入社後の情報管理

１　むやみに情報に近付けない⇒情報セキュリティ対策

情報セキュリティ対策は色々あるのですが、最低限知っておかなければならないものは次の２つです。

・個人情報の保護についての経済産業分野を対象とするガイドライン

（法律上漏えいが禁止されている「個人情報」のセキュリティ対策の解説）

・営業秘密管理指針

（会社として漏えいさせたくないマル秘情報の代表例である「営業秘密」のセキュリティ対策の解説）

 

なお、個人情報の取り扱いについては、業界別にさらに別のガイドラインが定められていることもありますので要注意です。

 

２　会社コントロール外での従業員による情報発信の防止

１．SNSの利用制限～全面禁止の可否

現代社会は、インターネットを通じて、日本国内のみならず世界中に対して、誰もが自由に情報発信できる状態です。

 

ただ、情報を発信する手段ばかりが発達し、情報を発信すればどうなるのか、情報の受け手側はどう感じるのかという点は放置されてしまっているのが現状と言わざるを得ません。

 

この結果、安易に発信した情報により、受け手側が不愉快になること、この不愉快と感じる受け手が増えれば増えるほど、インターネット上での反発を招きいわゆる炎上状態となってしまいます。そして、情報発信者が非難されると共に、当該情報発信者が属する企業にまで悪影響（謝罪に追い込まれる等）が及ぶ時代になっています。

 

この様な社会情勢下では、企業としても何らかの対策を講じることが求められています。

そこで、まず考えられる対策が、「SNSの利用を全面禁止する」ことです。もちろん、勤務中にSNSを使用しないよう業務指示を出すことは許されます。ここで問題となるのは、勤務時間外でのSNS利用禁止です。

 

これができれば企業にとっては非常に都合が良いのですが、残念ながら、従業員が私的に利用するSNSについてまで一切の利用を制限する法的根拠は存在しないと言わざるを得ません。むしろ、ここまでやってしまった場合、過度に私生活上の行状を監視していると言わざるを得ず、場合によっては逆に慰謝料請求の対象にもなりかねません。

 

したがって、SNSを全面的に使用禁止するというルール設定は不可となります。

 

次に考えられる対策が、「SNSの利用に際して事前届出制」とすることです。例えば、SNSの利用それ自体は認めるものの、企業としても書き込み内容を監視したいので、どのようなSNSを利用しているのか届出させること（アカウント届出義務を課すこと）が考えられます。

 

たしかに、前述の全面禁止よりは私生活上への行状に対する規制は幾分弱まっています。しかし、やはり業務外での従業員の私的活動に対する制約である点では同じであり、相当性はないと言わざるを得ないでしょう。

 

したがって、SNSの利用状況について事前に届出を課すことも不可と考えられます。

 

２．投稿内容の制限

上記のとおり、就業時間中であればともかく、就業時間外におけるSNSという媒体使用を包括的に制限することは難しいと言わざるを得ません。

 

ただ、だからといって従業員によるSNS利用を野放しにするわけには行かないのも事実です。そこで考えられるのが、私生活上の行状であっても、例外的に懲戒対象となりうるとした裁判例の考え方を応用できないかということです。

 

裁判例を読み解くと、「会社の社会的評価に重大な悪影響を与えるような従業員の行為については、それが職務遂行と直接関係のない私生活上で行われたものであっても、これに対して会社の規制を及ぼしうることは当然認められなければならない」という傾向があります。この裁判例の傾向からすれば、包括的にSNS使用を制限することはできないものの、SNSに投稿される個々の記事内容について、当該投稿記事内容が会社の社会的評価に重大な悪影響を及ぼすようなものについては予め制限を課すことは、当然には違法にならないということになります。

 

では、会社の社会的評価に重大な悪影響を与えるような記事内容は具体的にどういったものになるのでしょうか。

各企業によって異なるとは思われますが、非常に大ざっぱな分類としては、次のようなものが考えられます。

 

【絶対禁止の投稿】

・顧客情報や機密情報に関する投稿は絶対に行わないこと

・著作権や肖像権などの第三者の権利を侵害する投稿は絶対に行わないこと

 

【できる限り控えるべき投稿】

・会社の業績や経営戦略に関する投稿は控えること（但し、株式上場会社の場合は絶対禁止に分類する必要あり）

・自社商品やサービスを過度に持ち上げる投稿は控えること、その他やらせ行為や誤解を招く投稿は控えること

・他人、特に競業他社への批判は控えること

 

【一社会人のマナーとして考慮するべき投稿】

・ネット上での喧嘩を売ったり買ったりするような言動は慎むこと

・粗暴な言葉遣いは慎むこと

・投稿者自身が実名で胸を張って投稿できる記事内容であるか、投稿前に確認すること

・会社の見解ではなく一個人の見解であることを明示すること

 

