2019.07.25

SNSに関するトラブル対応(2)

SNSに関するトラブル対応(2)

弁護士 早崎 智久

 

「SNSに関するトラブル対応(1)」へ

 

 

1.はじめに

 SNSが関わるトラブルとして、前回は、従業員(アルバイトを含みます)や役員のSNSへの投稿を発端に、企業が社会的に非難される事件(いわゆる「炎上事件」)について、解説いたしました。今回は、従業員などの故意によらずにSNSを通じて会社の情報が流出するケース、新しい問題である「SNSによる情報漏洩」について解説いたします。

 

 

2.情報、データの価値の飛躍的な増大

現在は、テクノロジーの飛躍的な進化により、過去と比べて情報やデータの価値が著しく高くなっており、企業が有する情報は、その企業にとって、より大きな財産となっています。
過去においては、顧客情報が営業活動のために狙われたり、技術情報がライバル企業に狙われるようなケースが一般的でした。これらの情報が重要な財産であることは変わりありませんが、現在において、重要な情報もより多様化、複雑化しており、顧客情報や技術情報に限りません。例えば、AIが深層学習するためには、膨大な情報が必要となりますので、このような情報自体が、極めて大きな価値を持っています。また、ビッグデータに象徴されるように、現在の情報解析力は過去においては活用できなかったような情報から有益なものを導くことが可能となっています。このように、情報の価値は、過去とは比べ物にならないほど高まっています。
また、平成15年に個人情報保護法が成立してから既に16年が経過し、日本国内においても個人情報の重要性が当然のものと認識されていますが、過去と比べて国際取引が大きく発展しているなか、日本国内に留まらず、EU一般データ保護規則(GDPR)のような諸外国における個人情報に対する保護を意識しなければ、ビジネスが成り立たない時代となっています。
このように、現在においては、企業にとって情報が漏洩することは、会社の財産を大きく棄損するだけでなく、守られるべき個人情報を守れなかったものとして、社会的にも強い非難を受ける原因ともなります。また、あらゆる情報が狙われる時代になっているともいえます。

 

3.SNSにおける情報漏洩の特殊性

一方で、情報漏洩については昔から問題となっていることもあり、その対応方法については広く語られているといえます。実際、いわゆるセキュリティ対策は広く普及し、セキュリティソフトを導入するなど、システムの保護や企業内部における情報管理体制の構築などは、多くの企業が行っているものです。しかし、旧来の方法では、SNSによる情報漏洩に対する対策としては不十分と考えられます。
これは前回もご説明したことですが、従来はプライベートに利用されていたSNSが、その爆発的な普及に伴って、ビジネスにも広く利用されるようになったことが大きく関係します。最近では、マーケティングについても、インフルエンサーを利用する方法など、SNSを活用しています。また、SNSを利用することで、従来よりも市場分析におけるターゲティングの精度を高めることが可能となっています。もっとも、これを企業の側から見れば、企業の従業員一人一人が、他者のマーケティングの対象にもなっていることを意味します。さらにLINE WORKSのように、SNSを利用したグループウェアも広く利用され、個々人がプライベートでも利用しているSNSが、そのままビジネスでも活用されています。そのうえFacebookと連携したサービスも増えており、気付かないところでも、ビジネスがSNSと密接に結びついています。
ところが、そのSNSは、主に従業員個々人のスマートフォンで利用されていることから、企業にとっても、従来のようなセキュリティシステムによる対応だけでは、十分に管理ができないのです。

 

4.SNSによる情報漏洩に備える必要

前回の炎上事件については、従業員の特定の行為を禁止するという対応方法をご紹介しました。しかし、情報漏洩は、従業員の故意によらずに情報が流出するものなので、禁止ではそもそも対応できません。
とはいえ、仮に情報漏洩が生じてしまった場合、その結果の重大さからすれば、企業の社会的な責任については、結果責任として判断されてしまうことは避けられないものであり、その被害の回復は困難な場合も多くあり得ます。
そのため、第一には、発生自体をできる限り最小限度のものとする必要があります。 また、仮に情報漏洩が生じた場合に、取引先や株主に対する法的な責任の有無については、企業に過失があったかどうかで判断されます。そのため、「過失があった」とは判断されないようにすることが重要になります。
ここで、法的に「過失」というものがどのように判断されるかが問題になります。
法的には、過失とは「注意義務違反」のことをいうものとされています。つまり、まず、企業にはどのような注意義務があったかが判断され、次いで、その注意義務に違反していたか、つまり、企業において注意義務を果たしていたかどうかが判断されます。
この注意義務というのを分かりやすく言い換えれば、「企業は、どんなことを想定して、どんなことに注意しなければならないのか、どんなことをしなければならないのか」ということです。
そして、気をつけなければいけないのが、注意義務の内容は、その時の状況を踏まえて個別具体的に判断されます。そのため、過去に果たすべきだった注意義務が現在において通用するとは限りません。時代環境が変化をする場合は、これに伴って、企業が注意しなければいけないことも変わります。
先程も解説したように、SNSを使ったビジネスはすでに当たり前のものとなっています。このような時代環境の変化に伴い、企業が注意すべき点も変わっています。SNSを使ったビジネスのリスクは当たり前のものとなり、これに対応していくことを法も要求しているといえます。

 

5.具体的に注意すべきポイント

では、どのように対応すればよいのでしょうか?
情報漏洩の点から、先程の注意義務との関係を整理すると、企業は、
  ① SNSによる情報漏洩を想定し、漏洩しないように注意しなければならない
  ② SNSによる情報漏洩を防ぐ方法を検討、策定しなければならない
  ③ SNSによる情報漏洩を防ぐ方法を実施しなければならない
と意味します。これを行わずに情報漏洩が発生してしまった場合は、企業に過失があったと判断される可能性が高いと考えられます。
そして、②の防止方法を策定するためには、情報漏洩が想定されるパターンの検討をすることが前提になりますが、各企業ごとにSNSの利用方法も異なりますので、想定される漏洩のパターンも異なり、一概にこの方法を実施すればいいとはいえません。
また、SNSは従業員個々人のプライベートにも関わるものであり、これを監視するという行為は、従業員のプライバシーへの配慮からすれば望ましいものではありません。
もっとも、企業においてできることもあります。
例えばSNSにおいて、ビジネスでの利用が増えたことへの対応として、アカウントを複数設けることが行われておりますので、ビジネスアカウントとプライベートで利用するアカウントをできるかぎり分けて利用させることは重要になると思われます。また、従業員ごとに、公開範囲の設定がどうなっているかの注意喚起を行うことも重要になります。
その他、コンプライアンスプログラムの構築においても、企業として、なんでもSNSで利用するのではなく、情報の性質や漏洩した場合のリスクが大きなものは、SNSでは使用しないという意識を持つことや、従業員を含めた企業内で、想定されるリスク内容の認識の共有化を図るといった方法が重要になります。
このような取り組みを行っていくことは、万が一漏洩が発生した場合に企業側に過失があったと評価されるリスクを避けるだけでなく、発生自体を防ぐことに繋がります。

 

 現代社会は、技術の進歩の速度が早く、ビジネスの方法が多様化することに合わせ、企業の果たすべき責任、注意すべき事項も変化しています。 こちらでは、一般的な内容を記載いたしましたが、企業ごとに個別の対応や注意が必要になりますので、対策が十分か否か、事後的に過失があったと判断されるどうかについては、予めこれらの法律に詳しい専門家にご相談され、時代に対応した対策を取られることをおすすめいたします。