個人情報の持ち出し事例7選から学ぶ！発覚後の対応と法的リスク

現代のビジネス環境において、個人情報の持ち出しはコンプライアンス違反にとどまらず、企業の信用や利益に直結する深刻な「経営リスク」と捉えられるようになりました。

このコラムでは、実際に発生した個人情報の持ち出し事例7選を通じて、情報を持ち出した従業員自身が負う責任や、企業が直面する法的リスクと具体的な罰則について解説します。

個人情報の持ち出しが深刻な経営リスクとなった理由

企業における情報管理の難易度は高まっており、理由として以下2つの理由が挙げられます。

①テレワークの普及とシャドーITの増加

個人情報の持ち出しが注目されるようになった理由の1つは、テレワークが広がったことで、従業員がオフィス以外の環境で仕事をする機会が急激に増え、結果として情報が企業の管理の目から見えにくい状態で扱われることが増えた点にあります。

特に深刻なのが「シャドーIT」と呼ばれる問題で、企業が許可していない私物のPCや個人のスマートフォン、個人契約のクラウドストレージ、フリーメールを業務に使ってしまう行為を指しています。

例えば、業務で作成したファイルを私物のPCに保存したり、私用のメールアドレスを使って取引先とやり取りをしたり、便利だからという理由で無許可のオンラインストレージに企業のデータをアップロードしたり、従業員本人に悪意がなくても、企業の管理が及ばない場所で重要な情報が扱われることになり、意図しない情報漏洩が起きるリスクが高まってしまいます。

②転職の一般化による情報持ち出しの動機変化

かつての終身雇用制度から転職が当たり前となった現代において、従業員が情報を持ち出す動機も変化しています。

例えば、退職を控えた従業員が「自分が作成した資料だから、次の職場で実績として使いたい」「顧客との関係を維持するために、顧客リストや営業資料を手元に残しておきたい」といった軽い気持ちで、USBメモリや個人用クラウドストレージに重要情報をコピーしてしまうケースがあります。また、業務効率化の名目で、個人的に利用しているクラウドサービスに社内データをアップロードし、そのまま退職時に持ち出してしまうこともあります。

このような「悪意のない持ち出し」は、情報の持ち出し行為そのものに対する罪悪感が薄いため、従業員自身がリスクを認識していないことが少なくありません。しかし、結果として企業の顧客情報や営業秘密が社外に流出し、損害や信用失墜につながる可能性があるため対策が必要です。

▶事例から学ぶ、転職者による情報持ち出しの特徴を【無料】ダウンロード

実際に起きた個人情報の持ち出し事例7選

ここでは、実際に日本国内で発生した個人情報の持ち出し事例を7件紹介します。

＜不動産業界＞元従業員による顧客情報の不正持ち出し

元従業員が顧客管理システムから物件名や氏名、住所や電話番号、学校名など多岐にわたる個人情報を外部へ不正に持ち出す事案が発生しました。二次被害の防止と再発防止のために、社内で改めて情報管理に関するルールの周知と個人情報保護に関する継続的な教育を実施すると発表しています。

＜不動産業界＞退職時の営業秘密不正持ち出し

退職した元従業員が不動産登記簿を基にした社内資料を不正に持ち出し、約25,000件にのぼる氏名や住所、マンション名や部屋番号などの個人情報を転職先でのダイレクトメール送付に利用した事案が発生しました。再発防止策として、社内教育や管理体制の強化に加えて、システム利用時の異常検知システムの監視強化を実施すると発表しています。

▶不動産業で起こる情報持ち出しリスクと対策を【無料】ダウンロード

＜保険業界＞出向先での顧客情報不正持ち出し

従業員が出向先の保険代理店で取得した約72,000件の顧客の保険契約情報を不正にグループ企業へ漏洩した事例が発生しました。対策として、再発防止策の策定と徹底に努めると表明し、類似の事案がないかを調査するとともに、組織全体のセキュリティ体制の見直しを進めるとしています。

＜金融業界＞従業員による取引内容の不正持ち出し

従業員が顧客の氏名や電話番号を含む個人情報や預金残高などの取引内容を第三者に漏洩した事例が判明したため、信用金庫は金融機関としての信頼性を回復すべく、再発防止策としてコンプライアンス意識の徹底と、内部管理体制の強化を挙げ、組織全体のガバナンスを立て直す方針を示しました。

