このページの目次
⑴ 機密保持体制の必要性
個人情報保護法の改正により、体系的に個人情報を扱う事業者は、その扱う個人情報の量を問わず、個人情報取扱事業者として扱われ、一定の情報漏えい等があった場合には個人情報保護委員会への報告を求められるほか、漏えい等をしてしまった個人情報の本人にも通知をしなければならなくなりました。
また、会社が保有する個人情報などの企業秘密を、退職した従業員がそのまま持ち出し、転職先で利用するなどといった事案も生じています。
このように、会社においては機密情報に当たるようなものをしっかりと管理する体制が求められています。
⑵ 機密保持体制の内容
経済産業省から、「秘密情報の保護ハンドブック~企業価値向上に向け~」という文書が出されており、ホームページ上で公開されています。
このハンドブックに記載されている秘密情報漏えい対策は、まず漏えいする可能性のある者として
- 従業員
- 退職者
- 取引先
- 外部の者
を想定しています。
そして、それらの者毎に、秘密情報への
- A接近の制御
- B持出し困難化
- C視認性の確保
- D秘密情報に対する認識向上
- E信頼関係の維持・向上
という5つの観点(外部者にはEの観点はない)から対策を分類しています。
細かい内容についてはハンドブックをご参照いただければと思いますが、典型的なものについて見ていきたいと思います。
⑶ 外部者への対応
企業外部の者による情報漏えいとして、典型的にはインターネットを用いたサイバー攻撃などが想定されるところですが、それだけではなく実際に企業の建物等に入り込み、物理的な方法で情報を奪われてしまうこともあります(ソーシャルエンジニアリングなども含んでよいと思います)。
このような物理的な手段への対策としては、会社建物に入れる人物を限定したり、入れるとしてもその区画を制限すること、外部の者が入るスペースには秘密情報を置かないようにする等の対策が有効であると考えられます。
また、サイバー攻撃に対しては、ファイアーウォールの導入、PCのOSをアップデートするようにしたり、アンチウィルスソフトを導入するようにするほか、情報によっては外部のインターネットに接続されていない環境で管理することが安全となります。
⑷ 従業員への対応
従業員からの情報漏えいを防ぐためには、そもそも秘密情報にアクセス可能な従業員を適切に割り振ることが有効です。
すべての従業員が会社の全ての秘密情報にアクセスする必要があるとは限りませんから、誰がどの情報に、どのような方法であればアクセス可能であるのかを明確化することが大切です。
また、私物USBに情報をコピーするなどして会社外に持ち出してしまうケースもありますので、このような情報持ち出しについてはあらかじめルールを定め、どのような方法であれば持ち出しを可能とするのか、私物USBの利用を認めるのか等、情報漏えいのリスクを下げる対策が必要です。
⑸ 退職者への対応
退職者は、企業から退職してしまうことにより企業の指揮命令かを脱してしまいますから、退職するときにどこまでの対応ができるかが重要です。
まず、退職することが決まった段階なので、秘密情報へのアクセス権を制限するかどうかなどを検討する必要があります。
パスワード等をそのままにしておくことは、退職後も情報を確認できてしまう原因となりますので、アクセス権への対応は必要です。
そして、機密情報を扱っていた社員が退職するような場合には、就業規則で秘密保持が定められていたとしても、退職時に別途秘密保持契約を締結することが有効です。
秘密保持契約を締結する時には、一般的な秘密保持契約書をそのまま流用するようなことはなく、退職者と取り扱っていた秘密の内容を確認したうえで、具体的な秘密の範囲などをできる限り明確化しておいた方が、のちの紛争を回避できる可能性が高まります。
また、役員等特に重要な従業員が退職する場合には、場合によっては競業避止義務契約を締結することも検討してよいと思われますが、職業選択の自由への制約となって無効とされるおそれもありますので、その内容を慎重に検討する必要があります。