コラム「企業法務相談室」一覧

会社法,商取引法,M&A・事業承継,倒産・再生,IT・知財,労働法,公益通報・コンプライアンス等について,企業法務を取り扱う弁護士が豊富な実務経験に基づき解説しています。

  • 2023/09/22 インターネット・情報 中途採用により入社した社員が前職で入手した情報を転職先に持ち込んでいた場合の対応(秋山周弁護士)

    中途採用により入社した社員が前職で入手した情報を転職先に持ち込んでいた場合の対応

    Q. 入社した社員が、前職で使用していたUSBメモリを当社に持ち込み、当人が当該USBメモリに含まれる情報(顧客情報等)を勝手に当社で使用した場合に、当人や当社が何らか責任を負うことはありますか。また、そのような場合、当社が責任を免れるためにはどのような点に留意すべきでしょうか。

    A.

    1 転職者の責任

    顧客情報等が含まれるUSBメモリの持出しとその利用について業務上横領罪や背任罪等の刑事責任を負うおそれや、持ち出した情報が転職元企業の規定する機密情報等に当たる場合には転職元企業から債務不履行に基づく損害賠償請求を受けるおそれ(民法415条)があるほか、持ち出した情報が不正競争防止法上の「営業秘密」にあたる場合には、同法上の差止請求や損害賠償請求を受けるおそれ(不正競争防止法3条、4条)、営業秘密侵害罪に該当するおそれがあります(同法21条1項)。

    2 転職先の会社の責任

    転職者が持ち出したUSBメモリに含まれる情報が不正競争防止法上の営業秘密にあたる場合には、同法上の差止請求や損害賠償請求を受けるおそれ(不正競争防止法3条、4条)、営業秘密侵害罪に該当するおそれがあるほか(同法21条1項)、民法上の不法行為責任を負うおそれも考えられます(民法709条、715条)。

    3 転職先の会社の対応

    転職者の転職元企業との間における契約関係の確認、転職者採用時における誓約書の取得、採用後の業務内容の定期的な確認等を行って、不正競争防止法上の「重大な過失」が認められないように対処しておく他、秘密情報に関する社内ルール(営業秘密管理規程)の周知を行って、従業員等の秘密情報に対する認識を向上させておくことが考えられます。


    (説明)

    1 転職者のリスク

    (1) 刑事責任(業務上横領罪・背任罪)

    当該転職者の立場や持ち出した物によっては、転職者に業務上横領罪や背任罪が成立するおそれがあります(なお、転職者が転職元企業の所有物だと知らなかったとしても、証拠から故意が認められるおそれがあります)。

    (2) 債務不履行に基づく損害賠償請求

    当該転職者が退職後も転職元企業との間で秘密保持義務を負う場合には、転職者は、転職元企業から債務不履行に基づく損害賠償請求を受けるおそれがあります。

    (3) 不正競争防止法違反を理由とする民事上の請求及び刑事罰

    ア 民事上の請求

    当該転職者が退職後に秘密保持義務を負っていなくとも、当該情報が不正競争防止法上の営業秘密にあたる場合には、転職者が、営業秘密を正当に取得した後に、管理任務に反して営業秘密を領得し、図利加害目的で自ら使用又は他者に開示した場合には、営業秘密侵害にあたるものとして、転職元企業から損害賠償請求を受けるおそれがあります(不正競争防止法2条1項7号、4条)※以下、本記事では、転職者による営業秘密の正当取得後の不正開示について解説していますので、営業秘密の不正取得に由来する類型については割愛しております。

    イ 刑事罰(営業秘密侵害罪)

    また、前記アの場合においては、転職者は、営業秘密侵害罪にも該当します(不正競争防止法21条1項3号ないし6号)。

    なお、営業秘密とは、①秘密として管理されていること(秘密管理性)②事業活動に有用な情報であること(有用性)③公然と知られていないこと(非公知性)を満たす技術上又は営業上の秘密をいいます。


