情報セキュリティ関連法令の要求事項集...iv 第5節知的財産権法との関係 149 3-5.1.1. リバースエンジニアリングにおける著作権法上の問題

情報セキュリティ関連法令の要求事項集

平成 23 年 4 月

経済産業省

i

目次

第1章情報セキュリティと法令.................................................. 1

第 1 節情報セキュリティの意義................................................ 1

第 2 節情報セキュリティと法制度との関係...................................... 2

第 2 章機密性・完全性・可用性（CIA）と法的保護................................. 4

第 1 節機密性、完全性、可用性（CIA）のすべてに関するもの..................... 4

1. はじめに ............................................................... 4

2. 管理責任類型－その 1：会社法関係 ........................................ 6

2-1.2.1. 会社法上の内部統制と情報セキュリティの関係...................... 6

2-1.2.2. 情報セキュリティの不備と会社役員の責任.......................... 8

3. 管理責任類型－その 2：個人情報保護法関係 ................................ 9

2-1.3.1. 個人情報保護法上の安全管理措置義務と情報セキュリティの関係...... 9

2-1.3.2. 安全管理措置義務の対象となる個人情報........................... 11

2-1.3.3. 委託先の監督責任............................................... 13

2-1.3.4. 「個人情報の保護に関する法律についての経済産業分野を対象とするガイ

ドライン」の改正点 (※09 年度新規） .................................... 16

2-1.3.5. 消費生活用製品安全法と情報セキュリティの関係（※09 年度新規） .. 21

4. 加害行為規制類型....................................................... 23

2-1.4.1. コンピュータウイルスの作成・送付............................... 23

5. クラウドコンピューティングと情報セキュリティの関係(※10年度新規) ...... 24

第 2 節機密性（C）に関するもの.............................................. 32

1. はじめに .............................................................. 32

2. 個人情報保護法......................................................... 33

2-2.2.1. グループ関係会社の個人情報の共同利用における会社間の責任....... 33

2-2.2.2. 安全性に関わる不具合が発見された商品に関するユーザ名簿の収集（※調

整中） ................................................................. 34

3. プライバシー........................................................... 36

2-2.3.1. プライバシー権の定義........................................... 36

4. 割賦販売法 ............................................................ 38

2-2.4.1. クレジットカード情報の保護強化................................. 38

5. 営業秘密 .............................................................. 40

2-2.5.1. 改正不正競争防止法............................................. 40

2-2.5.2. 情報の秘密管理................................................. 42

2-2.5.3. 営業秘密の保護要件遵守のために整備すべき内部規定等............. 44

2-2.5.4. 従業員・委託先が作成に関与した情報の営業秘密としての保護....... 48

ii

6. 刑事法 ................................................................ 49

2-2.6.1. 情報の不正入手 (1)............................................. 49

2-2.6.2. 情報の不正入手 (2)............................................. 51

7. その他 ................................................................ 52

2-2.7.1. 他の知的財産権法規定による保護方法............................. 52

2-2.7.2. 技術的な手段の回避............................................. 54

2-2.7.3. 不正競争防止法上の技術的管理手段の回避（※調整中）............. 57

