こんにちは。弁護士の浅見隆行です。
2026年5月21日、改正刑事訴訟法(情報通信技術の進展等に対応するための刑事訴訟法等の一部を改正する法律、令和7年法律第39号)のうち、電磁的記録提供命令と秘密保持命令の規定が施行されました。
施行直前まで、電磁的記録提供命令は通信事業者やクラウド事業者など、いわゆるプロバイダ向けの規律として論じられることが多かったように思います。
実務的にも「うちはプロバイダではないから関係ない」と受け止めた事業会社が大半だと推察します。
しかし、電磁的記録提供命令の対象は、業務で電子データを扱うすべての事業会社に及び得ます。
施行されたいま、改めて整理しておきたい内容です。
電磁的記録提供命令とは何か
電磁的記録提供命令とは、裁判官の令状によって、裁判所や捜査機関から電子メールやチャットの履歴など「必要な電子データを提供しなさい」と命じられる強制処分です。
刑事訴訟法なので、刑事手続きが前提です。
これまで存在した「記録命令付差押え」が廃止され、その後継として、より強い効力を持つ命令制度が新設された、と整理できます。
電磁的記録提供命令の対象者
命令を受ける相手方は二類型あります。
一つは電磁的記録の「保管者」、もう一つは電磁的記録を「利用する権限を有する者」です。
「保管者」とは自社サーバーにメールデータを格納している会社や、クラウド事業者そのものなどを指します。
「利用権限を有する者」は、外部のクラウドサービスにデータが置かれていても、自社のアカウントから当該データを取り出せる立場にある会社などを指します。
一般の事業会社は、その両方に該当する場面が想定されます。
電磁的記録提供命令の対象範囲
対象となる電磁的記録の範囲は、データの形態を問いません。
社内のメールサーバーに残っている電子メールのほか、Google workspace(Gmail)のようなクラウドメール、ChatworkやSlack、Microsoft Teams、LINE WORKSといったビジネスチャットツールのDM・グループログ、社内ファイルサーバーや共有フォルダの文書、Salesforceやkintone、Notionといった業務SaaSに蓄積された顧客記録や案件記録、Web会議サービスの録画、社用スマートフォンに残るSMSやメッセージアプリの履歴、これらがいずれも対象となり得ます。
「メールだけが対象」ではないという点は、施行後に最も誤解されやすい部分だと思います。
電磁的記録提供命令違反には刑事罰
命令に従わなかった場合の罰則は1年以下の拘禁刑または300万円以下の罰金で、法人にも両罰規定が適用されます。
捜査に協力的でない者に対しても罰則の威嚇でデータを取得できる仕組みになった点が、廃止された記録命令付差押えとの最大の違いです。
秘密保持命令という新しい縛り
電磁的記録提供命令と組み合わせて使われるのが、秘密保持命令です。
裁判官の許可を得て、捜査機関は被処分者に対し、1年を超えない期間を定めて、命令を受けたこと、命令に応じてデータを提供したこと、または提供しなかったことを、みだりに漏らしてはならない、と命じることができます。
違反した場合の罰則も、提供義務違反と同じく1年以下の拘禁刑または300万円以下の罰金です。
プロバイダや通信事業者の場合は、約款やプライバシーポリシーで顧客への通知義務を負っているため、秘密保持命令がこの通知義務と真正面から衝突する、という議論が制度設計の段階で大きな焦点となりました。
一方、一般の事業会社にとっては、契約上の通知義務との衝突よりも、別の質の課題が浮上します。
それが社内での情報コントロールの問題です。
一般事業会社の本当の課題。社内で誰が知ってよいのか
情報を誰に共有してよいか
電磁的記録提供命令を受領するのは、多くの場合、会社の法務部門や総務部門の責任者です。
受領した責任者は、命令に従ってデータを提供するために、IT部門と連携してメールサーバーから対象者のデータを抽出するか、クラウド管理者権限で対象者のアカウントにアクセスする必要があります。
まず整理しておくべきは、命令を受けたのが法人である場合、法人内で役職員間に情報を共有すること自体は、秘密保持命令違反にはなりません。
両罰規定の建付けからも、命令が禁じているのは法人外部、とくに対象犯罪の被疑者本人への伝達による罪証隠滅です。
形式的な法的問題としては、社内共有はクリアな話になります。
それでも実務上、「社内のどこまで共有するか」という難しい問いは残ります。
これは法的義務の話ではなく、罪証隠滅リスクの管理と、監査役など法人を構成する独立的機関の動きの確保とのバランスの問題です。
秘密保持命令と社内調査との衝突
たとえば、ある社員の不正疑惑について内部通報が入り、すでに会社として独自に調査を始めている最中に、捜査機関から同じ社員のメールデータを提供せよという命令が届いた、という場面を想像してみてください。
社内で輪を広げれば広げるほど、対象社員本人や対象社員と日常的に接している者を経由して、本人に話が伝わるリスクが高まります。
秘密保持命令の主たる狙いは罪証隠滅・逃亡の防止ですから、法人内共有であっても、対象者本人に伝わる経路を作ってしまえば、結果として命令の趣旨に反する事態を招きます。
秘密保持命令と独立機関との衝突
監査役、社外取締役、第三者委員会の外部委員といった、業務執行から距離を取った独立した判断を期待される機関に対しても、命令の存在を伝えるかどうかは別の難しさが伴います。
