従業員・元従業員からの情報漏洩を防ぐにはどうしたらよいのか？

１　情報漏洩のルートは3つ

企業は取り扱う情報の重要度に応じて防御の要否やその対策を検討・実行していますが、情報漏洩が後を絶ちません。情報漏洩のルートは、

の3つとされるので、それぞれ対策を進めましょう。例えば、

従業員の情報の取り扱いにミスがあっても、第三者からの攻撃を防止する対策を講じていたので難を逃れた

といったこともあります。

２　第三者からの攻撃による漏洩を防止

第三者からの攻撃は、過去の脆弱性を悪用したものが多いです。そのため、OSやソフトを最新の状態にすることで多くを防止できるとされています。ここでは、IPA（情報処理推進機構セキュリティセンター）が中小企業向けに公表している「情報セキュリティ5か条」を基に対策を紹介します。

1）OSやソフトは常に最新の状態にする

Windows UpdateなどOSのアップデートや、ソフトの修正プログラムを適用するなどして、常に最新の状態にしておきます。古いまま放置していると、セキュリティー上の問題が改善されずに、それを悪用したウイルスに感染するリスクがあります。

2）ウイルス対策ソフトを導入する

各PCなどにウイルス対策ソフトを導入・設定していることを確認します。また、次々と新しいウイルスが出現しているため、ウイルスの定義ファイルが自動更新されるように設定しておく、統合型のセキュリティー対策ソフト（ファイアウオールや脆弱性対策など統合的な機能を搭載したソフト）の導入などを検討するとよいでしょう。

3）パスワードを強化する

名前や電話番号などの推測しやすいものは使用しないということに加えて、英数字記号を含めて10文字以上にします。また、ウェブサービスからID・パスワードが流出して悪用されることもあるため、同じパスワードを複数のウェブサービスで利用しないようにします。

4）共有設定を見直す

ファイル共有サービスやグループウエアなどの情報共有ツールの設定を誤り、共有すべきではない人にも、情報が共有されることがあります。特に社外共有時は慎重に設定することに加えて、ファイル開封時にパスワードを設定するなど、共有時のルールを決めておきます。また、従業員の異動時・退職時には、アクセス権限を無効にする作業も忘れずに行いましょう。

5）脅威や攻撃の手口を知る

日々、悪意ある第三者が情報を盗むために、さまざまな攻撃・手口を生み出しているので、最新の情報を知り、対策を実施します。IPAやセキュリティーソフトを手掛けるメーカーなどが新しいウイルスや攻撃の手口、その対策などの情報発信をしているので、参考にします。

３　従業員・元従業員のミスによる漏洩を防止

1）情報管理の6つの視点

従業員・元従業員のミスによる情報漏洩は多いものです。ミスの中には、誤操作、紛失・置き忘れ、盗難、管理ミス、設定ミスなどがあります。ミスを防止するためには、次の視点から情報を管理します（IPA「情報漏えい対策のしおり（第7版）から一部抜粋」）。

上記はどれも重要な対策であり、「情報を持ち出す際は許可を取る」「誤操作がないように2人1組で作業をする」などの社内ルールを策定している企業も多いと思います。とはいえ、ルールが形骸化している、従業員が十分にルールを認識していないこともあります。上記6つや、それに関連する社内ルールを、いま一度、組織に周知徹底しましょう。

2）リモートワーク下での対策

リモートワークをしている企業は、前述の「1.情報を許可なく、持ち出さない」「4.私物の機器類やソフトなどのデータを、許可なく持ち込まない」「5.個人に割り当てられた権限を許可なく他の人に貸与または譲渡しない」の視点に立った管理が重要です。

リモートワークでは、ある程度情報にアクセスできなければ仕事になりません。そのため、従来よりも多くの従業員に情報を持ち出す許可や、アクセスする権限を与えているかもしれませんが、社外に漏洩しては困る情報の持ち出しは禁止するなどしましょう。

情報へのアクセスについては、まずファイル共有時の設定に注意しましょう。加えて、特に機微な情報を扱う場合は、VPN（仮想専用線）接続によるアクセスなどを検討します。VPN接続とは、インターネット上に仮想的な専用線を設けて、セキュリティー上の安全な経路を使ってデータをやり取りするものです。端末の電子証明書などの認証方式を採用しているセキュリティーの高い製品を選ぶようにしましょう。

