情報流出
第1 はじめに~企業不祥事とは
企業不祥事とは、役員や社員により行われる違法行為やそれと同視できるような不適切な行為、すなわち、社会的な信頼を損なわせる行為や出来事を指します。経理社員による横領や経理担当役員による粉飾決算、商品・製品の品質偽装など企業による不祥事は後を絶ちません。企業による不祥事はあってはならない出来事ですが、自らの会社でも当然に起こりえるものとして考えることが必要です。企業不祥事が起きた場合の対応によっては、企業に対する信頼が失われるのみならず、企業の存続にも影響することになります。その対応を誤ることがないようにしなければなりません。
ここでは、近時多発している、企業における情報流失について説明します。中小の企業にでも、顧客情報等、大量の個人情報を有していることも多く、情報管理について認識を高めておくことは非常に重要といえるでしょう。
第2 関係法令等
情報の流失に関係する法令等で代表的なものは次のとおりです。
1 不正アクセス行為の禁止に関する法律(不正アクセス禁止法)
不正アクセス行為の禁止等に関する法律は、ネットワークを通じて行われるコンピューター犯罪の防止 、アクセス制御機能により実現されるネットワークの秩序の維持を図ることを目的としています(不正アクセス禁止法1条参照)。
この目的を達成するために、不正アクセス禁止法は、「不正アクセス行為」を禁止しています(不正アクセス禁止法3条)。具体的には、他人のユーザーIDやパスワードを使って、本来は自分に利用権限がないコンピューターにアクセスする行為(不正アクセス禁止法2条4項1号)や基本ソフト等のセキュリティー上の弱点を攻撃することでコンピューターを不正利用したり(不正アクセス禁止法2条4項2号、3号)する行為を禁じています。
また、不正アクセス禁止法は、違反者に対する罰則規定を設けるとともに、再発防止のための都道府県公安委員会による援助措置等の援助がある旨を定めています。
2 個人情報の保護に関する法律(個人情報保護法)
個人情報保護法は、現代のIT社会での個人情報の重要性に配慮しつつ、個人の権利利益の保護を目的にして、民間事業者等が、個人情報を取り扱う上でのルールを定めています。具体的には以下のようなものです。
① 利用目的の特定、および目的外利用の禁止
事業者は、個人情報の利用目的をできるだけ特定しなければなりません(個人情報保護法15条)。そして、あらかじめ本人の同意を得ずに、その目的達成に必要な範囲を超えて個人情報を利用することは禁止されています。
② 個人情報の取得手段の適正適正な取得
偽りその他不正な手段によって個人情報を取得することは禁止されています(個人情報保護法17条)。また、個人情報の取得にあたっては、あらかじめ利用目的を公表するか、または個人情報取得後に速やかに本人に対して利用目的を通知もしくは公表しなければなりません(個人情報保護法18条1項)。
③ 個人情報の適正な管理
事業者は、個人情報が記録されたデータの漏洩や滅失を防ぐため、必要かつ適切な保護措置を講じなければなりません(個人情報保護法20条)。また、この保護措置の一環として、個人情報にアクセスする可能性のある従業者や業務の委託先に対して、必要かつ適切な監督を行わなければなりません(個人情報保護法21条、22条)。
④ 第三者提供の制限
事業者は、あらかじめ本人の同意を得ずに、本人以外の者に個人データを提供することは原則として禁止されています(個人情報保護法23条1項)。
⑤ 本人に対する対応
事業者は、本人からの求めに応じて、個人情報が記録されたデータを開示し(個人情報保護法25条1項)、その記録に誤りのあるときは訂正等を行わなければなりません(個人情報保護法26条1項)。また、一定の場合には、個人情報の利用を停止しなければなりません(個人情報保護法27条参照)
なお、事業者は、個人情報の取扱いに関する苦情の処理に必要な体制を整備し、苦情に対して適切かつ迅速な処理することが求められています(個人情報保護法31条)。
事業者が、上記ルールに違反した場合には、違反行為の中止、その他の是正措置を勧告、命令されます(個人情報保護法34条参照)。これに違反した場合には、6ヶ月以下の懲役または30万円以下の罰金が科されることになります(個人情報保護法74条)。
第3 企業が注意すべきこと
1 情報流出と企業への影響
情報が流出する態様として、①内部からの持ち出し、外部からの不正アクセス等の意図的な流出と、②盗難・紛失、誤操作、ファイル交換ソフト使用等による過失的な流出が考えられます。
いずれの態様であれ、企業から情報が流出すれば、その回復は事実上困難であり、情報がインターネット上に彷徨い続けることになります。この流出した情報が悪用されれば、将来において企業または第三者に何らかの損害が発生するおそれがあります。そして、第三者に発生した生じた損害については、プライバシー権侵害などを理由に損害賠償責任(民法709条)を負う可能性があります。
また、企業から情報が流出したことが報道されれば、その企業は社会的信用を失う可能性があることも考慮しなければなりません。
2 対処方法
情報流出が与える企業への影響は甚大ですから、予防することが最も重要であることは言うまでもありません。では、情報の流失が判明したときはどうすべきでしょうか。
まずは、どのような情報が、どのような態様で流出したのか、という事実確認をすばやく行わなければなりません。
次に、情報流失の被害の拡大を防がなければなりません。迅速に原因を確認した上で、たとえばネットワークからの切断等、流失経路を閉じるなど防止策を講じます。
続いて、流失情報の回復を図ることを検討することになります。早期に警察に相談をすることも必要です。また流失先が判明していれば、不正流失の事実を伝えて返還交渉をすることなどが考えられます。いずれにせよ、専門家に相談することは不可欠です。
なお、流失情報が個人情報であれば、関係機関への報告や事実の公表が必要となります。
以上