2-2.7.4. 機密情報と内部者取引(※10 年度新規) ............................ 59

第 3 節完全性(I)に関するもの................................................ 60

1. はじめに .............................................................. 60

2. 金融商品取引法の内部統制............................................... 60

2-3.2.1. 情報セキュリティと金融商品取引法の内部統制報告制度の関係....... 60

3. 個人情報保護法......................................................... 61

2-3.3.1. 個人情報保護法第 19条.......................................... 61

2-3.3.2. 個人情報保護法第 26条.......................................... 63

4. システムの事故と民事責任............................................... 63

2-3.4.1. 情報システムと製造物責任法（※調整中）......................... 63

2-3.4.2. 電子化されたシステムの事故と過失............................... 65

5. 刑事法 ................................................................ 66

2-3.5.1. 不正電磁記録の作成・行使（※調整中）........................... 66

2-3.5.2. 電子計算機使用詐欺罪における「虚偽の情報」..................... 68

2-3.5.3. 口座残高改ざん－スキミングの手口と対策......................... 69

2-3.5.4. 支払用カード電磁的記録に関する罪（※調整中）................... 71

6. 完全性を補完する制度................................................... 72

2-3.6.1. 電子署名法..................................................... 72

2-3.6.2. 申込みフォームにおける入力ミスと電子消費者契約法（※調整中）... 73

第 4 節可用性（A）に関するもの.............................................. 75

1. はじめに .............................................................. 75

2. 民事責任 .............................................................. 75

2-4.2.1. 情報媒体の財産的価値........................................... 75

3. 刑事責任 .............................................................. 76

2-4.3.1. 可用性と業務妨害罪（※調整中）................................. 76

4. 可用性を補完する制度................................................... 77

2-4.4.1. 電子公告を行うに当たっての情報セキュリティ上の留意事項......... 77

第 3 章管理策を講じる上での要求事項........................................... 81

第 1 節はじめに ............................................................ 81

iii

第 2 節労働法、労働者派遣法、従業員のプライバシー保護との関係－事前防止策... 81

3-2.1.1. 従業員との関係での情報セキュリティ体制の確立................... 81

3-2.1.2. 企業秘密に関する誓約書の要請................................... 88

3-2.1.3. 私用メール等のモニタリング..................................... 90

3-2.1.4. 私用メールを禁止する規程....................................... 95

3-2.1.5. 私物 PC の持込禁止及び会社の情報を含む物品の持ち出し禁止........ 96

3-2.1.6. 退職後の従業員の競業避止義務、秘密保持義務..................... 97

3-2.1.7. 退職後の秘密情報漏えいを防止するための秘密保持契約............ 102

3-2.1.8. 退職後の従業員に競業避止義務を課す定めの効力.................. 104

3-2.1.9. 退職後の従業員が海外で行う競業行為に対する規制................ 107

3-2.1.10. 派遣労働者に対する誓約書の要請･教育訓練の実施................ 108

3-2.1.11. 構内で業務する委託先社員（請負契約）からの誓約書の取得....... 109

3-2.1.12. 委託先従業員に対する情報セキュリティルールの徹底............. 111

3-2.1.13. 委託先への情報セキュリティ実施状況の調査・監査（※調整中）... 115