３．ソーシャルメディアポリシーと就業規則の整備～服務規律、懲戒

会社の社会的評価に重大な悪影響を与えるような記事内容を具体化した場合、次に検討するべきは、どういった形で社内規制を行うべきかとなります。

これについては最近「ソーシャルメディアポリシー」を定める企業が増加してきています。また、官公庁でも昨年の復興庁の職員による投稿記事が問題化したことを踏まえ、ソーシャルメディアポリシーを定め公表しています。今後策定するのであれば、こういった官公庁が公表しているものを参照するのもよいかもしれません。

次に、ソーシャルメディアポリシーを定めるのであれば、実効性を持たすためにも同時に就業規則も整備するべきです。特に検討しておいた方がよいと思われるのは、次の２点です。

 

①服務規律への追加

例えば、「業務上取り扱いまたは取り扱った情報については、ソーシャルメディアポリシーに従い、在職中はもちろん退職後においても及び就業時間内外を問わず、他に開示、漏洩してはならない。」といった規定を追加することが考えられます。
なお、一般的な服務規律には「常に品位を保ち、会社の内外を問わず、会社の名誉や信用を毀損する行為をしてはならない」といった規定が盛り込まれているはずです。SNSへの情報発信によって会社の名誉や信用を害した場合は、当然この規定の適用があるのですが、会社の名誉や信用を害したか否かは評価を伴うものであり、一律に判断することは難しいこともあります。
したがって、端的にソーシャルメディアポリシーを遵守する旨の規定を設けること、業務上の情報を投稿すること自体が問題となることを明記した方が運用しやすいと考えられます。

 

②懲戒規程の追加

例えば、解雇事由の一つとして、「ソーシャルメディアポリシーに違反して業務上の情報を発信することにより、会社の名誉・信用を著しく害した場合」といった内容です。

なお、一般的な懲戒規程には「服務規定に違反した場合」が懲戒事由として定められているかと思います。たしかに、上記①の対応を行っておくことで、懲戒対象にすることは可能になりますが、服務規定には軽度な違反から重度な違反まで含まれており（バスケット条項に近い性質があります）、重めの懲戒処分を課すには運用上やや難があること、SNS上の不当な情報発信に対する会社として姿勢を明確に示すという意味で、独立した懲戒事由にするべきではないかと考えます。

なお、ソーシャルメディアポリシーをいくら定めたところで、周知させなければ全く意味がありません。また、SNS上での炎上騒ぎは毎日のように起こっていますが、おそらく大多数の従業員は、どこか遠い世界の出来事、すなわち我が身に降りかかるとは思っていないのが実情かと思います。

 

そこで、従業員教育を行うに際しては、直近の事例を挙げながら、会社に迷惑をかけることはもちろんのこと、ネット住民による投稿者特定作業により、最終的には自分自身がさらし者になってネット上で公開処刑されてしまうこと、このさらし者状態は永久にネット上に残ってしまうこと、つまるところ自らが一生涯のキズ（不名誉）を抱え込むことを強調しておくと良いでしょう。

 

４．BYOD（＝Bring Your Own Device）

例えば、従業員個人が所有する携帯電話を業務使用することを事実上黙認していたところ、当該携帯電話に登録されていた顧客情報が持ち出されてしまったという事例は携帯電話が普及した頃から問題となっていました。そして最近では、スマートフォンやタブレット端末という、携帯電話よりもはるかに多くの情報量を保管でき、かつ業務作業が可能なものが登場し、顧客情報に限らない様々な情報につき、当該端末を通じた情報漏えいが問題となっています。

 

セキュリティ対策のみの観点からであれば、従業員個人所有のスマートフォンやタブレット端末を業務に一切利用させないことがベストであることは間違いありません。ただ、業務作業の効率という観点からは、やはり黙認されているのが実情です。しかも、私物である以上、会社による一方的なモニタリング・監視は困難です。

 

上記のような問題を踏まえれば、従業員個人のスマートフォンやタブレット端末が業務上利用されること、しかしモニタリングが不可能であることを前提に、情報セキュリティ対策を検討する必要があります。

 

ちなみに、総務省が平成２５年３月に公表した「テレワークセキュリティガイドライン（第３版）」では、具体的な対策として、悪意のソフトウェアに対する対策、端末の紛失・盗難に対する対策、重要情報の盗聴に対する対策、不正侵入・踏み台に対する対策という観点からまとめてありますので、参考にしてください。

 

