Netpress 第2204号 企業の情報管理 時代の変化に応じた実効性ある情報管理体制に
1.情報管理体制は、①社内規則や契約の整備、②規則等の実効性確保(研修、訓練、社内監査など)、③技術的な安全管理措置、という3本の矢から成ります。
2.情報に関わる人の属性の多様化や、IT化の流れを踏まえた情報管理体制の見直しが大切です。
岡村綜合法律事務所
弁護士 吉田 倫子
1.はじめに
今日、企業が取り扱う情報は多岐にわたり、情報の漏えいは、次に挙げるようなさまざまな事態を引き起こし得ます。
| ・ | 個人情報保護委員会から行政指導や行政処分を受ける。 |
| ・ | 退職した元従業員が営業秘密を競業他社に提供したらしいことが発覚し、競業他社に対して、不正競争防止法に基づく差止請求と損害賠償請求を行う。 |
| ・ | A社の業務委託先のB社のアルバイト従業員が、A社の未リリース新製品の仕様についてSNSに投稿し、B社がA社から損害賠償請求を受ける。 |
| ・ | B社は「うちは小さな企業だからサイバー攻撃の標的にされないだろう」と情報セキュリティの脆弱性を放置していたところ、B社の電子メールアカウントが乗っ取られて取引先A社へのサイバー攻撃に利用され、A社から莫大な損害賠償請求を受ける。 |
いかなる態様による情報漏えいも、完璧に防ぐことはできません。その企業の規模や取り扱う情報の種類等に照らして、社会通念上相当と認められる程度に情報管理体制を構築することが必要です。
本稿では、情報漏えいを防ぐための情報管理体制構築の基本的な考え方について簡単に説明します。
なお、営業秘密や営業秘密に近い情報の管理については、経済産業省のウェブサイトに、また、個人情報については、内閣府の個人情報保護委員会のサイトにさまざまな資料が掲載されていますので、ぜひ参考にしてください。
2.漏えいを防ぐ3本の矢
情報漏えいの態様や原因は多様ですが、多くの事案では、情報管理体制の不備と、漏えいに直結する従業員等の行為とが合わさって漏えいが発生します。
情報管理体制は、次の3本の矢から成ります。言い換えると、情報漏えいは、この①②③の不備を突いて発生します。
| ①社内規則や契約の整備 ②規則等の実効性確保(研修、訓練、社内監査など) ③技術的な安全管理措置 |
近年は、雇用の流動化やリモートワークの増加により、企業の情報にアクセスする人の立場やアクセスルートが多様化しているのが特徴といえ、①②③を常に見直しながら最新の体制を構築することが求められます。
次項では、このうち①について、基本的な考え方を紹介します。
なお、③については、IT技術の発展に応じて継続的な見直しが必要です。企業の人的資源の状況によっては、自前で十分な安全管理措置をとることが難しいケースもあるでしょう。そのため、専門業者に委託して模擬攻撃訓練や脆弱性診断を受け、とるべき措置を取捨選択することも考えられます。
3.社内規則や契約の整備
(1)まずは情報の分類
IT化の進展によって、企業の規模を問わず、取り扱う情報が膨大となっています。効率的かつ実効性のある情報管理体制を構築するためには、大前提として、保有し続ける必要のない情報を適時に消去する体制を構築することと、漏えいインパクトの大きい情報とそうでない情報を分類することが重要です。
また、いわゆる「営業秘密」のうち、不正競争防止法による保護を受けることができるのは秘密管理性・有用性・非公知性という3要件を満たすものに限られます(不正競争防止法2条6項参照)。不正競争防止法による保護を受けるためには、漫然と管理するのではなく、「部外秘」と表示したり、秘密保持契約を取り交わしたり、といった秘密管理措置を従業員等に徹底させる必要があります。そのため、どのような情報について不正競争防止法による保護を受けたいかという観点から分類することも重要です。
(2)情報管理に関する規則の整備
情報管理の柱となるのは、情報管理規程です。個人情報管理規程とその他の情報に関する管理規程を別に定めるなど、情報をグループ分けして定める方法や、一つの規程にまとめて細則で補う方法など、さまざまな方法があります。自社に合った方法とするのがよいでしょう。
規則で定めるべき主な事項としては、次のものがあります。②と③については、情報の種類に応じて、情報管理責任者と従業員等が行うべきことを具体的に明らかにすることが必要です。場合によってはマニュアルの作成も有用でしょう。
| ①管理対象の情報 ②情報管理の体制(誰が情報管理の責任を負うか等) ③情報管理に関する従業員等の遵守事項(アクセス制限等を含む) ④情報漏えい等が発生した場合の対応方針 |
(3)各論的な規則
近年、利用者が増えているリモートワークに伴う情報漏えいリスクに対応するために、特別の規程を定めることも検討に値します。この点については、総務省が公表しているテレワークセキュリティガイドラインが参考になります。
また、私物機器を業務に用いることを認めるかについて、会社として方針を決定することも重要です。許容する場合には、許可制として、利用条件(セキュリティソフトのインストール、家族や知人への貸与の禁止、会社からの情報消去指示に従う義務等)を遵守させるべきです。
さらに、SNS利用規則等を定めて、会社に関する事項の発信を一切禁止することも考えられます。
(4)就業規則と秘密保持契約
上記(2)や(3)の各種規程の実効性を確保するために、規程違反が懲戒事由になることを就業規則に明確に定めておく必要があります。さらに、就業規則に定めるだけではなく、従業員等と個別に秘密保持契約を締結し、退職後の秘密保持義務および競業避止義務ならびに情報漏えいを行った場合の損害賠償義務も明記しておくとよいでしょう。
また、業務委託先にも適切な情報管理を求め、万が一業務委託先からの漏えいが発生した場合に責任追及しやすくなるよう、業務委託先との契約書において、秘密保持について定めることも極めて重要です。
【SMBC経営懇話会会員限定】
SMBCコンサルティングの顧問弁護士による無料経営相談(東京)のご案内
| 岡村綜合法律事務所はSMBCコンサルティング株式会社の顧問弁護士です。 毎週金曜日の10:00から17:00まで、SMBC経営懇話会会員向けの法律に関する無料経営相談を受けております。 無料経営相談の申込はこちら |
SMBC経営懇話会のサービスはこちらをご覧ください
SMBC経営懇話会のご案内
この記事はPDF形式でダウンロードできます
SMBCコンサルティングでは、法律・税務会計・労務人事制度など、経営に関するお役立ち情報「Netpress」を毎週発信しています。A4サイズ2ページ程にまとめているので、ちょっとした空き時間にお読みいただけます。
プロフィール
SMBCコンサルティング株式会社 ソリューション開発部 経営相談グループ
SMBC経営懇話会の会員企業様向けに、「無料経営相談」をご提供しています。
法務・税務・経営などの様々な問題に、弁護士・公認会計士・税理士・社会保険労務士・コンサルタントや当社相談員がアドバイス。来社相談、電話相談のほか、オンラインによる相談にも対応致します。会員企業の社員の方であれば“どなたでも、何回でも”無料でご利用頂けます。
https://infolounge.smbcc-businessclub.jp/soudan
関連キーワード
総務・法務 コンプライアンス・リスク対応
InfoLoungeとは
ログインでお困りの方
