IT・システム判例メモ

弁護士 伊藤雅浩が,システム開発,ソフトウェア,ネットなどのIT紛争に関する裁判例を紹介します。

顧客情報の管理(ベネッセ事件刑事)東京地立川支判平28.3.29(平26わ872)

顧客情報の持ち出しと名簿屋への販売行為について,不正競争防止法違反に問われた事例(刑事事件)。なお,本件は,控訴され,控訴審(東京高判平29.3.21)では量刑が変更されている。

事案の概要

通信教育事業者aの情報システムの開発等に従事していたXは,aの顧客の氏名,生年月日,住所等の情報を,貸与されていたPCから,USBケーブルを経由して自己のスマートフォンの内蔵メモリや,ファイル送信サービスを利用して領得ないし第三者に開示したことが,不正競争防止法違反(平成27年改正前の21条1項3号ロ,4号)にあたるとして起訴された。

不正競争防止法21条1項
三  営業秘密を保有者から示された者であって、不正の利益を得る目的で、又はその保有者に損害を加える目的で、その営業秘密の管理に係る任務に背き、次のいずれかに掲げる方法でその営業秘密を領得した者
イ (略)
ロ 営業秘密記録媒体等の記載若しくは記録について、又は営業秘密が化体された物件について、その複製を作成すること。
ハ (略)
四  営業秘密を保有者から示された者であって、その営業秘密の管理に係る任務に背いて前号イからハまでに掲げる方法により領得した営業秘密を、不正の利益を得る目的で、又はその保有者に損害を加える目的で、その営業秘密の管理に係る任務に背き、使用し、又は開示した者

公訴事実は大きく二つに分かれているが,それぞれ,約1009万件,約1980万件の顧客情報を持ち出したとされている。

ここで取り上げる争点

(1)顧客情報の秘密管理性
(2)営業秘密の管理に係る任務違背

裁判所の判断

争点(1)について

営業秘密の侵害に関しては,民事上の不正競争行為(2条1項4号から10号)と,刑事罰の対象行為(21条1項)が若干異なるものの,その客体である「営業秘密」(2条6項)」は共通である。そして,営業秘密該当性の中でも多くの事案で問題となるのは「秘密管理性」要件である。従来,秘密管理性の認定が厳しすぎて,営業秘密の保護に欠けるのではないかという指摘があり,営業秘密管理指針などの改訂があったが,本件では,かなり丁寧に秘密管理性の関連事実を認定している。その一部を要約して紹介する。


管理性を高める事情を拾ってみると次のようなものである。

  • データベース内の顧客情報にアクセスする場合には,IDとパスワードが必要であり,人単位で割り当てられる「個人アカウント」と,担当業務単位で割り当てられ担当者間で共有する「業務用アカウント」がある。
  • システムのアカウントは一元的に管理され,業務用アカウントを誰に使用させるかどうかは管理されている。
  • アカウントを提供されていた者は,合計で174名(従業者総数は4000名以上)いた。
  • Xが稼働していた事業所では,カードリーダ式の入退管理装置があり,時刻が記録されていた。
  • 私物PCの利用は禁止されていて,貸与PCのみがネットワークに接続可能になっており,貸与PCもチェーンでデスクに固定されて,持ち出しが禁止されていた。
  • セキュリティソフトが導入されていて,データの書き出し制限がついていた。
  • データベースサーバとPCとの間で通信料が一定量を超えるとアラートが挙げられるシステムがあった。
  • 外部からの不正アクセス対策として対策ソフトを設定し,24時間監視体制をとっていた。
  • PCからデータベース及びインターネットへのアクセスログが永年保存される仕組みになっていた。
  • 情報管理細則において,顧客情報を「機密」情報として取り扱うよう位置づけられていた。
  • 従業員に対し,情報セキュリティ研修を実施していた。
  • 就業条件として,個人情報の取扱い等に関する同意書の提出が必要とされており,Xも,研修を受講の上,同意書を作成し,提出していた。
  • ISMSに基づく認証を得ていた。


他方で,管理性を低める事情として次のようなものが見られた。

  • 業務用アカウントは2年以上にわたってパスワードが変更されていなかった。
  • 前記データ書き出し制限機能は,スマートフォンの多くには対応していなかった。
  • 前記データベースとの通信量アラートシステムは,当時まだ稼働していなかった。
  • 顧客情報は,データとして保存されており,データ自体に「機密」の表示はなく,印刷する際に「機密」というラベルが表示される設定にはなっていなかった。


以上を踏まえて,裁判所は,秘密管理性のうち,「秘密保持のために必要な合理的管理措置がとられていたか」という要件については,

a社及びb社では,アカウントの管理等により本件顧客情報にアクセスできる者を従業者の一部に限定し,入退室の管理等により無権限者からのアクセス防止措置をとるとともに,社内規程において,顧客情報を機密に位置づけ,研修等でアクセス権限のある従業者にその趣旨の浸透を図り,当該情報を関係者以外に開示することを禁止した上,その管理の実効性を高めるために,私物パーソナルコンピュータの使用を禁止し,業務用パーソナルコンピュータの持ち出しや外部記録媒体への書き出しを原則禁止し,業務用パーソナルコンピュータによる本件情報等へのアクセス記録を管理していたものである。なお,外部記録媒体に対する管理については,記録媒体を有する私物スマートフォンの執務室内への持ち込みや業務用パーソナルコンピュータに接続しての充電は許容されており,かつ,実際には多くのスマートフォンについて書き出し制御が機能していなかったなど,十分でなかったことは否定できないが,関係各証拠によれば,b社における研修等により,従業者にはスマートフォンを含む外部記録媒体への書き出し制御が実施されている旨周知されており,従業者もそのような認識を持って業務を行っていたことが認められる。そして,本件システムのアカウント等の情報が顧客分析課の共有フォルダ内に複数蔵置されていたという事実も,実際にアクセス無権限者が共有フォルダの情報を利用して本件データベースの顧客情報にアクセスできる人数等に照らせば,b社におけるアカウントを用いた顧客情報へのアクセス制限の実効性を失わせるとはいえない。以上の事実を総合すれば,本件当時,a社及びb社においては,本件顧客情報につき,アクセスできる者を制限するなど,当該情報の秘密保持のために必要な合理的管理方法がとられていたということができる。