▶金融業で起こる情報持ち出しリスクと対策を【無料】ダウンロード

＜製造業界＞元役員による製品設計情報の不正持ち出し

元役員が主力商品の設計情報をUSBメモリに複製し不正に持ち出した事例が発生しました。元役員は転職先の競合他社において当該情報を利用した類似商品の開発や廉価販売を試みたため、不正競争防止法違反の罪に問われ、裁判では懲役2年6ヶ月、罰金120万円の有罪判決が下り、最終的に転職先である競合他社が和解金を含む訴訟費用として3億7,200万円を特別損失として計上する結果となりました。

＜製造業界＞競合へ技術情報の不正持ち出し

従業員がタッチセンサー技術に関する営業秘密を不正に持ち出し、競合他社の従業員にデータ画像を送信した事案が発生しました。不正競争防止法違反にあたる行為により元従業員は逮捕され、裁判では懲役2年、罰金200万円の実刑判決が言い渡されました。

＜製造業界＞USBメモリによる技術情報の不正持ち出し

元従業員がサーバーから伝導性微粒子の技術情報をUSBメモリで不正に持ち出し、中国の企業にメールで送信した事例が社内調査で発覚しました。元従業員は懲戒解雇された後、不正競争防止法違反容疑で書類送検される事態となり、裁判では懲役2年、執行猶予4年、罰金100万円の有罪判決が言い渡されました。

▶製造業で起こる情報持ち出しリスクと対策を【無料】ダウンロード

個人情報を持ち出した際に科される罰則

個人情報の持ち出しが発生した場合、責任は行為者である従業員だけではなく、個人情報を適切に管理する義務を負う企業側も、法的責任や社会的責任を問われる可能性があります。ここでは、個人に科される罰則と、企業が負う罰則と責任を解説します。

個人情報を持ち出した場合に従業員（個人）に与えられる罰則

個人情報の持ち出しは社内規定違反にとどまらず、刑事罰や損害賠償請求につながる重大な違反行為です。ここでは、従業員が負う可能性のある具体的な罰則を、関連の法令に基づいて整理します。

営業秘密を不正に持ち出した際（不正競争防止法違反）

不正競争防止法では、「営業秘密」を不正に持ち出した個人に対し、厳しい罰則を定めています。同法第2条第6項によると「営業秘密」は以下のように定義されています。

この法律において「営業秘密」とは、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。

つまり営業秘密とは、秘密として管理されていること（秘密管理性）、事業活動に有用な情報であること（有用性）、そして公に知られていないこと（非公知性）という3つの要件をすべて満たす情報を指し、具体的には顧客リストや製造ノウハウ、設計図や研究開発データなどが該当します。この罪に問われた場合、10年以下の拘禁刑または2000万円以下の罰金あるいはその両方が法定刑として定められています。

顧客の個人情報を盗用・提供した際（個人情報保護法違反）

「個人情報の保護に関する法律個人情報保護法（個人情報保護法）」は、「個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」を目的としており、業務上知り得た顧客の個人情報を不正に扱う行為に対して厳しく罰則を設けています。

特に「個人情報データベース等不正提供罪（個人情報保護法第179条）」は、個人情報取扱事業者やその従業員などが、業務で扱った個人情報データベース等を自己または第三者の不正な利益のために提供・盗用した場合に適用され行ます。この罪に問われた場合、行為者には1年以下の懲役または50万円以下の罰金が科される可能性があります。

退職後にデータを持ち出した際（不正アクセス禁止法違反）

「不正アクセス行為の禁止等に関する法律（不正アクセス禁止法）」は、コンピュータやネットワークへの不正な侵入行為を禁じる法律です。

典型的なケースとして、退職した元従業員が在職中に使用していたIDやパスワードを利用して、許可なく企業のシステムにログインし、データを盗み出すといった行為が挙げられます。この罪に問われた場合、3年以下の懲役または100万円以下の罰金が科せられる可能性があります。

個人情報を持ち出した場合に企業に与えられる罰則

企業に対しては以下のような罰則と責任があります。従業員による不正行為であっても、監督責任を持つ企業側も法的責任を問われる場合があります。ここでは、企業が負う責任を説明します。

法人として受ける刑事罰（個人情報保護法・不正競争防止法違反）

企業が情報漏洩によって負う刑事上の責任の代表例が、個人情報保護法における「両罰規定」です。従業員が「個人情報データベース等不正提供罪」などの個人情報保護法違反行為を行った場合、行為者本人だけでなく、法人である企業に対しても罰金刑が科されるというものです。例えば、従業員が不正に顧客の個人情報を持ち出した場合、行為者に懲役や罰金が科されるだけでなく、企業にも最大5億円以下の罰金が科されます（不正競争防止法第22条）。