第 3 節労働法、労働者派遣法、従業員のプライバシー保護との関係－事後対応策.. 116

3-3.1.1. 私用メールを行ったことを理由とする解雇・懲戒処分.............. 116

3-3.1.2. 情報流出事故が発生した場合の対応(1)－従業員の調査協力、始末書の徴

収、教育訓練の実施..................................................... 119

3-3.1.3. 情報流出事故が発生した場合の対応～私物 PCの調査～............. 120

3-3.1.4. 情報流出事故が発生した場合の対応(2)－従業員に対する解雇、懲戒処分、

損害賠償請求等 ........................................................ 124

3-3.1.5. 従業員による秘密情報漏えいと内部告発（※調整中）.............. 125

3-3.1.6. 従業員による秘密情報漏えいと公益通報者保護法.................. 129

3-3.1.7. 競業避止義務違反を理由とする退職金減額･不支給................. 132

3-3.1.8. 競業避止契約を行った退職社員の退職後の動向調査................ 133

3-3.1.9. 競業避止契約を締結した退職社員の転職先への事実問合せ（※調整中）

...................................................................... 135

3-3.1.10. 派遣労働者が情報セキュリティルールに違反した場合の契約解除及び賠

償請求（※調整中）..................................................... 138

3-3.1.11. 情報セキュリティを実施していないことを理由にした委託先の取引停

止・解除 .............................................................. 140

3-3.1.12. 委託先で情報セキュリティインシデントが生じた場合の措置....... 142

第 4 節独禁法・下請法との関係.............................................. 143

3-4.1.1. 秘密情報等の流出防止のための監視カメラ設置等の要求（※調整中） 143

3-4.1.2. 秘密性の高い技術情報を委託業務のために開示する際に情報セキュリテ

ィ対策を要求することの可否（※調整中）................................. 146

iv

第 5 節知的財産権法との関係................................................ 149

3-5.1.1. リバースエンジニアリングにおける著作権法上の問題.............. 149

3-5.1.2. マルウエアに感染等したソフトウエアの解析に伴う複製............ 151

第 4 章インシデント発生時の対応、訴訟手続、フォレンジック等.................. 153

第 1 節はじめに ........................................................... 153

第 2 節個々の問題 ......................................................... 153

4-2.1.1. IT 関連の損害賠償等に関する民事訴訟において証拠を保全・提出 ... 153

4-2.1.2. 民事訴訟における電子データの成立の真正の立証の要否............ 156

4-2.1.3. 営業秘密の使用の立証方法...................................... 157

4-2.1.4. 営業秘密漏えいの証拠を確保する方法............................ 158

4-2.1.5. 民事訴訟において訴訟の当事者から情報の提供を求められる場合.... 160

4-2.1.6. 民事訴訟における営業秘密、プライバシー情報の非公開の可否...... 162

4-2.1.7. 自社に不利な証拠となり得る社内文書の破棄について.............. 164

第 5 章その他（※要修正、非公開）.......................................... 166

5-1.1.1. 子会社の情報セキュリティ体制と親会社役員の責任................ 166

5-1.1.2. 誤った情報流出時の回収請求.................................... 167

5-1.1.3. 提供した秘密情報に基づいて委託先で生成された秘密情報の取扱い.. 170

5-1.1.4. 大学との共同開発における情報管理.............................. 172

5-1.1.5. 開発業務を担当する派遣社員が派遣先の情報資産を利用し行った発明等

の取扱い .............................................................. 176

5-1.1.6. 秘密情報担当の従業員の身元調査................................ 178

5-1.1.7. 委託先企業の従業員に対する誓約書の要請、教育訓練の実施........ 180

5-1.1.8. データ処理誤りにより、重要な虚偽記載がある財務諸表を含む有価証券報

告書を提出した場合の代表取締役の責任................................... 180

5-1.1.9. 誤った情報と不法行為責任の成否：情報の対象者に対する責任...... 181

5-1.1.10. 誤った情報と契約責任の成否................................... 182

