個人情報を含む個人データを、社員が不正に持ち出す行為が問題になることがあります。また、こうした情報漏えいは在籍中に発覚するとは限らず、行為者が退職してから判明することもよくあります。競合企業への転職が決まっていて、会社を辞める前に個人情報や個人データ入手しておき、新たに勤務する企業側でのビジネスにそれを活用するというものです。
個人情報保護法には、こうした不正行為の対象となる個人情報および個人データの定義があります。一般的には「個人情報」と呼ばれますが、企業などの個人情報取扱事業者における不正持ち出しに該当するのは「個人データ」と規定されています。当ページでは、行政機関ではなく、企業・会社の従業者による不正な持ち出しを想定していますので、以降は「個人データの持ち出し・漏えい」が発生した場合を前提として、フォレンジックとデジタル証拠の集め方について解説します。
なお、詳細は後述しますが、個人データの漏えいには個人情報保護委員会への報告義務があります。そして法令違反については懲役刑と罰金刑が定められています。ただし、個人情報が漏えいしたとしても、報告義務がない場合もあります。なお、不正競争防止法に定められているような秘密管理性は、個人データの成立要件には含まれていません。
個人データとは – 個人情報保護法の定義
個人情報保護法が定義する「個人データ」とは、「個人情報データベース等」を構成する個人情報のことです。ここでの「データベース」とは、SQLサーバやオラクルなどのデータベースとは限りません。50音順でソートできる顧客リストのエクセルファイルもデータベースに該当する可能性があります。また、そうしたデータベースから出力生成された情報も該当する可能性があります。ただし、個別の状況に応じて判断は変わる可能性がありますので、詳しくは個人情報保護委員会にお尋ねください。
個人情報保護法 第16条
(定義)
この章及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。個人情報保護法 第16条
- 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
- 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
個人データには該当しない個人情報
「個人情報の保護に関する法律についてのガイドライン」 に関するQ&Aに、氏名という個人情報が含まれていたとしても、必ずしも個人データには該当しないことを示す、個人情報保護委員会による公式見解があります。不正に持ち出された情報が、個人データに該当しない場合には、個人情報保護委員会への報告義務がありませんので、個人データに該当するか否かは会社が行うべき対応を左右する大切なポイントとなります。
- 文書作成ソフトで議事録を作成しました。議事録には会議出席者の氏名が記録されており、文書作成ソフトの検索機能を用いれば、特定の個人を検索することが可能です。この議事録は個人情報データベース等に該当しますか。
-
文書作成ソフトで作成された議事録は、会議出席者の氏名が記録されているとしても、特定の個人情報を検索することができるように「体系的に構成」されているものとはいえないため、個人情報データベース等には該当しないと解されます。
ところで2023年に、ある民間企業で発生した不正アクセス事件の被害サーバを、当社がフォレンジック調査した際に、「漏えいしたおそれがあるファイルの中に、個人の氏名が含まれていたことを覚えている社員がいた」ということを企業側から個人情報保護委員会に説明したところ、「個人データの漏えいに該当する」と判断されたことがあります。このとき当該ファイルは毀損により閲覧不可能でしたが、個人データの漏えいが認められた実例です。
不正による個人データの漏洩は1名分でも報告義務がある
このページで想定している「個人データの不正な漏えい」は、個人情報の保護に関する法律施行規則(第7条第3号)に規定されてます。
個人情報の保護に関する法律施行規則 第7条
(個人の権利利益を害するおそれが大きいもの)法第二十六条第一項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
個人情報の保護に関する法律施行規則
- 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第一項において「漏えい等」という。)が発生し、又は発生したおそれがある事態
- 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
- 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
- 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
https://elaws.e-gov.go.jp/document?lawid=428M60020000003
そして、報告義務については、個人情報保護法(第26条第1項本文)で次のように規定されています。
個人情報の保護に関する法律 第26条第1項本文
個人情報の保護に関する法律 第26条第1項本文
(個人情報取扱事業者及び個人関連情報取扱事業者の義務)
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
つまり、不正の目的をもって行われた恐れがある個人データの漏えいが発生した場合は、個人情報保護委員会に報告しなければならない、ということになります。なお、繰り返しになりますが、その情報が「個人データ」に該当する場合には、報告義務がありますが、該当しない場合には個人情報が含まれていても、報告義務はありません。
個人情報保護法違反の罰則
ここに挙げるものは、当ページの主旨と関連するものをまとめたものです。個人情報保護法が定める全ての罰則ではありません。また、このページは2023年9月に作成したものです。個人情報保護法の罰則は、これまでに改定もありましたので、個々の事案に関する正確な情報が必要な場合は、個人情報保護委員会および弁護士へお問い合わせ下さい。
