情報セキュリティ関連法令の要求事項集平成 21 年６月経済産業省

(1)

情報セキュリティ関連法令の要求事項集

平成 21 年６月

経済産業省

(2)

【目次】

第 1 章情報セキュリティと法令

...1

第

1

節情報セキュリティの意義

... 1

第

2

節情報セキュリティと法制度との関係

... 2

第 2 章機密性・完全性・可用性（CIA）と法的保護

...4

第

1

節機密性、完全性、可用性（CIA）のすべてに関するもの... 4

1.

はじめに

... 4

2.

管理責任類型−その

1：会社法関係... 5

2‑1.2.1. 会社法上の内部統制と情報セキュリティの関係 ... 5

2‑1.2.2. 情報セキュリティの不備と会社役員の責任 ... 7

3.

管理責任類型−その

2：個人情報保護法関係 ... 9

2‑1.3.1. 個人情報保護法上の安全管理措置義務と情報セキュリティの関係 ... 9

2‑1.3.2. 委託先の監督責任 ...11

2‑1.3.3. 安全管理措置義務の対象となる個人情報 ...14

4.

加害行為規制類型

... 17

2‑1.4.1. コンピュータウイルスの作成・送付...17

第

2

節機密性（C）に関するもの

... 19

1.

はじめに

... 19

2.

営業秘密

... 20

2‑2.2.1. 情報の秘密管理 ...20

2‑2.2.2. 営業秘密の保護要件遵守のために整備すべき内部規定等 ...22

2‑2.2.3. 従業員・委託先が作成に関与した情報の営業秘密としての保護 ...25

3.

刑事法... 26

2‑2.3.1. 情報の不正入手 (1)...26

2‑2.3.2. 情報の不正入手 (2)...29

4.

その他

... 30

2‑2.4.1. 他の知的財産権法規定による保護方法 ...30

2‑2.4.2. 技術的な手段の回避...32

第

3

節完全性（Ｉ）に関するもの... 34

1.

はじめに

... 34

2.

金融商品取引法の内部統制... 36

2‑3.2.1. 情報セキュリティと金融商品取引法の内部統制報告制度の関係 ...36

3.

刑事法

... 37

2‑3.3.1. 電子計算機使用詐欺罪における「虚偽の情報」 ...37

2‑3.3.2. 口座残高改ざん－スキミングの手口と対策 ...38

(3)

4.

完全性を補完する制度

... 41

2‑3.4.1. 電子署名法...41

第

4

節可用性（A）に関するもの

... 42

1.

はじめに

... 42

2.

民事責任

... 42

2‑4.2.1. 情報媒体の財産的価値 ...42

第 3 章管理策を講じる上での要求事項...44

第

1

節はじめに... 44

第

2

節労働法、労働者派遣法、従業員のプライバシー保護との関係−事前防止策... 44

3‑2.1.1. 従業員との関係での情報セキュリティ体制の確立 ...44

3‑2.1.2. 企業秘密に関する誓約書の要請 ...52

3‑2.1.3. 私用メール等のモニタリング...54

3‑2.1.4. 私用メールを禁止する規程...60

3‑2.1.5. 私物 PC の持込禁止及び会社の情報を含む物品の持ち出し禁止 ...61

3‑2.1.6. 退職後の従業員の競業避止義務、秘密保持義務 ...62

3‑2.1.7. 退職後の秘密情報漏えいを防止するための秘密保持契約 ...68

3‑2.1.8. 退職後の従業員に競業避止義務を課す定めの効力 ...69

3‑2.1.9. 退職後の従業員が海外で行う競業行為に対する規制...72

3‑2.1.10. 派遣労働者に対する誓約書の要請･教育訓練の実施...74

第

3

節労働法、労働者派遣法、従業員のプライバシー保護との関係−事後対応策

... 75

3‑3.1.1. 私用メールを行ったことを理由とする解雇・懲戒処分...75

3‑3.1.2. 情報流出事故が発生した場合の対応（１）－従業員の調査協力、始末書の徴収、教育訓練の実施 ...78

3‑3.1.3. 情報流出事故が発生した場合の対応（２）－従業員に対する解雇、懲戒処分、損害賠償請求等 ...80

3‑3.1.4. 競業避止義務違反を理由とする退職金減額･不支給 ...82

第

4

節知的財産権法との関係

... 84

3‑4.1.1. リバースエンジニアリングにおける著作権法上の問題...84

3‑4.1.2. マルウエアに感染等したソフトウエアの解析に伴う複製 ...86

第 4 章インシデント発生時の対応、訴訟手続、フォレンジック等...88

4‑1.1.1. IT 関連の損害賠償等に関する民事訴訟において証拠を保全・提出 ...88

4‑1.1.2. 民事訴訟における電子データの成立の真正の立証の要否 ...91

4‑1.1.3. 営業秘密の使用の立証方法...92

4‑1.1.4. 営業秘密漏えいの証拠を確保する方法 ...93

4‑1.1.5. 民事訴訟において訴訟の当事者から情報の提供を求められる場合 ...95

4‑1.1.6. 民事訴訟における営業秘密、プライバシー情報の非公開の可否 ...98

(4)

4‑1.1.7.

自社に不利な証拠となり得る社内文書の破棄について

...100

第 5 章付録 JIS Q 27001：2006 （附属書 A)との対応関係

... i

(5)

【凡例】

種別略語正式名称

公的刊行物

高民 (刑) 高等裁判所民事 (刑事) 判例集

裁判集民 (刑) 最高裁判所裁判集民事 (刑事) 裁判所の部内資料知的裁集 (知財集) 知的財産権関係民事・行政裁判例集（法曹会）

無体例集 (無体集) 無体財産権関係民事・行政裁判例集（法曹会）

労裁集労働関係民事事件裁判集（法曹会）

労民労働関係民事裁判例集（法曹会）

労刑決労働関係刑事事件判決集（法曹会）

私的刊行物

判時判例時報（判例時報社）

判タ判例タイムズ（判例タイムズ社）

判自判例地方自治（ぎょうせい）

労判労働判例（産業労働調査所）

その他経済産業分野の個人情報保護ガイドライン

個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン（厚生労働省・経済産業省告示第 1 号平成 20 年 2 月 29 日）

基発厚生労働省労働基準局長から各都道府県労働局長宛の通達

(6)

前文

情報技術（IT）の急速な発達と普及に伴い、企業において、IT は必要不可欠なインフラとなっており、円滑な企業活動の遂行のためには適切な情報セキュリティ対策が必要になっている。

