Archive for the ‘不祥事・危機管理’ Category

訪問販売で特定商取引法違反した場合の刑罰リスク徹底解説 -前編

2025-05-01


○はじめに

訪問販売は消費者に直接アプローチできる有効な販売手法ですが、その反面、不適切な勧誘行為によるトラブルも起こりやすいため法律で厳しく規制されています。
とりわけ特定商取引法は、訪問販売での悪質な勧誘を禁止し、違反した事業者には行政処分や刑事罰が科される仕組みを整えています。万一法令に違反すれば、業務停止命令などで事業の継続自体が困難になるリスクだけでなく、罰金や懲役刑といった刑罰もあります。

本記事では、中小企業経営者や訪問販売事業者の方々に向けて、特定商取引法における訪問販売の定義から禁止行為の具体例、違反時の刑事責任と行政処分、実際の摘発事例、経営への影響、そしてコンプライアンスの対策までを総合的に解説します。最後に、違反リスクへの対応策として弁護士法人あいち刑事事件総合法律事務所のサポート内容も紹介しますので、リスク管理にお役立てください。

○特定商取引法における訪問販売の定義と対象範囲

まず「訪問販売」とは何かを確認しましょう。特定商取引法第2条1項で定義が定められており、訪問販売を事業者(販売業者や役務提供事業者)が、自らの営業所以外の場所(例:消費者の自宅)で契約の申込みや契約締結を行う取引などをいいます。

典型的にはセールススタッフが家庭を戸別訪問して商品やサービスの契約を結ぶケースですが、それだけではありません。
特定商取引法上の訪問販売にはキャッチセールスやアポイントメントセールスと呼ばれる手法も含まれます。
例えば、街頭で通行人に声をかけ営業所等に同行させて契約させる行為(キャッチセールス)や、電話・SNS等で「景品が当たりました」「特別に選ばれました」などと宣伝して店舗に呼び出し契約させる行為(アポイントメントセールス)も、契約自体は店舗で結んだとしても訪問販売に該当します。

また、一時的に借りたホテルの一室や喫茶店で商品を展示・販売する場合でも、その会場の状況が常設店舗に準じないようなものであれば訪問販売に該当します。このように消費者にとって不意打ち性の高い勧誘は広く「訪問販売」として法律の規制対象となります。
要するに、店舗や事務所から離れた場所で行われる対面勧誘販売が訪問販売に該当します。

特定商取引法の訪問販売規制は、原則としてすべての商品・サービスおよび特定権利(会員権など一定の権利)に適用されます。
したがって、住宅リフォームから健康食品の販売、さらには権利性商品(例:クラブの会員権や塾の受講権)まで、業として反復継続的に消費者に対して行う勧誘販売であれば基本的に特定商取引法のルールに従わねばなりません。事業者は「自分の販売形態が訪問販売に該当するか」慎重に見極め、該当する場合は同法の規制を遵守する必要があります。

○訪問販売で禁止されている行為の具体例

次に、特定商取引法が訪問販売でどのような勧誘行為を禁止しているかを具体的に見ていきます。同法第6条では、消費者に不当な契約をさせたり契約解除を妨げたりする以下のような行為を明確に禁止しています。
代表的な禁止行為の例は以下のとおりです。

不実告知(虚偽・誇大な説明): 商品・サービスの内容や価格など重要な事実について、事実と異なることを告げる行為。たとえば「この浄水器をつければ病気にならない」など根拠のない効果をうたったり、「本日限り半額」などとウソの割引情報を伝えて契約を急がせることが該当します。事実に反する説明で消費者を誤認させ契約させることは厳禁です。

重要事項の不告知: 消費者に契約させる際に、本来知らせるべき重要な事実を意図的に告げない行為。典型例は、契約後でも一定期間内なら無条件で解約できる「クーリング・オフ」の制度をわざと説明しないケースです。他にも、追加料金や解約制限など不利な条件を隠して契約させる行為が該当しえます。重要なポイントを黙っているのも違法な勧誘に該当しうるのです。

威迫・困惑(脅しや執拗な勧誘): 契約をさせるため、あるいは消費者による申込み撤回や契約解除(クーリング・オフ)を妨げるために、相手を威圧したり心理的に追い詰めたりする行為です。大声で怒鳴って契約を迫る、長時間居座って消費者を疲弊させ判断力を鈍らせる、契約を断ろうとする相手に「違約金を支払え」などと脅す――こうした威嚇的・困惑的な勧誘は法律で禁止されています。消費者が不安や恐怖で正しい判断ができない状況を意図的に作り出す行為は違法です。

再勧誘・迷惑勧誘: 消費者が一度「契約しません」「申し込みを撤回します」と意思表示したにもかかわらず、執拗に勧誘を続ける行為も禁止されています。特定商取引法第3条の2第2項により、訪問販売業者は相手方が契約しない意思を示したら、それ以上その契約の勧誘をしてはならないと定められています。例えば「もう結構です」と断られたのに別の日に再訪問したり、電話を繰り返し掛けたりするのは再勧誘の禁止規定に抵触します。また、相手から退出要請があったのに居座り続ける(不退去)ことも問題です。消費者の意思に反するしつこい勧誘は違法です。

目的隠匿の誘引(キャッチセールス・アポ電勧誘): 販売目的を告げずに人を誘い出し、公共の場所以外で契約を勧誘する行為も禁止されています。例えば「アンケート調査です」「無料でプレゼントを配っています」などと営業目的を隠して人を呼び止め、営業所ではない場所に連れて行ってから商品を売り込む手口がこれに当たります。前述したキャッチセールスやアポイントメントセールスで、誘い出した消費者を密室や人目につかない場所で勧誘するような場合が典型例です。正体を隠しておびき出し、その場で初めて契約を迫るようなやり方は法律違反となります。

以上が主な禁止行為の例となります。
これら以外にも、訪問販売では契約時に事業者情報や契約条件を書面で交付する義務(第4条・第5条)や、契約後一定期間の無条件解約を認めるクーリング・オフ制度(第9条)など消費者保護のルールがあります。これらの義務を怠ること自体も違法行為です。たとえば契約書面を渡さない、書面に虚偽の内容を記載する、といった行為も処罰の対象になります。事業者は法律で何が禁じられているかを正確に理解し、絶対にそれらの不適切な勧誘を行わないよう社内で徹底する必要があります。

○違反行為に科される刑事罰と行政処分

特定商取引法に違反した場合、事業者や関係者には行政上の処分と刑事上の罰則の双方が科される可能性があります。ここでは訪問販売で禁止行為等に違反した際の主な処分と刑罰を解説します。

  1. 行政処分: 特定商取引法に基づく行政処分には段階があり、違反の程度に応じて次のような措置がとられます。
    業務改善の指示(指示処分): 主務大臣は、違反を確認した事業者に対してまず違反行為をやめ、再発防止策を講じること等の是正指示を出すことができます(第7条1項)。これは行政上の是正勧告にあたり、法的拘束力があります。改善指示を受けた事業者は速やかに社内体制を見直し、違反を解消しなければなりません。
    業務停止命令: 違反が重大または悪質な場合、あるいは指示に従わない場合には、一定期間その業務の全部または一部の停止を命じられます(第8条)。例えば「令和○年○月○日から○月○日までの間、訪問販売業務のうち●●に関する事項を停止すること」といった内容です。業務停止命令を受けると、その間は指定された営業活動を一切行えなくなるため、事業継続に深刻な影響が生じます。行政処分としては重い部類で、違反行為が反復継続され消費者被害が拡大しているようなケースなどで発動されます。
    業務禁止命令(役員の関与禁止命令): さらに悪質な場合、法人の代表者や担当役員個人に対し、一定期間その訪問販売業務を新たに開始することを禁ずる業務禁止命令が発令されることもあります(第8条の2)。これは業務停止命令を出された法人の代表者などが、別名義で同じ事業を行って業務停止命令が無意味なものにならないように行う処分です。
    また、こうした行政処分が下された場合、主務官庁のホームページやプレスリリースで社名や違反内容が公表されます。公的に名前が公表されることで社会的信用失墜というさらなるペナルティも科される仕組みです。
  2. 刑事罰: 行政処分にとどまらず、特定商取引法違反行為の一部は刑事罰(懲役刑・罰金刑)の対象にもなっています。警察などの捜査機関が悪質な事件と判断すれば、関係者が逮捕・送検され刑事裁判で裁かれる可能性があります。主な刑事罰の規定は以下のとおりです。
    禁止行為違反に対する罰則: 第6条に定められた上記のような禁止行為(虚偽説明、威迫困惑、目的隠し勧誘等)に違反した者は、3年以下の懲役または300万円以下の罰金(もしくはその両方)が科されます。
    たとえば訪問販売で嘘の説明をして契約させた営業員や、そのような手法を指示した経営者は、この規定により刑事罰を受ける可能性があります。
    書面交付義務違反に対する罰則: 契約時の書面交付義務(第4条1項・第5条1項、2項)を怠ったり、交付書面に虚偽の記載をした場合も処罰対象です。
    これに違反した者には6月以下の懲役または100万円以下の罰金(または両方)が科されます。実際、クーリングオフの書面を渡さなかったリフォーム業者の社長がこの容疑で逮捕されたと報道された例があります。書面を出さないと「手続きミス」程度に思われがちですが、立派な犯罪行為なのです。
    行政処分違反に対する罰則: 発令された業務停止命令や禁止命令に違反して営業を続けた場合も、極めて悪質とみなされ厳罰に処されます。
    具体的には、主務大臣の命令に違反した者は3年以下の懲役または300万円以下の罰金(または両方)に処せられます(第70条第3号)。例えば業務停止中にも関わらず密かに勧誘を続けていたような場合、刑事事件として逮捕された事例もあります。行政処分に背く行為は非常に悪質だとみられ、特に重い罰則が用意されています。

