講演録[PDF版]

第21期 情報化推進懇話会
第3回例会:平成18年6月22日(木)
『経営トップのための IT 関連法務
∼知っておきたい近時の留意点∼』
講
弁護士
師
山口
勝之 氏
財団法人 社会経済生産性本部
情報化推進国民会議
『経営トップのための IT 関連法務
∼知っておきたい近時の留意点∼』
―
山口勝之(やまぐち
プロフィール ―
かつゆき)
西村ときわ法律事務所パートナー
弁護士・ニューヨーク州弁護士
1989年東京大学法学部卒。1991年第一東京弁護士会登録・西村ときわ法律事務所入
所、現在に至る。この間、コロンビア大学ロースクール卒業(LL.M.)、ニューヨーク
州弁護士資格取得、ニューヨークやパリの法律事務所に勤務。M&Aや提携案件、会社
法、知的財産権などビジネスロー全般にわたる各社の指導、法廷活動、執筆、講演等
に活躍中。
主な著書として「M&A法大全」(共著)(商事法務、2001年)、
「IT法大全」(編著)(日経BP、2002年)がある。
1
1.個人情報漏洩∼その代償
今日は四つのトピックを選ばせていただきましたが、これは経営に対する最も重大なリ
スクとして選んだものです。1 つ目は個人情報漏洩です。1週間ほど前、KDDIが緊急会
見を開き、インターネット接続サービスDIONの顧客情報が約 400 万件ほど流出したと
発表しました。新聞報道を見ますと、氏名や住所、電話番号、場合によっては性別や生年
月日、メールアドレスいった会員情報が流出したということです。会社にとってその代償
はいかなるものかということで、皆様にはまず三つの判例を知っておいてほしいと思いま
す。
(1)Yahoo!BB個人情報流出事件(大阪地裁平成 18 年5月 19 日)
この事案は、2003 年6月と 2004 年1月の2回にわたって、Yohoo!BBの会員約 660 万
人分の個人情報が、同社の元関係者によって不正に取得されて流出したというものです。
当時、顧客の氏名・住所・電話番号などを管理するサーバは、IDとパスワードを使えば
インターネットを通じて自由にアクセス可能になっていました。その際に、MAC アドレスに
よって特定のパソコンからしかアクセスができないような措置は執っていなかったという
ことです。もちろんそのサーバのIPアドレスは必ずしも公表されてはいなかったわけで
すが、元関係者であれば当然知っているという状況だったようです。そして、この元関係
者が勤めていたときは、リモートアクセスという形で外部から仕事をしていたということ
で、このパスワードが元関係者の退職後も変更されていなかったため、辞めたあとも管理
サーバに自由にアクセスできる状況でした。元関係者はネットカフェなどからインターネ
ットを通じて不正にアクセスして情報を引き出し、別の男らがそれを利用してソフトバン
クを恐喝しようとしたという事件です。
それに対して、自分たちの個人情報が流出したという人が5人ほど集まって Yahoo!BB
と Yahoo を訴え、裁判所は、特定のコンピュータからサーバへのアクセスを認めないとか、
定期的なパスワード変更を行っていれば不正アクセスを防げたはずであるから、BB社に
は過失があり損害賠償責任があるという判決を出しました。そこで実際の損害賠償額が争
点になったわけですが、原告は1人当たり 10 万円、あるいは 100 万円の慰謝料を請求して
いたわけですが、裁判所は、精神的に被った苦痛の対価としては1人当たり 5000 円が相当
であり、弁護士費用 1000 円と併せ 6000 円の損害賠償を認めたということです。
私は過去の裁判例に照らして、これは極めて妥当な金額だと思います。なぜ 5000 円なの
かについて、判決文を読むと、今回流出した 660 万人分のデータはDVD−Rなどに焼か
れていたわけですが、審議の過程で明らかになったこととして、それはあくまで恐喝目的
に使おうとしたもので名簿屋に売ろうという意図も形跡もなく、2次的な流出の事実もそ
の恐れもなかったという前提で、被害者の不安感はそれほど大きくなかったと認定してい
るのです。また、流失した個人情報の内容も、生年月日や身長体重、思想信条のようなよ
りセンシティブな情報は一切入っていなかったため、
「秘匿されるべき必要性は必ずしも高
2
くはない」個人情報だったと認定されています。さらに、Yahoo!BBは、この事件が分か