また、近年、個人情報保護法や金融商品取引法の施行等に伴い、企業は、法令により要求される情報セキュリティ対策の実施に一層注力するようになってきている。企業では、情報セキュリティ対策は IT 担当部署によって推進されることが多いが、IT 担当部署は、こうした法令を遵守するための担当部署と連携した対応が求められるようになってきている。一方、IT 担当部署が、

情報セキュリティ対策を実施していくにあたり、企業の情報資産の保護等とは別の目的の法令との関係も注意する必要がある。例えば、情報セキュリティ対策を従業員が確実に実施することを保証するための措置を推進しようとするときには、従業員の勤労条件について一定の基準を定めた労働基準法等を遵守しなければならないことに IT 担当部署は気付かなければならない。適切な方法をとらない場合には、実効ある情報セキュリティ対策を取り得なくなる可能性もある。法令を遵守できていない場合には、企業にとっては大きなリスクとなるものであり、こうした課題を明らかにしてほしいという要請が高まりつつある。「グローバル情報セキュリティ戦略」（平成 18 年 5 月）や「情報セキュリティ基本問題委員会中間とりまとめ～企業における戦略的な情報セキュリティガバナンスの確立に向けて～」（平成 20 年 6 月）においても情報セキュリティ関連法律上の要求事項の整理の必要性について提言されている。

こうした企業の情報セキュリティに関する法令遵守上の課題を解消し、企業において効率的・

効果的な情報セキュリティ対策・法令遵守を後押しすることを目的に、産業構造審議会情報セキュリティ基本問題委員会で決定された取組方針について具体的な検討を行う情報セキュリティガバナンス研究会の下に岡村久道弁護士を座長としたワーキンググループを設置し、平成 19 年11 月より、企業が情報セキュリティ対策を進める上で、有用となるいくつかの法的論点について検討を行い、それぞれの基本的な考えと解説についてまとめた。もとより、個別具体的な事例において現行法がどのように適用されるのかはそれぞれの状況を勘案の上、判断されるべきものであることは言うまでもないが、この要求事項集が企業実務上の一つの参考となることにより、効率的・効果的な情報セキュリティ対策・法令遵守の促進への一助になることを期待している。読み手としては、企業において実際にセキュリティ対策を行う管理部門と法令対応を行う法務部門を想定し、現場で広く使って頂けるよう可能な限り平易な表現を心がけた。

なお、本要求事項集は、これまでの検討結果について、より企業から強く求められている論点を中心にまとめたものであり、今後も継続的に必要な論点の検討を行うことによって、改訂・拡充等を行っていく予定である。

(7)

第1章情報セキュリティと法令

第1節情報セキュリティの意義

情報セキュリティ（ Information Security）とは、一般に「情報の ①機密性

（Confidentiality）、②完全性（Integrity）及び③可用性（Availability）の 3 要素を維持すること」として定義されている¹。各々の頭文字を取って「CIA」と略称されることもある。

このような「CIA」の概念を用いた定義は、1992 年の OECD²「情報システムセキュリティガイドラインに関する理事会による勧告及び付属文書」によって初めて国際的な公式舞台に登場し、OECD「暗号政策ガイドラインに関する理事会勧告」（1997 年 3 月採択）にも採用された。さらに、国際規格 ISO/IEC 27001:2005・同 27002:2005、

これを日本工業規格化した JIS Q 27001: 2006・同 27002:2006 にも、ほぼ同様の定義が採用されている。したがって、「CIA」の概念による定義は、現在における国際標準かつ日本国内標準であるということができる。なお、「サイバー犯罪に関する条約」も序文において「コンピュータシステム、ネットワーク及びコンピュータデータの濫用行為並びにそれらの機密性、完全性及び可用性に向けられた行為を抑止するために本条約が必要であることを確信する」として「CIA」の概念に言及している。

機密性とは、アクセスを認められた者だけが情報にアクセスできるようにすることをいう。したがって、情報の不正流出が、機密性が損なわれた場合の典型例である。

完全性とは、情報及び処理方法が完全かつ確実であることを保護することをいう。したがって、情報の不正改ざんが、完全性が損なわれた場合の典型例である。

可用性とは、認められた者が必要に応じてアクセス・利用し得ることをいう。したがって、システム障害による利用不能が、可用性が損なわれた場合の典型例である。

「セキュリティ」という言葉は、「安全」「安心」という言葉に邦訳されることが一般的であるが、以上のとおり、情報セキュリティの場合には、その内容が、より具体的な意味で用いられているものといえよう。

次に、「CIA」の対象は、OECD の前記各勧告では「情報システム」に限定されており、

紙等の伝統的な物理媒体に載った情報を含まなかった。1992 年の勧告が採択された時期には、情報システムが世界的に普及時期を迎えて重要な役割を果たすようになっており、

1 情報セキュリティの定義については、これらの3要素に加えて、否認防止（Non-repudiation）、責任追跡性

（Account ability）、真正性（Authenticit y）、信頼性（Reliability）をあげる見解もある（国際規格ISO/IEC 13335-1: 2004 など）。

2 経済協力開発機構

(8)

情報システムヘの依存が高まり始めていたことを背景としている。

これに対し、前記国際規格・国内規格では「情報」全般へと拡張され、文字どおり「情報セキュリティ」と呼ばれるに至っている。情報システムの普及を契機に、ひとたびセキュリティの重要性が自覚されるに至ると、載せられた媒体が情報システムに関するものか、

それとも伝統的な紙媒体等かという点で、情報としての重要性という点では本質的に変わりがないことが改めて認識されるに至ったことを背景とする。

その一方、2002 年の改訂 OECD 情報セキュリティガイドライン、国連総会決議 57/239（2003 年 1 月 31 日採択）³のように、近時は情報システムとともに情報ネットワークの分野にも重点が置かれる傾向にある。

第2節情報セキュリティと法制度との関係

もともと情報セキュリティは法制度の領域から生成・発展した概念ではない。このような事情もあるため、我が国においても、情報セキュリティを包括的に保護することを目的とする法律は存在していない。それどころか、現時点では情報セキュリティという言葉を用いた法律そのものが存在していない。

しかし、高度情報通信ネットワーク社会形成基本法（IT 基本法）は第 2 条・第 22 条において高度情報通信ネットワークの「安全」「安心」に言及しており、これらは情報ネットワークを中心とするセキュリティを意味するものと考えられている。このため、情報セキュリティに関する事実上の基本法としての役割を営むものということができるが、それは理念を規定するものにとどまり、具体的な権利・義務等を定めるものではない。