5-1.1.11. 誤った情報と損害賠償の範囲（契約責任／不法行為責任）......... 182

5-1.1.12. 誤った情報と不法行為責任の成否：情報の受領者に対する責任..... 183

5-1.1.13. 個人情報の「取得」の要件..................................... 184

5-1.1.14. 名誉毀損罪と表現の自由....................................... 185

5-1.1.15. ソフトウエア開発者の責任..................................... 187

5-1.1.16. IT 機器の利用状況の調査（モニタリング）を行うためには、何が必要か

（事前防止策） ........................................................ 188

5-1.1.17. 不正な目的で用いられることが明らかなソフトウエア（コンピュータウ

イルス、スパイウエア等）を構成するプログラム........................... 191

5-1.1.18. インシデントが発生した場合の報告等........................... 192

v

5-1.1.19. ソフトウエア等の脆弱性への対応 1 ............................. 196

5-1.1.20. ソフトウエア等の脆弱性への対応 2 ............................. 199

付録Ⅰ：JIS Q 27001：2006 （附属書 A)との対応関係 .............................. i

付録Ⅱ：業務別 INDEX（仮称） ................................................... i

付録Ⅲ：用語集 ............................................................... iv

凡例

種別略語正式名称

公的

刊行物

高民 (刑) 高等裁判所民事 (刑事) 判例集

裁判集民 (刑) 最高裁判所裁判集民事 (刑事) 裁判所の部内資料

知的裁集 (知財集) 知的財産権関係民事・行政裁判例集（法曹会）

無体例集 (無体集) 無体財産権関係民事・行政裁判例集（法曹会）

労裁集労働関係民事事件裁判集（法曹会）

労民労働関係民事裁判例集（法曹会）

労刑決労働関係刑事事件判決集（法曹会）

私的

刊行物

判時判例時報（判例時報社）

判タ判例タイムズ(判例タイムズ社）

判自判例地方自治（ぎょうせい）

労判労働判例（産業労働調査所）

その他経済産業分野の個人情

報保護ガイドライン

個人情報の保護に関する法律についての経済産業分野

を対象とするガイドライン(厚生労働省・経済産業省告

示第 1号平成 20 年 2 月 29 日）

基発厚生労働省労働基準局長から各都道府県労働局長宛の

通達

前文

情報技術（IT）の急速な発達と普及に伴い、企業において、IT は必要不可欠なインフラ

となっており、円滑な企業活動の遂行のためには適切な情報セキュリティ対策が必要にな

っている。

また、近年、個人情報保護法や金融商品取引法の施行等に伴い、企業は、法令により要

求される情報セキュリティ対策の実施に一層注力するようになってきている。企業では、

情報セキュリティ対策は IT 担当部署によって推進されることが多いが、IT担当部署は、こ

うした法令を遵守するための担当部署と連携した対応が求められるようになってきている。

一方、IT 担当部署が、情報セキュリティ対策を実施していくにあたり、企業の情報資産の

保護等とは別の目的の法令との関係も注意する必要がある。例えば、情報セキュリティ対

策を従業員が確実に実施することを保証するための措置を推進しようとするときには、従

業員の勤労条件について一定の基準を定めた労働基準法等を遵守しなければならないこと

に IT担当部署は気付かなければならない。適切な方法をとらない場合には、実効ある情報

セキュリティ対策を取り得なくなる可能性もある。法令を遵守できていない場合には、企

業にとっては大きなリスクとなるものであり、こうした課題を明らかにしてほしいという

要請が高まりつつある。「グローバル情報セキュリティ戦略」(平成 18 年 5 月)や「情報セ

キュリティ基本問題委員会中間とりまとめ～企業における戦略的な情報セキュリティガバ

ナンスの確立に向けて～」(平成 20 年 6 月)においても情報セキュリティ関連法律上の要求

事項の整理の必要性について提言されている。

こうした企業の情報セキュリティに関する法令遵守上の課題を解消し、企業において効

率的・効果的な情報セキュリティ対策・法令遵守を後押しすることを目的に、産業構造審

議会情報セキュリティ基本問題委員会で決定された取組方針について具体的な検討を行う

情報セキュリティガバナンス研究会の下に岡村久道弁護士を座長としたワーキンググルー

プを設置し、平成 19 年 11 月より、企業が情報セキュリティ対策を進める上で、有用とな

るいくつかの法的論点について検討を行い、それぞれの基本的な考えと解説についてまと

めた。もとより、個別具体的な事例において現行法がどのように適用されるのかはそれぞ

れの状況を勘案の上、判断されるべきものであることは言うまでもないが、この要求事項

集が企業実務上の一つの参考となることにより、効率的・効果的な情報セキュリティ対策・

法令遵守の促進への一助になることを期待している。読み手としては、企業において実際

にセキュリティ対策を行う管理部門と法令対応を行う法務部門を想定し、現場で広く使っ

て頂けるよう可能な限り平易な表現を心がけた。さらに、付録Ⅰとして「JIS Q 27001：2006

（附属書 A)との対応関係」、付録Ⅱとして「業務別 INDEX」、付録Ⅲとして「用語集」を用

意した。

なお、本要求事項集は、これまでの検討結果について、より企業から強く求められてい

