昨今、名刺情報を便利に管理できるSaaSが多くの組織で利用されています。ただ、厳しいアクセス制限や監視が施されている他の技術情報などとは違い、名刺情報は誰もが比較的アクセスしやすいという性質上、退職社員が外部に持ち出してしまうケースも少なくないようで……。今回は、そんな裁判を事例として取り上げます。他の情報漏洩事件と同様、争点となるのは「名刺情報は秘密情報か?」という点です。いざという時、持ち出した“犯人”に損害賠償を請求するためには、何をしておく必要があるのでしょうか。
顧客の名刺情報だって、立派な「秘密情報」のはず……
以前、この連載で「営業秘密の漏洩」を題材として取り扱ったことがあります。会社の製品に関する技術情報や、顧客から預かった情報、今後の経営に関する情報など、組織には「社内では共有したいが、社外には絶対に出したくない」という情報がたくさんあります。
もちろん、組織はそうした情報の漏洩には様々な対策を講じています。重要な情報を格納しているサーバーを外部から遮断した場所に置いたり、アクセス制限をかけたり、暗号化を行ったり……。最近では、サーバーのアクセスログをリアルタイムで監視して、怪しい挙動を即時発見するような対策も普及しているようです。
こうした対策は、情報漏洩を未然に防ぐだけでなく、万が一情報が漏洩した場合でも、漏洩させた相手に損害賠償を請求する際に役立ちます。過去の判例を見ると、組織が情報をしっかりと守ること、あるいは秘密情報であることをきちんと明示することが非常に重要であり、それが行われていない情報は、「そもそも『秘密情報』ではなく、したがって、その漏洩があったところで損害賠償は請求できない」という判断が下されています。
この判断は、いくつかの裁判結果を見てもどうやら共通の判断らしく、「いくら情報の中身が大切であっても、それが『秘密』であることを周知し、技術的にも運用的にも、しっかりと守られていなければ秘密情報とはみなされない」というのが、一つの常識になりつつあります。
本稿で紹介するのも、「その情報は会社内でしっかりと守られていたか」が争われたものです。ただ今回のポイントは、この情報というのが顧客の「名刺情報」だったことです。前述したような技術情報や経営情報などと比べると、名刺情報は少し扱いが軽くなってしまいそうな気がしなくもない……?
ただ、顧客名簿というのは昔から商売の必須アイテムであり、名刺だって立派な秘密情報になり得ると言ってよいはずです。今回の事件では、この名刺情報を名刺管理用のSaaSで管理・運用していたのですが、そのアクセス権限が問題となりました。名刺管理サービスは今や多くの企業で導入されていますが、いったい何が問題になってしまったのでしょうか。事件の概要からご覧ください。
この記事は参考になりましたか?
- 紛争事例に学ぶ、ITユーザの心得連載記事一覧
-
- 名刺管理ツール内の「名刺情報」を退職社員が持ち出した──損害賠償を請求するために必要な条件...
- 「医療システムの仕様」が原因で入院患者が死亡、なぜ病院側は要件定義の際に気付けなかったのか...
- ITシステムの著作権は「考えたユーザー」のもの?それとも「作ったベンダー」のもの?
- この記事の著者
-
細川義洋(ホソカワヨシヒロ)
ITプロセスコンサルタント
経済産業省デジタル統括アドバイザー兼最高情報セキュリティアドバイザ
元東京地方裁判所 民事調停委員 IT専門委員
筑波大学大学院修了(法学修士)日本電気ソフトウェア㈱ (現 NECソリューションイノベータ㈱)にて金融業向け情報システム及びネットワークシステム...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