 以上のように個人に科される刑罰だけでなく、事業主体である法人自体も処罰の対象となり得ます。特定商取引法には両罰規定があり、違反行為を行った従業員や代表者本人の処罰に加えて、その使用者である法人にも罰金刑が科されます。たとえば社員が訪問販売で違法な勧誘を行った場合、企業には1億円以下の罰金が科される可能性があります。

また、業務停止命令違反のようなより重大なケースでは法人に対し最大3億円以下の罰金という非常に高額な制裁が科されます。中小企業にとって数億円の罰金は経営を揺るがしかねない巨額であり、法人としての刑事責任も極めて重いことがわかります。

さらに、訪問販売での悪質商法は場合によって詐欺罪(刑法246条)や強要罪(刑法223条)といった一般刑法で裁かれることもあります。たとえば嘘を並べ立てて高齢者に高額な契約を結ばせ巨額の代金を騙し取った場合には、特商法違反のみならず詐欺罪が適用されてより重い刑罰(10年以下の懲役など)に問われる可能性もあります。

このように特定商取引法違反は刑事事件化しやすく、企業経営者や社員にとって逮捕・起訴や前科といったリスクをはらんでいることを肝に銘じる必要があります。

○実際の違反事例(企業や経営者の摘発ケース)

特定商取引法違反で訪問販売業者や経営者が摘発された実例は後を絶ちません。ここではいくつか具体的なケースを紹介します。いずれも法律違反により逮捕や処分に至った事例であり、読者の皆様の教訓としてください。
•住宅リフォーム「点検商法」でクーリングオフ不告知の摘発: 2024年から2025年にかけ、関西地方で屋根修理の訪問点検で消費者の不安をあおり、屋根工事契約の訪問販売を行っていたリフォーム会社の社長や社員、アルバイト4名が、契約時にクーリングオフが可能なことを説明しなかったなどの疑いで逮捕されたという報道がされています。この事件では、アルバイト50人以上をSNSで集めて戸別訪問させる大がかりな手口であったとも報道されています。

•高齢者に対するアポイントメントセールスの摘発: 古典的な手口ですが、高齢者を狙った訪問販売の違法勧誘も各地で摘発されています。たとえば2009年には神奈川県の訪問販売会社の実質経営者ら6人が、「店のオープン記念で商品を無料配布します」と嘘を言って74歳の女性を民家に呼び出し、実際には家庭用温熱治療器を約26万円で売りつけた容疑で逮捕されたと報道されています。この事件では、商品は仕入れ値3万3千円ほどのもので、12月から翌9月までの間に約1000人の高齢者に同様の手口で販売し、総額2億4千万円もの売上を上げていたとも報道されています。これは典型的なアポイントメントセールス(目的隠匿勧誘)の悪質事例で、消費者の善意(無料配布にあやかりたい気持ち)につけ込んだものです。


•業務停止命令に違反して勧誘を続けた摘発: 違反を繰り返した業者には行政処分が下されますが、それを無視すれば刑事事件となります。2023年には、過去に特商法違反で業務禁止命令を受けていた訪問販売会社の関係者2名が、業務禁止命令中にもかかわらずセミナーで勧誘を続けていたとして逮捕されたと報道されています。この事件では、全国で1000億円以上を集めていたとみられるとも報道されていて、行政処分を無視した悪質業者に対する摘発の典型例といえます。

これらの事例からも分かるとおり、特定商取引法違反は実名報道を伴う摘発案件となり得ます。一度このように摘発されてしまうと、経営者個人はもちろん会社の名前も報道で広く知られてしまい、信用失墜は避けられません。違法な勧誘は「自分だけは大丈夫」と思わず、社会の監視の目に晒されているという自覚を持つことが肝要です。

○弁護士法人あいち刑事事件総合法律事務所によるサポート

特定商取引法に関するリスク対応について不安がある企業や、残念ながら違反行為を指摘されてしまった事業者の方は、早めに法律の専門家である弁護士へ相談することをおすすめします。

弁護士法人あいち刑事事件総合法律事務所は、企業の刑事事件やコンプライアンス支援を扱う法律事務所であり、特定商取引法を含めた特別法違反の刑事事件に関する豊富な知見と実績を有しています。
当事務所では、訪問販売や通信販売など特定商取引法が関係するビジネスを営む企業に対し、法令遵守のためのアドバイスや社内体制整備のサポートを提供しています。具体的には、貴社の契約書類や勧誘マニュアルが法律の要件を満たしているかをチェックし、必要な修正点を提案いたします。また、営業担当者向けのコンプライアンス研修の実施、万が一トラブルが発生した際の社内調査の支援なども可能です。顧問契約による継続サポートによって、定期的に取引内容の適法性を確認しリスクを未然に防ぐ体制構築をお手伝いいたします。


当事務所へのご相談は初回無料で承っており、電話やウェブ面談にも対応しています。特定商取引法の適用範囲に自社の営業が該当するか判断に迷っている経営者の方、あるいは違反を指摘されお困りの方は、お一人で悩まずにぜひ一度弁護士法人あいち刑事事件総合法律事務所にご相談ください。私たちは全国に拠点を持ち、迅速かつ丁寧に対応いたします。法令順守と企業防衛に向けた法律の専門家として、皆様の事業が安心・安全に継続できるよう全力でサポートいたします。

以上、特定商取引法が規制する範囲や具体的な事例などについて解説しました。健全な事業運営のためには法律遵守が不可欠であり、違反した際の代償は企業にとってあまりにも大きいものです。本記事の内容を踏まえ、ぜひ適切なコンプライアンス体制を整えていただければ幸いです。万一トラブルに直面した際には早めに専門家に相談し、被害の拡大を防ぐようにしてください。法を守った誠実な訪問販売で、消費者から信頼される健全なビジネスを築いていきましょう。

お問い合わせはこちらからどうぞ

お問い合わせ

民泊サービスを始めるための注意点①

2025-04-24

民泊サービスを始める場合の法律上の注意点に関して弁護士が解説します。

【事例】
Aさんは京都市内で不動産業を営んでいるX社の代表取締役を務めていました。
Aさんは近年京都市内を訪れる観光客が増えていることに目を付けて、自社が保有する空き物件を活用し民泊事業を開始しようと考えました。
しかし、Aさんは民泊業を行うためにどのような設備や手続が必要か分かりませんでしたので民泊サービスの許認可関係に強い弁護士に法律相談をしました。
(事例はフィクションです)

1 民泊サービスと近年の法改正について

民泊(サービス)については明確な定義はありませんが、住宅(戸建て住宅やマンションなどの共同住宅)の全部または一部を活用して旅行者等に宿泊サービスを提供することを指すと言われています。
事例で挙げたように、民泊サービスは海外旅行者の増加に伴って近年注目されているビジネスの一つです。そして、平成30年6月15日より民泊サービスの普及を背景に、新たな民泊サービスの枠組みを定めた住宅宿泊事業法が施行されました。

この法律は住宅宿泊事業者としての届け出を行えば住宅で宿泊サービスを行う事ができるようになり、住居を持つものであれば一定の条件の下,以前より容易に民泊サービスが提供できるようになりました。
しかしながら、住宅宿泊事業者法の枠組みで行える民泊事業については、年間の実施制限などの規制があり営業の内容等次第では従前どおりの手続きを経る必要があるので注意が必要です。
仮に本来受けるべき許可を得ずに営業をしてしまえば、刑事罰を科される可能性もあります。
改正法による住宅宿泊事業者法の対象なる事業については別の記事で改めて詳しく解説させていただきます。

2 旅館業法に基づく許可について

先程説明した民泊事業を行う際に必要な手続きとしては、旅館業法に基づいて許可を受けることになります。
旅館業法の許可にはいくつかの種別がありますが、住宅を利用して民泊サービスを行う場合には「簡易宿所営業」で許可を取得するのが通常です。
旅館業法には簡易宿所営業の他にホテル営業、旅館営業、下宿営業があります。カプセルホテルも施設の構造にもよりますが「簡易宿所営業」に分類されることが多いです。

