経済中心に書いてます!

趣味の範囲で…園芸・沖釣り・漢方・医食同源の投稿をします…業務はCX・225指数・FX Pro. …

ベネッセ判決、元SEの減刑が問う営業秘密の管理 ラック 西本 逸郎氏

2017年04月05日 22時35分09秒 | 市場動向チェックメモ
http://www.nikkei.com/article/DGXMZO14824890T00C17A4000000/?n_cid=DSTPCS003

ベネッセ判決、元SEの減刑が問う営業秘密の管理
ラック 西本 逸郎氏
(1/2ページ)2017/4/5 6:30日本経済新聞 電子版

 ベネッセコーポレーションの顧客情報を漏洩した元システムエンジニアに対する控訴審判決が3月21日にあった。不正競争防止法違反、すなわち営業秘密を窃盗したという罪に問われた被告に、東京高等裁判所は一審より軽い懲役2年6月の実刑判決を言い渡した。私物スマートフォンの持ち込みを禁じなかったなど、ベネッセ側の情報管理に落ち度があったためだという。なんともふに落ちない。営業秘密の管理と個人情報の保護とは分けて考える必要があるが、それがごっちゃになってはいないだろうか。

 私は法律の専門家ではないため、法的な論点はさておく。また事故調査委員会の委員の一人としてこの漏洩の原因追及や対策の立案に携わってきたことなどを差し引いて、営業秘密の管理は本来どうあるべきかという視点から整理したい。

ベネッセホールディングスの顧客情報漏洩問題の記者会見(2014年7月、東京都)

■営業秘密は飯の種

 営業秘密とは、当該企業にとどまらず、国内外の関係企業と共有することによって商売のネタとなるものである。将来にわたって、いわば「飯の種」となる可能性があるため、徹底して管理するのが通例だが、経営者としては当然、収益とのバランスも重視する。100%流出しないようにとがんじがらめにしていては、営業秘密が飯の種でなくなってしまう。

 その飯の種にまつわる管理基準は、2015年1月に経済産業省が示した「営業秘密管理指針」で大幅に緩和している。そもそも不正競争防止法で、営業秘密は(1)秘密管理性:秘密として管理されていること(2)有用性:技術上、営業上、有用な情報であること(3)非公知性:誰にも知られていないこと――の3要件全てを満たすものとされる。

 それまでは(1)秘密管理性の定義があいまいで、どのような対策をどこまでやれば、法律で守られる営業秘密と認められるのかが実務上の課題となっていた。そのため経済産業省は指針を改定し、それまでの指針に盛り込まれていた高度な対策は除外して「最低限やっておくべき対策」のみに絞って示したのである。

 控訴審判決で示された減刑理由はこうした流れに逆行していないだろうか。もちろん、指針は行政側の考え方を示したものにすぎず、司法判断を縛るものでないことは承知している。しかし、営業秘密はわが国の企業が持つ競争力の源泉であり、活用を前提とした管理方法や制度でなければならない。この点は指針でも「企業に対して、『鉄壁の』秘密管理を求めることは現実的ではない」として、高度な秘密管理を網羅的に行った場合だけ法的に保護されるという考えは適切ではないと明記されている。

 今回の判決で問題となったのは営業秘密が流出したことであって、個人情報を守れなかった管理責任を企業に問うことではないはずである。各企業が合理的な判断に基づく対策を実施し、関係者にも営業秘密であることをきちんと周知しておく。それでもなお、犯行で得られる不当な利益に目がくらみ、営業秘密に手を付ける者は出てくるかもしれない。その泥棒を処罰するのが基本となるはずである。

■過剰な管理を問うのは筋違い

 内部関係者であった元システムエンジニアは、関係者を裏切ってまで営業秘密に手を付けたのだから、重罪となっても当然ではないだろうか。周知していなかったことを落ち度とみなすならともかく、対策を実施していた被害企業の管理の程度を厳しく問うのなら、対策の不備が少しでもあれば営業秘密は取り放題だという考えにつながる。それでは産業スパイの思うつぼとなってしまう。判決によって、企業が実施する営業秘密管理のハードルが過度に高くなってしまうのではないか。

 ベネッセはなぜ「被害者」面しているのか、個人情報を流出させた「加害者」ではないかと思う人もいるだろう。この問題が複雑なのは、漏洩した営業秘密が顧客の個人情報だったことであり、漏洩された側が感情的に収まらないのは当たり前だろう。それはそうなのだが、企業の立場としては株主や事業も守らなければならない。このことがもう少し理解されてもよいのではないだろうか。

 それに、個人情報を流出させたこと自体の責任は果たされている。個人情報保護法に基づき、経済産業省に再発防止策を提出したほか、安全管理措置義務違反と委託先の管理監督義務違反でも勧告を受けた。控訴審判決が出た後、ベネッセは「今後は情報管理を徹底する」とコメントしたと報じられている。これは、個人情報の管理が不十分と指摘した判決を受けてと受け取られがちであるが、漏洩問題後、業績が低迷していることについての株主などに向けたメッセージの意味合いもある。両方の側面でコメントせざるを得なかったのであろう。

■購入した側の責任も

 当社は十数年にわたってメールマガジンを発行しており、配信先は延べ5万件に上る。配信先となるメールアドレスは、当社が主催するセミナーや講演会に参加してくださった方などから地道に集めてきた。当社に限らず、どの企業も同様の努力を重ねて個人情報を集めている。例えば、サイバーセキュリティーに関心のある組織や個人のリストなどはたやすく入手できるものではなく、年月をかけて収集してきた当社にとってはかけがえのない「宝」だ。

 ところが不思議なことに、世の中には名簿業者という商売がある。合法的に収集しているとされるが、合法的と言えない方法で流れ込むものもあるようである。今回のベネッセ事件で漏洩したのは子供たちの情報だ。そう簡単に手に入らないのは当たり前である。新たに事業をする際に、このような「宝」をたやすく買えるのであれば、先行する競合を押しやって優位に立てる。だから、営業秘密なのである。こうした「宝」の情報を安直に手に入れようとした側は、事件が表面化した後も責任を問われないでいる。

 名簿業者問題については、ベネッセの事件を受けて今年5月30日に本格施行する改正個人情報保護法により対策が講じられた。名簿の流通ルートをたどれるようにしたほか、不正な利益を得る目的で個人情報を提供した者にも罰則が科せられる。それだけではなく、情報を購入して活用する側への対策も考慮しないと、「仏作って魂入れず」となりかねないことを肝に銘じたい。

西本 逸郎(にしもと・いつろう) 記事執筆時点では、ラック取締役専務執行役員CTO(最高技術責任者)兼CISO(最高情報セキュリティー責任者)。4月1日に代表取締役社長に就任。北九州市出身。1986年ラック入社。2000年からサイバーセキュリティー分野にて、新たな脅威に取り組んでいる。日本スマートフォンセキュリティ協会事務局長、セキュリティ・キャンプ実施協議会事務局長などを兼務。著書は「国・企業・メディアが決して語らないサイバー戦争の真実」(中経出版)。
ジャンル:
ウェブログ
コメント   この記事についてブログを書く
この記事をはてなブックマークに追加
« 通信コスト9割減、3拍子そ... | トップ | MC高田明を乗り越える ジャ... »
最近の画像もっと見る

コメントを投稿

ブログ作成者から承認されるまでコメントは反映されません。

コメント利用規約に同意の上コメント投稿を行ってください。

数字4桁を入力し、投稿ボタンを押してください。

あわせて読む

関連するみんなの記事

トラックバック

この記事のトラックバック  Ping-URL
ブログ作成者から承認されるまでトラックバックは反映されません。