見知らぬ国から訴えられても大丈夫？ IT部門の証拠開示能力が問われる訴訟リスク対策：IT導入完全ガイド（2/3 ページ）

[吉村哲樹，オフィスティーワイ]

改正個人情報保護法への中堅・中小企業の対応

　中堅・中小企業にとって、とりわけ影響が大きかったのは、2017年5月から全面施行された改正個人情報保護法だろう。改正前は、保有する個人情報数が5000件以下の事業者は個人情報保護法の適用対象外とされてきたが、改正後は適用対象となった。

　これまで長らく「うちは規模が小さくて、個人情報もわずかしか扱っていないのだから、個人情報保護法は関係ない」として、情報漏えい対策にあまり力を入れてこなかった中堅・中小企業も、これからは大企業と同等の対策を求められるようになった。罰則規定（罰金）もあることから、リスク対策は万全を期するべきだろう。

　特に注意したいのは、従業員が意図せずに業務用PCに保管してしまっている個人情報だ。メール添付などのちょっとしたやりとりに紛れて想定外の用途で取得してしまったものであっても、企業は責任を持って把握しなければならない。

　こうしたことから、現在、多くの中堅・中小企業が自社における個人情報の扱いと、情報セキュリティの在り方を見直し始めている。また、各ITベンダーからも中堅・中小企業向けの情報漏えい対策ソリューションが多く提供されるようになった。

図1　5000件以下の個人情報も規制対象に（出典：個人情報保護委員会事務局「改正個人情報保護法の基本」）

EU一般データ保護規則（GDPR）への備え

　現在、欧州でビジネスを展開する企業の間で「大きなビジネスリスクになり得る」と注目されているのが、2018年5月からEUで施行される「GDPR（EU一般データ保護規則）」だ。欧州経済地域（EEA）に居住する市民の個人情報を扱う場合、極めて厳しい取り扱い要件に従うことが義務付けられており、もしこれに違反した場合は全世界における売り上げの4％、もしくは2000万ユーロ（約26億円）の「どちらか高い方」を制裁金として支払わなくてはならない。

図2　EEA域外に個人情報を持ち出す場合はSCCやBCRに即した対応が必要（出典：ジェトロ調査レポート「EU『一般データ保護規則（GDPR）』に関わる実務ハンドブック（入門編）」）

　この法規制は、企業規模を問わず欧州で個人情報を扱う全ての企業に対して適用される。つまり、欧州の消費者向けにECビジネスを行っているような中堅・中小企業であっても、もしGDPRに違反した場合は前記の莫大な額の制裁金が課されるわけだ。このリスクを回避するために、情報漏えい対策や訴訟対策に新たに着手する中堅・中小企業が増えてきている。

労務系の訴訟リスクやコンプライアンスの管理

　これまでは主に、法規制を中心とした外部要因を紹介してきたが、近年急増しているのが、企業内で発生する労務系の訴訟リスクを管理するためにバックアップ製品やアーカイブ製品を導入する例だ。退職した従業員が機密データを持ち出し、転職先の企業に持ち込んだり、第三者に売却して利益を得たりするケースが後を絶たない。あるいは、退職した従業員から未払いの残業代を請求されるケースも増えている。

　こうした訴訟リスクに備えるためには、裁判で証拠として提出できる情報、例えば「従業員のファイルデータへのアクセス履歴」「就業時間中のインターネットアクセス履歴」などを常日頃から管理し、いざというときにすぐ提示できるようにしておく必要がある。

　また近年では、社内のパワハラやセクハラに厳しい目が向けられるようになり、企業は常日ごろから社内でこうした問題行動が発生していないかチェックし、早期に問題の芽をつむことが求められるようになった。こうした活動を行う上では、特にメールを介して行われるパワハラやセクハラの証拠を保全するためのメールアーカイブの仕組みは欠かせない。