1.個人情報保護と経営リスク


 近年、法令違反による企業不祥事が大きな社会問題として注目されている。
一方で、企業コンプライアンスが叫ばて久しい状況を考え合わせると、法律による規制力も心もとないと感じるのは私だけではないと感じる。本質的には経営者の経営理念の問題であり、収益確保と企業存続を目的として如何に舵取りをするかの問題であると考える。

つまり、今、経営者のコンプライアンス・マインドが問われているのであろう。

 当社のビジネスは情報セキュリティを中心とした“情報管理”における第三者認証制度の認証取得支援がドメインである。
1998年、当時の通産省が策定した個人情報保護に関するガイドライン準拠による“プライバシーマーク制度”発足を受けて、翌年3月に全国で50番目に同マークを認証したことに端を発する。1999年3月、日本工業規格JISQ15001の“個人情報保護に関するコンプライアンス・プログラムの要求事項”が制定され、同マーク制度の認証基準となった。

 当時、個人情報保護に関して経営者の関心は低く、個人情報を保護することの重要性も曖昧であり、プライバシーマークの認証に必要となる環境整備(情報セキュリティ対策等)や管理策の文書化、あるいは従業者への教育訓練となると必然的に新たな投資が発生するため、費用対効果の面から見れば投資採算性の面でも同マークに認証によるインセンティブは低い時代であった。当然ながらビジネスとしては成立しないような社会情勢であったが、自社の取り組みの中で体験した個人情報保護の重要性は、将来きっと必要となる時代が来ると確信できるものであった。

 あれから8年、時代は大きく移り変わり、今や個人情報保護は法令順守義務となり、プライバシーマーク認証企業数も4,249社(2006年6月8日現在)となり、劇的な変化を遂げた。
また、情報セキュリティにおけるリスク管理は内部統制における重要なテーマとなっている。2005年4月1日の個人情報保護法施行に向けては、企業が取り扱う顧客情報や従業者情報等の個人情報保護に関して抜本的な見直しが迫られ、その対応に企業は混迷した。
当社においても保護法特需的な依頼が多く寄せられたが、個人情報保護の本質を問われるのではなく、法対応への具体策について外面的な体裁指導依頼が多くあったのも事実である。

 個人情報保護法の完全施行から1年。相変わらず個人情報に係わる事故は発生し、ファイル共有ソフト“Winny”による情報漏えい事故まで、改めて情報セキュリティに関するリスク認識の甘さを露呈する事態になった。
そもそも業務で取り扱うコンピュータとプライベートに私用するコンピュータが同じ取扱いであるはずがない。また、携帯電話にしても“通話可能なモバイルPC”であり、会社貸与のケータイには当然ルールがあって然るべきなのだが、現実には曖昧な会社も多く、盗難、紛失事故が発生して初めて事の重要性に気づくことがある。

 こうした事故は枚挙にいとまないが、事故を起こした担当者の深刻さや経営への影響を考えると“未然に防ぐ”ことの必要性を改めて痛感する。
NPO法人である日本ネットワークセキュリティ協会が2006年6月1日に発表した「2005年度情報セキュリティインシデントに関する調査報告」の速報によれば、個人情報に係わる事故の約80%が“紛失、盗難、誤操作等”によるヒューマンエラーに起因するものである。
こうした人的リスクに対して、どれほどの企業が明確な回答を持ち合わせているであろうかと、ふと疑問を感じたりする。

企業コンプライアンスも同様である。
法令順守においても、リスクの認識が基点であり、何のために順守するのか、何を順守するのかが明確に自覚できなければ未然回避もできない。


2.不正競争防止法と企業秘密保護


 2005年11月1日に改正された不正競争防止法が施行された。仕事柄、この改正法の施行には大きな関心があり、個人情報保護法とも密接な関係にある同法の同行に注目していたが、結果としてそれほど大きな関心事とならなかった。当時、社会を震撼させるような事件が多発した時期とも重なったこともその一因ではないかと思うのだが、改めて同法の意味を確認してみたい。

今回の主な改正は以下である。
  1. 5年以下の懲役または500万円以下の罰金(併科あり)
  2. 法人関与の場合は1億5000万円以下の罰金(法人処罰の導入)
  3. 元役員、元従業者等、退職者による不正使用・開示についても処罰
  4. 営業秘密の国外使用・開示に対する処罰
  5. 他人の著名商品に関する表示の不正使用、商品形態の不正模倣する行為に対する処罰
 そもそも不正競争防止法とは何か。機会があるときには必ず質問してみるが、これまで明確な回答を得たことが一度も無い。つまり法令順守の対象となっていないのではないかと、疑問を感じたりするのだが…。
 不正競争防止法は、その名が示すとおり不正競争を防止するための法律である。では、不正競争とは何か。企業が保有する重要な秘密情報(機密情報)の中で、非公知性(公然と知られていないこと)、有用性(事業活動に有用な技術上又は営業上の情報)、秘密管理性(秘密として管理されていること)の3点を満たすものが対象となる。同法においては“営業秘密”と定義されている。つまり、不正競争とは、こうした企業の保有する“営業秘密”に対して、不正開示や不正使用による営業秘密侵害を指す。

