〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階

東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)

東京メトロ 南北線:溜池山王駅 7番出口(地下直結)

東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分

東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)

ニューズレター
Newsletter

2023.12.15

顧客情報の持ち出しに関する個人情報保護法上の刑事責任と実務対応

<目次>
1.顧客情報持出事案における刑事責任を検討しておくことの意義
2.個人情報データベース等不正提供罪
(1)持ち出した従業員の責任
(2)企業の責任
3.実務上の対応
(1)セキュリティ対策
(2)従業員への対応

近時、退職した従業員が元勤務先の顧客情報にアクセス、利用したことにより逮捕、起訴され有罪が確定した事件や、大手学習塾において生徒の個人データを漏えいした従業員が逮捕されたのみならず、大手学習塾自身も個人情報データベース等不正提供罪の両罰規定により書類送検されたという事件が発生しています。
個人情報保護法の個人情報データベース等不正提供罪には、両罰規定があり、顧客情報を持ち出された被害者であるはずの個人情報取扱事業者も処罰される可能性があり、今後はこの両罰規定も従業員の顧客情報の持ち出しに関するリスクとしてより一層考慮する必要があります。
本ニューズレターでは、顧客情報の持ち出しに関する刑事責任のうち、個人情報データベース等提供罪等について解説した上で、近時の動向を踏まえたセキュリティ強化に向けた実務上の対応について解説します。

1.顧客情報持出事案における刑事責任を検討しておくことの意義

第一に、①顧客情報の持出事案では、持ち出しをした従業員の動向や、持ち出し先での利用状況についての証拠を収集することが難しいことから、告訴をし、捜査機関に刑事事件として強制捜査してもらうことで、事実関係の把握を進める点に意義があります。また、②金融分野など特定分野の事業者においては、刑罰法令に抵触しているおそれのある事案が発生した際は、警察等関係機関等への通報が必要になる場合もあります(主要行向けの総合的な監督指針Ⅲ-3-1-1(1)②、保険会社向けの総合的な監督指針Ⅲ-2-16(1)②など)。そして、ひいては、③法的義務である個人情報保護委員会への報告に加え、警察への相談や告訴といった厳格な対応を行ったということが、ステークホルダーへの説明に際し有効であると考えられます。
他方で、顧客情報の持出事案は、これまで不正競争防止法違反や、窃盗罪・横領罪、不正アクセス禁止法違反などにより処罰されることが多く、持ち出された企業は被害者として警察に相談を行うことが通常でしたが、個人情報データベース等不正提供罪の両罰規定により顧客情報を持ち出された企業が処罰される可能性もあります。また、顧客情報の持ち出しに関し捜査が行われる典型的な端緒としては、顧客情報の不正目的利用で顧客が被害を受け、警察に被害を訴えた場合があります。この場合、自社には処罰意思がなかったとしても、自社自身の刑事責任が問われるおそれがあります。

2.個人情報データベース等不正提供罪

(1)持ち出した従業員の責任

(i)個人情報取扱事業者若しくはその従業者又はこれらであった者が、(ii)その業務に関して取り扱った個人情報データベース等を(iii)自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処するとされています(個人情報保護法179条)。
(i)の行為者については、現在の従業員だけでなく、元従業員も処罰の対象となります。
また、(iii)の個人情報データベース等を提供又は盗用する目的としては、例えば金銭の取得を目的として、当該名簿のデータを持ち出し、他の企業に売却したときはこれに該当するとされています。いわゆる名簿屋に個人データを売るような場合です。また、元従業員が顧客リストを持ち出し、転職先で営業のために利用する場合なども含まれると考えられます。
他方で、個人情報取扱事業者に対する加害目的は含まれないこととされているため、従業員が個人情報取扱事業者に害を加える目的で顧客情報を持ち出した場合は、本罪は成立しないと考えられています。

本罪の特徴は、①不正提供の対象は営業秘密でなくてもよいことと②データでもよいことです。
①については、不正競争防止法違反とは異なり、持ち出した顧客情報が営業秘密であることは要件とされておりません。営業秘密に該当するためには、当該情報に、(i)秘密管理性、(ii)有用性、(iii)非公知性が認められる必要がありますが、特に顧客情報の場合は、企業内でのアクセス制限が不十分であったなどとして秘密管理性の有無が問題になりやすく、事案によっては本罪の方が成立しやすいということになります。
②については、窃盗罪や横領罪の場合は、持出の対象が財物(印刷された名簿やUSBなど)である必要があり、データを持ち出したのみではこれらの罪は成立しない場合があります。他方、本罪は、持出の対象がデータであってもよいということとなります。
したがって、不正競争防止法違反や窃盗罪、横領罪と比べると、本罪は成立しやすいとの指摘もなされております。

(2)企業の責任

本罪のもう一つの特徴は、③両罰規定があり、持ち出された企業にも刑事責任が問われ得ることです。
法人の代表者又は法人の従業者等が、その法人の業務に関して、個人情報データベース等不正提供罪に当たる行為を行った場合、法人に対しても、1億円以下の罰金が科されることとされています(個人情報保護法184条1号)。
両罰規定は、「業務に関して」なされた行為に対し、適用されるところ、業務に関する行為であるためには、行為者が主観的には事業主の事業の目的を遂行するためになし、客観的には当該行為が業務に関連して具体的に行われ、その経済上の影響が事業主に及ぶものであることを必要とする、と示された裁判例があります(東京高判昭和25年4月21日高刑集3巻1号107頁)。
もっとも、従業者が、その行為の性質上事業主の本来の業務内容の一部をなしていることを認識しながら違反行為に出た場合には、たとえ事業主の業務を遂行する意図がなくとも、当該行為は事業主の業務に関してなされたものとされた裁判例もあります(東京高判昭和60年1月22日高刑集38巻1号39頁)。
結局のところどのような場合であれば、両罰規定が適用されるかが問題となりますが、未だ具体的な事例が積み上げられていない状況です。本罪は、平成27年の改正時に大手通信教育会社の業務委託先従業員が顧客情報約2989万件を持ち出し約1000万件を名簿業者に販売した事案をきっかけに、個人情報を名簿業者に不正に売却する行為を問題視し追加された規定であるという経緯を踏まえると、処罰範囲を拡大したいという意図はあると思われます。
企業においては、顧客情報を持ち出された、いわば被害者であっても本罪の適用があり得ることをリスクとして認識し、また本罪の適用の有無にかかわらずレピュテーションリスクはあることを踏まえ、3で述べる対策をできる限り講じていくことが重要だと考えられます。

