データ漏洩対応ガイド

データ漏洩インシデントにおける従業員の個人的責任と企業責任の境界線：法務部が押さえるべき法的観点

データ漏洩インシデントが発生した場合、企業は多岐にわたる法的、経済的、信用的なリスクに直面します。これらのリスクは通常、企業の責任として議論されますが、インシデントの原因に従業員の故意や過失が関与している場合、当該従業員の個人的責任も重要な論点となります。

法務部門は、このような複雑な状況において、企業と従業員双方の法的責任の境界線を正確に理解し、適切な社内調査、対応、法的リスク評価を行う責任を担います。本稿では、データ漏洩インシデントにおける従業員の個人的責任と企業責任に関する法的観点および法務部が押さえるべきポイントを解説します。

企業責任の法的根拠

データ漏洩が発生した場合、企業は様々な法的な根拠に基づき責任を問われる可能性があります。主なものを以下に挙げます。

• 情報管理義務違反: 個人情報保護法第23条は、個人情報取扱事業者に対し、その取り扱う個人情報の安全管理のために必要かつ適切な措置を講じる義務を課しています。この安全管理措置が不十分であった結果としてデータ漏洩が発生した場合、企業は当該義務違反を問われる可能性があります。また、その他の業法やガイドラインにおいても、同様の情報管理義務が課されている場合があります。
• 使用者責任（民法第715条）: 従業員がその事業の執行について他人に損害を加えた場合、使用者はこれによって生じた損害を賠償する責任を負います。データ漏洩が従業員の業務遂行上の行為によって引き起こされた場合、たとえそれが従業員の過失によるものであっても、企業は使用者責任に基づき被害者に対して損害賠償責任を負う可能性があります。ただし、使用者が被用者の選任及びその事業の監督について相当の注意をしたとき、又は相当の注意をしても損害が生ずべきであったときは、この限りではありません。
• 債務不履行責任（民法第415条等）: 顧客との間の契約（利用規約等）において、個人情報の安全管理に関する義務が明示的または黙示的に定められている場合、データ漏洩がその義務違反にあたるとして、顧客に対する債務不履行責任を問われる可能性があります。
• 不法行為責任（民法第709条等）: 情報管理上の注意義務を怠ったこと（過失）により、データ主体（個人情報が漏洩した本人）に損害を与えた場合、不法行為責任に基づき損害賠償責任を負う可能性があります。
• 法令に基づく報告・通知義務: 個人情報保護法第26条等により、データ漏洩等の事態が発生した場合、個人情報保護委員会への報告義務および本人への通知義務が課されています。これらの義務を怠った場合、行政罰や行政指導の対象となる可能性があります。

従業員の個人的責任の法的根拠

データ漏洩に関与した従業員は、企業に対する関係および第三者（データ主体等）に対する関係で、個人的な責任を問われる可能性があります。

• 会社に対する責任:
  • 不法行為責任（民法第709条）： 従業員が故意または過失により、会社の情報管理システム等に損害を与えたり、情報漏洩を引き起こしたりした場合、会社に対して損害賠償責任を負う可能性があります。
  • 債務不履行責任（善管注意義務違反）： 従業員は雇用契約に基づき、会社に対して善良な管理者としての注意をもって業務を遂行する義務（善管注意義務）を負っています。情報セキュリティに関する社内規程やマニュアル違反、不注意による情報漏洩は、この善管注意義務違反にあたる可能性があり、会社に対する損害賠償責任の原因となり得ます。
  • 就業規則違反： 多くの企業の就業規則には、情報管理や情報セキュリティに関する規定が含まれています。これらの規定に違反してデータ漏洩を引き起こした場合、懲戒処分の対象となります。
• 第三者（データ主体等）に対する責任:
  • 不法行為責任（民法第709条）： 従業員が故意または重大な過失によりデータ漏洩を引き起こし、データ主体に損害を与えた場合、当該データ主体に対して直接損害賠償責任を負う可能性があります。ただし、多くの事案では企業の使用者が責任を負うため、従業員個人が直接訴えられるケースは限定的です。
• 刑事責任: 不正アクセス行為の禁止等に関する法律（不正アクセス禁止法）や刑法（電子計算機損壊等業務妨害罪など）に違反する行為に従業員が関与していた場合、刑事罰の対象となる可能性があります。

企業責任と従業員責任の境界線

企業責任と従業員責任は、多くの場合、並存します。つまり、企業が使用者責任や情報管理義務違反等に基づき責任を負う場合でも、原因となった従業員の行為に不法行為や善管注意義務違反が認められれば、当該従業員も会社や第三者に対して責任を負う、という構図です。

