三菱UFJの件。

News

三菱UFJ証券管理職、全顧客148万人分の情報持ち出す(読売新聞)
 三菱UFJ証券(東京都千代田区)は8日、同社システム部の男性管理職(44)が、同社のすべての顧客148万6651人分の個人情報を不正に社外に持ち出したうえ、うち4万9159人分を、名簿業者に売却していたことを明らかにした。
 同社は同日付で、男性管理職を懲戒解雇としたうえで、警視庁に通報。刑事告訴の準備を進めている。
(引用元:http://www.yomiuri.co.jp/national/news/20090408-OYT1T00872.htm

 情報は無体物。有体物と違ってコピーができる。現物を持ち出さなくても利用ができてしまう。だから管理が難しいんだよね。いくら、持ち出しに条件をつけても、最終的には、アクセス権のある(あるいは管理する)人間の倫理に任されるしかないような気もする。
 とはいえ、やっちゃったら罰される必要があるということで、当然、三菱UFJ証券刑事告訴する、と。
 ぱっと考えて、会社員は限定列挙の中に入ってないので、秘密漏示罪(刑法)は適用されない。
 なら、何法違反なのか。名簿は営業秘密(不正競争防止法で定義)にあたるから、不正競争防止法違反で刑事告訴できるはずだけど、前例が思い浮かばない。民事訴訟だったら、幾つもあったはずなんだけどっ!
 個人情報保護法って、情報を漏示した本人に刑事罰ってあったっけ?

 ……調べてみた。そこまでおかしなことは書いてないつもり(不正競争防止法はかなりあやしいけど、実はそれが一番気になっている)だけど、ワタクシは本職ではありませんので、書いてることは鵜呑みにしないように。眠くて力尽きてますので、おかしいところはご指摘くださいー。

(*追記。窃盗・横領・背任等とか、オーソドックスな部分が真っ先に抜けていることに翌日になってから気付きました。面倒なので追記しません。ご指摘も感謝しております)

秘密漏示罪(刑法143条1項)

 秘密を漏らす、ということで、間違いなく成立しないけど、何となく考えたくなるこれから。
 秘密漏示罪は、医師、薬剤師、医薬品販売業者、助産師、弁護士、弁護人、公証人又はこれらの職にあった者が、正当な理由がないのに、その業務上取り扱ったことについて知り得た人の秘密を漏らした場合に成立する。同項の職業の列挙は限定列挙だから、条文にあげられている仕事に就いていない人が、業務上取り扱ったことについて知り得た人の秘密を漏らしても、漏らした人は、同項の主体になり得ない(=刑法143条1項の秘密漏示罪に問われない)。もちろん、特別法が同項と同様の規定を置いてその職業の人による秘密漏示を罰することも多い。だが、会社員一般の秘密漏示を罰する特別法はなく、三菱UFJ証券は元社員を秘密漏示罪で告訴することはできない。
 この辺は、法学部で刑法各論をやったことがあればすぐにわかる話だと思うが、んじゃあ会社はどうすればいいのか。元社員が漏らしたのがお客様情報という個人情報であることに異論はないだろう。ならば、個人情報保護法違反を問えるだろうか?

個人情報保護法

 個人情報保護法で罰則が課せられるのは「個人情報取扱事業者」である(56条)。罰則が課されるには、法の規定によれば幾つかの段階(32〜34条)を経る必要があるが、それより何より、罰せられる対象である「個人情報取扱事業者」は、三菱UFJ証券である。一従業員たる元社員を直接罰することはできないと考えるべきだと思う。
 ここんとこは、手元に書籍の資料がないので、非常にあやふや。だが、事業者を罰するという法の書き方や趣旨からは、個人事業者を罰することはできても、事業者の従業員を刑事罰に課すことができるとは考えにくい。

 なら、他に、何の法律があるのかってことである。
 結論から言えば、不正競争防止法違反が一番怪しそう。でも、何がどういう風に違反でどういう罪になるのかって、ややこしいんだよなぁ、すんごく。会見のニュース見たけど、システム部の部長代理だったんだよね。じゃあ、情報にアクセスする権限はあったってことかぁ。あー、悩ましい。

不正競争防止法

 不正競争防止法は、営業秘密を「秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術又は営業上の情報であって、公然と知られていないもの」と定義している(2条6項)。主に、「秘密として管理されていて」「有用で」「公然と知られていない」という3つの条件を満たす必要があるが、本件で持ち出された顧客情報は、この3つの要件を満たしていると言える。
 本件では「顧客情報へのアクセス権限がある社員は元部長代理を含め8人いた(毎日jp)」とのことなので、元社員は顧客データを適法に取得することができたのであり、窃盗、詐欺、強迫その他の不正の手段により営業秘密を、取得・使用・開示する行為(2条1項4号)ではない。
 適法に得た営業秘密をその従業者が使用または、開示する行為は、

  1. 使用または開示が不正の競争の目的で行われること
  2. 営業秘密の管理に係る任務に背いていること(管理任務違背)
  3. 管理任務違背が不正の競争の目的で行われること

を要件として、21条1項4号による罪を構成する。同3号も適法に得た営業秘密を無断で使用・開示することを罰するが、4号は、保有者(営業秘密を保有する事業者)の役員等を処罰する身分犯であり、悪性が強いため、3号よりもは構成要件が緩やかになっている。
 今回の件だと、システム部長代理であった元社員は、顧客データを社内で管理すべき地位にあったにもかかわらずそれを、社外に持ち出しているんだから、管理任務への違背は素直に認めてよさそう。
 しかし、本件の社外への情報漏洩は、2条1項に列挙され定義された「不正競争」にはあたらず、「不正の競争の目的」の要件を満たさないように見える。だが、不正競争防止法が事業者間の公正な競争の的確な実施を目的としている以上、成果競争を歪曲する目的一般を「不正の競争の目的」と解することが妥当である。そうすると、管理任務に違背して情報を開示する行為は、価格や品質の優劣で成果を争う成果競争を歪曲する行為そのものであり、不正の競争の目的があると言ってよいのではないか。
 また、本件情報漏洩は直接競争者たる証券会社等に対してなされたものではないが、第三者への漏洩もまた、価格や品質の優劣を競争の成果に反映させることを妨げるので、「不正の競争の目的」があると言って差し支えない。これは、著名表示の冒用(2条1項2項)でも、直接の競争者であることを要しないことからも明らか。不正競争だからといって、どんな類型でも直接の競争相手じゃなきゃいけないなんてことはない。
 と、いうことで、元部長代理の情報漏洩行為と管理任務への違背は、成果競争を阻害する不正の競争の目的で行われているから、不正競争防止法21条1項4号の要件を満たし、十年以下の懲役若しくは千万円以下の罰金、又はこれを併科されるものと思われる。

 うしっ、とりあえず結論は出したぞー。業務妨害とかはもう考えるのも面倒だー。寝るー。