3.実務上の対応

(1)セキュリティ対策

セキュリティ対策については、これまで行ってきた対策に加えて、①特にリスクの高い情報のピックアップ、②検知、③迅速な事後対応を見直すことが考えられます。

①について、個人情報データベース等不正提供罪の両罰規定により立件される事案の傾向は現時点では明らかではありませんが、少なくとも大手学習塾において従業員が生徒の個人データを不正に提供した事案において、当該学習塾も両罰規定により書類送検されたことからすると、犯罪行為に利用されるといった二次被害の可能性が高い情報は、特に注意が必要であると考えられます。
このような情報としては以下が考えられます。
・子どもの個人情報(子どもを狙った犯罪などに利用される可能性がある)
・高齢者の資産に関する情報(詐欺、強盗などに利用される可能性がある)
・判断力が低下している者の個人情報(詐欺などに利用される可能性がある)

②、③についても、一定の割合で不正行為を行おうとする従業員が出現することは防ぎようがないところ、可能な限り二次被害を減らすという観点で、不正行為を直ちに検知し、二次被害を防ぐための事後対応を行うということも重要です。

(2)従業員への対応

従業員への対応については、①社内研修における顧客情報持出事案の紹介、②退職時の誓約書作成と、顧客情報の持出禁止を明示的に説明すること、③顧客情報の持出事案への厳格な対応が有効であると考えられます。

①については、情報漏えいの未然防止や再発防止のために、情報漏えい事案に対する社内処分の周知が効果的であると指摘されています(経済産業省「秘密情報の保護ハンドブック~企業価値向上に向けて~」(2022年5月)68頁、独立行政法人情報処理推進機構「組織における内部不正防止ガイドライン第5版」(2022年4月)92頁)。
加えて、社外での顧客情報の持ち出しに関する事案を紹介することも考えられます。具体的な事案としては以下が考えられます。

(i) 大手通信教育事業者の業務委託先の従業員が顧客情報約2989万件を持ち出し、うち約1000万件を名簿業者に販売した事案(東京高判平成29年3月21日高刑集70巻1号10頁)
本件は、不正競争防止法に関する事案ですが、業務委託先の従業員が顧客情報を私用のスマートフォンに複製し、名簿業者に販売したという事案で、懲役2年6月及び罰金300万円に処されています。侵害した顧客情報の量や態様によっては、実刑判決も当然あり得るということがわかります。

(ii) 信用金庫の職員が顧客情報2名分を交際相手に開示した事案(名古屋高判平成28年12月12日)
本件も不正競争防止法違反に関する事案ですが、氏名、生年月日、住所、勤務先名称、年収等の顧客情報2名分を交際相手に開示し、懲役2年及び罰金150万円(執行猶予4年)に処された事案です。判決においては、被告人が本件以外にも顧客情報を漏らしていたことがうかがわれるとの認定はされているものの、顧客情報2名分を開示した場合であっても、刑罰が科されています。

(iii) 元従業員が前勤務先の名刺情報管理システムに登録された顧客情報を転職先に開示した事案
報道によれば、元従業員が前勤務先の名刺情報管理システムのID及びパスワードを転職先の職員に共有し、顧客情報に関する名刺データを閲覧できるようにしたことで、不正に提供した事案です。本件では、個人情報データベース等不正提供罪により、元従業員は逮捕・起訴され、有罪が確定しているようです(個人情報保護委員会事務局「個人情報データベース等不正提供等罪の適用事例等を踏まえた安全管理措置及び漏えい等の報告に関する留意点について(注意喚起)」(2023年11月16日))。

②については、情報漏えいルートとして、中途退職者による漏えいが、最も高い割合となっています(独立行政法人情報処理推進機構「企業における営業秘密管理に関する実態調査 2020調査実施報告書」(2021年3月)28頁)。特に、従業員数300名以下の非製造業においては、51.5%と半数を超えています。そこで、中途退職者が退職する際に、顧客情報は秘密情報であり持ち出しが禁止されていることを認識させ、誓約させることが極めて重要になります。
既に退職時の誓約書に、在職中に知った情報の取扱いについての条項が含まれている企業が多いと思われますが(※)、特に重要な事項については、別途サマリーを作って退職者に認識させることも有効です。
※退職時の秘密保持誓約書の例は、経済産業省「秘密情報の保護ハンドブック~企業価値向上に向けて~」(2022年5月)186頁に掲載されています。

③については、重大な不正を犯した内部不正者に対しては必ず組織としての処罰を検討しなければならないと考えられております(独立行政法人情報処理推進機構「組織における内部不正防止ガイドライン第5版」(2022年4月)92頁)。
もっとも、不当処分に当たらないよう、あらかじめ内部規程において懲戒処分及び秘密保持義務に関する項目を定めておき、規程に従って処分を行うことが重要です。また、警察への相談を行うことも考えられます。

ニューズレターのメール配信はこちら