これに対し、個々の法規定中には、部分的にではあるが、情報セキュリティを保護する機能を営むものが存在している。その具体例として、昭和 62 年改正によって刑法に新設されたコンピュータ犯罪処罰規定をはじめとして、不正競争防止法中の営業秘密の保護に関する規定、不正アクセス禁止法、個人情報保護法中の個人データ安全管理措置義務に関する規定などを挙げることができる。

情報を管理する事業者の立場から、これら個々の法規定を見れば、情報を管理する事業者に対して管理責任を課す類型の規定（例：前記個人情報保護法規定）と情報セキュリティを侵害する不正行為者に対して法的責任を問う類型の規定（例：前記刑法規定）に大別することができる。

後者のような不正行為者に対する責任追及が、前者と比べて優先されるべきことは当然であろう。しかし、情報セキュリティに対するすべての脅威が不正行為に起因するものとは限らない。不正行為に起因する場合であっても、刑事責任については、一般に故意の場

3 Creation of a global c ulture of c ybersec urity

(9)

合に限定されており、単なる過失による場合等は対象外となる。したがって、すべての不正行為が現行法上処罰の対象となるとは限らない。また、民事責任についても、従業員が個人情報を大量漏えいしたような場合には、漏えい被害者との関係では、むしろ事業者は加害者側として被害者等から責任を追及されるべき立場に立つ。そのため、情報を管理する事業者にとって、進んで情報セキュリティ管理策を講じるべき必要性が増加している。

特に、前者の類型に該当する場合には、これを事業者が遵守しなければ違法となる場合があることに注意すべきである。

さらに、このようにして事業者が管理策を講じる際にも、遵守すべき法令上の要求事項が存在している。これに関連するものとして労働契約法等がある。また、訴訟手続、フォレンジックに関しても、法令との関係に留意する必要がある。

(10)

第2章機密性・完全性・可用性（CIA）と法的保護

第1節機密性、完全性、可用性（CIA）のすべてに関するもの

1. はじめに

ここでは、CIA の 3 要素のいずれにも関連する法令について論じる。これらの法令の中には情報を管理する事業者に管理責任を課す類型のものと不正行為者に法的責任を問う類型のものがある。

まず、管理責任を課す類型についてであるが、会社法上の内部統制システムの基本方針決定義務（会社法第 348 条第 3 項第 4 号、第 362 条第 4 項、第 416 条第 1 項第 1 号ホ）の一内容として情報セキュリティへの対応が求められることになる（2-1.2.1. ）。情報セキュリティへの対応が不十分なため情報漏えいが起きたような場合には、会社の役員に責任が生じることがある（2-1.2.2. ）。

また、金融商品取引法においても財務報告に係る内部統制報告書の作成、監査が求められており（金融商品取引法第 24 条の 4 の 4、第 193 条の 2）、この前提として情報セキュリティへの対応が求められることとなる

⁴

。さらに、行政法の分野では個人情報保護法上の安全管理措置（個人情報保護法第 20 条、第 21 条、第 22 条）として情報セキュリティへの対応が求められることになる

⁵

（2-1.3.1. ）。同法の安全管理措置においては個人情報の委託先に対する管理も行う必要がある旨定められている（2-1.3.2. ）。

次に、加害行為を規制する法令であるが、民法上は、不法行為責任・契約責任に基づき、

損害賠償・差止めを求め得ることとなる。一方、刑事法上は、まずは伝統的な刑法規定を適用して保護を図ることになる。例えば、物理的な情報システムやそれを管理する者に対して攻撃が加えられる場合には器物損壊罪や業務妨害罪の適用が検討されよう。

次に、これら伝統的な処罰規定で対応できない事態が増加したことに即して、いわゆるコンピュータ犯罪に対応する構成要件が新設されている（電磁的記録不正作出・同供用罪

（刑法第 161 条の 2）、電子計算機損壊等業務妨害罪（同第 234 条）、電子計算機使用詐欺罪（同第 246 条の 2）など）。さらに、コンピュータウイルスによって企業活動が妨害された場合には、企業側は一定の措置をとり得る（2-1.4.1. ）。

4 金融商品取引法の内部統制は専ら完全性に関連するものであるから、完全性のところで論じることとする。

5 個人情報保護法は、個人情報の流出のほかに、滅失、毀損についても対象としており、CIAのいずれにも関係することとなる。

(11)

2. 管理責任類型－その 1：会社法関係

2-1.2.1. 会社法上の内部統制と情報セキュリティの関係

内部統制と情報セキュリティの関係はどのようなものか。

(1) 考え方

会社における情報セキュリティに関する体制は、その会社の内部統制の一部といえる。

取締役の内部統制構築義務には、適切な情報セキュリティを講じる義務が含まれ得る。

具体的にいかなる体制を構築すべきかは、一義的に定まるものではなく、各会社が営む事業の規模や特性等に応じて、その必要性、効果、実施のためのコスト等様々な事情を勘案の上、各会社において決定されるべきである。また、取締役会は、情報セキュリティ体制の細目までを決める必要はなく、その基本方針を決定するだけでもよい。

(2) 説明

1) 内部統制の概念と情報セキュリティ

後掲の各裁判例によれば、内部統制とは「会社が営む事業の規模、特性等に応じたリスク管理体制」と定義される。取締役には、会社に対する善管注意義務（会社法第 330 条、

民法第 644 条）に基づいて、このような内部統制に関する基本方針を取締役会で決定し、

決定した基本方針に従った内部統制を構築する義務がある。この「リスク」の中には、情報セキュリティに関するリスクが含まれ得るため、リスク管理体制の構築には、情報セキュリティを確保する体制の構築が含まれ得る。情報セキュリティを確保する体制は、内部統制に含まれ得るといえる。

2) 会社法の内部統制

会社法は、大会社と委員会設置会社について、内部統制システムの構築の基本方針を取

締役会で決定すべきことを明文の義務としている（会社法第 348 条第 3 項第 4 号、第

362 条第 4 項第 6 号、第 416 条第 1 項第 1 号ホ）。これらの規定は、善管注意義務か

ら要求される内部統制システム構築の基本方針決定義務を念のために明文にしたものであ

る。決定すべき内部統制は、類型に分けて列挙されている。その中には、①法令等遵守体

制、②損失危険管理体制、③情報保存管理体制、④効率性確保体制、⑤企業集団内部統制

が含まれる（前記引用の会社法各条及び会社法施行規則第 98 条第 1 項、第 2 項、第 100

条第 1 項、第 112 条第 1 項、第 2 項）。情報セキュリティに関するリスクが、会社に重

大な損失をもたらす危険のある場合には、②の損失危険管理体制（損失の危険の管理に関

(12)