    2 転職先の会社のリスク

    (1) 不正競争防止法違反を理由とする民事上の請求及び刑事罰

    ア 民事上の請求

    転職者が持ち出したUSBメモリに含まれる情報が不正競争防止法上の営業秘密にあたる場合、転職先の会社が意図せぬ形で他者の秘密情報を取得してしまうおそれがあります。

    これについて、転職者が、営業秘密を正当に取得した後に、当該転職者による営業秘密不正取得行為があり、転職先の会社が、当該事情を知りながら、または重大な過失により当該事情を知らずに取得して、自ら使用・他者に開示した場合(不正競争防止法2条1項8号・9号)には、営業秘密侵害行為に該当し、転職先の会社が不正競争防止法上の差止請求や損害賠償請求を受けるおそれがあります(不正競争防止法3条、4条)。

    イ 刑事罰

    また、転職者が、営業秘密を正当に取得した後に、当該転職者による営業秘密不正取得行為があり、転職先の会社が、当該事情を知りながら、当該営業秘密を取得して、自ら使用又は他者に開示した場合(不正競争防止法21条1項7号)には、営業秘密侵害罪に該当します。

    (2) 民法上の不法行為責任

    転職者の行為が不正競争防止法上の営業秘密侵害行為には当たらない場合でも、転職者が転職元企業に対して不法行為に基づく損害賠償責任を負う場合には、転職先の会社が民法上の使用者責任を負うおそれも考えられます(民法709条、715条)。


    3 転職先の会社が対応すべき事項

    転職者の入社時に転職先の会社が対応しておくべき点について、「重大な過失」がないとされるために以下のような取組みが有効と考えられ、上記2記載の転職先の会社のリスクを回避していくことができるものと考えられます(なお、以下の取組みにより、常に「重大な過失」がないとされるものではないことにご留意ください)。(経済産業省「秘密情報の保護ハンドブック~企業価値向上に向けて~」5-2参照)

    その他、営業秘密侵害行為については、上記のとおり「重大な過失」の有無の判断が検討されますが、営業秘密侵害行為に該当するとまでは認定されなくとも、従業員における一般不法行為の成立が認定される場合もあり、その場合、転職先の会社においても、「重大な過失」よりも認定されやすい「過失」の不法行為責任が認定されるおそれがありますので、そういった場合に備える意味でも以下の対応をしておくことがよいと考えられます。

    (1) 転職者の契約関係の確認

    転職者が、転職元企業との関係で負っている秘密保持義務、競業避止義務といった義務の有無やその内容を確認することが必要です。

    (具体例)

    ・転職元の就業規則や、退職時に交わしている契約書や誓約書等を確認し、秘密保持義務や、競業避止義務等の有無や内容を面接やアンケート等で確認してください。

    ・転職者が、上記のような契約書や誓約書等の写しを転職元から交付されていなかったり、その内容が「すべての情報を持ちだしてはならない」といったものであるなど、転職者が負っている義務の範囲が漠然としている場合であっても、転職者本人に対する記憶喚起やインタビュー等を通じて、できるだけ義務の範囲を特定するよう努めてください。

    ・転職者が義務を負っているかどうかに関わらず、後記(2)のとおり「誓約書の取得」等も実施することが望ましいです。なお、転職元において中核的な役割を担っていた転職者を受け入れる際には、当該技術情報の性質や当該転職者の従前の職務内容等に応じ、当該転職者が転職元企業との間で秘密保持義務や競業避止義務を負っている可能性が高いことに留意した、より慎重な対応を行うことが考えられます。

    ・以上の対応を行ったことについて、採用時の面談録やレポート等の書面の形で記録・保存しておいてください。

    (2) 転職者採用時における誓約書の取得等

    転職者に、転職元企業での秘密情報を自社内に持ち込ませないよう注意を喚起するとともに、不正競争防止法上の「重大な過失」が無いとの主張の一つの根拠とするために、転職者の採用時に書面での確約を取っておくことが有効です。