ったとき直ちに発表し、そのあと被害者に個別に連絡をして謝罪し、1人当たり 500 円の
金券を配っています。そして、以後同じような情報流出が起きないような技術的な対策も
講じています。このような発表・連絡・謝罪・対策という一連の対応を評価して、事後的
対応をきちんとやっていたと認定しているわけです。
しかし、ここで重要なのは、事業者側の悪質性がないこと、事後の対応が適当だったこ
と、流失した情報が非常に軽いということを裁判所が認めたにもかかわらず、企業側に1
人当たり 5000 円の賠償責任を認めたということです。1人当たり 5000 円でも、それに 660
万人を掛ければ 330 億円になるのです。日本ではまだクラスアクション(団体訴訟)とい
う制度がありませんが、米国では弁護士と代表的な被害者が、同じような被害を受けた被
害者全員のために訴訟ができるようになっており、この団体訴訟制度の考え方は、少しず
つ日本にも入りつつあります。
具体的には消費者契約法の改正が今年5月 31 日に成立し、来年の6月7日から施行され
ることになっていますが、そこで消費者団体訴訟制度というものが新しく作られています。
ここで一定の認定を受けた消費者団体に、一定の不当な勧誘行為や通信販売、訪問販売等
があったときに、それを差し止める差し止め請求権が認められました。これまでの日本の
制度では、被害を受けた個人でないと裁判を起こせないという大原則がありましたが、そ
こから一歩踏み出したわけです。ここでは泣き寝入りをした被害者のために損害賠償まで
請求する権利までは認められていませんが、これは一つのステップであり、私が立法担当
者に近い人に話を聞いたところでは、このクラスアクション制度を日本にも導入すべきで
あるという議論がけっこうあるようです。
(2)宇治市住民票データ流出事件
次に、この事案の概要は、地方自治体が住民基本台帳のデータに基づくシステム開発を
外部業者に委託していたところ、その外部業者がさらに下請けに出した再委託先の従業員
が、住民の氏名・年齢・性別・住所・家族構成が含まれたデータを不正にコピーして持ち
出し、名簿販売業者等に販売したというものです。この名簿販売業者は、インターネット
などで「宇治市の住民のデータを売ります」という広告を出していました。すなわち、2
次的流出あるいはその恐れが十分あったということです。
これに対する判決は、
「本件データにつき、インターネット上で購入を勧誘する広告が掲
載されたということ自体でも、それによって不特定の者にいつ購入されて、いかなる目的
でそれが利用されるかわからないという不安感を被控訴人らに生じさせたことは疑いがな
いが、被害者らのプライバシーの権利が侵害された程度・結果はそれほど大きなものとは
認められないことや、地方自治体側がデータ回収の努力を行い、住民に対する説明を行い、
今後の防止策を講じたこと等を認定した」となっています。
ここに見られるように、家族構成等のデータの流出によって、家族がだれかにねらわれ
3
るかもしれないという不安感に対して賠償するというのが慰謝料の性質なのです。他方、
プライバシーの侵害の程度はそれほど大きなものではないという裁判官の判断と、事業者
側の事後的対応がよかったということを踏まえて、慰謝料は1人1万円と、ほかに弁護士
費用が 5000 円認められています。
(3)早稲田大学江沢民後援会名簿提出事件
これは若干特殊な事例で、早稲田大学で江沢民国家主席が講演会をする際、警視庁から
大学側に出席予定者名簿の提出要請があり、それに対して大学側が、本人の同意を得るこ
となく学籍番号・氏名・住所・電話番号が記載された名簿を提出したというものです。そ
の中には、政治的な思想のもとに江沢民反対、中国反対という強い意思を持っている人が
含まれていました。その人たちが原告となって大学を訴えたのです。
その際の判決の要旨は、
「本件個人情報の開示自体には本件講演会の警備などの正当な理
由があり、開示された個人情報も秘匿される必要性が必ずしも高いものとは言えない」と
いうものでした。そして、「本件個人情報の開示が違法であることが本件訴訟において肯定
されれば、被害者らの被った精神的損害のほとんどは回復される」と言っています。これ
はある意味、先ほどの不安感とは違うコンテクストです。
