秘密管理性に疑義がある企業秘密の漏えい

先日、会社にとっての企業秘密であっても、秘密管理の方法がずさんなら、不正競争防止法の「営業秘密」として、法的に保護されないとのエントリーを書きました。

情報管理のためにパスワードを設定しても、秘密管理がずさんなら「営業秘密」として保護されない

先日のエントリーのきっかけになったケースと同種の情報漏えい(情報紛失)が連続して発生しています。

「航空会社AIRDO(エア・ドゥ)の男性社員が、羽田空港の第1、第2ターミナルビルの職員専用エリア出入り口の暗証番号を記した紙を紛失していたことが2日、分かった。」(日本経済新聞平成26年5月2日(金)夕刊より)

「ANAホールディングスの子会社「ANAウイングス」の30代男性パイロットが、全国30以上の空港の関係者専用エリアに出入りできる暗証番号を記載したメモを一時紛失したことが2日、分かった。」「パイロットは4月25日未明、酒を飲んだ後、愛知県内のコンビニ店でかばんごとメモを置き忘れた。店員が約1時間後に愛知県警に届け、同日中にパイロットに戻った。」(日本経済新聞平成26年5月3日(土)朝刊より)

4月20日にスカイマークの社員が、暗証番号を書いた紙を20分間紛失して、暗証番号の変更を余儀なくされてから、わずか2週間足らずで2件の同種事案が発生したことになります。

航空会社の秘密管理性

エア・ドゥもANAウイングスも「暗証番号は暗号化」され、暗証番号を知った人が、そのままでは使えないように対処している点は、暗証番号が漏えいしたときのことを想定した予防策を講じていたということなので、この点は評価できると思います。

しかし、スカイマーク、エア・ドゥ、ANAウイングスの3社に共通しているのは、暗証番号を記載した紙を所持してたが故に、それを紛失した(暗証番号を紙に記載して持ち歩くことには対策を講じていなかった)、ということです。この点は非難されるべき点です。

そもそも暗証番号を紙に書いて持ち歩くことの是非については、先日のエントリーに書いたとおりです。
今日は、それとはまた違う角度から、暗証番号という情報のセキュリティ・情報管理に対する取締役の責任に触れてみたいと思います。

「情報保存管理体制」の整備についての取締役の責任

情報セキュリティの目的は、企業の損害発生の予防

企業が、情報セキュリティ対策を講じる最大の理由は、企業秘密や顧客情報などが漏えいして、漏えいの被害者(取引先や顧客)から企業に対する損害賠償を防ぐためです。裏を返せば、企業に個人情報を預けてくれた人に余計な損害を生じさせないように防ぐためです。
もう一つ付け加えるなら、企業の情報管理体制に対する世の中からの批判を防ぐ、情報管理に対する信頼を確保するためでもあるといえます。

このように情報セキュリティ対策を講じるのは、どちらかというと、企業が賠償を負担することがないようにとの企業危機管理的視点からの損害賠償対策に重きがおかれていました。

情報の保存管理体制の整備義務

しかし、企業の取締役・取締役会の立場に立って考えてみると、企業がこうした損害賠償対策を講じることは、単に、将来の損害賠償を予防するため、企業に個人情報を預けてくれた人に余計な損害を生じさせないようにするため、企業の信頼を維持するためだけを意味するものではありません。

取締役・取締役会にとっては、暗証番号を含む情報の保存管理をしなければならないことは法的な義務なのです。
取締役・取締役会は、いわゆる「内部統制システム」、会社法の言葉を用いれば「業務適正確保体制」を整備しなければならない法的義務を負います。
この「業務適正確保体制」の中には、「情報の保存及び管理に関する体制」を含むと定められています。
すなわち、取締役・取締役会は、「情報の保存及び管理に関する体制」を整備しなければならない法的義務を負っている、と理解できます
この保存・管理されるべき「情報」には、本件のような暗証番号は当然、含まれます。

企業が取り組むべき情報の保存管理体制の整備

航空会社各社が情報の保存管理体制としてルール化すべき内容

航空会社各社にて、一連の暗証番号の紛失が発生した原因は「従業員が暗証番号を記載した紙を紛失」したことでした。
この原因からは、そもそも、従業員が暗証番号を記載した紙を持ち歩くことがなければ問題は生じなかったはずである、ということがわかります。

そうだとすれば、取締役らは、暗証番号という情報の保存管理体制として、「従業員が暗証番号を紙に書き出さないようにする」あるいは「暗証番号を書き出した紙を持っている場合には持ち歩いてはいけない」といった、暗証番号を紙に書き出すことを禁止する、暗証番号が書かれている紙を持ち歩くことを禁止するところから体制を整備(ルール化)していかなければならない、ということになります。
紙への書き出しを禁止するのか、暗証番号が書かれた紙の持ち歩きを禁止するのかは、どちらがいいかは取締役らの裁量です。
今のように、暗証番号が漏えいしたときに備えて暗証番号をそのままでは使えないとする体制(ルール)だけでは、不十分ということです。

情報の保存管理体制を整備・改善する時期

では、取締役らは、いつ、こうした情報の保存管理体制の整備に取り組まなければならないでしょうか。答えは、「今すぐ」です。

一連の暗証番号の紛失事案が続いていますので、各企業の取締役は、暗証番号の紛失という危機の存在を知った状態にあります。
この場合、取締役は、暗証番号の紛失という危機を回避しなければなりません。
危機の存在をしっているからこそ、再発を予測できるし、再発を回避することもできます。
となると、暗証番号の紛失事案が続発している今こそ、こうした情報の保存管理体制の整備、改善に取り組まなければならないのです。

情報の保存管理体制の整備義務違反の責任

他方、今すぐには、暗証番号の保存管理体制を整備しないで放置していた。
整備するまでの間に、暗証番号が再度、外部に漏えいしてしまった。
そのうえ、今までの報道とは異なり、暗証番号を入手した第三者がそれを悪用して、空港内の立入禁止エリアや一時的な立入制限エリア、特に航空業務に支障が出るようなエリアへの立入などが発生してしまった。

こうした事態に至ってしまった場合、取締役は情報漏えいという危機の存在を知っていたのに、情報の保存管理体制を整備していなかったという評価になりかねません。
しかも、再発を予測して情報保存管理体制を整備することは容易に可能だったのに、整備しなかったという評価になります。

そうなれば、万が一、暗証番号を入手した第三者がそれを悪用し、航空業務に支障が生じるような事態に陥れば、取締役は情報の保存管理体制を整備する法的義務を履行していなかったことを理由に、法的責任(損害賠償など)を問われる可能性があります。