る論点を中心にまとめたものであり、今後も継続的に必要な論点の検討を行うことによっ

て、改訂・拡充等を行っていく予定である。

本書の構成

第 1章情報セキュリティと法令

第 1節情報セキュリティの意義

第 2節情報セキュリティと法制度との関係

第 1章では本要求事項集が対象とする「情報セキュリティ」と「法令」の関係について、

概説している。第 1 節では、本書が対象とする「情報セキュリティ」の考え方について、

情報セキュリティの 3要素として用いられる機密性（Confidentiality）、完全性（Integrity）

及び可用性（Availability）の概念に沿って説明している。また、第 2 節では、我が国に

おける情報セキュリティに関連する法令とその位置づけについて解説している。

第 2章機密性・完全性・可用性（CIA）と法的保護

第 1節機密性、完全性、可用性（CIA）のすべてに関するもの

第 2節機密性（C）に関するもの

第 3節完全性 (I) に関するもの

第 4節可用性（A）に関するもの

第 2 章では前章で説明した CIA に基づき、情報セキュリティに関する具体的な論点を法

令ごとに取り上げ、論点に関する考え方と説明を示している。具体的には、第 1 節が CIA

すべてに関するもの、第 2 節では機密性(C)、第 3 節では完全性(I)、そして第 4 節では可

用性(A)に関するものを取り上げている。

第 3章管理策を講じる上での要求事項

第 1節はじめに

第 2節労働法、労働者派遣法、従業員のプライバシー保護との関係－事前防止策

第 3節労働法、労働者派遣法、従業員のプライバシー保護との関係－事後対応策

第 4節独禁法・下請法との関係

第 5節知的財産権法との関係

第 3 章では、情報を管理する事業者が一定の管理責任を求められる場合に、管理策を講

じるに当たって、他の法令との関係で留意する点について解説している。第 2 節では、労

働法、労働者派遣法及び従業員のプライバシー保護との関係に関して特に事前対策におけ

る留意点を、また第 3 節では事後対策における留意点を取り上げている。その他、第 4 節

では独禁法・下請法との関係、第 5節では知的財産権との関係について取り上げている。

第 4章インシデント発生時の対応、訴訟手続、フォレンジック等

第 4 章では、情報セキュリティ上のインシデントが発生した場合に、企業がとるべき対

応について各種法令との関係から解説している。

第 5章その他

付録 I JIS Q 27001：2006 （附属書 A)との対応関係

付録 I は、本報告書の各項目と JISQ 27001:2006 との対応関係を一覧表としてまとめた

ものである。

付録 II 業務別 INDEX（仮称）

付録 II は、企業の各部門・業務に関わる項目別に参照するための INDEX である。

付録Ⅲ 用語集

付録Ⅲは、本報告書内で用いられている専門的な IT 用語及び法令用語について解説した

用語集である。

1

第1章情報セキュリティと法令

第1節情報セキュリティの意義

情報セキュリティ(Information Security)とは、一般に「情報の①機密性（Confidentiality）、

②完全性（Integrity）及び③可用性（Availability）の 3 要素を維持すること」として定義

されている1。各々の頭文字を取って「CIA」と略称されることもある。

このような「CIA」の概念を用いた定義は、1992 年の OECD2「情報システムセキュリティガ

イドラインに関する理事会による勧告及び付属文書」によって初めて国際的な公式舞台に登場

し、OECD「暗号政策ガイドラインに関する理事会勧告」(1997 年 3 月採択)にも採用された。

さらに、国際規格 ISO/IEC 27001:2005・同 27002:20053、これを日本工業規格化した JIS Q

27001: 2006・同 27002:2006 にも、ほぼ同様の定義が採用されている。したがって、「CIA」の

概念による定義は、現在における国際標準かつ日本国内標準であるということができる。なお、

「サイバー犯罪に関する条約」も序文において「コンピュータシステム、ネットワーク及びコ

ンピュータデータの濫用行為並びにそれらの機密性、完全性及び可用性に向けられた行為を抑

止するために本条約が必要であることを確信する」として「CIA」の概念に言及している。

機密性とは、アクセスを認められた者だけが情報にアクセスできるようにすることをいう。

したがって、情報の不正流出が、機密性が損なわれた場合の典型例である。

完全性とは、情報及び処理方法が完全かつ確実であることを保護することをいう。したがっ

て、情報の不正改ざんが、完全性が損なわれた場合の典型例である。

可用性とは、認められた者が必要に応じてアクセス・利用し得ることをいう。したがって、

システム障害による利用不能が、可用性が損なわれた場合の典型例である。

「セキュリティ」という言葉は、「安全」「安心」という言葉に邦訳されることが一般的であ

るが、以上のとおり、情報セキュリティの場合には、その内容が、より具体的な意味で用いら

れているものといえよう。

次に、「CIA」の対象は、OECD の前記各勧告では「情報システム」に限定されており、紙等

の伝統的な物理媒体に載った情報を含まなかった。1992 年の勧告が採択された時期には、情

報システムが世界的に普及時期を迎えて重要な役割を果たすようになっており、情報システム

ヘの依存が高まり始めていたことを背景としている。

これに対し、前記国際規格・国内規格では「情報」全般へと拡張され、文字どおり「情報セ

1 情報セキュリティの定義については、これらの3要素に加えて、否認防止（Non-repudiation）、

責任追跡性（Accountability）、真正性（Authenticity）、信頼性（Reliability）をあげる見

解もある（国際規格 ISO/IEC 13335-1:2004 など）。2 経済協力開発機構3 情報セキュリティマネジメントシステムに対する第三者適合性評価制度である ISMS

