№2137 ベネッセ情報流出事件の顛末
ベネッセ情報流出事件
2014年7月9日にベネッセの顧客名簿2989万件が流出した事件が発覚した。システム開発を請け負った協力会社の従業員が,ベネッセのサーバへのアクセス権を濫用したものだった。この事件の概略はWikiにも出ている。
情報を盗んだ従業員は,不正競争防止法の営業秘密侵害罪(21条1項4号)により起訴され,東京地裁により懲役3年6月の実刑及び罰金300万円に処せられた(H28.3.21.判タ1433号231頁)。東京高裁はベネッセ側にも落ち度があっとして,量刑を翻し,被告人に懲役2年6月及び罰金300万円を課した(H29.3.21.判タ1443号80頁)。
現代社会では情報に対する価値は格段に高いのだから,もっと厳しい量刑であってもよいように思う。
「営業秘密」に対する侵害行為の意味(ここは難しいです)
ともかく,不正競争防止法は「営業秘密」(2条6項)を保護している。営業秘密の侵害があるいいうるためには①秘密として合理的に管理されていること,②管理されている秘密であることとの認識可能性あることが必要であるとされている。
合理的に管理されていることが必要というと,今回のベネッセなどは簡単にアクセス権限を渡している。「営業秘密である本件顧客情報の管理等について不備が多々あり」(東京高裁)という状態だった。そうなると①の要件が必要ということになると,場合によっては顧客情報が営業秘密にあたらないことになってしまう。
ここからはちょっと難しくて,法律家向きの議論だが,高裁判決は管理に対する「客観的認識可能性(②の要件)こそが重要」であり,合理的な管理(①の要件)があるかどうかは②の要件の判断要素の一つでしかないとしている。
要するに管理が少々ずさんであっても,営業秘密として管理されているんだ,むやみに他に漏らしてはいけない情報なんだと認識していれば犯罪は成立するという考えだ。盗まれるということはどこか管理に不備があるからであって,合理的管理されていないと犯罪が成立しないとすると,とても情報は保護できない。
本件は情報漏洩に関する刑事事件の事例であるが、民事事件も多数ある。民事事件の場合は秘密の管理については少し違った視点をとる。
民事の記事はこちら、
ベネッセの教訓を学びたい方はこちらの報告書をどうぞ
名古屋E&J法律事務所へのお問い合わせはこちら