両罰規定は、企業が情報管理体制の不備を原因として従業員による不正行為を招いたとみなされる場合に適用され、企業のコンプライアンス体制が厳しく問われることになります。

顧客への賠償責任（民事上の責任）

情報漏洩が発生した場合、企業は民事上の責任も負うことになります。主に以下3つの類型が挙げられます

まず、企業が顧客や取引先と「個人情報を適切に管理する」などの契約を結んでいる場合、情報を安全に取り扱うことは企業にとっての契約上の義務となります。そのため、「個人情報を厳重に管理する」と契約に明記されていたにもかかわらず、企業がアクセス制御や暗号化といった基本的な安全管理措置を講じなかった結果、情報漏洩が発生し顧客に損害が生じた場合、企業は契約上の義務違反として損害賠償責任を問われる可能性があります。

次に、不法行為責任として、たとえ契約が存在しない場合であっても、企業のセキュリティ上の不備によって個人情報や営業秘密など、法的に保護される権利や利益を侵害したと認められた場合には、民法上の不法行為として損害賠償請求を受ける可能性があります。特に、顧客情報が漏洩し、なりすましや詐欺など実際に被害が生じたケースが該当します。

さらに、使用者責任があり、従業員や業務委託先が業務中に情報漏洩を引き起こした場合、企業は民法第715条に基づき、「ある事業のために他人を使用する者（使用者）は、被用者（従業員など）がその事業の執行について第三者に加えた損害を賠償する責任を負う」責任を問われる可能性があります。例えば、従業員が業務データを私物のUSBメモリに保存し、紛失して個人情報が漏洩したようなケースでは、企業の管理体制の不備が問われ、被害者から損害賠償請求を受けるリスクがあります。

▶関連記事：実例から学ぶ、企業の個人情報流出リスクとその対策ポイント

UEBAを活用した個人情報持ち出し対策｜エルテスの内部脅威検知サービス

エルテスが提供する「内部脅威検知サービス」はAIや機械学習を活用したUEBA（User and Entity Behavior Analytics）の技術を基に、企業の内部リスク対策を支援します。

システムと専門アナリストによるハイブリッド分析

エルテスの「内部脅威検知サービス」の特長は、システムによる自動検知と、経験豊富な専門アナリストによる精密な分析を組み合わせた「ハイブリッド分析」にあります。

UEBAシステムは、通常時のユーザーの行動パターンを学習し、「いつもと違う怪しい振る舞い」を自動的に検知しますが、システムによる検知だけでは、業務上問題ない行動が「異常」として検知される誤検知が発生する可能性があります。エルテスでは、システムが検知した異常な行動を、専門知識を持つアナリストが分析・評価し、ハイブリッド分析によりシステムだけでは判断が難しい複雑な状況を専門アナリストが見極め、本当に危険なリスクだけを高い精度で報告します。

これにより、担当者は膨大なアラートに振り回されることなく、重要なリスクに集中して対応できるため、運用負荷を大幅に軽減しながら、効果的な内部不正対策を実現できます。

▶内部脅威検知事例集を【無料】ダウンロード

社内共有しやすいWebポータル

内部脅威検知サービスでは、検知されたリスクや分析結果を、情報システム担当者が容易に把握し、経営層や関係部署へ報告できるよう、視覚的に分かりやすいWebポータルを提供しています。

Webポータルでは、グラフや図を用いて、どのユーザーが、いつ、どのようなリスクのある行動をとったのかを直感的に理解ができ、客観的なデータに基づいた状況説明が可能となり、迅速な意思決定を促すことができます。

▶内部脅威検知サービスWebポータルで分かることを【無料】ダウンロード

まとめ

現代のビジネスにおいて、従業員による個人情報の持ち出しは、企業の存続に関わる深刻な経営リスクです。テレワークや転職の増加に伴い情報漏洩のリスクは増大しており、ひとたびインシデントが発生すれば、企業は甚大な損害を被ります。

また、情報を持ち出した従業員個人は、不正競争防止法や個人情報保護法、不正アクセス禁止法などに基づき、刑事罰や民事責任を問われる可能性があります。企業側も、従業員の監督責任として法的な責任を免れることは困難です。

情報セキュリティ体制の見直しや内部不正対策に課題のある方は、ぜひエルテスへお問合せください。

▶ 内部脅威検知サービス紹介資料を【無料】ダウンロード

情報漏洩・内部不正対策のご相談は、エルテスへ

コラム一覧へ戻る