５．社内環境とクラウドサービス

クラウドサービスの利用が言われて久しい昨今、クラウド内にある会社情報を、社外で、上記で述べたようなスマートフォンやタブレット端末で業務遂行することが普通の世の中になってきています。

このような世の中になってくると、スマートフォンやタブレット端末に対する監視方法も当然必要ですが、そもそも論として、クラウドサーバー内に会社情報を何でもかんでも保存するべきか、つまり外部からアクセスができるような状態にしておいても大丈夫なのかという点も検討が必要になります。

 

これに付随して、クラウドサービスを実施する事業者に対する監視方法についても検討しなければなりません（この点、個人情報保護法上の概念で例えるのであれば「委託先の監督」方法の問題とも言えます）。特に、クラウドサービスを利用するということは、自社の管理が及ばない、世界の何処に存在するのか分からない格納場所への監視方法となりますので非常に厄介です。

 

この点、経済産業省が公表している「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」などは、できれば目を通しておいた方が良い資料となります。

 

なお、法的な観点からは、クラウドサービスに関する契約について、どこの国の法律が適用されるのか（いわゆる準拠法の問題）は関心を払った方がよいかと思います。また、クラウドサービス実施事業者が属する国籍と実際に情報が格納されている場所が属する国籍が異なる場合、何処の国の法律が適用されるのか実はよく分からないという問題もあります（情報が格納されている場所の法律が適用される可能性があるという意味です）。
これらの点について簡単に問題解決するとは思えないのですが、少なくとも日本法だけでは解決できない可能性が高いという認識は持ち合わせた方が良いかと思います。

 

６．内部告発・内部通報

内部通報（企業が設けているヘルプライン等へ企業不祥事の報告が行われること）、内部告発（企業外の行政機関やマスコミなどへ企業不祥事が発表されること）が、情報管理の在り方との関係で話題になって久しいかと思いますが、これについては、公益通報者保護法の理解が不可欠となります。

なお、公益通報者保護法については、間違った捉え方をされている実務担当者もいらっしゃるのですが、公益通報者保護法は企業不祥事情報を外部発信することを奨励する法律ではありません。これは、公益通報者保護法３条を読めば分かるのですが、外部機関に通報することが合法化されるためには、内部通報よりも要件が加重されていることからも明らかです。

 

もっとも、企業に内部通報を受け入れる体制が整備されていないことには、せっかく法律が企業の内部自浄作用を期待しているにもかかわらず、外部に企業不祥事情報が漏れ出すことになってしまいかねません。
したがって、企業不祥事情報を外部発信されたくないのであれば、受入体制を整備することが必須となります。

 

では、受入体制とはどういったものを想定すればよいのでしょうか。

消費者庁が運営している「公益通報者保護制度ウェブサイト」に掲載されているフローチャートを見ればイメージがつかめるかと思います。

 

３　従業員保有情報の監視

１．モニタリング

電子メールを会社が従業員に無断でモニタリングすることができるのかという点については、従業員のプライバシー権との関係で争いがありました。

しかしながら、現時点では裁判例として電子メールに対するモニタリングを一律に禁止するといったものは存在しません。また、行政の動きとしても、モニタリングを行えることを前提としつつも、一定の制約があることを注意喚起するような言い回しになっています。

 

・旧労働省が平成１２年１２月２０日に公表した「労働者の個人情報の保護に関する行動指針の解説」第２ ６（４）（５）

・経済産業省が平成２１年１０月に公表した「個人情報の保護についての経済産業分野を対象とするガイドライン」２－２－３－３

 

したがって、たとえ電子メールが従業員個人の私用メールであっても、会社がモニタリングを実施することそれ自体は問題がないといえます。問題はどこまで実施してしまって良いのか、言い換えればプライバシー権への配慮はどこまで検討する必要があるのかという点です。

 

この点、裁判例からは一義的に導き出すことは困難と言わざるを得ず、上記ガイドラインからは、モニタリングに関する社内規程の整備と周知、モニタリングが適正に行われているかの監督体制がポイントになってくると考えられます。

 

また、１人１台でＰＣ端末が割り当てられることが当たり前となった現代社会においては、電子メールでの情報の動きを監視するのみならず、インターネットを通じた情報流通状況についてもモニタリングを行う必要があります。
例えば、いわゆるストレージサービス（WEB上でのファイル等の保管場所を貸し出すサービスのこと）による情報流通やWEBメールの利用状況などです。

 

そうすると、次のような社内規程を整備しておくことが望ましいことになります。

 

