かつてオフィス内では、テキストによる情報漏れなどが心配される物品としては、手書きの原紙や個人メモそのものの他には、カーボン複写紙や、タイプライターのインクリボン、フロッピーやCDR等ワープロや個人用コンピュータの外部書き出しメディアなどと限られており、比較的管理が容易なものでした。

この20年ほどの技術革新における利便性追及から、オフィスには非常に電子機器が増え、その動作の中で通常メンテナンスでは見ることもないような位置にですら、機材の設計や機構を知りえた人などにとっては簡単に情報が取り出せたり、また盗み見たり、摂取したりといったことも容易に行えるようにもなりました。

そこで今回は、自社スタッフ以外も多く往来や利用する、企業内外における情報リソースの基礎知識と、そのリソース取扱いにおける法的な適用範囲等の基礎知識について、ご紹介します。

■情報リソース取扱いにおける機器面の基礎知識

文字そのものの廃棄や作業ミスなどの際に情報漏れが発生する他にも、データそのものを人やウイルス感染により盗み見持ち出すもの、事業所が利用しているデータ保管サービス業者のストレージ（データ記録機材その他）や、データ消去後に廃棄や売却したコンピュータなどの機材、通信経路から漏れてしまうもの、電線などの電位等の変異からデータを盗み取るもの、その事業所が使用している機材や環境ではなくデータを送受信される先の事業所でのデータ窃取、画面などをアプリケーションや携帯端末などで撮影やスキャンするものと送信その他などがあります。

■情報リソース取扱いにおける法的基礎知識
これらの情報機器の特性や、オフィスレイアウトでの、従業員やゲストの移動範囲等や、情報を各機器間でやり取りする方法、また契約先や共同開発先、外部常駐先などでの取り扱い情報の内容などによって、それぞれの従業者の区分や取り扱い範囲にもとづき、最低限適切な権限設定を行うとともに、法的留意事項についての教育や、契約などを交わしておく必要があります。

情報リソースレベル等に基づいて、研究開発などを行う相手先企業の他に、内容に応じてはその業務従事者各人に、追加での留意事項などの徹底や契約などを交わすケースもありますが、特に厳密な保秘が必要な部門以外では、現在では「ある程度の枠組みを決めつつも、オフィス環境では、両者個々人が”迅速かつ業務に必要なだけリソースを利用”できる」目的のため、後者の対応が一般的です。

取り扱い情報により、その適用法令が異なること、求償レベルや金額が莫大となることなども有り、それぞれの従業者の類型に応じた、契約書類などをあるていど前もって定型化しておく、個別の契約により拡充させ、また法人間のみならず、業務に携わる個々人にも対企業あるいは企業内で、書面による同意書や契約書などを事前に交わすところが、現在は多くあります。

また廃棄（書類溶解や廃棄処理）や販売、リースなどに携わる購買先などについても、一定の情報漏れなどへの対応が十分かどうかといった作業内容の検討と併せて、書面を交わしておくケースなどもあります。

■情報リソース取扱いにおいて、行ってはならないこと
オフィスで扱う主な情報としては、顧客等の個人や法人情報や、近年話題のものとしては技術や製品サービス情報などがあります。

このうち、情報の取り扱いに関しては、次のようなことが、各法で禁止されています。

・情報の不正取得
・情報の不正利用
・情報漏えい
・情報の目的外利用
・第三者への無断提供

■万が一情報漏えいが発生した際の適用法

・顧客個人情報：名称の為か、全てのケースにおいて、個人情報保護法が適用されると思われる方も多いようですが、実際には「5000件以上の個人情報をDBなどとして所持し、事業に使用している事業者」に関してが、「個人情報保護法」関連適用によるものとなります。

それ以外、あるいはそれらと重複して、回線その他を通じたアクセスによる持ち出し等に関しては「不正アクセス行為の禁止等に関する法律」顧客側が実際に漏えいした被害に基づき賠償請求を起こしてくる際の民法、それらを利用したクレジットカード決済や売買などの被害の場合は刑法の「電子計算機使用詐欺罪、（第246条の２）」などの適用があります。

また不正に取得されたデータだと知りつつ、それを売買した者に対する処罰規定や、海外サーバなどに存在する営業秘密や技術情報類などの不正取得行為や営業秘密侵害の未遂行為そのものなどが、2015年の不正競争防止法改正により、処罰対象に加えられました。（###一部は2015秋に施行予定）

・データ改ざんやなりすまし：データ持ち出しや業務妨害目的の回線経由上攻撃による人為的ツール設定などの場合、DoS攻撃などによるメモリ他機材損壊などの場合、「不正アクセス行為の禁止等に関する法律」「刑法の電子計算機損壊等業務妨害罪」（第234条の２）。

このうち「不正アクセス行為の禁止等に関する法律」に関しては、回線等通信経由のものに限られますが、もっとも新しく広い適用範囲や類型を想定した法整備であったこと、また近年の情報漏えいからのさらなる事件や売買などでの多くの報道や賠償案件を受けて、各法の整備が進められているところです。（これまで社内発信のサービス運営サーバなどにおいて、外部からのウイルスや、外部データ持ち去りや改ざんや複製による詐欺や窃盗行為などを容易にするツールなどの社内設定や設置については、作業が社内などにとどまっていれば、法的な適用類型の判断が難しかったものなどがあります）

・業務情報持ち出し：「不正競争防止法」の2009、2015年改正においては、これまでは持ち出した企業内の技術商品顧客情報等といったものに対する、外部利用での損害等の認定面において、ケースに応じてあらゆる法適用を検討するといった立証や確認困難な面が多かったことを踏まえ、「勝手に複製などを行う」「持ち出したデータを持っているだけで、それが罪になる」といった適用を視野に入れた改正が行われています。（###一部は2015秋に施行予定）

また、近年、情報漏えいと売買、それら行為に対する、高額の成功報酬制度などがあったことなどを踏まえ、刑事民事各法での罰金額ひきあげ、海外持ち出しなど関連の重罰化、犯罪収益の没収規定、それら漏えい情報を基にした商品などの輸入差し止め、営業秘密漏えいによる生産品の”推定”規定（設計データなどが該当、販売マニュアルなどの非生産系営業秘密は対象外）などが、民事刑事各法で整備されつつあります。

■まとめ
いかがでしたか？

基礎的な事柄ばかりですが、これらの分野の法的整備は、近年の「IT企業の顧客情報流出や詐取事件」や「大手企業の顧客や技術情報の大型流出事件」などをうけ、各法において、急速に改正整備が進んでいます。

情報流出原因や、その過程、関与者や、大きな損失の発生した事象時点などにより、事件として扱える部分の範囲や適用などを見極める作業は、困難を極めます。

技術革新も急激な分野でもあり、その手法も雨後の竹の子的なものがあるため、これらの分野については、企業法務や経営担当者以外でも、常時新たな情報を入手し、ケーススタディーに努めたいものです。