3 簡易宿所営業の許可を取得する場合の構造設備の基準

では簡易宿所営業を許可する場合には、施設がどのような基準を満たしていることが必要でしょうか。
簡易宿所営業における構造の基準については旅館業法施行令第1条第2項に定めがあります。
なおか簡易宿所の許可基準は平成28年4月に基準が緩和されており、このことからも政府は民泊サービスを普及させて海外旅行者の受け皿になることを期待していることが窺えます。
以下に基準を挙げておきます。

一 客室の延床面積は、三十三平方メートル(法第三条第一項の許可の申請に当たつて宿泊者の数を十人未満とする場合には、三・三平方メートルに当該宿泊者の数を乗じて得た面積)以上であること。
二 階層式寝台を有する場合には、上段と下段の間隔は、おおむね一メートル以上であること。
三 適当な換気、採光、照明、防湿及び排水の設備を有すること。
四 当該施設に近接して公衆浴場がある等入浴に支障をきたさないと認められる場合を除き、宿泊者の需要を満たすことができる規模の入浴設備を有すること。
五 宿泊者の需要を満たすことができる適当な規模の洗面設備を有すること。
六 適当な数の便所を有すること。
七 その他都道府県が条例で定める構造設備の基準に適合すること。

X社が保有する物件の設備が上記の条件を満たす場合には簡易宿所営業の許可を受けて民泊サービスを営むことが可能になります。

しかしながら設備が条件を満たしていても、必要な許可を取得しないまま民泊サービスを提供してしまえば、無許可営業として刑事罰の対象になってしまいます。

次回の記事では旅館業法上の許可が必要なのはどのような場合なのかについて解説させていただきます。

お問い合わせはこちらからどうぞ。

お問い合わせ

企業における営業秘密の情報漏洩③

2025-04-21

企業において営業秘密の情報漏洩があった場合について、弁護士法人あいち刑事事件総合法律事務所が解説します。

営業秘密として不正競争防止法上の保護を受けるためには

「営業秘密」とは、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上または営業上の情報であって、公然と知られていないものをいいます(不正競争防止法2条6項)。

すなわち、同法上の営業秘密は次の3つの要件を満たす必要があります。

  • 秘密として管理されている情報であること
  • 有用な情報であること
  • 公然と知られていない情報であること

の3要件です。

今回は、この中で、最も問題となることの多い①秘密管理性の要件について解説します。

②情報の有用性,③情報の非公知性について前回の記事でも触れていますので併せてご確認ください。

秘密管理性の要件について

秘密管理性の要件について、経済産業省が出している「営業秘密管理指針」には、

秘密管理性要件の趣旨は、企業が秘密として管理しようとする対象(情報の範囲)が従業員等に対して明確化されることによって、従業員や取引相手先(以下、「従業員等」という。)の予見可能性、ひいては、経済活動の安定性を確保することにあるとされ、続いて、必要な秘密管理措置の程度として、秘密管理性要件が満たされるためには、営業秘密保有企業の秘密管理意思が秘密管理措置によって従業員等に対して明確に示され、当該秘密管理意思に対する従業員等の認識可能性が確保される必要がある

とされています。

営業秘密は、情報という無形のもので、占有によって保有者を明らかにすることができませんし、秘密であるところに価値が存在するため、公示にもなじみません。また、その保有携帯も様々です。そのため、営業秘密として保護を受けるためには、秘密に管理しようとする意思があっただけでは足りません。従業員等から認識可能な程度に客観的に秘密として管理されている状態にあったことが必要です。

この点、秘密管理性要件は、従来、①情報にアクセスできる者が制限されていること(アクセス制限)、②情報にアクセスした者に当該情報が営業秘密であることが認識できるようにされていること(認識可能性)の2つが判断の要素になると説明されてきました。しかしながら、現在では、両者は秘密管理性の有無を判断する重要なファクターであるが、それぞれ別個独立した要件ではなく、「アクセス制限」は、「認識可能性」を担保する一つの手段であると考えられ、したがって、情報にアクセスした者が秘密であると認識できる(「認識可能性」を満たす)場合に、十分なアクセス制限がないことを根拠に秘密管理性が否定されることはないとされています(同営業秘密管理指針6頁)。

参考となる裁判例として、「不正競争防止法2条6項が保護されるべき営業秘密に秘密管理性を要件とした趣旨は、・・・その保有者が主観的に秘密にしておく意思を有しているだけでなく、当該情報にアクセスした従業員や外部者に、当該情報が秘密であることが十分に認識できるようにされていることが重要であり、・・・可能な限り高度なアクセス制限をすることは、独立した要件ではな」いとした東京高判平成29年3月21日があります。

次回は、営業秘密の情報漏洩があった場合の不正競争防止法の罰則について、具体的に解説していきます。

お問い合わせはこちらからどうぞ。

お問い合わせ

顧客情報保護のための体制と関連法令 後編

2025-04-14

弁護士法人あいち刑事事件総合法律事務所が営業秘密の保護,特に中小企業における顧客情報の保護に必要な態勢の構築や関連法令を解説します。前後編の後編として,具体的な対策,企業が抱える課題について深堀します。

営業秘密・顧客情報を守るための社内体制と具体的対策

営業秘密を確実に保護するには、日頃から企業内で計画的な情報管理体制を構築し、多方面から対策を講じておくことが不可欠です。中小企業の場合、大企業ほど大掛かりな設備投資は難しくても、工夫次第で最低限必要な安全策を講じることが可能です。以下に、実務上とるべき具体的措置を整理します。

1 秘密情報管理ルールの整備(就業規則への明記)

社内規程として秘密情報の定義や管理方法、禁止事項を定めましょう。就業規則に「どの情報が営業秘密に当たるか」「営業秘密を扱う際の遵守事項」「営業秘密を漏えい・不正利用した場合の懲戒処分」等を明文化し、全従業員に周知します。これにより社員は何が秘密かを認識しやすくなり、うっかり漏えいのリスクも減らせます。また社内研修を定期的に実施し、営業秘密の重要性と守秘義務について継続的に教育することも大切です。

弁護士法人あいち刑事事件総合法律事務所では社内研修についてもご相談いただけます。

講演・研修のご案内

2 従業員や関係者との秘密保持契約(NDA)の締結

従業員を雇用する際や取引先と機密情報を共有する際には、必ず秘密保持契約NDA: Non-Disclosure Agreement を結びます。契約によって守秘義務を明確に認識させ、情報を外部に漏らさない旨の誓約を得ることは、現在では基本中の基本と言えます。特に社員とのNDAは「退職後も守秘義務が続く」ことを明記できるため、不正競争防止法上の義務と相まって抑止力になります。取引先や外部委託先についても、契約段階で必要な秘密保持条項を盛り込み、営業秘密や顧客データを渡す場合は目的外利用禁止や再提供禁止を取り決めておきましょう。
参考 秘密保持契約とは?(外部サイトにリンクします)

3 アクセス権管理と物理的・技術的なセキュリティ措置

秘密情報へのアクセスは「知る必要がある人」だけに限定します。社内で営業秘密を管理する際は、それが営業秘密であることを明示し(ファイルや資料に「社外秘」「Confidential」など表示)、紙媒体であれば鍵付き棚に保管、電子データならパスワードや暗号化でロックするなど厳重に管理します。さらに共有フォルダやシステム上のアクセス権限を設定し、一部の限られた担当者のみが当該情報に触れられるようにすることで、万一社内に不正者がいても被害を最小限にとどめられます。物理的にはオフィスへの入退室管理や機密エリアへの立入制限、技術的にはファイアウォールやウイルス対策ソフトの導入、USB等外部記録媒体への書き出し制御(必要に応じて禁止措置)も講じましょう。また、重要データはバックアップを取りつつ外部ネットワークから切り離した安全な場所に保管するなど、サイバー攻撃による破損・消失への備えも必要です。

4 人的対策と退職・転職時の対応

ヒューマンエラーや内部不正を防ぐため、人の面からの対策も欠かせません。日頃から従業員に対し情報管理の倫理教育を行い、機密情報を扱う際は注意深く行動する企業文化を育てます。また従業員の退職時には、会社貸与PCやデバイスの速やかな回収、私物へのデータコピーがないかの確認、メールやクラウドストレージの利用履歴チェックなどを行い、不正な持ち出しが無いことを確認します。必要に応じて退職者に秘密保持契約書の再確認や念書を書いてもらい、退職後も守秘義務が続くことを念押しすることも有効です。昨今はテレワーク等で社外から社内データにアクセスする機会も増えていますが、自宅作業時のルール(画面を他人に見られない、デバイス紛失時の報告等)も定めておき、社内外を問わず情報管理体制に隙が生じないようにしましょう。

以上のような対策を講じておけば、不正競争防止法上の「秘密管理性」の要件も概ね満たすことが期待できます。ポイントは、単一の施策だけで安心せず多層的な防御策を組み合わせることです。特に中小企業では人員や予算に限りがありますが、社員一人ひとりの意識向上と簡易なルー_ルの徹底からでも十分効果は現れます。自社の状況に合わせて無理のない範囲から着手し、徐々に管理レベルを高めていくことが重要です。