 近年、企業間競争は商品やサービスにおける短サイクル化、低コスト化、高付加価値化など熾烈を極めている。さらに、雇用の多様化が進み、人材の流動化が加速しているため、業務上知り得た技術、ノウハウ等も流動する可能性が高くなってきた。また、ITの積極的な活用により情報の電子化、集積化、ネットワーク化が進み、その利便性に反比例して情報漏えいリスクが増大している。
 こうした社会情勢を踏まえ同法の罰則は強化され、知的財産権と共に企業競争力を保護することを目的として改正されたのである。つまり、営業秘密の適切な管理で不正競争防止法の法的保護を担保し、営業秘密侵害への抑止力を狙ったものと言える。

 企業の情報資産にはこうした営業秘密が多く蓄積されている。ところが、そうした機密情報が適切に管理されているかといえば、否である。まずは守るべき営業秘密の特定ができていないのが現実であろう。さらに、不正競争防止法の法的保護を担保するために必要な“秘密管理性”についても曖昧である。

以下、経済産業省が策定した“営業秘密管理指針(平成17年10月12日最終改定)”より抜粋したもの参照すると


営業秘密管理の意義
企業は、まず自らの強みを明確に認識して経営者の明確な経営哲学とリーダーシップの下でさらなる選択と集中を行い、戦略的な投資を行うとともに、そうした強みの源泉となる技術やノウハウの意図しない流出や、自らの投資の成果にただ乗りして不当な利益を得ようとする行為を防止するために自衛策を講ずる必要がある。営業秘密の保護・管理は、まさにその一環として行われるものである。 営業秘密を適切に管理することは、不正競争防止法による営業秘密保護のための要件の1つである秘密管理性の重要な要素となるため、法的保護を受けるための前提条件である。いかに価値の高い情報であったとしても、その情報が秘密として適切に管理されていなければ、法的保護を受けることはできない。 営業秘密侵害罪への両罰規定の導入をはじめとして、犯罪を行った行為者のみならず、その者が所属する企業の責任が問われる場面が増加しつつある。企業は、自社の情報を保護するのみならず、他社から預かった営業秘密も保護する、あるいは他社の営業秘密の不正取得等を防止することにも留意しなければならない。コンプライアンスが重視される時代において企業は「自社の従業者が、他社の営業秘密を侵害しない」ための管理を行うことの必要性が、自社の営業秘密の漏洩防止の必要性とともに増大している。

営業秘密の定義
「営業秘密」とは、(1) 秘密として管理されていること、(2) 有用な情報であること、(3) 公然と知られていないことの3つの要件を満たす技術上、営業上の情報である。

  1. 秘密管理性
    「秘密管理性」が認められるためには、その情報を客観的に秘密として管理していると認識できる状態にあることが必要である。 具体的には、@情報にアクセスできる者を特定すること、A情報にアクセスした者が、それが秘密であると認識できること、の2つが要件となる。
  2. 有用性
    「有用性」が認められるためには、その情報が客観的に有用であることが必要である。 しかし、企業の反社会的な行為などの公序良俗に反する内容の情報は、「有用性」が認められない。
  3. 非公知性
    「非公知性」が認められるためには、保有者の管理下以外では一般に入手できないことが必要である。
営業秘密の民事的保護 不正競争防止法では、営業秘密の不正な取得・使用・開示行為を類型ごとに列挙してそれを「不正競争」と定義し、民事訴訟において差止め、損害賠償、信用回復措置を請求することを可能としている。また、民事訴訟の場で証拠に含まれる営業秘密が公開されてしまうのを防ぐために、秘密保持命令や、裁判の公開停止などの制度等が特別に設けられている。



となり、営業秘密の特定と秘密管理性の確保が不可欠要件となる。また、この営業秘密の中には顧客情報や従業者情報等の個人情報も含まれる。
 冒頭で述べたように、法令順守、企業コンプライアンスは社会が企業に求める常識であり、法令順守企業であることが評価される時代を迎えた。本年4月1日に施行された“公益通報者保護法”において、対象となる法律は415法に及ぶ。今回紹介した、個人情報保護法や不正競争防止法はその一例に過ぎないが、まずは優先順位をつけて取り組むことが必要であろう。


3.最後に


 JISQ15001は本年5月20日に個人情報保護マネジメントシステム−要求事項(2006年版)が公表された。 今回の改訂では、個人情報保護法や経済産業省の策定した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」との整合が図られ、プライバシーマーク制度は個人情報取扱事業者として法令順守していることを客観的に証明できるインセンティブマークの色合いが鮮明になった。
また、不正競争防止法においては経済産業省の「営業秘密管理指針」を実現するためのマネジメントシステムとしても同JIS規格は参考となる。
 守るべき情報資産や営業秘密を特定すること。次に、その取り扱いにおけるリスクを認識すること。そして、想定リスクに応じた安全管理措置を講じること。これがすべてである。


(2006年7月 ロータリークラブ会報誌掲載記事より)