データ漏洩対応ガイド

退職者・元従業員起因のデータ漏洩：法務部が対応すべき法的措置と予防策

データ漏洩リスクは、外部からのサイバー攻撃だけでなく、内部、特に退職者や元従業員によるデータ持ち出しによっても顕在化します。在職中に企業の重要な情報資産にアクセスできていた人物によるデータ漏洩は、その影響が広範囲に及ぶ可能性があり、企業にとって深刻な法的・経営的リスクをもたらします。

法務部門は、このような退職者・元従業員起因のデータ漏洩事案が発生した場合に、迅速かつ適切な法的対応を主導し、企業への損害を最小限に抑える責任を負います。本記事では、退職者・元従業員によるデータ漏洩が発生した場合の法的論点、発生時の初動対応、具体的な法的措置、そして再発防止のための予防策について、法務部が押さえるべきポイントを解説いたします。

退職者・元従業員によるデータ漏洩の法的論点

退職者や元従業員によるデータ持ち出し・漏洩の法的問題は、主に以下の観点から整理されます。

1. 秘密保持義務違反

従業員は、雇用契約、就業規則、秘密保持契約等に基づき、在職中及び退職後も企業の秘密情報を保持する義務を負います。特に退職後の秘密保持義務は、雇用契約や別途締結した秘密保持契約によって明確に規定されているかどうかが重要になります。こうした義務に違反して情報を第三者に開示したり、自己または第三者のために使用したりする行為は、債務不履行として損害賠償請求の対象となり得ます。

2. 不正競争防止法違反

企業の「営業秘密」を不正に取得、使用、開示する行為は、不正競争防止法によって規制されています。ここでいう「営業秘密」とは、以下の要件を満たす情報です。

• 秘密管理性: 企業が秘密として管理していること（アクセス制限、秘密表示など）。
• 有用性: 事業活動に有用な技術上または営業上の情報であること。
• 非公知性: 公然と知られていないこと。

退職者や元従業員が、これらの要件を満たす営業秘密を不正に持ち出し、使用したり第三者に開示したりした場合は、不正競争防止法違反となり、差止請求や損害賠償請求、さらには刑事罰の対象となる可能性があります。特に、競合他社への転職に際して顧客情報や技術情報を持ち出すケースなどがこれに該当します。

3. 個人情報保護法上の問題

退職者・元従業員が持ち出したデータが個人情報を含む場合、企業は個人情報取扱事業者として個人情報保護法上の義務を負う可能性があります。

• 安全管理措置義務違反: 退職者・元従業員による持ち出しを防止できなかった場合、組織的・技術的な安全管理措置が不十分であったと判断されるリスクがあります（法第23条）。
• 報告・通知義務: 個人データの漏洩、滅失、毀損等が発生し、個人の権利利益を害するおそれが大きい場合には、個人情報保護委員会への報告及び本人への通知義務が発生します（法第26条、規則第7条、第8条）。退職者が持ち出したデータが該当するか、持ち出した後に実際に漏洩や利用が発生したかなど、事実関係の把握が重要です。

4. その他の民事・刑事責任

データの内容によっては、コンピュータ不正アクセス禁止法、著作権法、さらには窃盗罪や電子計算機損害等業務妨害罪などの刑事罰の対象となる可能性もゼロではありません。また、民事上は不法行為（民法第709条）に基づく損害賠償請求も考えられます。

インシデント発生時の初動対応

退職者・元従業員によるデータ持ち出し・漏洩の疑いが生じた場合、法務部門は以下の初動対応を主導・支援する必要があります。

1. 事実関係の迅速な確認:
   • どのような情報が、いつ、誰によって、どのような方法で持ち出された可能性があるか。
   • 持ち出しの証拠（システムログ、メール履歴、物理的な記録など）を速やかに保全します。この際、法的な証拠能力を意識し、改ざんなどが疑われない方法で行うことが重要です。IT部門や外部のフォレンジック調査機関と連携します。
   • 当該退職者・元従業員の最終アクセス履歴、退職時の手続き状況（返却物の確認など）を確認します。
2. 社内関係部署との連携:
   • IT部門：技術的な調査、証拠保全、アクセス権限の停止などを依頼します。
   • 人事部門：当該退職者・元従業員の雇用契約、就業規則、秘密保持契約の内容、退職時の手続きに関する情報などを共有します。
   • 経営層：事案の概要、現時点で判明しているリスクなどを速やかに報告し、今後の対応方針について協議します。
   • 必要に応じて広報部門とも連携し、対外的なコミュニケーションの可能性について検討を開始します。
3. 情報の拡散防止:
   • 持ち出された可能性のある情報が社内で利用されないよう注意喚起を行います。
   • 当該退職者・元従業員が転職した先に情報が持ち込まれている可能性も考慮し、対応を検討します。

