられるトラブルを挙げ、会社がとるべき対策を解説します。
なお、外部からの不正アクセスに関するトラブル、及びそれに対する技術的な対策は本稿では扱いません。
テレワークでは、自宅やカフェ、公共の作業スペースなど、オフィス以外の場所で業務を行うため、文書・電子端末を社外に持ち出したり、社外からオフィスの共有フォルダ等にアクセスしたりすることになります。
そのため、従業員の不注意により、次のようなトラブルが発生し得ます。
情報漏洩は上記のような従業員の不注意の場合に限られません。従業員が故意に企業秘密を第三者に漏洩させる可能性もあります。原則社外秘の情報や文書をテレワークのために社外に持ち出している、又は社外からデータにアクセスできる状況があることによって、通常時よりも容易に社外に企業秘密を持ち出すことができるため、故意による第三者への情報漏洩リスクも高まるといえます。
上記のトラブルのような、企業秘密の漏洩については、事前の予防(①従業員の入社時、②従業員のテレワーク開始時)と、事後の対応(③企業秘密の漏洩時)の2段階で対策を講じるべきです。
①従業員の入社時の段階では、企業秘密の情報管理体制の構築による予防策が重要になります。
まず、あらかじめ、どの情報が漏洩の禁止される企業秘密に当たるかを明確にし、従業員の予測可能性を高めておくことで、企業秘密が漏洩することを防ぐことができます。具体的には、「マル秘」、「社内限り」といった、企業秘密であることの表示の付記や、保管場所に「関係者以外立入禁止」の貼り紙をすること等が考えられます。
また、企業秘密を重要度に応じてランク付けし、従業員の中で企業秘密を保有できる者を段階的に限定することや、テレワークで従業員の私的PCを業務に利用することを認める場合でもデータの保存先は会社のUSBメモリに限定すること等により会社の従業員が社内で保管されている企業秘密を外部に持ち出す機会を減らすことも、情報管理体制の一要素になります。
これらの予防策は、整備した当初は適切であったとしても、時間の経過とともに実情と合わなくなるおそれがあるため、定期的に見直す必要があります。
次に、従業員の意識向上による予防策が考えられます。
企業秘密を適切に管理するために、企業秘密の取扱いに関するセキュリティポリシーを整備し、セキュリティポリシーの説明会や講習を行うことで、従業員が企業秘密を漏洩させない意識を高めることが考えられます。その際、万が一企業秘密を漏洩してしまった場合に従業員が問われる可能性のある民事上又は刑事上の責任や実際の事例を紹介し、情報漏洩の重大性・漏洩防止の重要性を認識してもらうことも有用です。
セキュリティポリシーの例としては、以下のものが考えられます。
<セキュリティポリシーの例>
また、これらの他にも、仮に企業秘密が漏洩した場合に備え、就業規則に解雇事由・懲戒事由・損害賠償規定・退職金の不支給規定等を定めておくと、従業員に対し、情報漏洩に関するリスクを再認識させることができます。
その他、個別に、従業員に秘密保持誓約書を提出してもらい、秘密保持義務を負わせておくべきです。これについては、従業員の入社時のみでなく、機密性の高い情報を取り扱う部署への配転時やテレワーク開始時等に、再度秘密保持誓約書を提出させることが望ましいでしょう。
②従業員のテレワーク開始時の段階では、テレワークに伴う企業秘密の漏洩防止のため、テレワークの不許可事由に「企業秘密の漏洩のおそれがある場合」を加えるべきです。テレワークの開始時、会社が従業員にテレワークを許可するかどうかは、情報管理体制が構築されているか否かで判断が分かれることになります。
前述の情報管理体制がすでに構築されている場合、テレワークを希望する従業員が企業秘密の保有者でないときは、企業秘密が漏洩する可能性は低いため、原則テレワークを許可する方向で検討します。他方で、企業秘密の保有者であるときは、テレワークを許可すべきか、慎重に検討すべきです。
