1 情報漏洩のルートは3つ
企業は取り扱う情報の重要度に応じて防御の要否やその対策を検討・実行していますが、情報漏洩が後を絶ちません。主な情報漏洩のルートは、
- 第三者からの攻撃による漏洩
- 従業員・元従業員のミスによる漏洩
- 従業員・元従業員の故意による漏洩
の 3 つとされるので、それぞれ対策を進めましょう。例えば、
従業員の情報の取り扱いにミスがあっても、第三者からの攻撃を防止する対策を講じていたので難を逃れた
といったこともあります。
2 第三者からの攻撃による漏洩を防止
第三者からの攻撃は、オペレーション・システム(OS)やソフトウェア、ウェブアプリケーションの脆弱性を悪用したものが多いです。そのため、OSやソフトウェアを最新の状態にすることで多くを防止できるとされています。ここでは、IPA(情報処理推進機構)セキュリティセンターが中小企業向けに公表している「情報セキュリティ6か条」を基に対策を紹介します。
1)OSやソフトウェアは常に最新の状態にする
Windows UpdateなどOSのアップデートや、ソフトウェアの修正プログラムを適用するなどして、常に最新の状態にしておきます。古いまま放置していると、セキュリティ上の問題が改善されずに、それを悪用したウイルスに感染する危険性があります。
2)ウイルス対策ソフトを導入する
各PCなどにウイルス対策ソフトを導入し、ウイルス定義ファイルが自動更新されるように設定してあることを確認します。また、次々と新しいウイルスが出現しているため、統合型のセキュリティ対策ソフト(感染前の検知、挙動の監視、フィッシング対策など、多層防御機能を持つもの)の導入を検討するとよいでしょう。
3)パスワードを強化する
パスワードは、10文字以上で「できるだけ長く」、大文字、小文字、数字、記号含めて「複雑に」、名前、電話番号、誕生日、簡単な英単語などは使わず、推測できないようにします。また、ウェブサービスからID・パスワードが流出して悪用されることもあるため、同じパスワードを複数のウェブサービスで使い回さないようにします。
4)共有設定を見直す
データ保管などのウェブサービスやネットワーク接続した複合機・カメラなどの設定を誤り、無関係な人にも情報にアクセスされてしまうトラブルが後を絶ちません。共有範囲を限定するとともに、従業員の異動時・退職時には速やかにアクセス権限を変更・削除しましょう。
5)バックアップを取る
故障や誤操作、ウイルス感染などにより、パソコンやサーバーの中に保存したデータが消えたり、暗号化されたりしてしまうことがあります。重要情報のバックアップは定期的に行いましょう。また、バックアップに使用する装置・媒体は、バックアップ時のみパソコンと接続するようにし、オンラインバックアップの活用など取得方法も決めておきましょう。
6)脅威や攻撃の手口を知る
日々、悪意ある第三者が情報を盗むために、さまざまな攻撃・手口を生み出しているので、最新の情報を知り、対策を実施します。IPAやセキュリティベンダーなどが新しいウイルスや攻撃の手口、その対策などの情報発信をしているので、参考にします。
3 従業員・元従業員のミスによる漏洩を防止
1)情報管理の6つの視点
従業員・元従業員のミスによる情報漏洩は多いものです。ミスの中には、誤操作、紛失・置き忘れ、盗難、管理ミス、設定ミスなどがあります。ミスを防止するためには、次の視点から情報を管理します(IPA「情報漏えい対策のしおり(第7版)から一部抜粋」)。
- 情報を許可なく、持ち出さない
- 情報を未対策のまま目の届かない所に放置しない
- 情報を未対策のまま廃棄しない
- 私物の機器類やソフトなどのデータを、許可なく持ち込まない
- 個人に割り当てられた権限を許可なく他の人に貸与または譲渡しない
- 業務上知り得た情報を、許可なく公言しない
上記はどれも重要な対策であり、「情報を持ち出す際は許可を取る」「誤操作がないように2人1組で作業をする」などの社内ルールを策定している企業も多いと思います。とはいえ、ルールが形骸化している、従業員が十分にルールを認識していないこともあります。上記6つや、それに関連する社内ルールを、いま一度、組織に周知徹底しましょう。
また、上記と併せ、万が一ミスが発生した際は、「自分で判断せず、まず上司などに報告」するよう従業員に徹底させることも大切です。
2)テレワーク下での対策
テレワークをしている企業は、前述の「1.情報を許可なく、持ち出さない」「4.私物の機器類やソフトなどのデータを、許可なく持ち込まない」「5.個人に割り当てられた権限を許可なく他の人に貸与または譲渡しない」の視点に立った管理が重要です。
テレワークでは、ある程度情報にアクセスできなければ仕事になりません。そのため、従来よりも多くの従業員に情報を持ち出す許可や、アクセスする権限を与えているかもしれませんが、社外に漏洩しては困る情報の持ち出しは禁止するなどしましょう。
なお、総務省は「テレワークセキュリティガイドライン」や「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」を公表しています。次のウェブサイトからダウンロードできるので、参考にするとよいでしょう。
4 従業員・元従業員(内部)の故意による漏洩を防止
従業員・元従業員の故意による漏洩はミスによる漏洩などに比べて少数です。しかし、漏洩するのは顧客情報などで、そうなったときのダメージは大きなものです。