具体的な法的措置の検討・実施

初動対応と並行して、法務部門は以下の法的措置の選択肢を検討し、実行に移します。

1. 証拠保全とフォレンジック調査: 持ち出しの事実や範囲、持ち出されたデータの内容を明らかにするため、外部専門家によるフォレンジック調査を依頼し、その結果を法的な証拠として活用できるように準備します。
2. 警告文の送付: 事実確認に基づき、当該退職者・元従業員に対し、秘密保持義務違反、不正競争防止法違反等を指摘し、情報の利用停止、返却、破棄などを求める警告文を送付することを検討します。この警告文は、その後の法的措置の前提となる重要なステップです。
3. 差止請求: 営業秘密やその他の重要な情報が第三者に開示され、または不正に使用されることで企業に回復不能な損害が生じるおそれがある場合、裁判所に対し、情報の使用や開示の差止めを求める仮処分命令や訴訟を提起します。不正競争防止法に基づき、営業秘密の侵害行為の差止めを求めることが一般的です。
4. 損害賠償請求: 秘密保持義務違反や不正競争防止法違反等により企業が損害を被った場合、当該退職者・元従業員に対し損害賠償請求を行います。損害額の算定は困難を伴う場合がありますが、調査費用、信用回復のための費用、失われた利益などを考慮して検討します。
5. 刑事告訴・告発: 不正競争防止法違反やその他の犯罪行為に該当する場合、警察への刑事告訴・告発も選択肢となります。刑事手続きは企業のコントロールが効きにくい側面がありますが、捜査機関による強制捜査を通じて事実関係の解明が進み、証拠が収集されるという利点があります。ただし、告訴・告発には慎重な検討が必要です。
6. 個人情報保護委員会への報告・本人通知: 持ち出されたデータに個人情報が含まれ、報告・通知義務に該当する場合は、個人情報保護法第26条に従い、個人情報保護委員会への速報・確報、本人への通知を実施します。通知文を作成する際は、退職者起因であることをどのように表現するか、事実関係の正確な記述、再発防止策などを盛り込む必要があります。法務部門が中心となり、プライバシー保護の観点と法的義務を遵守した内容を検討します。
7. 転職先企業への対応: 退職者が情報を転職先企業に持ち込んだ可能性が高い場合、その企業に対しても警告を行うか、共同不法行為として責任追及を行うかなどを検討します。ただし、転職先企業との関係や事実関係の確証度を考慮し、慎重な判断が必要です。

再発防止のための予防策

退職者・元従業員起因のデータ漏洩は、事後対応も重要ですが、予防が最も効果的です。法務部門は、以下の予防策の構築・強化に積極的に関与すべきです。

1. 入社・在職中の対策:
   • 秘密保持誓約書/契約書の締結: 入社時に、退職後も有効な秘密保持義務を明確に定める誓約書または契約書を全ての従業員と締結します。秘密の範囲、義務期間、違反時の罰則などを具体的に記述します。
   • 就業規則への明記: 就業規則に、秘密保持義務、競業避止義務（必要な場合）、情報持ち出しの禁止、違反時の懲戒処分などを明確に規定します。
   • アクセス権限管理: 職務上必要な情報にのみアクセスできるよう、システム上のアクセス権限を最小限に設定し、定期的に見直します。特に、機微情報や重要情報へのアクセスは厳格に管理します。
   • ログ監視: 重要な情報システムへのアクセスログ、ファイル操作ログ、メール送受信ログなどを取得し、不審な挙動がないか監視する体制を構築します。
   • 情報セキュリティ教育: 従業員に対し、企業の秘密情報、個人情報、営業秘密の重要性、持ち出し禁止規則、秘密保持義務、情報セキュリティポリシーなどに関する教育を継続的に実施します。退職時の情報管理の重要性についても伝えます。
2. 退職時の対策:
   • 退職時手続きの徹底:
     • 秘密保持義務の再確認と退職後の遵守に関する念押しを行います。
     • 企業から貸与されたPC、スマートフォン、USBメモリ、書類などの返却を徹底します。
     • システムへのアクセス権限を退職日以降速やかに抹消します。
   • データ持ち出しチェック: 退職直前の不審なデータアクセスや大量のデータ転送履歴がないか、システムログを確認するプロセスを設けます。
   • 秘密保持に関する同意書の取得: 退職時に、改めて退職後の秘密保持義務について確認する旨の同意書や誓約書を締結することを検討します（ただし、法的な強制力には限界がある場合もあります）。
3. 法的文書の整備: 雇用契約書、就業規則、秘密保持契約書、退職時誓約書などの法的文書が、最新の法規制やリスクに対応した内容になっているか、定期的に法務部門がレビューし、必要に応じて改訂します。

結論

退職者や元従業員によるデータ漏洩は、企業の存立を脅かす可能性のある深刻なインシデントです。法務部門は、このような事案が発生した場合の法的対応だけでなく、事前の予防策の構築においても中心的な役割を担う必要があります。

本記事で解説したように、退職者・元従業員起因のデータ漏洩には、秘密保持義務違反、不正競争防止法違反、個人情報保護法上の義務違反など、複数の法的論点が絡み合います。事案発生時には、迅速な事実確認、証拠保全、関係部署との連携、そして警告、差止請求、損害賠償請求、刑事告訴といった法的措置の検討・実行が求められます。同時に、再発防止のためには、入社から退職に至るまでの継続的な予防策（契約、規則、システム管理、教育）の強化が不可欠です。

法務部門は、これらの法的側面を深く理解し、関係部署を巻き込みながら、実効性のある対応計画と予防体制を構築・維持していくことが、企業の情報資産保護と法的リスク軽減のために極めて重要となります。