    (3) 採用後の管理

    転職者が従事する業務内容を定期的に確認してください(私物のUSBメモリ等の記録媒体の業務利用や持込みを禁止するといった取組みも有効と考えられます)。


    4 秘密情報に関するルール(営業秘密管理規程)の周知

    上記3の他、秘密情報の取扱い方法等に関するルールの周知、秘密情報の記録された媒体へ秘密情報である旨の表示を行うこと等により、従業員等の秘密情報に対する認識を向上させ、同時に、不正に情報漏えいを行う者が「秘密情報であることを知らなかった」、「社外に持ち出してはいけない資料だと知らなかった」、「自身が秘密を保持する義務を負っている情報だとは思わなかった」といった言い逃れができないようになるものと考えられます。(経済産業省「秘密情報の保護ハンドブック~企業価値向上に向けて~」)3-2参照)

    たとえば、営業秘密管理規程には、従業員等が秘密情報の取扱いや、秘密情報に関して秘密保持義務が課されていること等について、十分理解できるようにするため、以下のような内容を入れておくことが考えられます。

    ①適用範囲

    役員、従業員、派遣労働者、委託先従業員(自社内において勤務する場合)等、本規程を守らなければならない者を明確にします。

    ②秘密情報の定義

    本規程の対象となる情報の定義を明確化します。

    秘密情報の定義に際しては、受領者による秘密情報の認識の範囲を明確化することが重要であり、秘密である旨を明示して開示される情報を秘密情報と指定することや、秘密情報の保護を図るため、記録媒体そのものを秘密情報と指定すること等が考えられます。

    ③秘密情報の分類

    分類の名称(たとえば、「役員外秘」、「部外秘」、「社外秘」)及び各分類の対象となる秘密情報について説明します。

    ④秘密情報の分類ごとの対策

    「秘密情報が記録された媒体に分類ごとの表示をする」、「アクセス権者の範囲の設定」、「秘密情報が記録された書類を保管する書棚を施錠管理して持出しを禁止する」、「私物のUSBメモリの持込みを制限し複製を禁止する」等、分類ごとに講ずる対策を記載します。

    ⑤管理責任者

    秘密情報の管理を統括する者(たとえば、担当役員)を規定します。

    ⑥秘密情報及びアクセス権の指定に関する責任者

    分類ごとの秘密情報の指定やその秘密情報についてのアクセス権の付与を実施する責任者(たとえば、部門責任者、プロジェクト責任者)について規定します。

    ⑦秘密保持義務

    秘密情報をアクセス権者以外の者に開示してはならない旨等を規定しておきます。

    ⑧罰則

    従業員等が秘密情報を漏えいした場合の罰則を定めておきます。


    5 最後に

    中途採用を行う会社においては、当該転職者が前職で身に着けたノウハウ等に期待して採用を行っているものと一般的に考えられますが、転職者を採用する会社においても、当該転職者と転職元企業との間におけるトラブルに巻き込まれるおそれがあり、転職元企業から訴えられたり、当該転職者とともに損害賠償責任を負うおそれがあるため、上記のような事項を確認しておくことが望ましいと考えられます。

    以上


    弁護士 秋山周


    このコラム執筆者へのご相談をご希望の方は,こちらまでご連絡ください。

    ※ご連絡の際には,コラムをご覧になられた旨,及び,執筆弁護士名の記載がある場合には弁護士名をお伝えください。

    直通電話 03-5215-7354

    メール advice★tajima-law.jp(★をアットマークに変換してください。)

  • 2023/08/30 インターネット・情報 個人データの取扱い委託先事業者における個人データの漏えい対応(西川文彬弁護士)

    個人データの取扱い委託先事業者における個人データの漏えい対応

    Q1.委託先における個人データ漏えい時における委託元の報告義務及び通知義務
    当社(委託元)の個人データの取扱いを委託している会社(委託先)から「不正アクセスにより、個人データを格納しているサーバーから委託された個人データを含むデータが漏えいした可能性がある」との連絡を受けました。
    不正アクセスを受けて漏えいした可能性があるのは委託先であるため、当社(委託元)には、漏えいについて、個人情報保護委員会へ報告したり、本人へ通知をする義務はないという理解でよいでしょうか。