| 懲役 | 罰金 | ||
| 個人情報保護委員会からの命令違反 (第178条・第184条) | 行為者 | 1年以下 | 100万円以下 |
| 法人 | – | 1億円以下 | |
| 個人データの不正提供 (第179条・第184条) | 行為者 | 1年以下 | 50万円以下 |
| 法人 | – | 1億円以下 | |
| 個人情報保護委員会への報告義務違反・虚偽報告 (第182条) | 行為者 | – | 50万円以下 |
| 法人 | – | 50万円以下 |
個人情報保護委員会への報告事項と報告期限
報告が必要な項目は、個人情報の保護に関する法律施行規則(第8条)に規定されています。さらに、個人情報の保護に関する法律についてのガイドライン(通則編)でも詳しく説明されています。
個人情報の保護に関する法律施行規則 第8条第1項
(個人情報保護委員会への報告)
個人情報取扱事業者は、法第二十六条第一項本文の規定による報告をする場合には、前条各号に定める事態を知った後、速やかに、当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る。次条において同じ。)を報告しなければならない。
個人情報の保護に関する法律施行規則
- 概要
- 漏えい等が発生し、又は発生したおそれがある個人データの項目
- 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
- 原因
- 二次被害又はそのおそれの有無及びその内容
- 本人への対応の実施状況
- 公表の実施状況
- 再発防止のための措置
- その他参考となる事項
https://elaws.e-gov.go.jp/document?lawid=428M60020000003
報告のタイミングは大きく「速報」と「確報」に分かれます。速報は、概ね当該事態を知った日から3~5日以内に行わねばなりません。この時点ではフォレンジック調査に未着手あるいは着手後であっても調査中であることが多いと思われます。そのため、報告内容は速報を提出する時点までに把握できている内容になります。また確報は30日以内とされてはいますが、このページで想定している「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」の場合は、確報の提出期限は60日以内です。また、合理的に努力しても間に合わなかった場合には、判明次第、報告を追完することができます。
フォレンジック調査は、調査対象となる機器の台数やデータ量に応じて必要な期間が変わります。急を要する場合には数日で完了することもありますが、概ね2週間~1カ月程度が平均的な所要期間となります。また、個人データの調査を行うなかで、退職した元社員等の行為者に損害賠償を請求するための訴訟が検討されることも少なくありません。当初の想定より長期化するということもあり得ますし、行為者による証拠隠滅も懸念されますので、フォレンジック調査が必要な事態が発生した場合には、なるべく早い段階でご相談下さい。
フォレンジック調査で集めるデジタル証拠
フォレンジック調査では前項にあるように、個人情報保護委員会への報告に必要な事項を集めることになります。そのなかでも、主に次の項目で必要となる資料の収集を目的に、解析が実施されます。
- 概要
- 漏えい等が発生し、又は発生したおそれがある個人データの項目
- 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
- 原因
- 二次被害又はそのおそれの有無及びその内容
こうした事案が発生した場合、個人情報保護委員会への報告だけでなく、社外に公表することもあります。具体的には、株主総会や第三者調査委員会による開示などです。そのような社外向けの公開文書についても、デジタルフォレンジック調査に関する記述のレビューを承ります。
ところで、個人データを不正に持ち出された場合、会社としても被害を受けているわけですから、当然その行為者を訴えようと、証拠を集めることがあります。しかし、不正なデータ持ち出しの際には、証拠隠滅行為により対象データが消されていることも多々あります。そこで、当社では消されたファイルを復元したり、消される前までにファイルがあった場所を調べることも行っています。
このとき、一般的なフォレンジック技術でファイルを復元するだけでは、訴訟で有効な証拠にならないことがあります。せっかくパソコンに証拠が潜んでいても、です。たとえば電子計算機損壊等業務妨害のデジタル証拠を探すときに、「復元」アプローチだけでは、不十分な証拠しか揃いませんので、他に悪意の程度を示す証拠なども収集します。このとき当社では独自の消去データ検証技術を応用します。
さらに、民事でも不正競争防止法違反で訴える場合には、営業秘密の秘密管理性を示すデジタル証拠が必要になることがあります。これについては、お客様や弁護士と弊社が協力して証拠資料を作ることもあります。どうしてデジタルなのに、解析アプローチがこんなに違うのでしょうか?それは、電子計算機損壊等業務妨害と不正競争防止法違反とでは、不正・違反の成立要件が異なるからです。
個人データの漏えいも同様です。個人情報保護法や個人情報の保護に関する法律施行規則が定めるルールに基づいた証拠収集を進めることになります。当社のフォレンジック調査では、お客様の目的に応じた解析アプローチにより、よりお役に立てるよう心がけています。
さいごに
コンピュータには詳しくない経営者の方。そして、パソコンが得意でない弁護士の方にも、デジタル証拠についてご説明を承りますので、被害の証拠が必要なときは、どうぞご遠慮なくお問い合わせ下さい。
なお、このページは弁護士ではないデジタルフォレンジックスの専門家が作成したものです。記載内容に法的な解釈および説明として誤っている箇所があることを否定しきれません。もしそのような箇所を見つけられました際には、ご指摘いただければありがたく存じます。直ちに修正するように致します。