トピックス

労働法の適切な運用を目指し、業績が向上する労務マネジメントを目指す経営者向けのメディア記事です。
企業の業績に貢献する「攻め」のアプローチをします。

× まずは無料で相談!

社員による顧客名簿の売り渡しが判明!個人情報流出を防ぐために会社の取るべき対応とは?

最終更新日:2024.10.24

問題の事象

当社の社員が、個人情報の記載されている顧客名簿を名簿業者に売り渡していることが判明しました。

当社としては、どのような対応を取るべきでしょうか?

解説(基本的な考え方)

個人データの安全管理(個人情報保護法20条ないし22条)に関する法違反があった場合、会社としてはまず、二次被害の防止や類似事案の発生回避等の見地から、

  1. 事実関係や再発防止策等の公表
  2. 被害者本人への連絡を行う

これらの対応を取ることが望ましいです。

なお、個人情報漏えいの公表を行う場合には、単に発生した事象のみを説明するのではなく、

  • 被害者等へのお詫び
  • 被害者等からの相談対応窓口

についても触れる必要があります。

また、本件における社員は故意に顧客情報を売却していることから、

会社の対応としては、断固たる措置として、本人を懲戒解雇にするという選択肢も考えておく必要があるでしょう。

 

個人情報保護法の概要

こちらの項目では、平成15年(2003年)5月に制定され、平成17年(2005年)4月に全面施行されている「個人情報保護法」の概要についてお伝えします。

 

個人情報とは

個人情報とは

「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述により特定の個人を識別することができるもの」(2錠1項)

と定義されています。

また、氏名を

  • 生年月日
  • 電話番号

などと組み合わせることによって、氏名単体では特定の個人を識別することができなかったとしても、個人情報として扱える場合があるのです。

そして、メールアドレスについては、

  • ユーザー名
  • ドメイン名

などから特定の個人を識別することができた場合、それ自体が単体になるため、そのメールアドレス自体が個人情報に該当します。

 

個人情報保護取扱業者とは

個人情報保護取扱業者とは、

個人情報保護法2条5項において、「個人情報データベース等を事業の用に供している者」

と定義されています。

ここでいう個人情報データベースとは、

  1. コンピュータを用いて検索できるよう体系的に構成されたもの
  2. 目次や索引などを用いて特定の個人情報を簡単に検索できるよう体系的に構成されたもの

等のことです。

そして、昨今では、

必要に応じてすぐに個人情報を取り出せるよう管理されている業者がほとんどのため、個人情報を管理しているほとんどの業者が「個人情報保護取扱業者」にあたります。

また、

個人情報保護法は、「個人情報保護取扱業者」(2条3項)に対して、個人情報の取得・管理等に関する義務を課している

と言えるのです。

 

個人情報保護の「ガイドライン」

ガイドラインに関しては、

個人情報保護法の制定を受け、医療や金融分野等の各事業分野における個人情報の取り扱いについて、各省庁が個別にガイドラインを策定しています。

そして、事業分野ごとに各省庁が定めるガイドラインでは、

情報漏えい等が起こった場合の対応を規定するものもあり、各ガイドラインの対象事業者は当該ガイドラインに沿った対処が求められるのです。

なお、厚生労働省は、個人情報保護法の制定に呼応して、

「雇用管理分野における個人情報保護に関するガイドライン」(平成24・5・14厚労告357号)を策定するとともに、社員の健康情報に関する保護については、別途、特に会社が留意すべき事項を通達(平24・6・11基発0611第1号)にて定めています。

 

会社としての責任

損害賠償責任

顧客の個人情報〔氏名、年齢、住所、電話番号等〕がインターネット上で閲覧可能な状態に置かれており、実際に第三者がこれを閲覧して情報が流出したTBC顧客情報漏えい事件(東京地判平19・2・8)では、

TBC側がプライバシー侵害を認め、被害者1人当たり3万5,000円(うち1名は2万5,000円)の損害賠償責任(民法709条、715条)を負う

結果となっています(同種の事件として大阪地判平18・5・19判夕1230号223貢)。

 

