社内情報が従業員から漏洩した場合のリスクや対策、法的処置を解説

従業員から個人情報が漏洩する原因としては、どのようなものがあるのでしょう。以下では、代表的な事例について説明します。

1. （1）従業員のSNSからの漏洩

   従業員が個人でSNSアカウントを保有している場合には、SNS上で個人情報や社内情報が流出することがあります。実名でのアカウントではないため、特定されることはないだろうという安易な気持ちから、自社の顧客情報を書き込んだりすることがあり得ます。
   
   また、リモートワークや自宅に持ち帰って仕事をしている場合には、仕事用のパソコンと私用のパソコンを共用することにより、業務上の個人情報を誤って個人用のSNSにアップしてしまう可能性もあります。

2. （2）従業員の個人情報持ち出しによる漏洩

   社内の機密情報や個人情報を管理している従業員が競合他社に対して、顧客リストなどを販売するなどして個人情報漏洩が生じることがあります。いわゆる産業スパイと呼ばれるような事例です。このような事例では、引き抜きや退職の際に個人情報を持ち出す事例が多いといえます。

3. （3）社外での書類・データの紛失

   個人情報が含まれる書類やデータを社外に持ち出した際に、そのまま紛失してしまい、個人情報が漏洩することがあります。タクシーの車内や電車内、あるいは就業後同僚と飲みに行った際に飲食店に置き忘れてしまうといった事例があります。

4. （4）メールなどでの誤送信

   社内メールで個人情報が含まれるファイルを添付して送信しようとしたところ、誤って外部の第三者に送信してしまうことで個人情報が漏洩することがあります。

従業員によって企業が保有する個人情報の漏洩がなされた場合には、企業に対して罰則の適用や責任追及がなされる危険があります。

1. （1）刑事上の責任

   個人情報保護法では、個人情報取扱業者に対して、以下のような義務を課しています。

   ① 安全管理措置義務（個人情報保護法20条）
   利用目的の達成に必要な範囲内で、個人データの、滅失または毀損の防止その他個人データの安全管理のための必要かつ適切な措置を講じる義務
   
   ② 従業員に対する監督義務（個人情報保護法21条）
   従業者に個人データを取り扱わせるにあたって、個人データの安全管理が図られるよう、従業者に対し必要かつ適切な監督を行う義務
   
   ③ 委託先に対する監督義務（個人情報保護法22条）
   個人データの取り扱いの全部または一部を外部に委託する場合に、個人データの安全管理が図られるよう受託者に対し必要かつ適切な監督を行う義務
   
   
   

   事業者が上記義務に違反して、個人情報を漏洩してしまった場合には、国から是正勧告や改善命令が出されます（個人情報保護法42条）。さらに、個人情報保護委員会からの改善命令にも違反した場合には、1年以下の懲役または100万円以下の懲役に処せられます（個人情報保護法83条）。
   
   法人の代表者または法人もしくは人の代理人、使用人その他の従業者が、その法人または人の業務に関して、個人情報保護委員会による命令違反や虚偽報告をした場合には、行為者だけでなく、法人に対しても罰金刑が科されます。その場合の法定刑は、1億円以下の罰金とされています（個人情報保護法87条1項）。

2. （2）民事上の責任

   従業員が個人情報を漏洩させてしまった場合には、企業は、民事上の責任として個人から損害賠償請求をされるリスクがあります。
   
   実際に損害賠償請求を受けなかったとしても、個人情報を漏洩させた企業の責任として、被害者に対して金券や電子マネーなどを交付することがあります。被害者1人当たりに対する金額は500円から数千円であったとしても、漏洩した個人情報の数が膨大になれば企業が負担すべき金額も莫大な金額になることがあります。
   被害者への賠償や社会的信用性の低下などから、個人情報の漏洩によって被る企業のダメージは甚大です。