    Q2.委託先において報告及び通知義務が免除される場合
    当社は、他社から個人データの取扱いの委託を受けているのですが、不正アクセスにより、個人データを格納しているサーバーから委託を受けている個人データが漏えいしたかもしれません。
    委託元に対しては、個人データが漏えいした可能性があること連絡しようと思っていますが、その他に、個人情報保護委員会への報告や本人への通知も行わなければならないでしょうか。

    A1.いいえ。個人データの取扱いを委託している場合、委託先だけではなく、委託元である個人情報取扱事業者にも個人情報保護委員会(※)への報告義務(以下「報告義務」といいます。)及び本人への通知義務(以下「通知義務」といいます。)が課されます。

    ※ 個人情報保護委員会が個人情報の保護に関する法律(以下「法」といいます。)第150条第1項の規定により報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣が報告先となります。


    A2.委託先においては、報告義務及び通知義務が免除される場合があります。

    委託先は、委託元である個人情報取扱事業者に対し、個人情報保護委員会規則(以下「規則」といいます。)が定める適切な通知をしたときは、報告義務及び通知義務を免れ、この場合、委託先からの通知を受けた委託元のみが報告及び通知をすることとなります。



    (説明)

    1 報告義務及び通知義務の根拠

    以下に引用するとおり、報告義務は法第26条第1項本文に、通知義務は同条2項に、それぞれ定められており、漏えい等が発生し、又は発生したおそれがある個人データを取り扱う個人情報取扱事業者(委託元及び委託先)が報告義務及び通知義務の主体となります(個人情報の保護に関する法律についてのガイドライン(通則編)(以下「GL通則編」と記載します。)3-5-3-2、3-5-4-1参照)。


    ~法第26条抜粋~

    1 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。…略…

    2 前項に規定する場合には、個人情報取扱事業者…略…は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。…略…
    ~~


    2 委託先が報告義務及び通知義務を免れる場合

    委託先においては、報告義務を負う委託元に対し、次に掲げる①から⑨までの事項(GL通則編3-5-3-3に詳細の記載があります。)のうち、その時点で把握しているものを通知したときは、報告義務及び通知義務が免除されます(法26条1項但書、同条2項括弧書、規則9条同8条。GL通則編3-5-3-5、3-5-4-1参照。)。
    ① 概要
    ② 漏えい等が発生し、又は発生したおそれがある個人データの項目
    ③ 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
    ④ 原因
    ⑤ 二次被害又はそのおそれの有無及びその内容
    ⑥ 本人への対応の実施状況
    ⑦ 公表の実施状況
    ⑧ 再発防止のための措置
    ⑨ その他参考となる事項


    ~法第26条抜粋~

    1 個人情報取扱事業者は、…略…当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。

    2 …略…個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し…略…通知しなければならない。
    ~~


    3 補足

    (1)本人への通知義務の例外

    本人に対する通知義務を負う場合であっても、本人への通知が困難である場合(連絡先が古く通知できない場合等)は、通知に代えて、本人の権利利益を保護するために必要な代替措置(事案の公表等)を講ずることが認められます(法26条2項但書、GL通則編3-5-4-5参照)。


    ~法第26条抜粋~

    2 …略…ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
    ~~


    (2)報告義務を免除された委託先の委託元への協力

    委託先は、委託元に対し、前記「2」の通知をしたとしても、委託元の報告義務の履行に当たって、事案の把握を行うことのほか、必要に応じて委託元の漏えい等報告に協力することが求められます(GL通則編3-5-3-5参照)。


    4 最後に

    個人データの取扱いの委託は広く行われているところ、委託先に漏えいが生じた場合には、以上のように委託元においても適切に対応することが求められます。

    また、平時においても、委託元には、委託先に対する監督義務(法25条)が課されておりますので、個人データの取扱いを委託する際には、委託先との適切な委託契約の締結をすることのほか、委託先における委託された個人データの取扱状況を把握する等といったことが重要となります。


    弁護士 西川 文彬


    このコラム執筆者へのご相談をご希望の方は,こちらまでご連絡ください。

    ※ご連絡の際には,コラムをご覧になられた旨,及び,執筆弁護士名の記載がある場合には弁護士名をお伝えください。

    直通電話 03-5215-7390

    メール nishikawa★tajima-law.jp(★をアットマークに変換してください。)