このように認定し,次に「秘密情報であることの客観的認識可能性」については,

b社では,毎年,従業者全員を対象とした情報セキュリティ研修を実施した上,個人情報や機密情報の漏えい等をしてはならない旨記載された受講報告書のほか,個人情報及び機密情報の保秘を誓約する内容の同意書の提出を求めており,被告人も,b社での業務開始時に加え,その後も毎年,前記研修を受講し,前記受講報告書及び前記同意書を作成して提出していたこと,本件システムの開発等に従事する者は,本件システムの内容及び目的並びにその中の情報の性質等から,本件データベースに集積される情報が,a社の事業活動において収集された顧客情報であり,当該情報がa社の事業活動に活用される営業戦略上重要な情報であって,機密にしなければならない情報であることを容易に認識でき,実際にも被告人を含む従業者はそのことを認識していたと認められること,さらに,a社及びb社の各社内規程においても,a社の顧客情報については機密であり,社内の業務遂行上の関係者のみが取扱うことを可能とする旨規定されていたこと等からすれば,本件顧客情報にアクセスする従業者においては,それが管理されている秘密情報であることを客観的に認識可能であると認められる。

と述べて,秘密管理性を認定した。弁護人は,(1)一部,本件顧客情報にアクセスできる者が存在し得たこと,(2)業務用アカウントのパスワードが2年間変更されていなかったこと,(3)開発環境にも顧客情報が残っていたことなどを主張したが,いずれも秘密管理性の認定を覆すに足りないとされた。

争点(2)について

裁判所は,業務委託関係が,a社→b社→h社→i社→g社(Xの所属会社)と連鎖していることを認定し,それぞれの委託契約において,秘密保持義務が定められていることや,g社の就業規則において,機密情報の取扱いに関する定めがあることなどを認定した。

不正競争防止法21条1項3号及び4号の営業秘密の管理に係る任務とは,営業秘密を保有者から示された者が,保有者との間の契約等によって課せられた秘密を保持すべき任務をいう。

と述べたうえで,顧客情報の帰属主体であるa社から,契約関係の連鎖を通じ,Xは「顧客情報の保有者であるa社から示された者」にあたるとした。


また,弁護人は,Xの勤務の実態からすると,偽装請負に該当し,公序良俗に反する無効な契約であったから,秘密保持義務を負わないと主張したが,その主張も排斥された。


その結果,裁判所は,Xは本件顧客情報を複製したり第三者に開示してはならない旨の秘密保持義務を負っており,その義務に違背したと認定した。


量刑の理由では,次のように述べて実刑もやむなしとした。

被告人は,本件顧客情報にアクセスする権限を与えられた者としての地位や専門的知識を悪用し,極めて大量の顧客情報を領得,開示したものであって,悪質な犯行であるといえる。

a社の企業活動において,顧客情報に基づく販促活動等の重要性は高く,その前提となる顧客情報は営業上極めて重要な情報であり,a社は,顧客情報の取得,管理に毎年多額の費用を投資していたところ,本件各犯行の結果,約2989万件の顧客情報が複製され,そのうち1000万件余りが流出しているのであって,本件各犯行の結果は誠に重大であるといえる。加えて,a社の多くの顧客は,自己の個人情報の流出ということに不安を抱き,a社は,本件犯行に対する対策費として約200億円もの金額を計上することを余儀なくされた上,厳しい社会的非難を受け,社会的信用を失墜させることとなったのであり,その結果,a社及び関連会社の事業活動や経営状態に甚大な悪影響を与える事態となっている。

量刑は,懲役3年6月,罰金300万円。

若干のコメント

ベネッセの個人情報大量流出事件では,最近,民事事件(集団訴訟ではなく,本人訴訟のもの)について,最高裁で弁論が開かれるという報道があり,一審・控訴審で請求棄却された判断が覆るのではないかといわれています*1集団訴訟は,いくつか提起されているようですが,こちらについてはまだ地裁の判断も出ておらず,先行きは不透明です。


本件は,漏えい行為を実施した者に対する刑事責任が問われた事件です。不正競争防止法違反が認定されたため,刑事責任が認められましたが,この事件をきっかけに,個人情報漏えい者に対する刑事責任が問えないケースがあるのではないかということで,個人情報保護法平成27年改正では,不正な利益を図る目的による個人情報データベース提供罪(83条)が新設されました。


本件で認定された事実を見る限りでは,秘密管理性について比較的厳しい基準を用いたとしても優に認定できる程度の管理を実施していたのではないかと思われます。もっとも,多層委託関係がある場合,末端の会社にまで秘密管理が行き届いていないケースもあり得るでしょう。


控訴審(東京高判平29.3.21)では,懲役2年6月に減じられています。

*1:「ベネッセ大打撃? お詫び500円の情報流出、新たな賠償の可能性…最高裁で9月弁論」https://www.bengo4.com/saiban/n_6470/