する規程その他の体制をいう）に含まれる。

また、情報の保存と管理に関するセキュリティは③の情報保存管理体制（取締役の職務の執行に係る情報の保存及び管理に関する体制をいう）の問題ともなり得るほか、法令が情報の安全管理を要求しているような場合には、①の法令等遵守体制（取締役及び使用人の職務の執行が法令及び定款に適合することを確保するための体制をいう）の問題にもなることがある。

3) 取締役会が決定すべき事項

会社法は、「業務の適正を確保するための体制の整備」について取締役会が決すべきものとしているが、当該体制の具体的な在り方は、一義的に定まるものではなく、各会社が営む事業の規模や特性等に応じて、その必要性、効果、実施のためのコスト等様々な事情を勘案の上、各会社において決定されるべき事項である。

また、取締役会が決めるのは「目標の設定、目標達成のために必要な内部組織及び権限、

内部組織間の連絡方法、是正すべき事実が生じた場合の是正方法等に関する重要な事項（要綱・大綱）⁶」でよいと解されている。

情報セキュリティに関していえば、「情報セキュリティ規程」「個人情報保護規程」等の規定の整備や、情報セキュリティを含めたリスク管理を担当する部署の構築等が考えられる⁷。

4) 金融商品取引法の内部統制

金融商品取引法は、上場会社等について、財務報告に係る内部統制の有効性の評価に関する報告書（内部統制報告書）の作成及び開示を義務付けている。（詳細については、

2-3.2.1 を参照）

(3) 関連法令（政省令・基準）

会社法第 348 条第 3 項第 4 号・第 4 項、第 362 条第 4 項第 6 号・第 5 項、第 416 条第 1 項第 1 号ホ

会社法施行規則第 98 条第 1 項・第 2 項、第 100 条第 1 項、第 112 条第 1 項・第 2 項

金融商品取引法第 24 条の 4 の 4、第 25 条第 1 項第 6 号、第 193 条の 2 第 2 項

6 相澤哲ほか『論点解説新・会社法』335頁

7 事業報告での開示例として、資料版商事法務284号153-162頁

(13)

(4) 裁判例

内部統制システムの整備義務に関して、

大阪地裁平成 12 年 9 月 20 日判決・判時 1721 号 3 頁・判タ 1047 号 86 頁金沢地裁平成 15 年 10 月 6 日判決・判時 1898 号 145 頁・労判 867 号 61 頁名古屋高裁金沢支部平成 17 年 5 月 18 日判決・判時 1898 号 130 頁・労判 905 号 52 頁

東京地裁平成 16 年 12 月 16 日判決・判時 1888 号 3 頁・判タ 1174 号 150 頁東京高裁平成 20 年 5 月 21 日判決・資料版商事法務 291 号 116 頁

大阪地裁平成 16 年 12 月 22 日判決・判時 1892 号 108 頁・判タ 1172 号 271 頁大阪高裁平成 18 年 6 月 9 日判決・判時 1979 号 115 頁・判タ 1214 号 115 頁

2-1.2.2.

情報セキュリティの不備と会社役員の責任

情報セキュリティに関する体制が不備であるため、情報の漏えい、改ざん又は滅失（消失）

若しくは毀損（破壊）によって会社又は第三者に損害が生じた場合、会社の役員（取締役・

監査役等）は、どのような責任を問われ得るか。

(1) 考え方

取締役会が決定した情報セキュリティ体制が、当該会社の規模や業務内容にかんがみて適切でなかったため、情報の漏えい等により会社に損害が生じた場合、体制の決定に関与した取締役は、会社に対して、任務懈怠（けたい）に基づく損害賠償責任（会社法第 423 条第 1 項）を問われ得る。また、決定された情報セキュリティ体制自体は適切なものであったとしても、その体制が実際には定められたとおりに運用されておらず、取締役（・監査役）がそれを知り、又は注意すれば知ることができたにも関わらず、長期間放置しているような場合も同様である⁸。

個人情報の漏えい等によって第三者が損害を被ったような場合、取締役・監査役に任務懈怠につき悪意・重過失があるときは、第三者に対しても損害賠償責任を負う。

(2) 説明

前述のように、取締役は、内部統制システムの構築義務の一環として、情報セキュリティ体制を構築する義務を負うと解される。

8 相澤哲ほか『論点解説新・会社法』335頁

(14)

取締役会で決議された内部統制システムが、当該会社の規模や業務内容に鑑みて、株式会社の業務の適正を確保するために不十分であった場合には、その体制の決定に関与した取締役は、善管注意義務（会社法第 330 条・民法第 644 条）違反に基づく任務懈怠（けたい）責任（会社法第 423 条 1 項）を問われ得る⁹。

また、内部統制システムは適切なものであったが、その内部統制システムが実際には遵守されておらず、取締役（・監査役）がそれを知り、又は注意すれば知ることができたにも関わらず、それを長期間放置しているような場合にも、善管注意義務違反に基づく任務懈怠責任を問われ得る¹⁰。情報セキュリティ体制の構築又はその運用に欠陥があり、情報の漏えい等によって会社に損害が生じたときは、取締役（・監査役）は、以上の理由に基づき、責任を負うことがあり得る。

また、取締役（・監査役）が職務を行うについて悪意又は重過失があったときは、それにより第三者に生じた損害についても賠償責任を負う（会社法第 429 条第 1 項）。したがって、取締役（・監査役）が、悪意・重過失により、適切な情報セキュリティ体制を構築せず、又は体制が適切に運用されていないのにこれを是正するのを怠った場合に、個人情報の漏えい等によって第三者が損害を被ったときは、取締役（・監査役）は、当該第三者に対しても責任を問われ得る。

会社法第 330 条、第 423 条第 1 項、第 429 条第 1 項民法第 644 条

(4) 裁判例特になし

9 相澤哲ほか『論点解説新・会社法』335頁、及び大阪地裁平成12年9月20日判決

10 相澤ほか・同

(15)

3. 管理責任類型－その 2：個人情報保護法関係

2-1.3.1. 個人情報保護法上の安全管理措置義務と情報セキュリティの関係

企業における「情報セキュリティ対策」と個人情報保護法への対応との違いはどこにあるか。

(1) 考え方

「情報セキュリティ（対策）」とは、情報の機密性、完全性、及び可用性の 3 要素を維持すること、そのための対策をいう。それに対して、個人情報保護法への対応とは、「個人情報取扱事業者」（個人情報保護法第 2 条第 3 項）が「個人情報」（同法第 2 条第 1 項）

