実効性あるセキュリティは施されていたのか?
東京地方裁判所 令和2年10月28日判決
不競法2条6項の「営業秘密」として認められるためには、当該情報が秘密として管理されていること(秘密管理性)を要するところ、これは、事業主が当該情報を秘密として管理しようとする主観的な意思を有しているだけでは足りず、(中略)従業員等に対して当該情報が秘密であることが示され、当該情報にアクセスできる者が制限されているなど、当該情報が客観的に秘密として管理されている状態にあることをいうものと解するのが相当である。
(中略)
本件名刺情報は、原告の従業員であれば、原告の営業拠点内に設置された共有のパソコンから、個別のログインID等を用いることなく容易に閲覧し、これを外部の記憶媒体に保存したり、その内容を紙面に書き写したりすることが可能であったものと認められる。このような状況下では、特定の従業員以外には本件名刺情報の出力・ダウンロード権限が付与されていなかったとしても、客観的にみて、本件名刺情報が秘密として管理されていたと認めることはできない。(中略)本件ID等情報を知ることで、本件各サイトを閲覧することができるようになるとしても、それは、あくまで本件各サイトの利用規約に反して他人のID等を利用して同サイトを閲覧しているにすぎないのであって、(中略)本件ID等情報自体に経済的価値があるということはできない。
出典:裁判所ウェブサイト 事件番号令和元年(ワ)第14136号 損害賠償請求事件
裁判所はこのように述べて、「この名刺情報については営業秘密(秘密情報)と認められない」との判断をしました。正直、個別のID・パスワードもなく、その他にはさしたるセキュリティ対策も施されていないようでしたので、これを秘密と主張するには無理があったのではというのが率直なところです。
「いやいや。どんなに陳腐であれ、ID・パスワードを施している以上、『これは秘密情報である』との意思の表れだ」との論もあるかもしれません。しかし30年前ならいざしらず、現在の常識から考えれば、この程度の施策では残念ながら「セキュリティとは呼べない」と言われてしまう。そんな時代になってしまったということでしょう。
ちょっと不穏当な言い方かもしれませんが、個人的にはやはり道徳面、社会通念から考えても、情報が持ち出されたような場合のこうした判決には、なんとも納得しかねる部分はありますが……。そういう時代だと考えて、皆さまも自組織の情報管理は怠りなく、今の時代に合わせたセキュリティ対策をと申し上げるしかありません。
損害賠償請求のために「できることを、できるかぎり」
ただ、こと「損害賠償」という点だけに絞って申し上げるなら、セキュリティが完璧である必要はないといいますか、そもそも今の時代、完璧なセキュリティというのは存在しません。
情報を守る側がやるべきことは、今の時代に合わせて「できることを精一杯やる」ということになるでしょう。個別のID・パスワードはもちろんですが、その定期的な変更、社外端末からのアクセス禁止、社内端末から社外への直接のアクセス制限、ログ監視、退職時の検査など、今考えられる精一杯のことをやっておく。それが、情報を管理する側がやるべきことかもしれません。また、そうした手段を講じるとともに、これが秘密情報であることを、脅しも含めて周知する。そうした取り組みが、裁判に勝つ以前に犯行を防止する有効な手段になると考えます。
とにかく今できることを精一杯。なんだかITとは縁遠い、汗臭い話ではありますが……。それが現実ではないでしょうか。
この記事は参考になりましたか?
- 紛争事例に学ぶ、ITユーザの心得連載記事一覧
-
- 名刺管理ツール内の「名刺情報」を退職社員が持ち出した──損害賠償を請求するために必要な条件...
- 「医療システムの仕様」が原因で入院患者が死亡、なぜ病院側は要件定義の際に気付けなかったのか...
- ITシステムの著作権は「考えたユーザー」のもの?それとも「作ったベンダー」のもの?
- この記事の著者
-
細川義洋(ホソカワヨシヒロ)
ITプロセスコンサルタント
経済産業省デジタル統括アドバイザー兼最高情報セキュリティアドバイザ
元東京地方裁判所 民事調停委員 IT専門委員
筑波大学大学院修了(法学修士)日本電気ソフトウェア㈱ (現 NECソリューションイノベータ㈱)にて金融業向け情報システム及びネットワークシステム...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