そして最後に、「それらの原告は本件講演会の参加申し込みをした時点において、江主席
の講演会を妨害する目的を持っていた」と認定しつつ、それでも早稲田大学が悪いからと
認められた損害額は学生1人当たり慰謝料 5000 円で、弁護士費用は認めませんでした。
以上、見てくると、個人情報流出事件が起きたときに、会社側に責任があるとされてし
まうと、そのあとの会社の対応がどんなによくとも、あるいは流出した情報がどんなに軽
微なものでも、1人当たり 5000 円の慰謝料は確実に認められるということがわかります。
冒頭申し上げたKDDIの事件でも、400 万人のデータが入ったサーバの保守用のPCのU
SBが殺されていなかったこと等から、恐らく元従業員等が会社外にデータを持ち出した
と推測され、会社の過失が認められる可能性はあると思います。
2.個人情報漏洩−企業の責任
元従業員の行為と企業の責任との関係については、民法 715 条の「使用者責任」という
法理にかかっていると言って過言ではありません。結局、会社の役員や従業員が事業関連
行為によって他人に損害を与えた場合、会社はそれは従業員が勝手にやったことなので責
任はないとは言えないということです。それを言うことができるのは、その役員や従業員
の選任と事業監督について過失がないと証明ができた場合に限られます。特に先ほどから
「過失」という言葉を使っていますが、これは、一般人が払うべき注意を払っていなかっ
たということを意味する言葉です。
この過失は、予見可能性と回避可能性に分解できます。すなわち、ある被害を生じさせ
た場合に、過失があると言えるためには、そのような被害が生じるということを予見でき
4
たかどうかが一つ、それが回避できたかどうかが二つ目のメルクマールなのです。
例えば先のKDDIの事件で、保守用PCに普通のPCを使っていて、USBから外部
メディアへの転送が自由にできるようになっていたというのは、性善説に立っていたとい
うことです。誓約書などを取り、厳しく教育もしていたので、うちの従業員がそんなこと
をするはずがないという前提に立っていたのだと思います。しかし、冷静に考えると、そう
でない従業員がいることは当然予見することができるわけです。また、その後対策を打っ
たと言っているぐらいですから、保守用PCにUSBを殺す処理等を最初から施しておけ
ば被害は回避できだはずです。つまり、この二つのポイントからすると、KDDIの事件
が裁判に持ち込まれれば、会社に過失が認められるだろうという推定が働くことになりま
す。
すなわち、個人情報流出がいったん起きてしまうと、会社に責任がなかったと主張する
のはかなり無理がある、ということを肝に銘じておいていただきたいということです。した
がって、個人情報の流出が起こらないように、技術的、人事的に徹底的な対策を執ってお
いてください。これは今、騒がれている Winny に対しても同様です。
3.営業秘密の保護強化∼人材流出の落とし穴
(1)不正競争防止法による保護
現代の日本では、人材の流動は非常に自由になっています。中でもIT業界は、同業他
社への転職もかなり頻繁に行われているのではないかと感じられます。辞めていく従業員
はその会社の営業秘密やノウハウを頭に詰めて辞めていくわけです。場合によっては、顧
客情報や新製品情報、システムのソースコード等も持ち出していく、あるいは個人のパソ
コンにインストールしたままで辞めていくかもしれません。そういう意味で去られていく
側の企業で、営業秘密の流出のリスクが非常に高いことは皆様よくご存知だと思います。同
時に、その人を受け入れる企業においても、違法となったり、場合によっては刑罰に問わ
れるリスクがあるというのが、ここでのお話です。
日本では平成2年に初めて法律で営業秘密の流出に対する損害賠償請求や差し止め請求
が認められました。そして、平成 15 年に一部に刑罰規定が作られ、平成 17 年にはその刑
罰規定が拡充されています。法律で何か新しい保護を与えるときには、そのルールの適用
範囲を明確にすることが重要だと考えられています。平成2年の法律では、侵害の範囲に
ついて立法担当者が相当悩んだ末、営業秘密という定義で画することにしたようです。し
たがって、その定義で保護されるのは、「秘密として管理されている生産方法、販売方法そ
の他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないもの」