彼らに伝えれば、彼ら自身が当該情報を法人外部に持ち出せなくなり、独立した問題提起や対外的な発言が事実上制約されます。
「法人内共有が違反にならない」ことと、「共有してもガバナンス上問題がない」こととは別の話です。
これらの一つひとつの課題に、明確な社内ルールを持っている会社はほとんどないように思われます。
情報の「囲い込み」というガバナンス上の歪み
囲い込みと秘密保持命令とのニュアンスの違い
外部からの強制的な圧力が来たとき、組織は自己防衛として、情報を可能な限り少数の人間の中に押し込めようとします。
これは秘密保持命令の有無にかかわらず起こる、ある種の自然な組織反応で、情報の「囲い込み」と呼べる動きです。
秘密保持命令という法的縛りは、この囲い込みに法的な口実を与えてしまう副作用を持ちます。
「法的に縛られているから」という説明は、現場の担当者にとって都合のよい思考停止のきっかけになります。
囲い込みがガバナンス上どれほど危ういものか、秘密保持命令が問題になる前の事案で見ることができます。
関西電力金品受領事案
関西電力は、福井県高浜町の元助役から長年にわたり役員らが金品を受領していた事案について、2020年3月14日に第三者委員会の調査報告書を公表しました。
発端は金沢国税局の税務調査で、これにより社内で秘匿されてきた事案が外部に表面化しました。
第三者委員会の調査では、社内で情報が経営層の一部にのみ共有され続け、監査役監査や内部監査がそこから遮断されていた経緯が認められています。
本件には秘密保持命令のような法的縛りはありませんでした。
にもかかわらず、外部からの強制的な情報要求である税務調査に直面した場面で、社内の情報を経営トップの周辺だけに囲い込む動きが自然に起きた、というのが本件の核です。
法的義務がない状況でも囲い込みは起きる以上、秘密保持命令という法的な後ろ盾が加わったとき何が起きるかは、想像に難くありません。
実務上、秘密保持命令は、法人内での共有まで禁じるものではないと解されています。
問題は、「どこまで共有するか」の社内的な線引きが、罪証隠滅リスクの管理と独立機関の判断の確保とのバランスの中で、各社の判断に委ねられる、ということです。
判断基準が紙に落ちていなければ、現場の担当者は安全側に倒して、本来共有すべき相手にも共有を止めてしまいます。
整えるべき三つの備え
電磁的記録提供命令と秘密保持命令とが施行された今から、一般の事業会社が整えるべき備えは、大きく三つに整理できます。
第一に、社内意思決定フローを紙に落とすこと
電磁的記録提供命令と秘密保持命令を受領した場合の社内意思決定フローを、規程として確定しておく必要があります。
受領した責任者が、社長、法務担当役員、内部統制担当役員、監査役、社内調査責任者のうち、誰に、何分以内に、何を伝え、何を伝えないかを、明文化することです。
「インシデント対応規程に書いてあります」と答えられる会社は多くても、「電磁的記録提供命令を受領した場合に誰が何分以内に共有するかが書いてあります」と答えられる会社は、現時点ではほとんどないのではないでしょうか。
第二に、外部フォレンジック業者を平時のうちに選定すること
刑事手続上の秘密保持命令を前提とした業務委託契約を結べる、外部のデジタルフォレンジック業者を、最低一社、できれば二社、選定しておく必要があります。
実務上、社内のIT部門だけで電磁的記録の抽出と提供を完結させられる会社は多くありません。
証拠保全の作法、ハッシュ値の取得、書き出し媒体の取り扱いを考えれば、専門業者の起用が前提になります。
業者選定の段階で、業者側の品質管理部門・審査部門への内部報告ルールの確認、海外親会社を持つ業者であればデータ処理場所の確認まで、施行後の早い段階で詰めておくことが現実的な備えになります。
第三に、自社の電磁的記録の所在マップを更新すること
メールサーバーの所在だけを把握していても十分ではありません。
Chatworkの管理者権限が誰にあるか、退職者のSalesforceアカウントの記録がいつまで保持されるか、社用スマートフォン内のSMS履歴を誰がどう抽出できるか、Web会議の自動録画データがどのクラウドに何日間保存されているか。
こうした細かい点まで、命令が来てから慌てて調べる体制では、提供範囲を絞り込む判断ができず、結果として無関係な役職員や取引先のデータまで広めに渡してしまうことになりかねません。
本制度の運用は、まさにこれから始まります。
施行直後の数件の事例で、捜査機関と企業との事前協議の作法、秘密保持命令の射程の解釈、社内共有の許容範囲といった、条文に書かれていない実務の相場が形作られていくと推察します。
最初に命令を受ける企業ほど、判例にも論文にも前例がない状態で判断を迫られます。
社内の意思決定者が分散していない、即時に集まれる体制を、今月中にでも紙にする作業が、施行後の最も実効的な備えになります。
電磁的記録提供命令は、プロバイダだけの問題ではありません。
業務でメールを使い、チャットを使い、SaaSを使い、ファイルサーバーを使うすべての事業会社が、自社のこととして向き合うべき新しい刑事手続です。
企業の不祥事対応や第三者委員会のセカンドオピニオン等のご相談は、アサミ経営法律事務所お問い合わせフォームよりご連絡ください。