「個人情報取扱業者」としての責任

また会社が個人情報取扱業者に該当する場合は、一般的な賠償責任に加えて

  1. 個人情報について安全管理措置が取られていたか否かが問われる
  2. 1に不備があると、安全管理措置義務違反が認められ、「個人情報保護法違反」の責任を負う(個人情報保護法34条)
ことになります。
 

社員の処分について

顧客情報は営業秘密である

会社が保有・保管している顧客名簿(顧客情報)を不正に持ち出して、これを同業他社に売却していた

という事案があります。

上記事案について裁判官は、顧客情報とは、

会社が「長年にわたって、自社製品を販売することによって得た顧客に関する住所、氏名、電話番号、購入履歴等の情報である」

とし、

  • 会社の管理体制
  • 本件顧客情報の性質

  • 内容

等に照らし合わせた結果、顧客情報が不正競争防止法2条6項所定の営業秘密に該当すると判断しました。

社員への損害賠償請求

顧客情報が不正競争防止法における営業秘密(2条6項)に該当する場合、顧客情報を他社に売り渡すといった秘密漏えいは、労働契約の付随義務である

  • 秘密保持義務違反(民法415条)

  • 不正行為(民法709条)

に該当するため、社員に対して損害賠償請求をすることが可能です。

しかし、損害賠償請求を裁判所に提起するとなれば、まず会社側が、

  1. 会社の損害
  2. 損害と秘密漏えい行為との因果関係

を個別に算出・立証しなければなりません(ダイオーズサービシーズ事件・東京地判平14・8・30労判838号32貢、東京地判平19・1・26判夕1274号193貢)。

事前に就業規則などに違約金が設定できればよいのですが、労基法16条に「使用者は、労働契約の不履行について違約金を定め、又は損害賠償額を予定する契約をしてはならない」と定められているため、やはり個別に算出する必要があります。

 

社員への懲戒解雇が「無効」となったケース

故意に情報を漏洩させた社員へは懲戒解雇を含む懲戒処分を検討することになります。

ただ、会社側の情報管理体制が不十分な場合、懲戒解雇を無効とされるケースもあるので注意が必要です。

ブランドダイアログ地位確認など請求事件(東京地判平24・8・28労判1060号63貢)の、顧客データを取引相手(会社と販売パートナー契約を締結している他社)に送信した社員に対する懲戒解雇等の有効性が争われた

事案では、顧客データ送信が懲戒事由に該当することは否定できないものの、

  • 会社の秘密情報の管理体制がそれほど厳格であったとはいえない
  • 社員の顧客データ送信は不当な目的によるものではない(退職後に本件顧客リストを不正利用しようとしていたとはいえない)

これら等の諸事情に照らし合わせた結果、懲戒解雇は無効と判断されました。

 

個人情報の流出を防ぐために

事業を遂行する上で、個人情報や秘密情報の漏洩を防ぐことは何よりも優先すべき重要な課題です。

流出を防ぐため、また万一流出が発生した場合にも被害を最小限に抑えるために、以下の内容を参考に情報管理システムの運用方法や規定の整備など、再点検しておくとよいでしょう。

 

  1. 社員に対しての教育強化
    「個人情報流出に関する勉強会」を定期的に開催する等
  2. 書面を取り交わす
    秘密保持契約(誓約書を含む)などを締結し、秘密情報であることを徹底的に周知させる
  3. 情報端末の持ち出し・個人端末の持ち込みなどについて、禁止を含めた管理を徹底する
  4. 個人情報への接近制御システムの構築
    情報へのアクセス権の適切な付与・個人情報の暗号化・アクセスログの管理・ペーパーレス化・廃棄や消去された個人情報の復元困難化など
  5. 視認性の確保
    身の回りの整理整頓や座席配置の見直し・個人情報管理者の責任の分担・「写真撮影禁止」など禁止事項の表示・名札着用・防犯カメラや内部通報窓口の設置など
  6. 会社と社員間の信頼関係の向上
    情報漏えい事例の周知・情報漏えい事案に対する社内処分の周知・公平な人事評価制度の構築や周知・社内コミュニケーションを強化し、働きやすい職場環境を整備する等

 

 

 

労働環境の改善で、業績が伸びる職場をつくる。社員のトラブルのお悩みなら、まずはご相談ください!

関連記事