というように、「有用」
「非公知」「秘密管理性」という3点が要件となりました。特に注意
すべきは秘密管理性というところで、主観的に担当者や上司、あるいは社長が、これは秘
密情報だと心の中だけで思っていても法律上の保護は受けられません。まず最低限、アク
セス権限が制限されていて、アクセスしたものが営業秘密であることが認識可能であるこ
5
とが必要です。例えば紙の資料なら「丸秘」というハンコが押してあるとか、「部署外持ち
出し厳禁」と書いてあるということです。
(2)法律で保護される「営業秘密」とは
では、何が民事的に違法な営業秘密の侵害行為といわれるのでしょうか。基本的には6
類型があるとされています。いちばん典型的なのは、①従業員等が営業秘密を持っている
人から、窃盗、詐欺、脅迫、不正アクセスなどの不正な手段によって取得するというもの
で、そのようにして取得した営業秘密を第三者に対して使用・開示しても違法になります。
また、②営業秘密侵害行為であることを知って取得した人(従業員等)はもちろん、知ら
ないで取得した人も、知らないことに重過失があればその行為自体が違法になります。さ
らに、その取得した人が第三者に使用・開示するのも違法です。次に、③産業スパイなど
が従業員等から営業秘密を取得し、そこから情報を買った人がその時点では違法な行為で
取得されたことを知らなくとも、その事実を知ったあとに第三者に使用・開示した場合は
違法行為になります。
④従業員等、正当に情報をもらった人が、そのあと不正な利益を得る目的、あるいは保
有者に危害を加える目的でその情報を使ったり、第三者に開示すると、これまた違法にな
ります。⑤営業関係にあって、相手方から営業秘密の開示を受けたかたも同様です。皆さ
んはよく守秘義務契約を結んで情報開示を受けると思いますが、その契約に違反した場合
には、単なる契約違反にとどまらず、不正競争防止法に言うところの営業秘密侵害行為に
当たるわけです。また、⑥従業員等が正当に情報を取得した時点では違法に取得された情
報だと知らなくとも、知ってしまったあとで使用・開示してはいけません。
(3)平成 15 年の罰則規定の導入と平成 17 年の罰則規定の拡充
そのうえで、平成 15 年に刑罰規定が作られました。罰則ができたのはまず、「不正アク
セス行為により取得した営業秘密を不正の競争の目的で使用・開示する場合」で、この行
為を行うと3年以下の懲役または 300 万円以下の罰金となります。次に「かかる使用・開
示の目的で、不正アクセス行為等により、営業秘密を、営業秘密記録媒体等の記録を複製
する方法で取得する行為」。ただし、盗むすべての行為がそうではなく、不正アクセスを行
うことと、記録媒体をそのままコピーすることが一つの要件になります。次に、従業員や
役職員等が「正当に開示された営業秘密を、不正の利益を得る目的、あるいはその他の目
的で使用・開示した場合」です。
平成 17 年にはこの刑罰規定が拡充され、5年以下の懲役、500 万円以下の罰金となりま
した。さらに海外における情報の使用にも罰則が適用されようになり、退職者による営業
秘密侵害行為にも刑事罰が拡大されています。そして、「法人の役員・従業員等が一定の違
反行為を行った場合は、両罰規定により法人も処罰の対象」となります。つまり、中途採
用で前の会社の営業秘密を使用・開示することを要請した場合、単に担当者が違法とされ
6
るだけでなく、会社全体として罰則の対象になるということです。
次に、「転得者による不正使用・開示の正犯化」というのは、「不正の競争の目的で、営
業秘密侵害罪に当たる開示によって営業秘密を取得して、その営業秘密を使用・開示する
行為」も処罰対象になります。すなわち、同業他社の優秀なエンジニアをヘッドハンティ
ングまたは中途採用する際に、彼が入社したあと、彼が持っている情報などを自分たちの
仕事のために活用するということをお互いに約して入社することになれば、採用側の企業
が正犯(主犯)として刑事罰の対象になるということです。
では、今後どうすればいいのか。転職者を送り出す企業としては、退職時に守秘義務契
約などをきちんと結び、営業秘密などを決して転職先で使わないという約束をさせるのが
まず第一歩だと思いますが、これは往々にして守られません。ですから、できれば一定期