えいのリスクとする

どれだけ対策を尽くしても、情報漏えいのリスクをゼロにすることは困難だといわれます。企業が備えるべき脅威は大きく分けて内部不正外部攻撃人的ミスの3種類に大別できます。

近年特に増加傾向にあるのが社員や元社員による内部不正型の漏えいです。例えば退職直前に社内データを持ち出して転職先で不正利用するといったケースや、社内権限を悪用して顧客情報を盗み出し名簿業者へ売却する事件が発生しています。実際に、ある不動産会社では元従業員が在職中に顧客情報を社外のサーバーへアップロードし、転職先でダウンロードして利用していたことが発覚し、不正競争防止法違反容疑で逮捕されています。また別の事例では、システム管理者権限を持つ元派遣社員が10年以上にわたり取引先自治体等の個人情報合計900万件以上を不正に持ち出し名簿業者に売り渡していたことが明るみに出ました。この事件では管理体制の不備が指摘され、会社は行政指導を受ける事態となり、元社員も不正競争防止法違反で起訴されています。内部犯行は一度起これば被害範囲が極めて広くなりやすく、中小企業にとっても他人事ではありません。

一方、外部からのサイバー攻撃(マルウェア感染やランサムウェアによるデータ暗号化など)による情報漏えいリスクも高まっています。実際に国内でも、ランサムウェア攻撃により顧客データが流出しかけた協同組合や、病院の電子カルテが閲覧不能になる被害が報告されています。中小企業だから狙われないという保証はなく、むしろ大企業より防御が手薄な中小企業が標的にされる傾向すら指摘されています。

加えて、従業員のうっかりミス(PCやUSBメモリの紛失、メールの誤送信、クラウド設定ミスによる公開など)も情報漏えい原因の一定割合を占めます。例えば自治体業務の委託企業で、契約社員が申請者の個人情報を付箋に書き写して持ち出すという単純な方法で不正入手していた例もありました。このように、多様な経路で漏えいは発生し得るため、技術面・人の意識両面から網羅的な対策が必要です。

中小企業が直面する課題としては、まずリソース不足による情報セキュリティ対策の遅れが挙げられます。
実際、ある調査では中小企業の多数が営業秘密の持ち出し制御策を「特に何もしていない」と回答しており、その割合は製造業で84.1%非製造業で78.6%にも上りました。この背景には、「自社のような小規模企業が狙われるわけがない」「うちは扱う情報もたいしたことがない」といった誤った思い込みや、専門知識を持つ人材の不足予算確保の難しさなどがあると考えられます。

また、「何を営業秘密として指定すべきか」「どう管理すれば法の保護が受けられるか」が分からず、結果的に無防備な状態になってしまっているケースも少なくありません。さらに、情報漏えい発生後の対応体制(インシデント対応計画や報告手順)が整備されていない企業も多く、いざという時に適切な被害拡大防止・法令報告ができないリスクもあります。中小企業こそ日常的かつ継続的な対策が必要ですが、現実には場当たり的な対応にとどまっている場合が多いのが課題と言えるでしょう。

近年は行政も中小企業向けの支援策を強化しています。経済産業省や情報機構では営業秘密管理指針や中小企業向けハンドブックの提供、独立行政法人INPITによる「営業秘密110番」のような相談窓口整備、またサイバー保険の普及など、企業支援の取り組みが進んでいます。自社だけで難しい部分はこうした支援も活用しながら、まずは「自社のどの情報が営業秘密か」を把握して必要な管理策を講じることから始めるのが現実的です。

情報漏えいは一度起きれば長年にわたる法的紛争に発展することもあります(例:2014年発覚の大規模漏えい事件で、2023年になって企業に賠償命令が下りました)。平時から備えを万全にし、万一トラブルが生じた場合にも迅速に対応できるよう体制を整えておくことが、これからの中小企業経営に求められています。

まとめ

顧客情報をはじめとする営業秘密の漏えい防止は、中小企業にとって避けて通れない重要課題です。不正競争防止法上の営業秘密として法的に守るためには、秘密情報を自ら適切に管理することが大前提になります。そのため、関連法令(不正競争防止法や個人情報保護法)を正しく理解し、自社に合った社内体制やルールを構築しておくことが不可欠です。具体策として、社内規程の整備、従業員や取引先との契約、アクセス制御や暗号化などの技術的対策、従業員教育と意識向上といった多角的なアプローチで情報を守りましょう。

特に人的要因による漏えいリスクは軽視できないため、「人」「技術」「制度」のバランスが取れた対策が重要です。昨今の法改正動向や判例からもわかるように、情報管理における企業責任は一段と重くなっています。自社の営業秘密を守ることは、自社の価値と信用を守ることに他なりません。日々の業務の中で機密情報を大切に扱い、万全の備えで企業の発展と顧客の信頼を守っていきましょう。

顧客情報保護のための体制と関連法令 前編

2025-04-10

弁護士法人あいち刑事事件総合法律事務所が営業秘密の保護,特に中小企業における顧客情報の保護に必要な態勢の構築や関連法令を解説します。

中小企業にとって、自社の営業秘密(顧客リストや技術ノウハウなどの秘密情報)を適切に保護することは、競争力維持や信頼確保の面で極めて重要です。万一これらの情報が漏えいすれば、経済的損失や法的リスクにとどまらず、企業の信用失墜といった深刻な被害につながります。

本記事では前後編の2部で解説を行い、営業秘密の定義や法的保護の要件を確認し、不正競争防止法や個人情報保護法といった関連法令について解説します。その上で、企業が実務上講じるべき具体的な対策や、情報漏えいリスクの実態と中小企業が直面する課題について、最新の事例や法改正動向を交えてわかりやすく説明します。

本記事は前編として,関係する法令について解説します。

まず営業秘密とは何かを正しく理解しましょう。不正競争防止法では営業秘密を、「秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないもの」と定義しています(同法2条6項)。

要するに、以下の3つの要件を全て満たす情報が営業秘密となります。

秘密管理性: 当該情報が秘密として適切に管理されていること

有用性: 事業活動にとって有用な技術上または営業上の情報であること

非公知性: 世間一般にまだ知られていない情報であること

これらの要件を満たす情報であれば、顧客情報、製品製造やサービス提供に関するノウハウ、取引先リスト、原価・仕入情報、財務データなど、企業が保有する様々な情報が営業秘密として法の保護対象になりえます。

特に中小企業にとっては、競合他社に渡れば不利益となる顧客名簿価格戦略情報などは典型的な営業秘密と言えます。営業秘密を守ることは、自社のビジネス上の優位性を維持し、取引先や顧客からの信頼を損ねないためにも欠かせません。逆に一度漏えいすれば、先述のように金銭的損害だけでなく信用失墜といった致命的な打撃を受けかねないため、万全の管理が求められるのです。

わる

営業秘密を取り巻く主な法制度として、日本では不正競争防止法による保護と、顧客情報が個人データである場合の個人情報の保護に関する法律(個人情報保護法)による規制の二本柱があります。それぞれのポイントを押さえておきましょう。

による

不正競争防止法は営業秘密の不正取得や漏えいに対して強力な保護策を定めています。同法上、営業秘密に該当する情報について、正当な権限なく取得・使用・開示する行為は「不正競争」として禁止されます。

他者の営業秘密を侵害した者には、被害企業からの差止請求(利用や開示の停止要求)や損害賠償請求を受ける民事上の責任に加え、場合によっては刑事罰(罰金刑や懲役刑)の対象にもなり得ます。

実際に、不正競争防止法違反(営業秘密漏えい)で元社員や競合他社が逮捕・起訴される事例も増えており、法的リスクは非常に大きいと言えます。

また、不正競争防止法は営業秘密を扱う従業員に対し秘密保持義務を課している点も重要です。

この義務は在職中の社員だけでなく、退職後の元社員にも及びます。そのため、たとえ退職後であっても在職中に知り得た営業秘密を漏らした場合、元従業員は同法違反として処罰対象となることがあります。近年では、元社員が競合他社へ転職する際に前職の営業秘密(例:顧客リストや技術資料)を持ち出すケースが後を絶たず、不正競争防止法違反で逮捕・有罪判決となった例もあります(※後述の具体事例参照)。企業としては、従業員との契約や就業規則を通じて秘密保持義務を明示するとともに、退職時にも改めて守秘義務を周知することが欠かせません。

会社の技術情報を持ち出し 不正競争防止法違反で逮捕

する律(法)

営業秘密の内容に個人の情報(氏名や連絡先等)が含まれる場合、その取り扱いには個人情報保護法も関係してきます。顧客名簿や会員データは典型的に個人情報に当たるため、中小企業であっても同法を遵守した管理が必要です。

個人情報保護法では、事業者に対し取り扱う個人データの安全管理のために必要かつ適切な措置を講じる義務(第20条)が課されています。具体的には、組織的安全管理措置(責任者の設置や社内規程の整備)、人的安全管理措置(従業員への教育・監督)、物理的・技術的安全管理措置(施錠やアクセス制御、暗号化等)を講じて、個人データが漏えい・流出しないよう対策を取らねばなりません。