（Information Security Management System）適合性評価制度の国際規格。

2

キュリティ」と呼ばれるに至っている。情報システムの普及を契機に、ひとたびセキュリティ

の重要性が自覚されるに至ると、載せられた媒体が情報システムに関するものか、それとも伝

統的な紙媒体等かという点で、情報としての重要性という点では本質的に変わりがないことが

改めて認識されるに至ったことを背景とする。

その一方、2002 年の改訂 OECD 情報セキュリティガイドライン、国連総会決議 57/239（2003

年 1月 31 日採択）4のように、近時は情報システムとともに情報ネットワークの分野にも重点

が置かれる傾向にある。

第2節情報セキュリティと法制度との関係

もともと情報セキュリティは法制度の領域から生成・発展した概念ではない。このような事

情もあるため、我が国においても、情報セキュリティを包括的に保護することを目的とする法

律は存在していない。それどころか、現時点では情報セキュリティという言葉を用いた法律そ

のものが存在していない。

しかし、高度情報通信ネットワーク社会形成基本法（IT 基本法）は第 2条・第 22 条におい

て高度情報通信ネットワークの「安全」「安心」に言及しており、これらは情報ネットワーク

を中心とするセキュリティを意味するものと考えられている。このため、情報セキュリティに

関する事実上の基本法としての役割を営むものということができるが、それは理念を規定する

ものにとどまり、具体的な権利・義務等を定めるものではない。

これに対し、個々の法規定中には、部分的にではあるが、情報セキュリティを保護する機能

を営むものが存在している。その具体例として、昭和 62 年改正によって刑法に新設されたコ

ンピュータ犯罪処罰規定をはじめとして、不正競争防止法中の営業秘密の保護に関する規定、

不正アクセス禁止法、個人情報保護法中の個人データ安全管理措置義務に関する規定などを挙

げることができる。

情報を管理する事業者の立場から、これら個々の法規定を見れば、情報を管理する事業者に

対して管理責任を課す類型の規定（例：前記個人情報保護法規定）と情報セキュリティを侵害

する不正行為者に対して法的責任を問う類型の規定（例：前記刑法規定）に大別することがで

きる。

後者のような不正行為者に対する責任追及が、前者と比べて優先されるべきことは当然であ

ろう。しかし、情報セキュリティに対するすべての脅威が不正行為に起因するものとは限らな

い。不正行為に起因する場合であっても、刑事責任については、一般に故意の場合に限定され

ており、単なる過失による場合等は対象外となる。したがって、すべての不正行為が現行法上

処罰の対象となるとは限らない。また、民事責任についても、従業員が個人情報を大量漏えい

したような場合には、漏えい被害者との関係では、むしろ事業者は加害者側として被害者等か

ら責任を追及されるべき立場に立つ。そのため、情報を管理する事業者にとって、進んで情報

4 Creation of a global culture of cybersecurity

3

セキュリティ管理策を講じるべき必要性が増加している。特に、前者の類型に該当する場合に