ここまで紹介した、「従業員の異動時・退職時には速やかにアクセス権限を変更・削除する」など、情報へのアクセスを制限する対策の他に、秘密保持・競業避止義務を課すことを検討します。これにより、従業員・元従業員に対する抑止力が働き、漏洩が起こった場合は当該従業員・元従業員の責任を追及できる可能性があります。
1)従業員・元従業員の秘密保持義務
労働契約の存続期間中、従業員(パートなどを含む)は秘密保持義務を負うと考えられています。秘密保持義務とは、
企業の業務上の情報を第三者に開示・漏洩しない義務
です。就業規則などで明確に定めていなくても、労働契約の付随的義務として信義則上負うものと考えられています。
また、労働契約の終了後においても、契約書や誓約書等を作成していない場合であっても、信義則上、一定の範囲で秘密を漏洩しない義務を引き続き負っていると考えられています。もっとも、情報漏洩を防止する観点からは、その秘密の性質・範囲、価値、従業員の退職前の地位などを考慮して、別途、退職時に秘密保持契約を締結するなどの手立てを講じておくことが望ましいでしょう。
2)秘密保持・競業避止義務の範囲
従業員・元従業員が秘密保持義務や競業避止義務を負う場合でも、その範囲は無制限ではありません。職業選択の自由や営業の自由を制約することはできないため、度が過ぎると公序良俗に反するものとして、無効になる場合があります。
例えば、従業員に対して「秘密情報を利用して、在職中、退職後に競合他社に就職するなどの競業行為を行ってはならない」とする競業避止義務を課す場合がありますが、このような規定の有効性については個別具体的な状況によって判断されます。
裁判では次の4つが総合的に考慮され、有効性が判断されるといわれています。ただし、個別の事案によって異なるため、この例と類似するからといって、必ずしも有効性が認められるわけではありません。
また、退職後の秘密保持義務についても、これを広く容認することは職業選択の自由を制約することになりますので、義務の内容が公序良俗に反して無効となる場合があります。公序良俗に反するかは、その秘密の性質・範囲、価値、労働者の退職前の地位に照らし、合理性が認められるかどうかにより判断します。また、退職後の契約上の秘密保持義務の範囲については、その義務を課すのが合理的であるといえる内容に限定して解釈するのが相当であるとされています。
その他、就業規則に退職後の競業避止義務や秘密保持義務を規定しておくことも可能ですが、競業避止義務や秘密保持義務の内容は、個別に従業員の地位や仕事内容に合わせて設定する必要があるため、個別に誓約書や合意書などを取り付けるのが望ましいでしょう。
3)秘密情報・秘密保持義務などの定義
秘密情報の定義やその管理方法は法的に定められていません。従業員・元従業員に秘密保持義務や競業避止義務を課すためには、従業員・元従業員に秘密情報の対象を明示し、秘密情報として管理されていることが認識できる状態にしていたか否かなどが問われます。
そのため、例えば、従業員・元従業員に秘密情報の対象を示さず、全従業員が容易に秘密情報にアクセスできるような管理状態では、秘密情報だと主張して、従業員・元従業員に秘密保持義務を課すには不十分だということです。
以上から、就業規則や秘密保持に関する誓約書などにおいて、秘密情報の対象と取り扱い範囲を規定することが必要といえるでしょう。これらに違反した場合の処分規定を設けておけば、従業員・元従業員が秘密情報を不当に持ち出すことの抑止力にもなります。
秘密情報の範囲は不明瞭になりがちなので、できるだけ具体的に秘密情報を規定し、新しい情報をその都度、追加していくとよいでしょう。
なお、経済産業省のウェブサイトでは、秘密情報の管理方法や秘密保持契約(誓約書)のひな型などが公開されているため、参考にするとよいでしょう。
4)従業員以外にも及ぶ営業秘密の効力
特に重要な秘密情報については、「営業秘密」として管理することが肝要です。従業員・元従業員が秘密保持義務に違反し、第三者に秘密情報を漏洩させても、企業は当該第三者と契約関係がないため、第三者に対して債務不履行責任を問うことは基本的にできません。しかし、不正競争防止法上の「営業秘密」と認定されれば、その侵害については罰則が設けられているため、刑事・民事の両面で、当該第三者に対する法的措置が取りやすくなります。
また、情報を持ち出された企業が損害賠償を請求する場合、企業が損害の発生や損害額を立証する必要がありますが、営業秘密と認定されることで、不正競争防止法上の損害額の推定規定が適用されます。
営業秘密とは、不正競争防止法の保護・規制を受ける、次のような情報です。
秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないもの
営業秘密として認定されるためには、
- 秘密管理性(秘密として管理されていること)
- 有用性(有用な営業上または技術上の情報であること)
- 非公知性(公然と知られていないこと)
の3要件を満たす必要があります。この3要件を意識し、情報に接することができる従業員等にとって、秘密だと分かる程度の措置(例えば、紙や電子記録媒体へ「マル秘」「持ち出し禁止」の表示をする、秘密保持契約等によって秘密情報の対象を特定する、データへのアクセス制限する、パスワード設定をするなど)を講じるとよいでしょう。
以上(2026年5月更新)
(監修 弁護士 田島直明)
pj60031
画像:show999-Adobe Stock