また、従業員による個人データの不正持ち出し防止のための監督義務(第21条)や、外部に業務委託する場合の委託先監督義務(第22条)も定められています。

2022年4月の法改正により、個人情報の漏えい時のルールも一段と厳格化されました。従来は努力義務にとどまっていた漏えい発生時の報告・通知が義務化され、一定規模の個人データ漏えい等が生じた場合には速やかに個人情報保護委員会への報告と本人通知を行う必要があります。違反した際の罰則も強化されており、重大な漏えい事故を起こして報告を怠った場合には行政処分や罰金のリスクもあります。つまり、中小企業であっても顧客の個人情報が含まれる営業秘密については、単に秘密として管理すれば良いだけでなく、個人情報保護法に基づく適法かつ安全な取り扱い(必要な同意の取得、目的範囲内での利用、安全管理措置の実施、漏えい時の適切な対応等)を総合的に行うことが求められるのです。

まとめ

本記事では情報保護のための関係法令について解説しました。

次の記事では具体的な個人情報保護のための方策,実際に漏えいしてしまった場合の各リスクについて詳しく解説していきます。

社内の情報保護規定,体制の構築について関心のある方は,弊所では無料相談も実施しております。お気兼ねなくお問い合わせください

お問い合わせ

捜査関係事項照会が届いたら

2025-04-08

(事例)
Aさんは、名古屋市で古物関係のお店を経営しています。ある日、Aさんのお店に、警察署から封筒が届きました。その封筒には「捜査関係事項照会書」と書いてある書類が入っており、Aさんのお店でBさんという人と取引をしたことがあるならば、その取引の履歴が解る書類を郵送して欲しいということが書いています。
さて、Aさんは、どう対応したものでしょうか。

今回は、弁護士法人あいち刑事事件総合法律事務所が「捜査関係事項照会」について解説します。

「捜査関係事項照会」とはなにか

 まず捜査関係事項照会とは何でしょうか。

 捜査関係事項照会は、噛み砕いていうと、警察署や検察庁のような捜査機関が役所や企業に対して、捜査に必要な情報を提供してほしいとお願いすることです。刑事訴訟法上、「捜査については、公務所又は公私の団体に照会して必要な事項の報告を求めることができる。」とされています(刑事訴訟法197条2項)。

 今回のAさんとBさんの例で言うと、例えば、Bさんが何かを盗んでおり、その被害品がAさんのお店で売られた可能性があるため、Bさんの素性や取引履歴を教えて欲しいという理由から、捜査関係事項照会が送られてきた可能性があります。もっとも、古物商に対する照会であれば、警察は、書面で照会をかけるよりも、電話したり突然お店を訪れたりして尋ねることの方が多いかもしれません。

 捜査関係事項照会がそのような情報提供の依頼だと解った上で、受けた側の経営者や事務担当者にとって大切なのは、その情報提供に応じる必要があるのかどうかということでしょう。

実際にはどう対応すべきか?

 結論から言うと、捜査関係事項照会に対しては、原則として回答の義務を負うものの、回答しなかったからといって罰を受けるものではないということです。

 まず回答義務について、例えば「条解刑事訴訟法」4版(弘文堂)374頁に「報告を求められた公務所・団体は、原則として報告すべき義務を負う」とされています。

 しかし、正当な理由があれば回答を拒否することができます。例えば、当事務所は、愛知県内のとある警察署から捜査関係事項照会を受けたことがありますが、守秘義務を理由として拒否したことがあります。その後、警察署とはその件で何も問題を生じていません。

 そういった正当な理由がなく拒否したり無視したりした場合は、どうでしょう。まず前提として、拒否したり無視したりしたからといって、それだけで刑罰を受けるなど不利益を被ることはありません。ただ、警察としては、捜査関係事項照会に答えてくれないのであれば、裁判所から捜索差押令状を取得した上で、乗り込んでくるという手段をとるかもしれません。令状がある捜査は、極めて例外的なよほどの事情がないと拒否できません。

 また今回のAさんとBさんの例でいうと、例えば「えっ!Bさんって警察に疑われているの!!守ってあげないと。」などと思ったAさんがわざとBさんとの取引履歴を処分するようなことがあると、証拠隠滅などの犯罪で刑罰を受ける可能性があります。

 以上のとおり、捜査関係事項照会に対しては、正当な理由があれば拒否できますし、拒否したり無視したりしてもそれだけで不利益を被ることはないものの回答義務自体はどうもあるようだと思ってください。

参考:捜査関係事項照会に対する対応ガイドライン

  もう一点、意識しておいてもらいたいことがあります。それは、捜査関係事項照会に応じて、捜査機関に提供した書類は、捜査機関以外の人にもみられる可能性があるということです。

 具体的な例で説明をします。今回のAさんとBさんの例でいうと、Bさんが窃盗の罪で起訴された、つまり裁判にかけられたとします。刑事裁判では、捜査機関は、一定の証拠を弁護士や被告人(今回の例でいうとBさん)に開示する必要があります。そうすると、Aさんが捜査機関に提供した文書がBさんにも見られる可能性があるということです。

 実際問題として、Aさんが捜査機関に情報提供したからといって、AさんがBさんに対して損害賠償責任を負うリスクは低いと思われます。なぜなら、捜査関係事項照会は、法律に根拠のある手続だからです。居酒屋で偶然知り合った知らない人にお客さんの情報を漏洩してしまったというような話では個人情報の不適切管理が原因で責任追及をされても仕方ないでしょうが、捜査関係事項照会は、そういったものとは訳が違うのです。そのため、基本的には、捜査関係事項照会に応じたことを理由として責任を負う可能性は低いでしょう。

 ただ、捜査関係事項照会に応じて提供した情報は、捜査機関以外の人にもみられる可能性があることは、自分が提供した情報の使い道としてしっかり把握しておくようにしてください。

 当事務所に所属する弁護士(令和6年6月10日現在)の経験に次のようなものがあります。
検察官から開示された証拠の中に、愛知県内のとある金融機関が捜査機関に提供した書類が入っていました。その内容がよく解らなかったので、その金融機関に問い合わせをしました。すると、金融機関の担当者は、「なんでそんなもの持っているのですか!!」と尋ねてきました。そのような質問をされた弁護士は、「自分が提供した書類がどう使われるかも解らずに提供するなんて、この金融機関の個人情報に対する意識は大丈夫なのか?」と心配になったそうです。

捜査関係事項照会を受けて対応に困っている方は、ぜひ顧問弁護士にご相談ください。弁護士法人あいち刑事事件総合法律事務所では、企業の顧問業務を扱っております。

お問い合わせはこちらからどうぞ

お問い合わせ

ステルスマーケティング規制と行政指導・行政処分①

2025-04-02

【事例1】
Xさんはスポーツジムやエステサロンを展開するA社の代表取締役を務めていました。
AさんはSNSを通じた顧客獲得に関心を持っていました。
そして令和6年頃からSNS上のインフルエンサーに依頼して自社のスポーツジムやエステサロンをおすすめする記事を投稿してもらっていました。
そのうちXさんは、PR案件であることを明示すれば顧客が信じないと考え、投稿された記事についてPR案件という表示を行わずに自社のサイトでお客様の声として自社のサイトにアップしていました。
この投稿が問題ではないかという声が社内であがりXさんは刑事事件や行政処分の対応に詳しいあいち刑事事件総合法律事務所の弁護士に相談しました。
(事例はフィクションです)

1 ステルスマーケティングについて

みなさんは「ステルスマーケティング」という言葉を聞いたことがあるでしょうか。略称として「ステマ」と言われることも多いです。
ステルスマーケティングとは、簡単に言えば広告であるにもかかわらず、広告であることを隠すことをいうとされています。
現代では、消費者が口コミサイトやSNSでの情報や評判を基に商品やサービスを選択することが一般的になっています。
これは消費者が、企業などの広告ではなく純然たる第三者の声であれば、その情報や評判には誇大や誇張がなく信用に足りると考えることが前提となっています。
しかしその情報や評判が、企業などが広告目的で第三者の声を装って情報発信をしてしまえば消費者が第三者からの情報や評判と誤解して選択をしてしまうことになってしまい安心して商品やサービスを選択することができなくなってしまいます。
そこで広告であるにもかかわらず広告であることを隠して行う「ステルスマーケティング」の問題が近年大きくなって、法改正によって規制されるようになりました。

2 ステルスマーケティングに対する規制

ステルスマーケティングに関する規制は、令和5年10月1日に施行された不当景品類及び不当表示防止法(以下「景品表示法」といいます。)により規制されることになりました。
景品表示法第5条3項には以下の条文があります。

第五条 事業者は、自己の供給する商品又は役務の取引について、次の各号のいずれかに該当する表示をしてはならない。
(中略)
3 前二号に掲げるもののほか、商品又は役務の取引に関する事項について一般消費者に誤認されるおそれがある表示であつて、不当に顧客を誘引し、一般消費者による自主的かつ合理的な選択を阻害するおそれがあると認めて内閣総理大臣が指定するもの