等を同法の定める義務を遵守し取り扱うこと、そのための対応をいう。

保護の対象となる情報は、情報セキュリティ対策においては「情報」一般であるのに対して、個人情報保護法における後述の安全管理措置義務関連の規定は、「個人データ」（同法第 2 条 4 項）に限定される。「個人データ」以外の情報については、もっぱら情報セキュリティ対策として各企業の自主的対応に委ねられる（ただし、その他の法令上の義務並びに契約があればそれらを遵守すること、及び、他人の権利利益を侵害しないことが求められる）。

また、保護の主体は、情報セキュリティ対策においては、「事業者」一般が念頭に置かれており、限定がないのに対して、同法への対応が法的に義務付けられるのは、「個人情報取扱事業者」に限定される。

情報セキュリティ対策は、原則として、事業者が資産一般の安全性の確保、他人の権利利益の侵害の防止という観点から自分のこととして行われることが通常である。しかし、

個人情報保護法で求められる安全管理措置義務関連の規定への対応は、「安全管理措置」（同法第 20 条）、「従業者の監督」（同法第 21 条）、及び「委託先の監督」（同法第 22 条）といった、「個人情報取扱事業者」が「個人データ」を取り扱う場合に最低限守るべき規範について、法的義務として行われるものである。

なお、個人情報保護法では、安全管理措置義務関連の規定のほか、個人情報取扱事業者は、利用目的の達成に必要な範囲内において、その取り扱う個人データを正確かつ最新の内容に保つよう努めなければならず（同法第 19 条）、さらに、それが「保有個人データ」

（同法第 2 条 5 項）に該当する場合には、その内容が事実でない場合には、利用目的の達

成に必要な範囲内において、本人からの訂正等の求めに応じなければならない（同法第 26

条 1 項）。

(16)

(2) 説明

企業における情報セキュリティ対策は、経営管理の視点から、事業活動を円滑に行うこととの関係に留意しながら、自社の保有する情報資産の安全性を確保するために行われる。

近年は、情報セキュリティ・マネジメントシステムを構築し運用するという対策を講じるところが増えてきている。

情報セキュリティ対策における対象情報の特定、及びその保護のレベルの設定は、本来経営者がその責任の中で決定していくべきものである。しかし、近年、情報に関する各種法令が整備されていくとともに、法的義務を遵守すること、他人の権利利益を侵害しないこと、又は、情報を法的に保護していくために必要な対応を行うことといった観点から企業における情報管理においては、法令遵守（コンプライアンス）が求められることが増えてきている。個人情報保護法も、またそうした法規制の一つである。

「個人データ」の安全管理（情報セキュリティ対策）は、「個人情報取扱事業者」においては、法的義務であるため、経営の自由として経営者の裁量に属する事柄ではなく、その義務の内容を理解し、事業活動の前提として法の求める対応を十分に尽くしておかなくてはならないことになる。

なお、個人情報保護法では、情報セキュリティ対策（安全管理）のほかに、原則として特定された利用目的の範囲内で取り扱うこと（同法第 16 条）、本人からの苦情について適切かつ迅速に処理するよう努めること（同法第 31 条）が義務付けられている。また、個人データを正確かつ最新の内容に保つよう努めなければならず（同法第 19 条）、特に「保有個人データ」については、その内容が事実でない場合、利用目的の達成に必要な範囲内において、本人からの訂正等の求めに応じる義務もある（同法第 26 条 1 項）。正確性の確保及び訂正に応じる義務は、情報セキュリティ対策における情報の完全性に関係する規定であるということができる。

個人情報の保護に関する法律第 2 条（定義）、第 16 条（利用目的による制限）、第 19 条（正確性の確保）、第 20 条（安全管理措置）、第 21 条（従業者の監督）、第 22 条（委託先の監督）、第 26 条（訂正等）

経済産業分野の個人情報保護ガイドライン（法第 2 条関連、法第 20 条関連～法第 22 条関連）

(4) 裁判例

情報セキュリティと個人情報に関わる民事責任に関して、

(17)

京都地裁平成 13 年 2 月 23 日判決・判自 265 号 17 頁（宇治市住民基本台帳データ大量漏えい事件判決）

大阪高裁平成 13 年 12 月 25 日判決・判自 265 号 11 頁、最高裁平成 14 年 7 月 11 日決定・判自 265 号 10 頁

札幌地裁平成 17 年 4 月 28 日判決・判自 268 号 28 頁（北海道警捜査情報漏えい事件判決）

札幌高裁平成 17 年 11 月 11 日判決

大阪地裁平成 18 年 5 月 19 日判決・判時 1948 号 122 頁・判タ 1230 号 227 頁東京地裁平成 19 年 2 月 8 日判決・判時 1964 号 113 頁・判タ 1262 号 270 頁東京高裁平成 19 年 8 月 28 日判決・判タ 1264 号 299 頁

2-1.3.2.

委託先の監督責任

個人データの取扱いの全部又は一部を委託するにあたって、個人情報保護法は委託元に監督責任を課しているが、具体的にはどのような責任が生ずるのか。また、監督責任を果たすために何をしなければならないのか。

(1) 考え方

個人情報保護法は、個人情報取扱事業者による個人データの第三者提供を制限しているが、委託元である当該事業者の責任の下で、その取扱いを委託する場合、委託先はその制限の対象となる場合の「第三者」に該当しないこととしている（同法第 23 条第 4 項第 1 号）。しかし、委託先が個人データを取り扱うにあたっては、同法が定める安全管理措置を遵守させるよう必要かつ適切な監督を行うことが委託元に義務付けられている（同法第 22 条）。

(2) 説明

1) 委託先を監督する責任の内容

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合、個人情報保護法第 20 条に基づく安全管理措置義務が尽くされるよう、委託先に対し必要かつ適切な監督をしなければならない（個人情報保護法第 22 条）。

委託先の監督責任の内容は、委託業務の内容に対して必要のない個人データを提供しないことをはじめとして、取扱いを委託する個人データの内容を踏まえ、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事

(18)

業の性質及び個人データの取扱状況等に起因するリスクに応じた、必要かつ適切な措置を講じることである。

「必要かつ適切な監督」の内容としては、①委託先を適切に選定すること、②委託先との間で必要な契約を締結すること、③委託先における委託された個人データの取扱状況を把握することなどが考えられる（経済産業分野の個人情報保護ガイドライン 2-2-3-4.委託先の監督）。