＜モニタリング規程に追加検討したい条項例＞

第〇条（システム管理者によるモニタリング） １　システム管理者は、インターネット等の利用の適正化を図るため、サーバに保存されている情報を解析し、各従業員等のインターネット等の利用履歴を確認することができる。 ２　システム管理者は、電子メール利用の適正化を図るため、必要性・相当性を逸脱しない範囲内において、従業員等が送受信する電子メールの内容を閲覧することができる。 ３　システム管理者は、インターネット等の利用の適正化を図るため、必要やむを得ない場合、会社が従業員等に貸与する電子機器端末に対するデジタル・フォレンジックその他技術的手段を用いて当該端末の監査及び閲覧をすることができる。 ４　従業員等は、前３項に定める閲覧に協力しなければならない。第〇条（アクセス制限） １　従業員等は、業務に直接関係のないホームページにアクセスしてはならない。 ２　システム管理者は、コンピュータウイルス感染を予防するため、特定のホームページへのアクセスを制限することができる。 ３　従業員等は、会社の明示の許可が無い限り、インターネット上のストレージサービス及びWEBメールサービスを利用してはならない。第〇条（コンピュータウイルス対策） １　従業員等は、外部からの電子メールを受信する場合は、コンピュータウイルス感染に十分留意しなければならない。 ２　従業員等は、不明なファイルが添付された電子メールは不用意に開封せず、システム管理者に報告したうえで、その指示に従わなければならない。

ところで、電子メールのモニタリングが許容されるにしても、何でもかんでも内容に踏み込んでしまってよいかと言われると、どうもその点については争いがあるようです。

 

そこで有効性をより維持するためにも、例えば電子メールであれば、その運用方法として、まずは送受信記録と件名のみに止め、必要やむを得ない場合にはメールの内容に踏み込む、といった配慮が必要になると考えられます。

 

また、インターネットの利用状況に対するモニタリングについても、通常はアクセスログを指すと思われます。

 

しかしながら、最近ではいわゆるキーログ（端末利用者のタイピング履歴）まで入手することが技術的に可能となっています。このキーログを入手し分析することで、従業員個人の私的なIDやパスワードまで分かる場合もありますが、果たしてここまでモニタリングすることが当然に許容されているかと言われると、現時点では怪しいと言わざるを得ません。

 

もしキーログまでモニタリングするのであれば、社内規程上その旨を明記し周知を図ることが現時点では無難ではないでしょうか。　なお、当然のことながら、キーログから判明したID・パスワードを用いて、従業員個人のWEBメールに無断でアクセスすることは不正アクセス禁止法に違反するものと考えられます。いわゆる所持品検査に準じて、従業員立ち会いの下でWEBメールへアクセスするか、それが難しいのであれば、PC端末に対するデジタル・フォレンジックを実施して、どういった情報がWEBメールに持ち出されたかの紐付作業を行うなどの代替手段を講ずるほかないように思われます。

 

２．発明考案、営業秘密、知的財産権では保護されないノウハウなど

終身雇用制が崩れた現代日本では、従業員が業務遂行する上で知りえたアイデアやノウハウといった有用な情報、発明・考案など知的財産権となり得る情報について、他社に持ち出されないよう管理する必要があります。

 

まず、特許権、実用新案権、意匠権となるものについては、いわゆる職務発明に該当する場合、企業に対して法定通常実施権を自動的に付与することになっていますので、職務発明に係る情報を企業が利用することは可能です。

 

もっとも、職務発明に関する情報については、当該企業が独占的に利用したいと考えるのが通常かと思われます。この独占的利用を確保するために、特許を受ける権利を当然に承継させたり、専用実施権を当然に設定することを予め就業規則（職務発明規程等）に定めておくという方法が採られます。この方法自体は問題ないのですが、これに対する対価の支払いについて近年大きな話題になったことは記憶に新しいところです。

 

次に、いわゆる職務著作についても企業が利用することは可能ですが、前述の特許権等とは異なり、著作権それ自体が企業に帰属することになっています。したがって、職務発明に対する対価の支払いという問題が生じないのが大きな相違点となります。

 

さらに、知的財産権では保護されないものの、会社にとっては重要な情報（取引先情報や製造ノウハウなど）で従業員が保有する情報の利用については、法律上特段の定めがありません。このため、例えば、不正競争防止法上の営業秘密には該当しない取引先情報については、業務遂行によって得られた情報である以上、会社に帰属して然るべきという考え方もできますし、従業員の努力により集めた情報である以上、従業員に帰属するという考え方もできます。

 

こういった疑義を無くすためにも、入社時の誓約書等で「業務遂行によって得られた情報及び貴社が管理する端末などの貴社管理物に保存した情報については、貴社に帰属する情報であることを確認します。」といった条項を入れておくのも一案かもしれません。

 

※上記記載事項は当職の個人的見解をまとめたものです。解釈の変更や裁判所の判断などにより適宜見解を変更する場合がありますのでご注意下さい。