この「内閣総理大臣が指定するもの」について、令和5年10月1日から
「事業者が自己の供給する商品又は役務の取引について行う表示であって、一般消費者が当該表示であることを判別することが困難であると認められるもの 」
が明記されることになりました。
この要件についての解説は詳しくは次回の記事で行いますが、一言で言えば、事業者が行う広告で、消費者から見て事業者が行う広告とは分からないものになります。
消費者庁のページでも様々な場合について法律に違反するかの解説がありますのでそちらのページ(https://www.caa.go.jp/policies/policy/representation/fair_labeling/stealth_marketing/)も参考にしてください。

この改正によって事業者は自社で行うPR活動についてこの規制に違反しないようにしっかりとPR戦略を見直し対応していくことが求められます。
自社のPR活動に不安を持たれている経営者の方は是非一度景品表示法などの広告規制に詳しいあいち刑事事件総合法律事務所にご相談ください。

お問い合わせはこちらからどうぞ。

お問い合わせ

企業における営業秘密の情報漏洩

2025-03-29

企業において営業秘密の情報漏洩があった場合について、弁護士法人あいち刑事事件総合法律事務所が解説します。

いわゆる営業秘密の保護の必要性、重要性

企業の内部で保持されているノウハウや顧客情報などの秘密情報は、企業外に漏洩されると複製やさらなる流出の危険を生じることになり、これまで当該情報を構築するために企業がせっかく投じてきた努力、コストが無駄になってしまいます。また、顧客情報が企業外に漏洩されると、顧客からの信頼も失いかねません。

このように秘密情報の漏洩により、企業は多大な損失を被る可能性があります。そのため、秘密情報の漏洩を防止するため、企業としては事前の対策を講じることが極めて重要となります。

この点、秘密情報が不正競争防止法上の「営業秘密」に該当する場合には、同法に基づく様々な保護の対象になり、万一漏洩が起きた場合にも、同法に基づく対応策を講じることが可能になります。

したがって、秘密情報の管理を検討する場合には、同法の内容を意識することも極めて重要です。

参考 不正競争防止法違反事件による従業員の逮捕事例

営業秘密として不正競争防止法上の保護を受けるためには

「営業秘密」とは、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上または営業上の情報であって、公然と知られていないものをいいます(不正競争防止法2条6項)。

企業の方で、主観的に「この情報は営業秘密だ」と考えたとしても、それだけで、不正競争防止法で保護される営業秘密になるわけではありません。同法上の営業秘密は次の3つの要件を満たす必要があります。

  • 秘密として管理されている情報であること

当該情報が秘密として管理されている必要があります。これは秘密に管理しようとする意思があったというだけでは足りず、客観的に秘密として扱われている必要があります。

  • 有用な情報であること

当該情報が技術上又は営業上有用な情報であることが必要です。

  • 公然と知られていない情報であること

当該情報が一般的には知られておらず、又は容易に知ることができないことが必要です。既に公になっている情報については、保護の必要性が欠けるからです。

企業が「営業秘密」として保護したいと考えている情報のほとんどは、②有用性と③非公知性の要件は満たします。

最も問題になるのは、①の秘密管理性の要件です。

この点、詳しく内容を説明しているものとして経済産業省が出している「営業秘密管理指針」があります。同指針も参照にしながら、この3つの要件該当性等について今後の記事で解説していきます。

営業秘密保護について,お問い合わせはこちらからどうぞ。

お問い合わせ

廃棄物処理法の許可④

2025-03-26

【事例】
Aさんは、京都市内で産業廃棄物の収集運搬を行う会社であるⅩ社に長年勤めていました。
Aさんは、家庭の事情をきっかけに、それまで勤めていた会社を退職し、地元である滋賀県高島市で、自ら産業廃棄物の収集運搬を行う会社を立ち上げようと考えました。
AさんはX社に勤めていた経験から、役所で手続きが必要だったり、細かなルールが定められていたりするのは知っていましたが、具体的にどのような手続きをすればいいのかまではわかりませんでした。
そこで、Aさんは、今後必要な手続きなどを相談するために、あいち刑事事件総合法律事務所に相談することにしました。
(事例はフィクションです。)

参考 廃棄物処理法違反の解決事例 弁護士法人あいち刑事事件総合法律事務所

1 はじめに

前回までの記事では、廃棄物の処理及び清掃に関する法律(以下では「廃棄物処理法」といいます。)が、事業を細分化し、許可ごとに行える事業を分けたうえで、事業を行う会社にはその事業に対応する許可を取ることをお伝えしました。

廃棄物処理法の許可③

そして、そのような分類があることを踏まえて、産業廃棄物収集運搬業許可の条件を見てきました。

今回は、許可を取らなかった場合にどのような事態になるのかについてみていきます。

2 刑事リスクがある

⑴ 無許可での営業
廃棄物処理法では、産業廃棄物収集運搬業の許可をきちんと受けた事業者以外が、産業廃棄物の収集運搬業を行うことがないように、刑事罰を定めています。
許可を受けずに、産業廃棄物の収集運搬業を行った者は、5年以下の拘禁刑若しくは1000万円以下の罰金刑、又はその両方が科されることになります(廃棄物処理法25条1項1号)。

ちなみに、産業廃棄物の処分業、特別管理産業廃棄物の収集運搬業、処分業、一般廃棄物の収集運搬業、処分業のいずれであっても、許可を得ずに営んだ場合は同様の罰則が科されることになります。

しかも、法人の代表者などがこの許可を得ずに産業廃棄物の収集運搬業を営んだ場合、その代表者などだけではなく、法人自体も刑罰を受ける可能性があります。
この場合に法人が受けるのは、3億円以下の罰金です(廃棄物処理法32条1項1号)。

⑵ 不正の手段で許可を得た場合
廃棄物処理法に基づく許可を受けていた場合であっても、その許可が「不正の手段」によって得られた場合も犯罪となります。
定められている刑罰は、無許可での営業と同じで、5年以下の拘禁刑若しくは1000万円以下の罰金刑、又はその両方が科されることになります(廃棄物処理法25条1項2号)。
法人の代表者などが違反した場合に、法人自体も刑罰を受ける可能性があるのも同様で、その内容は3億円以下の罰金です(廃棄物処理法32条1項1号)。

3 措置命令がされる

産業廃棄物処理基準に適合しない収集、運搬であった場合、それによって「生活環境の保全上支障が生じ、又は生ずるおそれがあると認められる」と、「期限を定めて、その支障の除去等の措置を講ずべきこと」を命じられる場合があります(廃棄物処理法19条の5第1項1号)。

また、事業者がこの命令に従わない場合などには、行政機関が代わりに措置を講じ、その後に費用を徴収される場合もあります(廃棄物処理法19条の8)。

なお、この命令に違反した場合には刑事罰が科される可能性もあります(廃棄物処理法26条2号)。

今回は、廃棄物処理法の許可を得なかった場合について解説してきました。
Aさんのように廃棄物処理に関する事業を開始する場合には、実際に行いたい業態を見定めて、きちんと許可を得て事業を開始する必要があります。

弁護士法人あいち刑事事件総合法律事務所では、刑事事件に関わってきた経験を活かし、そもそも法律に違反しないための対応・アドバイスにも力を入れています。
許認可申請についてアドバイスがほしい、継続的に弁護士からアドバイスを受けたいなどといったご要望の方も、一度、あいち刑事事件総合法律事務所にご相談ください。

お問い合わせはこちらからどうぞ。

お問い合わせ

日本における企業の情報セキュリティ体制の重要性

2025-03-12

法規制とガイドライン


日本では情報セキュリティ重視、企業が遵守すべき法律や指針が行われています。代表的なものには個人情報保護法、サイバーセキュリティ基本法、および国際規格を整備したJIS Q 27001(ISMS)があります。

個人情報保護法(APPI)

個人情報の適正な寛容を決める日本の優先的なプライバシー法です。企業は安全管理措置の実施や第三者提供の制限など多様な要件を遵守する必要があります。 2017年および2022年の改正で規制が強化され、個人データ漏洩時の報告義務が導入されました。
例えば、漏洩が1,000件超やランサムウェアによる流出など一定の場合、企業は個人情報保護委員会(PPC)への報告が義務付けられています。
同法に違反した場合には罰則も定められており法人に対する罰金は1件につき最大1億円になっています。
またPPCは企業に対する報告徴収や立入検査、是正命令を行う権限を持ち、これらの検査や命令に違反した場合にも,1年以下の懲罰など刑事罰も科される可能性があります。
ただし法規制により、企業には高度な個人情報保護とセキュリティ対策が求められており、もし予想されれば巨額の罰金や社会的信用の失墜という大きな影響があります。