従業員からの社内情報漏洩を防止するためには、以下のような対策を講じる必要があります。

1. （1）社内情報の取扱規定の整備

   個人情報や社内情報を扱う企業では、当該情報の取扱規定を整備する必要があります。どのような情報が社内情報に該当するのか、誰がどのように管理するのかなど社内情報に関する基本的な事項を取り決めます。
   また、従業員個人のSNSアカウントの利用方法についても併せて規定しておくことでSNS経由での社内情報の流出を防止するのに有効となります。

2. （2）社内情報へのアクセス権の制限

   企業内の誰でも社内情報にアクセスすることができる状態では、容易に漏洩してしまいます。社内情報の漏洩を回避するためには、アクセス権を制限するなどの情報セキュリティ対策を講じることが有効な手段となります。
   
   重要な社内情報や秘密情報については、IDやパスワードの入力をしなければアクセスすることができないようにすれば、有効なアクセス権限を有する従業員以外が社内情報に触れることはできません。仮に、社内情報が漏洩したとしても、いつ、誰がアクセスをしたかを知ることができれば、情報漏洩後の対処も容易になるといえます。

3. （3）社内情報の持ち出しの禁止

   社内情報の漏洩の事例では、社外で情報を紛失してしまったという事例もあります。そのような事例では、社内情報の外部への持ち出しを禁止するなどの情報漏洩対策を講じることが有効となります。
   
   リモートワークなどにより社外でも社内情報にアクセスする機会が増えてきていますが、会社から貸与されたパソコン以外でアクセスをしない、データを暗号化するなどの対策を講じて社内情報の漏洩のリスクを減らすようにしましょう。

4. （4）社内研修の定期的な実施

   社内情報の漏洩対策として規定の整備をしたとしても、従業員個人の意識が低い状態では社内情報の漏洩を防ぐことができません。そのため、社内情報の管理の徹底や社内情報を漏洩した場合のリスクなどを認識してもらうために定期的な社内研修を実施することが必要になります。
   従業員個人の情報管理に対する意識を高めることが、情報漏洩対策としては有効な手段となります。

従業員が守秘義務に違反して個人情報や社内情報を外部に漏洩させた場合には、企業としては、当該従業員に対して懲戒処分を行うとともに、損害賠償請求を検討することになります。

1. （1）懲戒処分

   従業員が守秘義務に違反して社内情報を漏洩させた場合には、当該従業員に対して懲戒処分を検討する企業が多いでしょう。
   
   従業員に対して懲戒処分を行うことができるかどうかは、企業の就業規則で守秘義務違反が懲戒事由として規定されているかどうかによります。就業規則で守秘義務違反が懲戒事由として規定されている場合には、企業は、守秘義務違反を理由に懲戒処分を行うことが可能です。
   
   もっとも、懲戒処分としてどの程度の処分を行うのかは慎重に判断しなければなりません。守秘義務違反の内容と比較して重すぎる処分を行った場合には、後日裁判所から無効と判断されるリスクもあり得ます。どのような処分を行えばよいのか不安な場合には、弁護士に相談しながら決定していくとよいでしょう。

2. （2）損害賠償請求

   社内情報を漏洩した従業員個人に対して、企業が損害賠償請求をすることも可能です。
   もっとも、情報漏洩の態様によっては、従業員個人の責任を追及することができない場合もありますし、損害賠償請求ができる場合であっても、企業が被った損害の全額を負担させることは難しい可能性が高いでしょう。
   
   従業員個人に対して損害賠償請求をするかどうか、損害賠償請求をするとしてどの程度の金額を請求するのかについては、専門的な判断が必要になりますので、弁護士に相談をしながら決めるようにするとよいでしょう。

社内情報が漏洩した場合、企業は莫大な損害を被るとともに、社会的信用性も著しく低下する可能性があります。企業としては、情報漏洩後の対策よりも情報漏洩を起こさないための事前の対策が何よりも重要です。

顧問弁護士を利用することで必要な社内規定の整備から社内研修への対応など社内情報漏洩に対して有効な対策を講じることができます。
社内情報漏洩に対する事前の対策を検討されている企業、ご担当者は、ベリーベスト法律事務所 海浜幕張オフィスまでご連絡ください。