IT & Information security Journal
長瀨 佑志
弁護士法人長瀬総合法律事務所 弁護士
これまで当社では、会社が貸与した携帯電話やPCなどの社用端末や業務用メールアドレスの使用方法に関するルールを特に設けていませんでした。しかし先日、従業員が勤務時間中であるにもかかわらず、会社が貸与した携帯電話やPCから私的なメールを外部に送信していたことが判明し、現場から会社として対策を講じてほしいという声が上がっています。
具体的な対策を講じるために、社用端末や業務用メールアドレスの私的利用による企業リスクを整理してください。
従業員が会社から貸与された携帯電話やPC、業務用メールアドレスを私的に利用したことによる主な企業リスクとして、①情報漏えいリスク、②職務専念義務違反等の労務管理上のリスク、③信用リスクが懸念されます。特に、①情報漏えいリスクは、企業が多額の損害賠償責任を負うケースがあるため十分な対策を講じる必要があります。
企業における社用端末(PCや携帯電話など)やメールアドレス(以下「社用端末等」といいます)の私的利用によって想定されるリスクは、主に以下の3つに整理できます。
社用端末等の私的利用による企業リスクとしてもっとも強く懸念されるものとして、情報漏えい・セキュリティリスクがあげられます。
社用端末等の私的利用中に、業務上不要なウェブサイトにアクセスすることにより、マルウェアやウイルスに感染するリスクがあります。また、社用端末等で私的なメールの送受信を行うことにもウイルス感染のリスクがあるほか、誤送信などによって企業の機密情報が外部に漏れるリスクもあります。
情報漏えいリスクは、以下のとおり様々な類型・原因が考えられますが、社用端末等の私的利用によって、情報漏えいリスクはさらに増大することになります。
| 類型 | 漏えい原因分類 | 具体例 |
|---|---|---|
| 過失型 | 設定ミス | ウェブ等の設定ミスによる、外部から情報を閲覧できる状態および情報漏えい |
| 誤操作 | メール・FAX等の送信・送付ミス | |
| 紛失・置き忘れ | 外部にPC等の端末の置き忘れ | |
| 管理ミス | 引継ぎ時の受渡し漏れ等 | |
| バグ・セキュリティホール | OS等のバグ・セキュリティホールによる外部から情報を閲覧できる状態および情報漏えい | |
| 目的外使用 | 関係会社など、開示範囲外の組織への公開 | |
| 不正型 | 内部犯罪・内部不正行為 | 社員の機密情報の不正持ち出しによる売却 |
| 不正な情報持出し | 社員や外部業者等の機密情報の不正持ち出しによる漏えい | |
| 被害型 | 不正アクセス | ハッカー等による外部からの不正アクセスに起因する漏えい |
| ワーム・ウイルス | ワームの感染による意図しないメール送信 | |
| 盗難 | 車上荒らし等 |
このような情報漏えいが発生すると、企業は情報管理責任を問われ、場合によっては高額な損害賠償請求を受けるリスクがあります。
過去に発生した企業の情報漏えい事件として、以下のような事例があげられます。
過去に発生した情報漏えい事件
なお、これらは企業が任意に損害の補償を提示した事例ですが、裁判ではより高額な損害額が認定される傾向にあります。
TBC顧客アンケート漏えい事件 1 は、ウェブサイトで、無料体験や資料送付等に応募した者の氏名、住所、電話番号、メールアドレス等の個人情報が、エステティック会社が業務委託した会社の過失により流出した事案ですが、1人あたり慰謝料3万円、弁護士費用5,000円の損害賠償が認められています。
このように、情報漏えいが発生すると、場合によっては企業の存続を左右するほどの高額な損害賠償責任を負うリスクがあり得ます。
社用端末等の私的利用には、企業設備の不適切使用や職務専念義務違反の問題があります。
労働契約の最も基本的な義務として、従業員は、使用者の指揮命令に従いつつ職務を誠実に遂行すべき義務があります。また、労働時間中は職務に専念し、他の私的活動を差し控える義務があります(職務専念義務)。
使用者の許可なく、勤務時間中に業務と関係のない社用端末等の私的利用を行うことは、職務専念義務に違反することとなります。また、社用端末等の私的利用が就業規則等で禁止されており、就業規則中の懲戒事由に該当する場合、使用者はその従業員に対して懲戒処分を下すことも考えられます。
このほか、従業員が業務と無関係なインターネット接続等を行うなど、勤務時間中に業務と関係のない社用端末等の私的利用を行っていた場合には、労務を提供していないため、「ノーワークノーペイの原則」に従って労働時間から控除することも考えられます。