サイバーセキュリティ基本法

2015年施行の基本法で、国家サイバーセキュリティ戦略の指針となる法律です。直接企業への罰則を決めるものではありませんが、政府・自主・民間の責務を明確化し、国全体のセキュリティ推進体制を整備しています。
「重要インフラ事業者」に対しては、自主的かつ積極的にサイバーセキュリティの確保に努め、国や自治体と協力する努力義務を課しています。
2018年改正では官民の情報共有の場としてサイバーセキュリティ協議会の設置も規定されました。
基本法では,政府は3年ごとにサイバーセキュリティ戦略を策定し見直すことになっており、最新の戦略(2021年策定)は企業の検討指針にもなっています
この基本法は、法的強制力というより政策的な問題と方向性の提案によって、企業にセキュリティ対策の重要性を認識させる役割を果たしています。

JIS Q 27001(ISMS)

ISO/IEC 27001に相当する情報セキュリティマネジメントシステム(ISMS)の日本産業規格です。法律ではありませんが、企業が情報セキュリティを体系的に管理するためのベストプラクティスとして広く採用されています。ISMSでは、自社の情報資産とリスクを洗い出し、正しい管理策をPDCA(計画・実行・点検・改善)サイクルで継続的に運用します。
機密性・完全性・可用性のバランスを保ちながらリスクを管理し、ステークホルダーに「適切にリスクをコントロールしている」という信頼を提供することがISMSの目的です。
日本ではISO27001/JIS Q 27001の認証取得企業が約8,945件と世界でも最多であり,実際、日本の個人情報保護法やガイドライン業界も「適切な安全管理措置」を求めており、その対応策としてISMS認証の取得・運用が推奨されることがあります。
総じて、JIS Q 27001は事実上の標準ガイドラインとして企業のセキュリティ体制構築に大きな影響を与えています。

この他にも、経済産業省とIPAによる「セキュリティ経営ガイドライン」などが公開されており、経営層が率先してセキュリティに取り組むべきポイントを示しています(2023年3月改訂版ではリスクマネジメントやサプライチェーン対策の強化が認められました。
さらに業種別のガイドライン(例:金融庁の「機関金融向けサイバーセキュリティガイドライン」)も整備が進んでいます。規制と各種ガイドラインを遵守・参照することが、企業にとって法的なコンプライアンスと適切なセキュリティレベル維持の両方から重要となっています

企業における具体的なリスク

    現代の企業が直面する情報セキュリティ上のリスクは多岐にわたります。
    主な観点として、サイバー攻撃、データ漏洩、業務妨害の3つの観点が挙げられます。それぞれの具体例と影響を見てみます。

    サイバー攻撃(マルウェア・フィッシング等)

    ランサムウェアやフィッシング攻撃は、日本企業にとって深刻な脅威です。
    最近はランサムウェア被害が増加しており、警察によれば2023年度に報告された被害は197件と依然多くあります。
    その約74%はデータ暗号化に加え漏洩をも警戒する「二重覚襲型(ダブルエクストーション)」でした。
    被害は大企業にも及び(全体の36%が大企業、52%が中小企業),企業の規模を問わず被害が発生しています。
    多くの組織で復旧に1週間以上、8割が被害額100万円超、1億円を超えるケースもあると報告されています。
    実際にランサムウェアにより業務停止や情報漏洩、社会的信用の喪失といった深刻なリスクが現実化しております。
    例えば、大手旅行会社JTBでは、取引先を装ったメールを受け取った社員が,添付ファイルを開いたことで、約793万人分の顧客情報が外部に流出する大規模な被害が発生しました
    この攻撃は既存の取引先ドメインからのメール偽装という手口で、防御をすり抜けています
    このように攻撃者はメールやSNSを介した人のミスを狙って攻めるため、マルウェアソフトやフィルタリングだけでなく、人為的リスクへの対処も重要です。
    その他、ビジネスメール詐欺(BEC)による不正送金や、ゼロデイ脆弱性を突いたサイバー攻撃も企業リスクとなっています。

    データ漏洩(内部不正、クラウド利用のリスク等)

    情報漏洩リスクは内部・外部両方から漏洩します。
    内部犯行の典型例として、2014年のベネッセ個人情報流出事件があります。グループ会社の派遣社員が顧客情報約3,504万件を不正取得名簿業者に売却したもので、日本史上最大級の個人情報漏洩事件となりました。
    流出してしまったのは子どもの氏名や来歴,保護者の連絡先などセンシティブな情報で、大きな社会問題となりました。
    この事件では顧客への補償や適当対応だけでなく、企業イメージの悪化により新規顧客獲得の困難や既存顧客離れを招きました(実際、漏洩直後の記者会見で「被害弁償として500円を補償する」という方針を示したことに対して世間からは批判的な意見が集まり,事態を深刻化させてしまいました)。
    一方、内部の都合による漏洩も後を絶ちません。メールの誤送信や設定ミスによって顧客情報を流出させてしまうケースが発生しており、IPAの「情報セキュリティ10大戦略2024」でも人間的ミスによる情報漏えいが確実より順位を上げ、重大な観点として認識されています
    たたクラウドサービスは利用にリスクも顕在化しています。クラウドストレージの公開設定の不正やアクセス許可管理の不備で、インターネット上の機密情報が漏洩してしまう事故も報告されています。 さらに上位のデータに不正アクセスされ、大量の情報が一度に盗まれる恐れがあります。クラウドは互換性と引き換えに設定不備や認証情報管理のミスが命取りとなり得るため、オンプレミスとは異なるセキュリティ対策(暗号化、ゼロトラスト的なアクセス制御、クラウド専用の監査ログ監視など)が必要です。

    業務妨害(サービス妨害攻撃、システム障害など)

    サイバー攻撃やシステムトラブルによる業務停止も重大なリスクです。DDoS攻撃(分散サービス拒否攻撃)によりウェブサイトやオンラインサービスが長時間ダウンすると、企業は顧客対応や取引で大きな迷走を被ります。
    ​特にゲーム・EC・金融サービスなどのネットサービスを提供する業種はDDoS対策が必須です。また、サプライチェーンを狙った攻撃による業務停止も無視できません。
    自動車関係会社が攻撃を受けて工場が停止してしまった場合,わずか1日の停止でも約1.3万台分の生産ロス(=金銭的損失)になります
    このように直接攻撃の隙にならなくても、取引先の被害が暫定的に業務が中断されるリスクがあります。 さらに、サイバー攻撃以外にもシステム障害や災害によるデータセンター停止なども業務中断が発生する可能性があります。障害発生時には迅速な復旧ができず長期のサービス停止にもつながります。
    業務妨害系のリスクは、売上げや顧客流出だけでなく、社会的な信用低下(「この会社はトラブルでサービスが頻繁」という評価)にもつながってしまいます。

    情報セキュリティ体制の構築手法

    上記のようなリスクに対処し、法律の要件も満たすためには、企業を含む情報セキュリティを構築する体制を構築する必要があります。
    効果的な体制構築には「人・プロセス・技術」の全方位に対策を講じることが重要です。

    ISMS(情報セキュリティマネジメントシステム)の導入

    組織的な安全管理の限界としてISMSを構築することは、セキュリティ体制の基盤となります。
    具体的には、機密性・完全性・可用性のバランスを考慮して対策実施し、定期的な監査とマネジメントレビューによって弱点を正していきます。PDCAサイクルによる継続的な改善が重要で、社内規程の整備、アクセス権限管理、物理的防御、バックアップなど広範囲にわたる監視対策を統合的に管理します。
    ISMS(ISO 27001/JIS Q 27001)を取得すれば組織として適切なリスク認証管理を行っている証明にもなり、取引面でも有利です。ISMS導入は一朝一夕にはいきませんが、組織風土としてセキュリティを根付かせ、リスクに強い企業体質を作る有効な方法です。

    ゼロトラストモデルの採用

    従来の境界防御(社内ネットワークは信頼できる前提で外部との境界にファイアウォール等を考える考え方)が通用しにくくなった現在、ゼロトラストセキュリティの考え方が注目されています。
    ゼロトラストとは「何も信用しない」を前提に、ネットワーク内外の全てのアクセスを検証するモデルです。
    具体的には、ユーザーやデバイスが社内リソースにアクセスする際、暫定LAN経由でも毎回認証・許可を行い、端末のセキュリティ状態や利用権限を確認します。
    これはクラウド利用やテレワークの普及で社内外の境界が解放される中、認証の多要素化や端末検疫、暗号化通信などにより「常に疑う」姿勢で安全を確保すべきです。
    Forrester社が2010年に提唱して以来のコンセプトですが、新型コロナウイルス感染症(COVID-19)下でのリモートワーク急増もあり企業ネットワーク構造の変革の中心として一気に広がりました
    ある調査では、日本企業の94%が幅広い形でゼロトラストの導入を進めているとの結果もあります。
    ゼロトラストを実現するには、認識管理の強化(シングルサインオンと多要素認証)、デバイスの状態検証(EDRなど)、ネットワークのマイクロセグメンテーション、常時監視とログ分析など複数の要素技術が必要です。いっきに完璧なゼロトラストを構築するのは困難です。
    しかし、例えばVPNに代えてゼロトラストネットワークアクセス(ZTNA)を導入する、権利に応じてアクセスを柔軟化する、といった段階的な導入が考えられます。