４　従業員・元従業員（内部）の故意による漏洩を防止

従業員・元従業員の故意による漏洩はミスによる漏洩などに比べて少数です。しかし、漏洩するのは顧客情報などで、そうなったときのダメージは大きなものです。

ここまでで紹介した、「従業員の異動時・退職時には、アクセス権限を無効にする」など、情報へのアクセスを制限する対策の他に、秘密保持・競業避止義務を課すことを検討します。これにより、従業員・元従業員に対する抑止力が働き、漏洩が起こった場合は当該従業員・元従業員の責任を追及できる可能性があります。

1）従業員・元従業員の秘密保持義務

労働契約の存続期間中、従業員（パートなどを含む）は秘密保持義務を負うと考えられています。秘密保持義務とは、

企業の業務上の情報を第三者に開示・漏洩しない義務

です。就業規則などで明確に定めていなくても、労働契約の付随的義務として信義則上負うものと考えられています。

一方、労働契約の終了後は、原則として契約中に知り得た情報について、当然に労働契約の存続期間中と同様の秘密保持義務を負うとまでは考えられていません。そのため、別途秘密保持契約を締結するなどの手立てを講じる必要があります。

2）秘密保持・競業避止義務の範囲

従業員・元従業員が秘密保持義務を負う場合でも、その範囲は無制限ではありません。職業選択の自由や営業の自由を制約することはできないため、度が過ぎると公序良俗に反するものとして、無効になる場合があります。

例えば、従業員に対して「秘密情報を利用して、在職中、退職後に競合他社に就職するなどの競業行為を行ってはならない」とする競業避止義務を課す場合がありますが、このような規定の有効性については個別具体的な状況によって判断されます。

裁判では次の4つが総合的に考慮され、有効性が判断されるといわれています。ただし、個別の事案によって異なるため、この例と類似するからといって、必ずしも有効性が認められるわけではありません。

その他、就業規則に退職後の競業避止義務を明確に規定しておくことは、有効性の判断にとって有用です。

3）秘密情報・秘密保持義務などの定義

秘密情報の定義やその管理方法は法的に定められていません。従業員・元従業員に秘密保持義務や競業避止義務を課すためには、従業員・元従業員に秘密情報の対象を明示し、秘密情報として管理されていることが認識できる状態にしていたか否かなどが問われます。

そのため、例えば、従業員・元従業員に秘密情報の対象を示さず、全従業員が容易に秘密情報にアクセスできるような管理状態では、秘密情報だと主張して、従業員・元従業員に秘密保持義務を課すには不十分だということです。

以上から、就業規則や秘密保持に関する誓約書などにおいて、秘密情報の対象と取り扱い範囲を規定することが必要といえるでしょう。これらに違反した場合の処分規定を設けておけば、従業員・元従業員が秘密情報を不当に持ち出すことの抑止力にもなります。

秘密情報の範囲は不明瞭になりがちなので、できるだけ具体的に秘密情報を規定し、新しい情報をその都度、追加していくとよいでしょう。

なお、経済産業省のウェブサイトでは、秘密情報の管理方法や秘密保持契約（誓約書）のひな型などが公開されているため、参考にするとよいでしょう。

■経済産業省「営業秘密～営業秘密を守り活用する～」■
https://www.meti.go.jp/policy/economy/chizai/chiteki/trade-secret.html

4）従業員以外にも及ぶ営業秘密の効力

特に重要な秘密情報については、「営業秘密」として管理することが肝要です。従業員・元従業員が秘密保持義務に違反し、第三者に秘密情報を漏洩させても、企業は当該第三者と契約関係がないため、第三者に対して債務不履行責任を問うことは基本的にできません。しかし、不正競争防止法上の「営業秘密」と認定されれば、その侵害については罰則が設けられているため、刑事・民事の両面で、当該第三者に対する法的措置が取りやすくなります。

また、情報を持ち出された企業が損害賠償を請求する場合、企業が損害の発生や損害額を立証する必要がありますが、営業秘密と認定されることで、不正競争防止法上の損害額の推定規定が適用されます。

営業秘密とは、不正競争防止法の保護・規制を受ける、次のような情報です。

秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないもの

営業秘密として認定されるためには、

の3要件を満たす必要があります。この3要件を意識し、情報に接することができる従業員等にとって、秘密だと分かる程度の措置（例えば、紙や電子記録媒体へ「マル秘」「持ち出し禁止」の表示をする、秘密保持契約等によって秘密情報の対象を特定するなど）を講じるとよいでしょう。

以上（2022年11月）
（監修　みらい総合法律事務所　弁護士　田畠宏一）

pj60031
画像：pixabay