2) 委託先の選定

委託先を適切に選定するためには、委託先の個人情報保護水準が委託する当該業務内容に応じて、個人情報保護法が定める安全管理措置義務として適切な水準にあることを合理的に確認することが必要であり、継続的に適切な選定を実施するために委託先の評価を適宜実施することも求められる。

3) 委託契約

委託契約には、当該個人データの取扱いに関する必要かつ適切な安全管理措置として、

委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を合理的に把握することを盛り込むことが求められる。なお、本人からの損害賠償請求に係る責務を、安全管理措置に係る責任分担を無視して一方的に委託先に課すなど、

優越的地位にある者が委託元の場合、委託先に不当な負担を課すことがあってはならない。

個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項としては、① 委託元及び委託先の責任の明確化、②個人データの安全管理に関する事項（個人データの漏えい防止・盗用禁止に関する事項、委託契約範囲外の加工・利用の禁止、委託契約範囲外の複写・複製の禁止、委託契約期間、委託契約終了後の個人データの返還・消去・廃棄に関する事項）、③再委託に関する事項（再委託を行うに当たっての委託元への文書による報告）、④個人データの取扱状況に関する委託元への報告の内容及び頻度、⑤契約内容が遵守されていることの確認（例えば、情報セキュリティ監査なども含まれる。）、⑥契約内容が遵守されなかった場合の措置、⑦セキュリティ事件・事故が発生した場合の報告・連絡に関する事項、が挙げられる。

4) 個人データの取扱状況の把握

委託先における委託された個人データの取扱状況を把握するためには、委託契約で盛り込んだ内容の実施の程度を相互に確認することが望ましい。

また、委託元が委託先について「必要かつ適切な監督」を行っていない場合で、委託先が再委託をした際に、再委託先が適切といえない取扱いを行ったことにより、何らかの問題

(19)

が生じた時は、元の委託元がその責めを負うことがあり得るため、再委託する場合は注意を要する。

5) 委託と共同利用の違い

個人データを特定の委託先に提供する場合について、個人情報取扱事業者によっては、

個人情報保護法の解釈上、個人データの取扱いの委託ではなく、個人データの共同利用（同法第 23 条第４項第 3 号）にあたると誤解していることがある。委託先への提供は委託先の監督責任が発生する一方で、共同利用は、共同して利用する個人データの管理について責任を有する者を指定する必要はあるものの、同法において共同利用先の監督責任を負うものではない。

この点につき、共同利用か委託かは、個人データの取扱いの形態によって判断されるものであって、共同利用者の範囲に委託先事業者が含まれる場合であっても、委託先との関係は、共同利用となるわけではなく、委託先の監督義務を免れるわけでもない。よって、

共同利用者の範囲に含まれる事業者に個人データの取扱いを委託し、個人データを提供しているからといって、委託元がこれを共同利用とみなすこととしたとしても、そもそも委託先の監督責任が問われることとなる。

6) 委託先の監督責任をとりまく課題

委託先の監督責任については、①個人情報取扱事業者に該当しない事業者に個人データの取扱いを委託する際に安全管理措置を遵守するための留意事項、②委託先への検索性・

体系性がない個人情報の取扱いの委託、③安全管理措置の実施と法令遵守の問題などがある。

①の問題は、個人情報データベース等を構成する個人情報によって識別される特定の個人の数が 5,000 人を超えない事業者は、個人情報取扱事業者に該当しない。そのため、

このような事業者に委託する場合、当該委託先は安全管理措置義務を直接には負わないが、

委託元は委託先において個人情報の漏えい等が発生することにより監督責任及び個人情報取扱事業者自身の安全管理措置義務違反を問われることから、委託先において個人情報が安全に管理されるよう契約の定めによって義務を課す必要がある。

②の問題は、個人データ（個人情報データベース等を構成する個人情報）は、データベースから出力されるなどして 1 件の個人情報として取り扱われる場合であっても、委託元である個人情報取扱事業者にとっては「個人データ」であることには変わりがない。しかし、委託先に当該個人データを検索性・体系性がない情報として提供した場合、委託先にとっては「個人情報」を取得したに過ぎないことから、同一の個人情報でありながら委託先においては個人データには該当しない。この場合、委託先は当該「個人情報」に係る安

(20)

全管理措置義務を直接には負わないものと解されるが、委託業務の内容に対して必要のない個人データを提供しないという委託先の監督責任の趣旨からも、委託先には委託にあたって必要最低限の個人データを提供することが望ましく、また、委託元自身に安全管理措置義務が課せられており、委託した個人データに関しても委託先への監督を通して安全管理措置を担保するという法の趣旨からも、委託先にとっては個人データに該当しない個人情報についても適切に管理されるよう委託先に求めることが必要となる。

③の問題については、安全管理措置の実施に必要な措置を講ずることが、法令遵守のための対応でありながら他の法令に適合しない対応にならぬよう注意すべきである。具体的には、本人からの損害賠償請求に係る責務を安全管理措置に係る責任分担を無視して一方的に受託者に課すなど、優越的地位にある者が委託元の場合、委託先に不当な負担を課すこと（経済産業分野の個人情報保護ガイドライン 2-2-3-4.委託先の監督）、派遣労働者など雇用関係にない者との間で個人情報の取扱に係る契約を直接結ぶことや、誓約書において損害賠償額の予定や違約金を定めるなど労働基準法第 16 条に違反する場合等が挙げられる。

個人情報の保護に関する法律（平成 15 年 5 月 30 日法律第 57 号）

個人情報の保護に関する法律施行令（平成 15 年 12 月 10 日政令第 507 号）

経済産業分野の個人情報保護ガイドライン (4) 裁判例

特になし

2-1.3.3.

