個人情報保護,あるいは機密情報の管理の観点からも,企業は情報セキュリティ対策を採る必要があります。
情報セキュリティ対策というと,ファイアウオールやウイルス対策ソフト,指紋認証機器の導入といった技術的な対策に走りがちです。もちろん,技術的な対策を行うことは不可欠ですが,それだけで情報漏えいなどを防止できるわけではありません。
情報漏えい対策を講じる上で特にやっかいなのは,内部者による故意の情報持ち出しをどうやって防ぐかです。情報漏えい対策の基本はアクセス権限の設定で,第三者など無権限者による情報取得を防ぐことです。しかし,この対策はアクセス権限を保有する内部者には無意味です。個人情報保護法施行後でも,みずほ銀行の行員(課長職)が顧客情報(個人,法人顧客)の情報を持ち出したという事件がありました。みずほ銀行は,銀行法及び個人情報保護法に基づく行政処分を受けています(注1)。
従って,内部者,すなわち従業員(注2)をどのように監督,管理するのか(人的安全管理措置)も,情報セキュリティ対策を講じる上で避けられない問題なのです。
人的安全管理措置への対応としては,大きく分けて,従業員との機密保持契約書(機密保持誓約書)の締結,情報セキュリティ等についての教育,モニタリングが考えられます。
損害賠償額を事前に決めることは法律違反
機密保持契約の締結(誓約書の提出)(注3)は,以前から情報セキュリティ意識の高い会社では行われていました。最近問題となっているのは,個人情報保護法,特に経済産業省の経済産業分野に関するガイドラインで,安全管理措置(個人情報保護法20条)の一環として,従業者との間で非開示契約の締結,あるいは誓約書の取り付けが要請されていることが大きいと思われます(注4)。
個人情報保護法施行後,これまで機密保持の誓約書を取り付けていなかった事業者が,誓約書を取り付けるようになりました。情報セキュリティの観点からは好ましいのですが,十分に理解の無いまま,ある意味,個人情報保護法への過剰反応として,問題のある対応も目立つようになっているようです。
問題のある対応には,例えば,個人情報が漏えいした場合に違約金,金何円を請求するといった,損害賠償額の予定を決めておくといった対応などがあります。違約金や損害賠償額を前もって定めることは,労働基準法16条で禁止されています。また,連合の行った調査の中でも,「安全管理対策や研修等の個人情報保護対策が十分でないにも関わらず,従業者に対しては誓約書の提出を求める事業者が多い」,誓約書の内容についても「労働者の権利利益の観点からおかしなものが多い」との不安の声が上がっているようです(注5)。個人情報保護法対応ばかりを追求した結果,労働関係法令その他の法律違反となるのであれば本末転倒です。
派遣社員からの誓約書取り付けには注意が必要
誓約書でよく質問されるのが,派遣先事業者(派遣社員を受け入れる会社)が派遣社員から誓約書を直接取り付けていいのかという問題です。
この点については,派遣先事業者と派遣社員とが秘密保持契約を直接締結することによって「雇用関係」とならない場合には,直ちに職業安定法などの法律違反にはならないと考えられています。すなわち,派遣社員に対して誓約書の提出を求めることが直ちに法律違反になるわけではありません。
ただし,誓約書の内容によっては「雇用関係」が生じる場合があります。例えば,誓約書の中で「情報漏れを起こしたら契約を打ち切る」といった懲戒事由を規定していると,「雇用関係」が生じるため問題となります。
このほか,誓約書の取り付けに関連して,派遣社員の個人情報管理にも注意が必要です。派遣社員から提出される誓約書には,氏名や住所など派遣社員の個人情報が記載されています。派遣社員本人の同意なしに派遣元事業者から派遣先事業者へ提供できる個人情報は,派遣法の指針等により限定されており,必要性のない個人情報の取得は好ましくありません。
誓約書の取り付けの目的が,個人情報その他の情報管理について注意を喚起することであれば,派遣先事業者が派遣社員に直接提出を求める必要はありません。派遣元事業者が個人情報保護に関する研修を実施し,派遣基本契約で派遣社員が派遣元事業者に誓約書を提出するように定めれば事足ります(注6)。ここでも,何のために誓約書の提出を求めるのか,その意味を改めて考え直す必要があるでしょう。
いろいろ誓約書について書いてきましたが,誓約書を取るということは,一つの手段にすぎません。目的はあくまでも個人情報保護や情報セキュリティにあることを忘れてはなりません。
(注1)金融庁「株式会社みずほ銀行に対する行政処分について 」参照
(注2)ここでは,セキュリティの観点から個人情報保護法でいう「従業者」,派遣社員等を含む広い意味で考えている
(注3)機密保持契約はあくまで「契約」なので,会社側も当事者となる(平たくいうと押印の必要がある)。これに対し,誓約書は誓約書を提出する側(この場合は従業員等)が会社に誓約するので,提出する側の署名押印で足りる。基本的には,法律上の効果はほぼ同じ。会社側が従業員に対して義務を負う形の条項が入る場合は,契約書形式にする必要があるが,一般的には誓約書形式の方が多いだろう
(注4)「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン 」29頁。人的安全管理措置として「講じなければならない事項」との記載がある
(注5)「国民生活審議会第4回個人情報保護部会 議事録 」20頁より
(注6)経済産業省「営業秘密管理指針改訂版(平成17年10月12日改訂版) 」34頁参照
→「SMBのための法律入門」の記事一覧へ |
■北岡 弘章 (きたおか ひろあき) 【略歴】 弁護士・弁理士。同志社大学法学部卒業,1997年弁護士登録,2004年弁理士登録。大阪弁護士会所属。企業法務,特にIT・知的財産権といった情報法に関連する業務を行う。最近では個人情報保護,プライバシーマーク取得のためのコンサルティング,営業秘密管理に関連する相談業務や,産学連携,技術系ベンチャーの支援も行っている。 2001~2002年,堺市情報システムセキュリティ懇話会委員,2006年より大阪デジタルコンテンツビジネス創出協議会アドバイザー,情報ネットワーク法学会情報法研究部会「個人情報保護法研究会」所属。 【著書】 「漏洩事件Q&Aに学ぶ 個人情報保護と対策 改訂版」(日経BP社),「人事部のための個人情報保護法」共著(労務行政研究所),「SEのための法律入門」(日経BP社)など。 【ホームページ】 事務所のホームページ(http://www.i-law.jp/)の他に,ブログの「情報法考現学」(http://blog.i-law.jp/)も執筆中。 |