個人情報保護と企業機密管理
弁護士 鈴木順二
T.個人情報保護について
1.個人情報保護法の成立とその背景
個人情報の適正な取扱いに関するルールを定めた個人情報保護法が去る5月23日に国会で可決成立し、同30日に公布されました。
行政機関の電子計算機処理個人情報を対象にした法律(行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律)は、昭和63年に制定されていますが、今回、行政機関と民間部門の双方に共通した基本法として、個人情報保護法が制定されました。
この個人情報保護法が成立した背景には、1つは、個人情報の漏洩事件の多発があります。すでに御存知の方も多いと思いますが、平成10年1月にテンプスタッフの事件がありました。
これは、大手人材派遣会社である同社がシステム関係を任せていた外注業者の社員が、同派遣会社に登録している全国の女性9万人分の個人情報を、会員制のホームページを開設している者に対して1万円で売却したという事件です。ここで流出した個人情報は、氏名、住所、電話番号、生年月日、それに加えてA、B、Cというランクがついていたようですが、そういうものが9万人分流出した訳です。このホームページを開設している者は、1万円でこれを買って、ホームページ上で購入者を募集し、9万人分を5万5,000円という値段で数十人に売却したと報じられています。
この外にも、平成10年2月に発覚した高島屋の顧客リストの漏洩事件、NTTなどの情報通信事業者からの顧客情報の流出事件などがあります。
こうした事件を背景にして、国民が安心してIT社会の便益が受けられるよう、個人情報の適正な取り扱いのルールを定めて、国民の権利利益の侵害を未然に防止しようというのが、この法律の背景の1つです。
また、国際的にも、個人情報保護に関する各種の取り組みが進められており、特に、ヨーロッパ、EUにおいては近年個人情報の保護のレベルが十分でない第三国への個人情報の移転を制限するという方針を打ち出しています。
こうした状況や電子商取引の急速な拡大などを背景に、国際的にも整合性を保った国内法制の整備が急務となっていました。
2.個人情報の取扱いに関する企業の義務
個人情報保護法では、個人情報を事業の用に供している一定の民間事業者を「個人情報取扱事業者」として、実体的な義務を課し、主務大臣の監督等によって義務の履行の確保を図っています。
ここでいう「個人情報取扱事業者」とは、単純化すれば「個人情報データベース等を事業の用に供している者」ということになりますが、これは単に「名簿屋」などに限られず、顧客や従業員等の管理のための個人情報データベース等を利用している者であれば、よほど零細な企業でない限り、大半の企業は、この個人情報取扱事業者に該当することになります。
そして、この個人情報取扱事業者に該当すると、法に規定されたさまざまな義務をすべて負うことになり、これらの義務に違反した場合は、個人情報取扱事業者は、「利用停止」(法第27条)や主務大臣の勧告・命令(法第34条)の対象となることもあります。また、個人情報等の漏えい事故を発生させた場合は、企業は民事上の損害賠償責任を負うこともあります。
3.情報セキュリティ対策の必要性と その方法
企業としては、これからこうした個人情報保護に対する対策として、コンプライアンス体制の整備という観点から、「情報の安全性を管理する仕組み」、すなわち情報セキュリティ対策をなす必要性が増したと言えるでしょう。
もちろん、企業の有する個人情報の重要性は、個々の業種、事業者によって様々だと思いますので、その企業に合った情報セキュリティ対策を検討すべきです。
個人情報がそれほど重要でない企業(例えば、中小の製造会社など)であれば、担当者を決めて適宜情報収集をさせたり、社員研修の際に講師を招いたりする程度で十分でしょう。
他方、個人情報が重要な意味をもつ企業(例えば、大手百貨店、銀行、信販会社など)の場合は、さらに進んで、しっかりした情報セキュリティ対策を講ずるべきです。しっかりした情報セキュリティ対策を講じていれば、もし万が一、個人情報の漏えい事故などが発生した場合でも、ある程度、その法的責任や社会的非難、顧客から の信頼喪失の程度を軽減することができるでしょう。
そして、情報セキュリティ対策を講ずるためには、企業の様々な部署が管理する情報を整理し、かつそれに関するリスクを洗い出すことが不可欠です。したがって、企業の情報セキュリティ対策は、全社的なものとならざるを得ず、そのイニシアティブは、企業のトップによってとられるべきです。
