企業情報の不正持ち出しに関する個人情報保護法の適用を踏まえた留意点

2023年9月、転職元の名刺情報管理システムのログインID、パスワードを不正に転職先の社員に提供し、同システムを第三者が利用可能な状態にしたとして、転職元の元社員が個人情報保護法違反で警視庁に逮捕されました。転職元の名刺情報管理システムには、数万件の営業先などの名刺データが保管されており、転職先の社員に共有されたID・パスワードですべて閲覧できる状態になっていました。報道によると、個人情報保護法の不正提供容疑での逮捕は全国で初めてです。

企業情報の不正な持ち出しに対しては、一般的に不正競争防止法の適用が考えられます。しかし、第三者に渡すことが前提である名刺に記載された情報は、不正競争防止法上の「営業秘密*1」を構成する要件の1つである「非公知性」を満たしていないと判断され、同法が適用されなかったと推察されます。

一方で、個人情報保護法は、2015年の改正（2017年施行）によって、「個人情報データベース等*2」を自己または第三者の不正な利益を得る目的で提供したり盗用したりする行為に対し、1年以下の懲役または50万円以下の罰金が科せられるようになっています*3。

このように、個人情報保護法では、不正競争防止法上の営業秘密に該当しない情報であっても、刑罰の対象となる場合があり、企業としては、個人情報保護法が対象とする情報に対しても不正な持ち出しを防ぐための対策が重要となります。

企業においては、自社の営業秘密の管理にあたり、情報管理ルールの策定、従業員や退職者への秘密保持の義務付け、情報へのアクセス制御（アクセス者の制限、外部からの不正アクセスの防止）といった漏えい防止対策に取り組まれていますが、今回の事例を踏まえれば、個人情報保護法の適用も想定して、管理対象とすべき情報の範囲を拡大し、対策を講じていくことが求められるといえます。

*1　営業秘密とは、①秘密として管理されている（秘密管理性）、②事業などに有用（有用性）、③公然と知られていない（非公知性）の3要件をすべて満たすもの。

*2　個人情報データベース等とは、特定の個人情報を検索することができるように体系的に構成された個人情報の集合物であり、コンピューターで検索できるようにしたものや、紙面で一定の規則に従って整理・分類された個人情報を簡単に検索できるように目次や索引を付けているもの。

*3　個人情報データベース等の不正提供等については両罰規定があり、2020年の改正により、法人に科せられる罰金刑の最高額が1億円に引き上げられた。

MS&ADインターリスク総研株式会社発行のESGリスクトピックス2023年12月（第9号）を基に作成したものです。