間、同業への転職を禁止するという競業禁止の約束をさせるのも、現実的な対応策だと思
います。ただ、そうすると職業選択の自由と真っ向からぶつかるわけです。
裁判になった事例から、この場合の一つのルールを申し上げておくと、まず永遠に競業
禁止というのはだめです。大体1年、長くとも2年です。さらに、それに見合ったコンペ
ンセーションを払うということが要件になります。これは、通常の退職金に上積みして、
職業選択の自由を奪い、特殊な競業禁止の約束をさせるにふさわしい金額の対価を支払う
ということで、この二つがその約束が有効となるための絶対的要件だとされています。も
ちろん、これをすべての退職従業員に行うことは無理だと思いますが、コアとなる従業員、
キーとなる従業員が辞める際には、今お話ししたことを思い出していただければと思いま
す。
一方、受け入れ側の企業のリスクとしては、法律違反、場合によっては罰則ということ
があります。ですから、まずは不正競争防止法のルールを知るということが重要です。そ
のうえで、転職してきた人だけでなく、その上司などに対する教育も徹底することが必要
だと思います。さらに、可能であれば、その本人から「前の企業で入手した情報やノウハウ
は、この会社に入社しても一切使いません」という誓約書を取っておくことがある意味重
要です。これが転職元の企業との間でトラブルになったときの安全弁になると思ってくだ
さい。
4.社内メールとプライバシー
今日では、営業秘密の社外流出は、メールに添付したり、インターネットのホームペー
ジにアップロードしたりすることで、いとも簡単にできてしまいます。また、それ以外に
も、インターネットの掲示板やブログ、2チャンネルなどを通じて、名誉毀損や著作権侵
害その他の違法行為を簡単に行うことができますし、特にインターネットの匿名性を過信
し、安易に信じられない行為をする従業員が出てくる危険性もあります。
会社のパソコンやサーバを使って社員が名誉毀損などの違法行為をした場合は、業務関
連行為ということになって、その責任は先ほどの使用者責任という理論から、会社の責任
7
となります。そういう観点からは、従業員の行為をモニタリングしたいという会社のニー
ズには正当性があり、実際の必要性も高いと思いますが、他方でメールやインターネット
履歴のモニタリングについてはプライバシーが問題になります。金融機関の一部に見られ
るように、インターネットあるいはメールの私的利用を完全に禁止していて、かつ黙認も
していないような会社であれば、プライバシーはほとんどないと言ってもいいと思います
が、実際には禁止はしていても、職務専念義務に違反しない程度の私的利用は黙認すると
いうのが大部分の会社の対応なのではないでしょうか。それはプライベートな使用を認め
ているということになるわけで、認めた以上はその私的利用についてはプライバシーが発
生するということになるのです。
しかし、メールやインターネット履歴を会社が一切モニタリングできないわけではあり
ません。モニタリングする正当な理由とどう調和させるのかがポイントです。少し古いの
ですが、ここでは昭和 43 年に出た所持品検査に関する最高裁の判決が非常に参考になりま
す。これは、ある引っ越し会社の事案なのですが、引っ越しを担当したときに、お客様か
ら大事な宝石の指輪がなくなったというクレームが会社にあったので、関与した従業員の
所持品を検査しました。結果的にそれは濡れ衣だったのですが、それで会社を従業員が訴
えたという事案です。その判決では、所持品検査というかなり人権侵害の程度が高いこと
についても、必要とする合理的理由があり、一般的に妥当な方法と程度で、制度として社
員に画一的に実施されており、就業規則その他の明示の根拠があればやっていいというよ
うになっているのです。基本的にこの考え方が社内メールやインターネット履歴のモニタ
リングにも該当するのですが、その際は恣意的な運用をしない、一定の疑いのある者に平
等にモニタリングをすることが重要なポイントになります。また同時に、メールやインタ
ーネット履歴のモニタリングをするということを、きちんと従業員に就業規則等で定める
ことが必要になってきます。
実際どの程度までのモニタリングが許されるのか、最近の電子メールの判決例を見ます
と、一般人の感覚からすると問題があると思われるような行為でも、会社のモニタリング