    従業員教育とセキュリティ意識の向上

    技術的防御だけでは防げない人のリスクへの対策も覚悟しています。
    例えばフィッシングメールの誤クリック、SNSへの不用意な情報投稿、または内部者による不正持ち出しなど、人間が関与するリスクは常在します。IPAの調査でも、漏洩情報えい事故の要因として「内部不正」や「職員不注意による漏えい」が挙げられています。
    企業は定期的なセキュリティ教育を実施し、全従業員の意識向上を取り組む必要があります。
    具体的には、新入社員研修でのセキュリティポリシーの周知、年に1~2回の全社セキュリティ講習、フィッシング模擬訓練の実施、情報確保に関するeラーニングなど効果的です。
    さらに内部監査規定を整えて内部不正への抑止力としながら、内部告発制度を活用してセキュリティ上問題のある行為を早期に発見できるようにします。

    セキュリティツールの活用(EDR、SIEMなど)

    最新の専門ツールを導入し技術面の防御力とセキュリティ性を高めることも有効です。
    各端末上で警戒を行い、マルウェア感染や不審な動きを一時的に観察知・遮断する仕組みです。
    例えばマルウェアが社内に侵入しても、EDRによって端末で不審審プロセス実行や権限昇格の試みを監視し、隔離・削除することが可能です
    一方、SIEM(Security Information and Event Management)はサーバやネットワーク機器などから集まるログを一元的に・相関分析するプラットフォームです。SIEMにより全社のセキュリティを一時監視すれば、異常なパターンや複数の機器にまたがる攻撃を検出できます
    これに加え、XDR(拡張警戒・対応)やSOAR(セキュリティオーケストレーション自動化)など、複数のセキュリティツールを統合しインシデント対応を自動化・効率化する製品も登場しています。
    その他にもWAF(ウェブアプリ防御)、IDS/IPS(攻撃・防御)、DLP(データ漏洩防止)、UTM(統合客観管理)など多様なツールがありますが、自社のリスクに合わせて適切なものを重視・実装することが重要です。
    高度なセキュリティツールの活用により、人の資源には限りがある企業でも24時間体制の監視や的確な攻撃の検出が可能となり、インシデント被害を少し考えて期待できます。

    以上のように、セキュリティ体制構築には「経営システムとしてのISMS」「新しいモデルであるゼロラスト」「人的対策の徹底」「先端ツール導入」という複数の柱があります。これらを総合的に組み合わせて、自社の規模・業種・リスクに適合させることで、強靭な情報セキュリティ体制を築くことができます。

    セキュリティ対策のメリット

    十分な情報セキュリティ対策を講じることはコスト面の負担だけでなく、企業にとって多くのメリットがあります。

    企業の信用向上と顧客信頼の獲得

    情報セキュリティ対策は企業の信用力を支える土台です。
    態勢が不十分だと,「情報イメージ管理が甘い会社」という烙印を押されてしまいます。 実際に漏えい事故が報道されると企業のブランド価値が落ちるだけでなく、顧客の離反や取引停止、新規契約の減少を招きます。
    深刻な事件の場合,株価が急落し長期的な顧客離れが発生するケースもあります
    最近では「当社はISO27001を取得し安全管理を徹底しています」等と表示する企業もあり、これは顧客への安心感を与えるためとの差別化にも資するでしょう。

    法令遵守によるコンプライアンスリスクの軽減

    セキュリティ対策の充実は同様各種法令・規制の順守状況を高め、リスクが顕在化した場合の罰則リスクを軽減します。
    個人情報保護法や業界ごとのセキュリティ基準に対応した対策を一時していれば、監督官庁からの指導や行政処分に対しても基本的には問題なく対応できるでしょう。例えば,個人情報保護法では前述の通り重大漏洩時の報告義務がありますが、平時から適切な漏洩防止策・監査体制を整えれば報告漏れがないを確認することができ、報告・公表に伴う社会的リスクを回避できます。
    平素から法令に沿ってセキュリティ対策(アクセス制御、暗号化、ログ保存、監査など)を行っていれば、監査や認証取得がスムーズになり、取引先からの信頼獲得にも資するでしょう。

    競争力強化とビジネス機会の拡大

    情報セキュリティは現代、企業の競争力を高める戦略要素としても注目されています。
    顧客データや取引情報を安全に管理できることは取引先から獲得するつながり、ビジネスの成長に重要な課題となります。
    特に新規市場への参入や大手企業との取引では、厳しいセキュリティ基準の充足が前提条件となるケースが増えています。
    実際、多くの企業がサプライチェーン全体のセキュリティを重視し、取引先にISMS認証取得や契約上のセキュリティ条項を求めようとしています。 離脱セキュリティ対策に投資することは、新たなビジネスチャンスを獲得するための土壌作りでもあります。また、セキュリティなセキュリティ体制はデジタルトランスフォーメーション(DX)の基盤としても重要です。DXを進める企業にとって、サイバーリスクの脅威はしばしば障壁となります。
    セキュリティ面で安心があればクラウド活用やオンラインサービスなどの妥協を積極的に展開できます。

    さらに、インシデントによる業務停止や顧客離れを防ぐことは、事業継続性の確保と収益維持に直結します。
    大きな事故なく安定稼働を続ける企業は結果的に収益面でも有利になり、長期的な競争の優位性を得られます。
    総じて、「攻め」のIT活用と「守り」のセキュリティは車の両輪であり、セキュリティをなおざりにする企業は競争に遅れている時代です。しっかりとした対策は企業の持続的成長と競争力維持・向上に大事な要素と言えるでしょう。
    以上、情報セキュリティ対策は企業経営に有利が大きく、単純コストではなく価値を生む投資と賞賛すべきものです。
    信用力の向上、コンプライアンス順守、競争優位の確立といった効果を通じ、セキュリティに注力する力が企業にとっても一つの武器になるでしょう。

    実際の事例(情報漏洩事件の教訓)

    日本国内で発生した情報漏れインシデントの例を分析すると、リスクの現実性と対策の重要性が浮き彫りになります。

    ベネッセ個人情報流出事件(2014年)

    前述のように、ベネッセコーポレーションではグループ会社の派遣社員が顧客情報を不正持ち出しし、延べ3,504万件もの個人情報が流出しました。
    流出した情報には子どもの名前や住所、保護者の連絡先などが含まれていました。
    原因は「内部犯罪(先委託社員の不正)」であり、技術的なハッキングでは防げない類の事故でした。
    この事件の原因として、内部者に対する権限管理や監視の甘さが指摘されました。
    ベネッセではグループ会社社員が多数の顧客D Bにアクセスできる状態にあり、持ち出し監視体制も批判されてしまいました。
    これは「信頼していた内部関係者から情報が漏れる事例」として取り上げられ、企業に対する内部不正防止策(アクセス権の最小化、データ持ち出し制限・暗号化、ログ監査、人事チェック等)の強化を図るためのきっかけにもなりました。

    日本年金機構サイバー攻撃(2015年)

    公的機関ですが、企業にも啓発として取り上げます。日本年金機構職員がウイルス付きのセキュリティメールを開いてみると、125万件分の年金加入者の個人情報(氏名、基礎年金番号、住所、住所)が外部に流出しました。
    当時、機構内の端末は最新のウイルス対策が行われていなかったとも言われ、基本的なサイバー衛生(セキュリティパッチの適用や職員教育)の欠如が原因でした。そして、政府も再発防止のため組織的なセキュリティ強化チームを立ち上げることになりました。
    この事件はフィッシングメールの1クリックが大量の機密データ漏洩に直結することを世間に知らせ、官民問わずセキュリティ対策と職員訓練の重要性を痛感させられました。企業でも、同様の手口による情報流出事件(JTBの793万件漏洩や日産自動車の機密図面流出など)が発生しており、「進入対策の徹底とインシデント対応」が重点であると認識されています。

    JTB顧客情報漏洩事件(2016年)

    日本企業に対する対抗型攻撃の代表例です。大手旅行会社JTBのサーバー会社が不正アクセスを受け、最大約793万人分の個人情報(氏名・住所・メールアドレスなど)が流出しました。
    攻撃の起点は、取引先になりました見事な突破型メールで、従業員が開いた添付ファイルからマルウェア感染が確実に行われています。
    JTBは個人情報保護委員会からの指摘を受け、該当顧客に注意喚起を行うなど対応に追われました。またJTB事件では、流出情報にパスワードやクレジットカードが含まれなかったもの、接触対応や信用低下による営業妨害など目に見えない被害も甚大でした。

    以上のように,情報セキュリティと企業のコンプライアンス意識は切っても切れない関係にあります。
    情報セキュリティとそれを取り巻く法令に関してご不安なことがある方,ご心配なことがある方は,一度お問い合わせください。

    お問い合わせ
    « Older Entries Newer Entries »

    keyboard_arrow_up

    05058309572 問い合わせバナー 無料相談・初回接見の流れ