ただし、社用端末等の私的使用はすべて禁止することが認められるとは限られない場合があることには留意が必要です。
たとえば、家族の事故や病気その他の重要な連絡を取る必要がある場合、勤務中の携帯電話の使用や電子メールでのやり取りなどについては、従業員の一定程度の私的使用を許容すべきと判断されることがあります。
F社Z事業部(電子メール)事件 2 では、社内ネットワークシステムを用いた私的電子メールの送受信について、次のように判断されました。
「勤労者として社会生活を送る以上、日常の社会生活を営む上で通常必要な外部との連絡の着信先として会社の電話装置を用いることが許容されるのはもちろんのこと、さらに、会社における職務の遂行の妨げとならず、会社の経済的負担も極めて軽微なものである場合には、これらの外部からの連絡に適宜即応するために必要かつ合理的な限度の範囲内において、会社の電話装置を発信に用いることも社会通念上許容されていると解するべき」
(F社Z事業部(電子メール)事件・東京地裁平成13年12月3日判決・労判826号76頁)
ただし、この事例では、従業員が社内ネットワークシステムを用いて電子メールを私的に使用する場合に期待し得るプライバシーの保護の範囲を、次のように示しており、私的な電子メールを従業員の許可なく閲覧することはプライバシー権の侵害にはあたらないと判断しています。
「従業員が社内ネットワークシステムを用いて電子メールを私的に使用する場合に期待し得るプライバシーの保護の範囲は、通常の電話装置における場合よりも相当程度低減されることを甘受すべきであり、(中略)監視の目的、手段及びその態様等を総合考慮し、監視される側に生じた不利益とを比較衡量の上、社会通念上相当な範囲を逸脱した監視がなされた場合に限り、プライバシー権の侵害となると解するのが相当である」
(F社Z事業部(電子メール)事件・東京地裁平成13年12月3日判決・労判826号76頁)
また、グレイワールドワイド事件 3 では、就業規則等に特段の定めがない限り、社会通念上相当と認められる限度で、使用者のパソコン等を利用して、1日2通程度の就業時間中の私用メールを送受信しても、職務専念義務に違反するものではないと判断されました 4。
このように、社用端末等の私的利用をどこまで制限し、どこまでは許容するのかは、情報管理上のリスクや労務管理上のリスクも勘案して検討する必要があります。
社用端末等の私的利用が発覚した場合、社用端末等の私的使用に伴う情報漏えいリスクが生じた際は当然として、そのようなリスクが生じなかったとしても、企業としての情報管理、労務管理体制を疑われ、企業としての信用が毀損されるリスクがあります。
また、このような対外的な信用リスクのほかにも、企業において情報管理規程やコンプライアンス規程を設定していた場合、従業員の社用端末等の私的利用が社内の各規程に抵触し、コンプライアンス管理上のリスクにつながることも考えられます。
このように、従業員による社用端末等の私的利用にともない、企業には①情報漏えいリスク、②労務管理上のリスク、③信用リスクなど、様々な法的リスクが生じることが懸念されます。
企業リスクを適切に管理するために、企業は就業規則や情報管理規程などの社内規程を整備したり、不適切な私的利用が疑われる場合には、モニタリング調査を検討したりする必要があります。
社内規程整備の留意点や、モニタリング調査の留意点は、別稿で解説する予定です。
この記事は会員限定です。
登録すると続きをお読みいただけます。
このサイトはreCAPTCHAによって保護されており、
Googleの
プライバシーポリシー
と
利用規約
が適用されます。
長瀨 佑志
弁護士法人長瀬総合法律事務所 弁護士
弁護士法人「長瀬総合法律事務所」代表社員弁護士(茨城県弁護士会所属)。 180社以上の企業と顧問契約を締結し、労務管理、債権管理、情報管理、会社管理等、企業法務案件を扱っている。著書『企業法務のための初動対応の実務』(共著)、『若手弁護士のための初動対応の実務』(単著)、『若手弁護士のための民事弁護 初動対応の実務』(共著)、『現役法務と顧問弁護士が書いた契約実務ハンドブック』(共著)、『現役法務と顧問弁護士が実践しているビジネス契約書の読み方・書き方・直し方』(共著)ほか。
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
この記事をシェアする
最新情報をフォローする
