では、もしも社員がメール誤送信によって機密情報を漏えいしてしまった場合、企業はどのような法的リスクを負うことになるのだろうか。そして企業がその社員を解雇するなどした場合、正当性は認められるのだろうか。こうした疑問を解消すべく、労働問題や企業法務などを専門とし、企業の情報漏えい事件にも造詣が深い、みらい総合法律事務所の弁護士 辻角智之氏に話を聞いた。
辻角氏によると、少なくとも日本においてはメール誤送信をきっかけとして損害賠償請求に至った裁判というのはほとんど例がないという。とはいえ、メール誤送信のリスクは個人情報漏えいのリスクとほとんど同じであり、個人情報漏えいに関する事件や事故が多くの損害賠償を引き起こしていることは読者の皆さんもご存じだろう。
メール誤送信のリスクを限定的に考えるのではなく、情報漏えいを起こした際の企業の法的リスクという観点からメール誤送信への対策を考えるべきと辻角氏は指摘する。
メール誤送信というのはあくまで情報漏えいを引き起こす1つの原因にすぎない。情報が流出してしまったときに発生する損害賠償などの法的リスクというのは、その原因がウイルスによるものであれメール誤送信によるものであれ同じだということをしっかりと理解しておきたい。
それでは、情報漏えいによる損害賠償というのは一体どのぐらいの金額になるのか。1つの参考となるのが、2013年3月に東京地裁で判決が出たクーポン共同購入サイト「グルーポン」を被告とする損害賠償訴訟の判例だ。
この事件では、グルーポンのWebサイトに何らかの不正アクセスがあり、顧客のクレジットカード情報が漏えいした疑いがあったことから、クレジットカード決済を締結していた原告がグルーポンに対して約1900万円の支払いを求めた。そして判決では、原告の主張が認められてグルーポン側に金1728万2615円又は約1700万円の賠償が命じられたのである。
この判例は法的な損害賠償額としてもかなり高いものだが、辻角氏によると、全体的に見てもここに来て漏えいした個人情報に対する損害賠償額は上がってきているのだという。その理由としては、まずインターネットの普及などにより個人情報の活用領域が広がったためにその価値もまた高まったこと、それと活用領域が広がったことにより事故調査費用や再発防止で費用などがかかることなどが考えられる。
ただし、請求側が情報漏えいにより被った被害の金額を客観的な証拠とともに立証できない場合は、損害賠償が認められないケースが目立つという。売上の場合はさまざまな事情によって変動することが普通なので、客観的な損害を立証するのは難しい。
一方、これまで多額の損害賠償が認められた例を見渡しても、情報漏えいによる被害の調査にどれだけのコストがかかり、当面の措置や今後の予防策にどのぐらいの金額が必要だったなどといったように具体的な金額を示す必要があるだろう。
このようにメール誤送信などによって情報漏えいした場合、具体的な損害賠償額を立証することは難しい。そこで有効な方法として辻角氏が推奨するのが、民法420条に基づき、あらかじめ機密保持契約書や個人情報保護の取り扱いに関する覚書において賠償額の予定を明記しておくことだ。
こうした契約書の内容は、一般的には「機密を第三者に漏えいしたときに損害賠償する」と記述するだけだが、これだと具体的な賠償額が分からないし立証するのも難しい。そこで、最初から契約書でこういう情報の漏えいによって損害が発生した場合には金◯◯円を損害賠償金として支払うと取り決めておくというわけだ。既に契約書を交わしている場合でも、あらためて書き換えることで有効となる。
また、契約書に損害賠償額の上限を定めておくことで、もし情報漏えいを起こしてしまったときに賠償額が青天井になることを防ぐこともできるという。辻角氏によると、この場合の上限額の考え方としては、例えば1年間の業務委託の金額などがある。対象となる情報の性質を十分に考慮して金額を設定するとよい。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。