転職先の同業他社に元の会社の名刺情報のデータベースを不正に提供した会社員が個人情報保護法違反容疑で逮捕されました。個人情報データベース等の不正提供容疑での逮捕は、全国初とのことです。

1 「個人情報データベース等」とは

「個人情報データベース等」は、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物のことをいいます。コンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則に従って整理・分類し、特定の個人情報を容易に検索することができるように目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものも個人情報データベース等に該当します。

個人情報取扱事業者若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処せられます。

【個人情報データベース等に該当する事例】

事例1)電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)

事例2)インターネットサービスにおいて、ユーザーが利用したサービスに係るログ情報がユーザーIDによって整理され保管されている電子ファイル(ユーザーIDと個人情報を容易に照合することができる場合)

事例3)従業者が、名刺の情報を業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて入力・整理している場合

事例4)人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合

【個人情報データベース等に該当しない事例】

事例1)従業者が、自己の名刺入れについて他人が自由に閲覧できる状況に置いていても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合

事例2)アンケートの戻りはがきが、氏名、住所等により分類整理されていない状態である場合

事例3)市販の電話帳、住宅地図、職員録、カーナビゲーションシステム等

出典:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」

個人情報保護法違反で逮捕された会社員は、人材派遣会社に在職中に、名刺データ管理システムにログインする権限を有する同僚社員のI Dとパスワードを同業他社の社員とチャットアプリで共有し、その後、この同業他社に転職しました。転職先の企業では数万人分の名刺情報が閲覧できるようになっており、この名刺情報を使って成約した案件もあったようです。逮捕された会社員は容疑を認め、「転職後に営業活動に使えると思った」と供述しているとのことです。

営業情報の不正提供については、不正競争防止法の適用が考えられますが、同法を適用するには、不正提供された情報が「営業秘密」に該当することが要件とされ、秘密管理性、有用性、非公知性の3つの要件を満たすものであることが必要となります。

一方、名刺は、第三者に提供することを前提として作成され、そこに表示されている内容は、会社名、会社の住所、本人の氏名、肩書き、業務連絡用の電話番号やメールアドレスなどであり、秘密管理性や非公知性を満たすとは認められにくいといえます。

2014年に発生したベネッセコーポレーションの個人情報漏洩事件でも、派遣社員によって持ち出され、名簿業者に売られた顧客情報が、営業秘密に該当するか否かが裁判で争われました。個人情報データベース等は、この事件を契機として2015年の法改正で新設されました。これにより、営業秘密に該当しない個人情報データベース等の漏えいについても、個人情報保護法違反として罰則を課すことが可能となりました。

今回の事件は、名刺情報の不正提供について、全国で初めて個人情報保護法違反容疑で逮捕が行われた事案ですが、今後、このようなケースは増えていくものと思われます。