まず、企業内において、「個人情報保護規程」とでも言うべき社内規程を設けることをお勧めします。その内容としては、(1)事業者の各部間および階層における個人情報を保護するための権限および責任の規定(2)個人情報の収集、利用、提供および管理の規定(3)情報主体(本人)からの個人情報に関する開示、訂正および削除の規定(4)個人情報保護に関する教育の規定(5)個人情報保護に関する監査の規定(6)内部規程の違反に関する罰則の規程 これらを規定し、従業員への周知徹底を図るべきです。
次に、個人情報の漏えい事故は、従業員などの内部者や委託先が関与する場合が大半です。したがって、前者については、入社に際して、そして可能であれば退社時にも誓約書を提出してもらう方法などが大切です。
U.企業機密管理について
1.「営業秘密」の管理が注目される背景
「アジアをはじめとする途上国が低廉な労働力と生産技術の向上を背景に競争力を伸ばし、社会の情報化が進展する中で、わが国産業の競争力低下が強く懸念されている。わが国の進むべき道は、過去の成功を支えた従来型の生産システムから脱却して、優れた発明等の知的財産を戦略的に創造、保護、活用し、付加価値の高い経済・社会システムを構築していくことである。」とは、昨年7月に発表された政府の知的財産戦略大綱の一節です。この大綱を受け、本年1月に、経済産業省は、知的財産保護の取組みの一環として、「営業秘密管理指針」を策定するとともに「不正競争防止法改正案」を国会に提出し、同法案は5月15日に成立しました。このような時代的な背景により、近時、「営業秘密」の管理が非常に注目されてきています。
2.労働者の秘密保持義務と不正競争防止法上の保護
在職中の労働者は、雇用契約に付随する義務の1つとして、使用者の秘密を保持すべき義務を負っています。このことは、就業規則や労働契約における条項の有無に左右されません。また、退職者については、退職前後に、秘密保持契約などを締結することにより、在職中に知り得た秘密を守る義務が生じます。他方、不正競争防止法上は、営業秘密を不正な取得や開示行為から保護するために、同法第2条第1項により「不正競争」に該当する営業秘密の「不正取得」行為、「不正開示」行為を規定し、そして、この不正競争に対しては、同法第3条第1項により差止請求が、さらには同条第2項により、侵害行為組成物等の廃棄、除却請求が可能です。また、不正競争によって営業上の利益を侵害された場合は、これによって生じた損害賠償の請求をすることもできます。したがって、労働者は在職中及び退職後も一定の秘密保持義務を負うとともに、不正競争防止法上の一定の要件を満たす場合には、営業秘密の不正使用・開示に対し差止請求が認められ、また損害賠償請求もできることになっています。
3.営業秘密管理指針が示す「企業機密管理水準」
IT化、人材の流動化、経済のグローバル化が進展するなかで、営業秘密をめぐるトラブルは、ますます増えています。そうした状況のもと、企業が営業秘密の管理強化を行う上で参考となるよう、経済産業省から「営業秘密管理指針」が示されました。
本指針においては、(1)「ミニマムの水準」、(2)「望ましい水準」に区分し、(1)は、不正競争防止法上の判例の分析を基礎として、営業秘密の管理に関し法律上の保護を受けるために必要と解される「ミニマムの水準」を提示するものであり、(2)は、紛争の未然防止等のために、国際的な秘密管理の動向等も踏まえて「望ましい水準」を提示しています。
(1)のミニマムの水準において強調されていることは、不正競争防止法における「営業秘密」の概念の理解の徹底とそれに従った管理の実践です。すなわち、同法にいう「営業秘密」といえるためには、(@) 秘密として管理されていること(秘密管理性)、(A) 事業活動に有用な技術上又は営業上の情報であること(有用性)、(B) 公然と知られていないこと(非公知性)、の3要件を全て備える必要がありますが、その中核的要件である(@)について、これまでの裁判例は相当程度厳格に解釈しているため、秘密管理性の充実策を提示しています。
(2)の望ましい水準については、営業秘密の具体的管理方法として、個別的管理方法(物的・技術的管理および人的・法的管理)と組織的管理方法(全体的なマネジメント方法)に分類し、それぞれに管理ファクターが網羅的に記載されています。組織的管理方法としては、営業秘密を保有する組織全体のマネジメントのあり方について、「Plan-Do-Check-Act」の一連の流れに関して、詳細に記載しています。これからの企業機密管理を考えていくうえで、一度ご覧になられては、いかがでしょう。