特に、以下の要素は責任の所在と境界線を判断する上で重要になります。

• 行為の性質: その行為が業務の遂行に関連するものか、それとも業務と無関係な個人的な行為か。
• 故意・過失の程度: 従業員の行為が故意によるものか、軽過失か、重過失か。故意や重過失の場合、従業員の個人的責任がより重くなる傾向があります。
• 企業の管理・監督状況: 企業が従業員に対して十分な情報セキュリティ教育、指示、監督を行っていたか。適切なアクセス権限管理やシステム的な対策が講じられていたか。企業の管理体制に不備があった場合、企業の責任がより強調されます。
• 就業規則・社内規程の整備・周知状況: 情報セキュリティに関する規則が明確に定められ、従業員に周知され、遵守が徹底されていたか。

民法第715条の使用者責任において、企業が「被用者の選任及びその事業の監督について相当の注意をしたとき、又は相当の注意をしても損害が生ずべきであったとき」は免責されるとされていますが、データ漏洩事案においては、この免責が認められるハードルは非常に高いのが現状です。従業員の個人的な過失であっても、組織的な管理体制の不備と合わせて企業の責任が問われるケースがほとんどです。ただし、従業員の故意による不正行為（例：情報を持ち出して第三者に売却するなど、業務遂行の範囲を逸脱した行為）の場合、使用者責任が否定される可能性も理論上はありますが、その判断は個別の事案によります。

法務部が押さえるべき対応ポイント

データ漏洩インシデントに従業員が関与している疑いがある場合、法務部門は以下の点を押さえて対応を進める必要があります。

1. 迅速かつ公平な事実関係調査:
   • インシデント対応チーム（IRT）の中心として、原因究明のための調査を主導または協力して実施します。IT部門や外部のフォレンジック専門家と連携し、関係システムログの解析、関係者へのヒアリングを行います。
   • 従業員の行為の性質（業務関連性、個人的行為）、故意・過失の有無と程度、社内規程の遵守状況などを慎重かつ客観的に調査します。特定の従業員に責任を押し付けるような、結論ありきの調査は避ける必要があります。
   • 証拠保全を徹底し、改ざんや散逸を防ぎます。
2. 企業および従業員の法的責任の評価:
   • 収集した事実に基づき、企業が使用者責任、債務不履行責任、情報管理義務違反等に基づきどのような責任を負う可能性があるかを評価します。
   • 当該従業員が会社に対して、また第三者に対してどのような個人的責任を負う可能性があるかを評価します。故意・過失の程度、企業の管理体制の状況を考慮に入れます。
   • 企業と従業員の責任範囲の境界線について、法的観点から検討します。
3. 従業員への対応方針の検討:
   • 調査結果に基づき、就業規則に基づく懲戒処分の要否、種類、程度を検討します。懲戒処分は客観的な事実と就業規則に基づき、公平に行われる必要があります。
   • 従業員に対する損害賠償請求の可能性を検討します。会社が損害を被った場合（例：復旧費用、対応費用、信用失墜による逸失利益など）や、会社が被害者（データ主体）に対して賠償金を支払った場合、従業員に対する求償権を行使することが法的には可能ですが、その実行には様々なハードル（従業員の資力、会社と従業員の関係性維持など）があります。実務上、従業員に求償権を行使するケースは限定的です。
   • これらの対応は、労働法規や判例を十分に考慮して行う必要があります。
4. 関係者への説明・報告:
   • 規制当局、データ主体、顧客、株主等のステークホルダーに対し、インシデントの原因（従業員の関与の有無、その性質を含む）、企業の対応、再発防止策等について、法的責任論を踏まえつつ、誠実かつ正確に説明・報告します。従業員のプライバシーにも配慮しつつ、開示の範囲を検討します。
   • 経営層に対し、調査結果、法的責任評価、従業員への対応方針、それらに伴う法的リスクについて報告し、意思決定をサポートします。
5. 再発防止策への反映:
   • インシデントの原因が従業員の過失または故意にあった場合、その背景にある課題（教育不足、体制の不備、不正行為防止策の不備など）を分析し、再発防止策に反映させます。
   • 就業規則や情報セキュリティポリシーの見直し、従業員教育・研修の強化、アクセス権限管理や監視体制の見直しなどを検討・実施します。法務部門は、これらの対策の法的適合性を確認し、法的リスク軽減の観点から助言を行います。

まとめ

データ漏洩インシデントにおいて従業員の関与が疑われる場合、法務部門は企業責任と従業員責任の複雑な法的境界線を理解することが不可欠です。単に「従業員のせい」とするのではなく、企業自身の管理体制や監督義務の履行状況を含めて総合的に評価する必要があります。

法務部が主導する、迅速かつ公平な事実調査、的確な法的責任評価、そして労働法規を遵守した従業員への対応は、企業の法的リスクを最小限に抑え、インシデントからの回復、そして今後のインシデント予防体制強化において極めて重要な役割を果たします。企業のガバナンス強化の観点からも、従業員の行動規範、懲戒基準、損害賠償に関する方針などを明確に定め、従業員への周知を徹底しておくことが推奨されます。