行為が正当化されています。裁判では、立証責任という考え方から、グレーなものであっ
ても黒とまでは認定できない場合は、白であるという判決が出ることになっています。あ
る事案で裁判所は、私用メールに期待できるプライバシーの程度について、「私用電話の場
合と比較すると、相当程度低減されることを甘受すべき」と認定しています。そのうえで、
これはこの事案の特殊性にもよるのですが、
「監視の目的と手段、対応などを総合考慮して、
監視される従業員側に生じた不利益と比較考慮のうえで、社会通念上相当な範囲を逸脱し
た監視がなされた場合に限ってプライバシーの侵害となる」としています。
また、N社事件でも似たような判例が出ました。この場合は、従業員がある違法行為を
やっていると会社が合理的に疑う事情があったわけです。その過程で見つかった大量の私
用メールを見たという話なのですが、その私用メールの量と内容があまりにもすごいとい
うことで、この人は「職務専念義務違反、および私用で会社の施設を使用するという企業
8
秩序違反が成立している」と裁判官は認定しました。そのうえで、「ファイルサーバ上のデ
ータの調査であった」、つまり、多くの会社は受信したデータは会社全体のサーバの中の受
信ボックスで管理していると思うのですが、個人のPCの受信ボックスではなく、それを
調査したということで、
「そこはロッカーなどと異なり、業務に何らかの関連を有する情報
が保存されていると判断される」ということで、「社会的に許容しうる限界を超えて、原告
の精神的自由を侵害した違法な行為であるとは言えない」としているのです。
つまり、この二つの判例に見てとれるように、裁判官の考え方は、ある意味限界までは
やっていいと言っているに等しいと受け取れます。ただし、これは人事政策とはまた別の
問題であることはご承知おきください。
5.ネット株取引とインサイダー∼逮捕劇に見る落とし穴
今、ネット株取引を多くの従業員が自由にできるようになって、違法行為のリスクがけ
っこう高まっていると思います。中でもインサイダーという問題が最もゆゆしき問題です
が、このインサイダー取引には2類型あることが意外と知られていないようです。その一
つは「会社の決定事項・発生事項等に関する重要情報」を知るということですが、もう一
つ「会社以外の者の決定事項に関する重要情報」を知るというものがあるのです。前者は、
当社はもうすぐ株式分割をする、M&Aの発表を間もなく行う等の情報を会社の従業員や
役員が知った場合、その情報はインサイダーだから、当然、自分は株取引をしてはいけな
いし、それを知った家族が取引することも刑事罰の対象となるということで、皆様のご承
知のことだと思いますが、後者はトップ同士の話で、「うちは今度○○の株を 100 万株を買
うことにした」ということをパーティ等で聞いた、それがインサイダー情報に当たるとい
うことです。
つまり、ある上場会社の株を大量に取得すると決めた場合は、その情報が「議決権5%
以上の買集め行為」ということでインサイダー情報となります。「頼まれて、株の持ち合い
で5%持つことになったんだよ」というふうに、5%というのは友好的な持ち合いなどで
も出てくる数字ですが、この場合、それを知ったほかの人はインサイダー情報を持ったこ
とになって、その対象会社の株を買うことは発表されるまでできないことになるというこ
とです。これが最も陥りやすい落とし穴です。
例の村上容疑者が今、逮捕されているのは、ライブドアの堀江前社長といろいろ話をし
ている中で、
「ニッポン放送の株を買えよ。面白いよ」と何回かけしかけているうちに、ラ
イブドア側が「買い進めることにします」と言ってきたということです。新聞報道による
と、村上ファンドは当時、持っているニッポン放送の株をもてあましていて、高く処分す
る場を欲しがっていたといいますが、そこでライブドア側が「やります」と言った行為が、
ここで言う「議決権5%以上を買う」という行為になるわけです。それを聞いていながら
村上さんはニッポン放送の株をさらに買い増していたということで、インサイダー違反だ
ったとされているわけです。
9
以上、経営トップの方々に知っておいてほしい4つの IT 関連法務についてお話させて頂
きました。どれも経営に対する重大なリスクとなりうるものです。充分な対応策をとって
いただきたいと思います。
(以
10
上)