情報管理体制が構築されていないときは、従業員全員が抽象的に「企業秘密の漏洩のおそれがある場合」に該当することになり、テレワークの許可が困難になります。このような事態を回避するためにも、早急に情報管理体制を構築すべきです。
また、テレワーク開始時には、再度、従業員に対し、セキュリティポリシーなど、会社の情報管理について講習を行い、従業員の意識を高めておくべきです。
事前に予防策を講じていても、情報漏洩の可能性はあります。そこで、実際に漏洩した場合の対応もあらかじめ整理しておくべきです。
まず、企業秘密の漏洩が発生した場合には、迅速に事実関係の調査を行わなければなりません。実際に漏洩した企業秘密、追加で漏洩しそうな情報、漏洩した経路、時期を特定します。
また、漏洩した従業員の特定も重要です。企業秘密の漏洩が過失による場合には、その後の調査や対応等について当該従業員にも担当させることはあり得ますが、故意によるものである場合には証拠隠滅や追加の漏洩等の被害の拡大のおそれがあるため、当該従業員をその後の調査や対応からは可及的に隔離する必要があります。
次に、漏洩した企業秘密が、漏洩先からさらに不特定多数者へ漏洩することを防ぐため、早急に漏洩先を特定する必要もあります。場合によっては、警察等に対し、企業秘密が漏洩した事実や関連する情報を速やかに提供することを検討することも重要です。
さらに、これらの事実確認と併せて、早急に証拠を保全することも重要です。証拠の保全を怠っていると、従業員やその協力者によって、PCが物理的に破壊されたり、データが消去されたりして、証拠が失われてしまう可能性があるため、早急にPCの回収やデータの保存等を行うべきです。また、関係者へヒアリングを行った際は、ヒアリング内容を録音することや、報告書等の書面を作成することも重要です。
なお、事件の規模等によっては、早い段階で法的手段等を検討するため、早急に弁護士へ相談を行うべき場合があります。
被害拡大防止の観点では、事実上の対応として、従業員に企業秘密の返還を命じたり、企業秘密へのアクセス権を停止したりすることなどが考えられます。法的手段としては、当該従業員に対し、秘密保持義務違反や不正競争防止法違反に基づく企業秘密の使用等の差止を請求することが考えられます。漏洩先に対しても、企業秘密の返還、廃棄などを求めるほか、不正競争防止法違反に基づく差止等を請求することなどが考えられます。
損害や社内規律の回復の観点では、秘密保持義務違反や不正競争防止法違反に基づく損害賠償請求をすること、会社の内部的な対応として、懲戒処分をすること、退職金不支給・減額事由として扱うこと、人事評価としてマイナス事由として考慮することなどが考えられます。
また、情報取得の態様等によっては、刑事手続に移すことも考えられます(窃盗罪、業務上横領罪、背任罪、個人情報保護法や不正競争防止法の定める罰則等)。
なお、上記では不正競争防止法に基づく差止請求等に触れましたが、実務感覚からすれば、漏洩した企業秘密が同法の「営業秘密」(秘密管理性、有用性、非公知性)に該当すると認められるハードルは高いといえます。特に中小企業では、(専門家による事前の助言がない限り)認められるケースは稀ですので、会社としては、このような現実を意識した上で、事後対応が認められるよう体制を構築する必要があります。
今後ますますテレワークが拡大し、定着していくと考えられますが、それに伴い情報漏洩に関するトラブルの予防・対応も、会社としては必須になっていきます。企業秘密を保護するためにも、実際にトラブルが発生する前に、情報管理体制の構築や見直しに取り組むことが重要です。
本コラムが情報管理体制を見直すきっかけになりましたら幸いです。
多湖・岩田・田村法律事務所。
企業法務を取り扱う。著書に、『企業のための副業・兼業労務ハンドブック』(共著、日本法令、2018年)
URL:http://www.tamura-law.com/