安全管理措置義務の対象となる個人情報

日本の個人情報保護制度では、個人情報を取り扱う主体ごとに安全管理措置の対象となる個人情報の範囲は異なるか。

(1) 考え方

法令が定める安全管理措置義務の対象となる個人情報の範囲は個人情報を取り扱う主体ごとに異なる。具体的には、個人情報取扱事業者は「個人データ」、国及び独立行政法人等は「保有個人情報」が対象となる。また、地方自治体の場合、「個人情報」から「保有個人情報に該当する情報」に至るまで実施機関ごとに異なる。

(21)

(2) 説明

個人情報保護制度においては、個人情報を取り扱う主体ごとに適用される法令が異なる。

民間部門の個人情報取扱事業者には「個人情報保護法」、国の行政機関は「行政機関個人情報保護法」、独立行政法人等には「独立行政法人等個人情報保護法」が適用される。また、地方自治体については国の個人情報保護に関する法律の義務規定は適用されず、各自治体の個人情報保護に関する条例が適用される。

そのため、法令で定める安全管理措置義務の対象となる個人情報の範囲も、組織ごとに異なる。

民間部門の個人情報取扱事業者について、安全管理措置義務の対象となるのは「個人データ」である。個人データとは、「個人情報データベース等（コンピュータのデータベースか紙媒体かを問わず、特定の個人情報を容易に検索することができるように体系的に構成したもの）」を構成する個人情報のことをいう。

ただし、個人情報データベース等を事業の用に供している場合であっても、それを構成する個人情報によって識別される特定の個人の数の合計が過去6か月以内のいずれの日においても 5,000 人を超えない事業者は、個人情報取扱事業者に該当しないため、個人データの安全管理措置義務を負わない。

国の行政機関と独立行政法人等については、主として「保有個人情報」がその対象になる。「保有個人情報」とは、行政機関の職員（独立行政法人等の場合は、独立行政法人等の役員又は職員）が職務上作成し、又は取得した個人情報であって、当該行政機関の職員

（独立行政法人等の場合は、当該独立行政法人等の役員又は職員）が組織的に利用するものとして、当該行政機関（当該独立行政法人等）が保有しているものをいう。ただし、行政文書（行政機関の保有する情報の公開に関する法律（平成 11 年法律第 42 号）第 2 条第 2 項に規定する行政文書をいう。）（独立行政法人等の場合は、独立行政法人等の保有する情報の公開に関する法律（平成 13 年法律第 140 号）第 2 条第 2 項に規定する法人文書（同項第 3 号に掲げるものを含む。）に記録されているものに限られる。

また、地方自治体については、個人情報にあたる情報から保有個人情報にあたる情報に至るまで、各自治体の個人情報保護条例によって安全管理措置義務の対象となる個人情報は異なる。

このように、個人情報保護制度上は、個人情報を取り扱う主体ごとに適用される法令に基づき安全管理措置義務の対象となる個人情報の範囲が異なるため、同一の個人情報であってもその主体及び取扱態様により安全管理措置義務を負わない場合がある。

(22)

なお、個人情報保護法上の安全管理措置義務の対象とならない個人情報については、安全管理措置を怠った結果により漏えい等が発生した場合、同法が定める安全管理措置義務違反には該当しないとしても、同法に関する各省庁のガイドラインに反することがあるほか、それらの情報が個人のプライバシーに係る情報に該当する場合には、プライバシー侵害として責任を負う可能性がある。

個人情報の保護に関する法律（平成 15 年 5 月 30 日法律第 57 号)

個人情報の保護に関する法律施行令（平成 15 年 12 月 10 日政令第 507 号）（平成 20 年 5 月 1 日政令第 166 号）

経済産業分野の個人情報保護ガイドライン

行政機関の保有する個人情報の保護に関する法律（平成 15 年 5 月30 日法律第 58号）

行政機関の保有する個人情報の保護に関する法律施行令（平成 15 年 12 月 25 日政令第 548 号）

行政機関の保有する個人情報の適切な管理のための措置に関する指針について（平成 16 年 9 月 14 日付け総管情第 84 号総務省行政管理局長通知）

独立行政法人等の保有する個人情報の保護に関する法律（平成 15 年 5 月 30 日法律第 59 号）

独立行政法人等の保有する個人情報の保護に関する法律施行令（平成 15 年 12 月 25 日政令第 549 号）

独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針について

（平成 16 年 9 月 14 日付け総管情第 85 号総務省行政管理局長通知）

地方公共団体の条例 (4) 裁判例

特になし

(23)

4. 加害行為規制類型

2-1.4.1. コンピュータウイルスの作成・送付

コンピュータウイルスによって企業活動を阻害した場合に、刑法上処罰され得るか。

(1) 考え方

現実社会では、病院や研究所から細菌・ウイルスなどの微生物が外部へ漏出してひき起こされる災害や障害（バイオハザード）が問題となっているが、サイバースペースでも、

悪意に満ちたプログラムの伝播・感染が現実の問題となっている。

コンピュータウイルスに関する行為は、電子計算機損壊等業務妨害罪（刑法第 234 条の 2）や電磁的記録毀棄罪（刑法第 258 条、第 259 条）などの規定に該当すれば、処罰され得る。

(2) 説明

「コンピュータウイルス対策基準」（通商産業省告示第 952 号）によると、コンピュータウイルスとは、「第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり」、①自己伝染機能（自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、他のシステムに伝染する機能）、②潜伏機能（発病するための特定時刻、一定時間、

処理回数等の条件を記憶させて、発病するまで症状を出さない機能）、③発病機能（プログラム、データ等のファイルの破壊を行う、設計者の意図しない動作をする等の機能）のうち、一つ以上の機能を有するものである。

刑法には、コンピュータ犯罪に関連して、電磁的公正証書原本不実記録罪関係（刑法第 157 条、第 158 条）、電磁的記録不正作出罪関係（刑法第 161 条の 2）、電子計算機損壊等業務妨害罪関係（刑法第 234 条の 2）、電子計算機使用詐欺罪関係（刑法第 246 条の 2）、電磁的記録毀棄罪関係（刑法第 258 条、第 259 条）などの規定がある。

電磁的記録毀棄罪関係については、刑法第 258 条に「公務所の用に供する文書又は電磁的記録を毀棄した者は、三月以上七年以下の懲役に処する。」と定められ、刑法第 259 条に「権利又は義務に関する他人の文書又は電磁的記録を毀棄した者は、五年以下の懲役に処する。」と定められている。

電子計算機損壊等業務妨害罪関係については、刑法第 234 条の 2 に「人の業務に使用

する電子計算機若しくはその用に供する電磁的記録を損壊し、若しくは人の業務に使用す

る電子計算機に虚偽の情報若しくは不正な指令を与え、又はその他の方法により、電子計

算機に使用目的に沿うべき動作をさせず、又は使用目的に反する動作をさせて、人の業務

(24)

を妨害した者は、五年以下の懲役又は百万円以下の罰金に処する。」と定められている。

なお、電磁的記録毀棄罪関係及び電子計算機損壊等業務妨害罪関係には、予備や未遂を処罰する規定は定められていない。

刑法第 234 条の 2（電子計算機損壊等業務妨害）など (4) 裁判例

特になし

(25)

第2節機密性（C）に関するもの

1. はじめに

機密性とはアクセスを認可された者だけが情報にアクセスすることを確実にすることをいう。かかる機密性を侵害する行為には、例えば個人情報の漏えいや、営業秘密の不正取得行為などがある。

機密性について情報を管理する事業者に管理責任を課する法令としては、前述した個人情報保護法、あるいは会社法の内部統制のうちの一部がある。特に、情報を管理する事業者が個人情報を漏えいした際には、情報を管理する事業者は一定の対応を求められる。

一方で、加害行為について規制する法令については、民法上は、不法行為責任あるいは契約責任に基づいて損害賠償及び事前差止めを請求し得る。損害賠償あるいは事前差止めについては特にプライバシー権の侵害について問題となる。損害賠償が認められた場合には、その賠償額は年々高額になる傾向がある。

また、不正競争防止法上の「営業秘密」に関し、不正競争防止法上の保護を受けるためには一定の要件を満たしておく必要がある

¹¹

（2-2.2.1. ）。そして、その要件を満たすための内部規定整備の方法などについても言及した（2-2.2.2. ）。従業員等が作成に関与した情報についてどのような場合に営業秘密となるのかについても問題となり得る

（2-2.2.3. ）。

刑事法上は、情報の不正入手について一般的に処罰する規定があるわけではなく、侵害の態様によって個別的な処罰が問題となるに過ぎない。例えば、情報が載った有体物を故意に持ち出した場合には窃盗罪（刑法第 235 条）の成立が問題になり得るし、ネットワークコンピュータに対して不正にアクセスした場合には不正アクセス罪の成立が問題となる（2-2.3.1. ）。不正アクセス禁止法による保護を受けるためにはどのような点に留意する必要があるかについても検討した（2-2.3.2. ）。

さらに、管理している情報について、不正競争防止法上の保護以外にどのような保護を受け得るのか検討した（2-2.4.1. ）。そして、秘密文書等についてコピー、改変の禁止のために技術的な保護手段を講じている場合に、この技術的保護手段を回避する行為に対して著作権法上どのような問題が生じるのか検討するとともに、不正競争防止法上の技術的制限手段について回避する行為に関する法的問題についても検討した（2-2.4.2. ）。

11 不正競争防止法上の営業秘密に関する保護は、営業秘密を侵害する者に対して法的責任を負わせるものとして加害行為類型に分類されることとなる。しかしながら、不正競争防止法上の法的保護を受けるためには、情報を管理する事業者は、有用性、非公知性、秘密管理性の3つの要件を満たしておく必要があり、その意味で事業者に情報の管理を求める側面がある。

(26)

2. 営業秘密 2-2.2.1. 情報の秘密管理

情報システムなどで管理される企業の秘密情報が営業秘密として不正競争防止法で保護されるためには、情報を「秘密として管理」していなければならない（秘密管理性）。情報をどのように管理していれば秘密管理性が認められるのか。

(1) 考え方

不正競争防止法の営業秘密としての保護を受けるためには、後掲のとおり有用性、非公知性、秘密管理性の 3 つの要件を満たす必要がある。情報の秘密管理という側面からは、

このうちの秘密管理性、すなわち、①情報にアクセスできる者を制限し（アクセス制限）、

②情報にアクセスした者にそれが営業秘密であると認識できること（客観的認識可能性）、が必要となる。秘密管理性の判断は、諸般の要素が総合的に考慮されるため、営業秘密としての保護を受けるためには、過去の裁判例で秘密管理性の判断の際に考慮された要素を参考に、上記の要件を満たす管理をする必要となる。

(2) 説明

不正競争防止法では「営業秘密」は、「秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。」と定義されている（不正競争防止法第 2 条第 6 項）。したがって、企業の事業活動に有用で非公知な情報が不正競争防止法において営業秘密として保護されるためには、その情報が前述の定義を満たす必要があり、「秘密として管理」されていること（秘密管理性）

が要件となる。裁判例では、この秘密管理性が認められるためには、①情報にアクセスできる者を制限され（アクセス制限）、②情報にアクセスした者にそれが営業秘密であると認識できること（客観的認識可能性）、が必要であるとされている。

ただし、秘密管理性は、諸般の要素をもとに個々の事案ごとに裁判所により判断されることになるため、秘密管理性を満たすための客観的な管理水準を確定することは困難である。過去の裁判例で秘密管理性の判断に影響を与えた要素は、今後の裁判所の秘密管理性の判断の際にも影響を与える要素となる可能性が高いため、企業の秘密管理体制を検討する際には、これらの過去の裁判例で考慮された要素を参考にすることが望ましい。秘密管理性についての裁判例は多数あるが、具体的には、以下のような要素について秘密管理性を認めるための要素として考慮されている。

1) 物理的、技術的に秘密情報を隔離・明示する方法

保管場所の隔離・施錠、アクセス権者の制限、電子データの複製の制限、不正

(27)

アクセスの防御措置、外部ネットワークからの遮断、保管媒体の持出禁止、「秘」

であることの表示等 2) 人的管理

秘密保持契約の締結、就業規則における秘密保持義務の規定、社員教育・研修の実施、秘密情報の取扱、アクセスに関するルールの策定等

なお、これらはあくまで過去の裁判例で考慮された要素であり、秘密管理性の判断の際に考慮され得る要素は、これに尽きるものではないと考えられる。また、これらの要素の一つでも満たしていないものがあれば秘密管理性が否定されるわけではない。

過去の裁判例で秘密管理性の判断に影響を与える可能性のある要素や過去の裁判例では問題となっていないが、秘密管理性の判断に影響を与える可能性のある要素については、

経済産業省の「営業秘密管理指針」などで提示されている要素が参考となる。

不正競争防止法第 2 条第 1 項第 4 号～第 10 号・第 6 項

営業秘密管理指針改訂版（平成 17 年 10 月 12 日最終改訂・経済産業省）

(4) 裁判例

秘密管理性を認めた主な裁判例：

大阪高裁平成 20 年 7 月 18 日判決大阪地裁平成 20 年 6 月 12 日判決東京地裁平成 17 年 6 月 27 日判決東京地裁平成 16 年 5 月 14 日判決大阪地裁平成 15 年 2 月 27 日判決東京地裁平成 15 年 11 月 13 日判決大阪高裁平成 14 年 10 月 11 日判決東京地裁平成 15 年 2 月 27 日判決大阪地裁平成 12 年 7 月 25 日判決

東京地裁平成 12 年 11 月 13 日判決・判時 1736 号 118 頁・判タ 1047 号 280 頁

情報セキュリティ関連法令の要求事項集 平成 21 年６月 経済産業省