は、これを事業者が遵守しなければ違法となる場合があることに注意すべきである。

さらに、このようにして事業者が管理策を講じる際にも、遵守すべき法令上の要求事項が存

在している。これに関連するものとして労働契約法等がある。また、訴訟手続、フォレンジッ

クに関しても、法令との関係に留意する必要がある。

4

第2章機密性・完全性・可用性（CIA）と法的保護

第1節機密性、完全性、可用性（CIA）のすべてに関するもの

1. はじめに

ここでは、CIA の 3要素のいずれにも関連する法令について論じる。これらの法令の中には

情報を管理する事業者に管理責任を課す類型のものと不正行為者に法的責任を問う類型のも

のがある。

まず、管理責任を課す類型についてであるが、会社法上の内部統制システムの基本方針決定

義務（会社法第 348 条第 3項第 4号、第 362 条第 4項、第 416 条第 1項第 1号ホ）の一内容と

して情報セキュリティへの対応が求められることになる（2-1.2.1. ）。情報セキュリティへの

対応が不十分なため情報漏えいが起きたような場合には、会社の役員に責任が生じることがあ

る（2-1.2.2. ）。

また、金融商品取引法においても財務報告に係る内部統制報告書の作成、監査が求められて

おり(金融商品取引法第 24 条の 4の 4、第 193 条の 2）、この前提として情報セキュリティへの

対応が求められることとなる5。さらに、行政法の分野では個人情報保護法上の安全管理措置

（個人情報保護法第 20 条、第 21 条、第 22 条）として情報セキュリティへの対応が求められ

ることになる6（2-1.3.1. ）。ただし、個人情報を取り扱う主体ごとに、対象となる個人情報

の範囲が、異なりうる（2-1.3.2. ）。同法の安全管理措置においては個人情報の委託先に対す

る管理も行う必要がある旨定められている（2-1.3.3. ）。なお、個人情報保護法のガイドライ

ンについては、適宜見直しがなされている（2-1.3.4. ）。これに加えて、消費生活用製品安全

法においても、一定の製品に関しての個人情報について事業者に安全管理措置を課している

（2-1.3.5. ）

次に、加害行為を規制する法令であるが、民法上は、不法行為責任・契約責任に基づき、損

害賠償・差止めを求め得ることとなる。一方、刑事法上は、まずは伝統的な刑法規定を適用し

て保護を図ることになる。例えば、物理的な情報システムやそれを管理する者に対して攻撃が

加えられる場合には器物損壊罪や業務妨害罪の適用が検討されよう。

次に、これら伝統的な処罰規定で対応できない事態が増加したことに即して、いわゆるコン

ピュータ犯罪に対応する構成要件が新設されている(電磁的記録不正作出・同供用罪（刑法第

161 条の 2）、電子計算機損壊等業務妨害罪（同第 234 条）、電子計算機使用詐欺罪（同第 246

条の 2）など）。さらに、コンピュータウイルスによって企業活動が妨害された場合には、企

5 金融商品取引法の内部統制は専ら完全性に関連するものであるから、完全性のところで論じ

ることとする。6 個人情報保護法は、個人情報の流出のほかに、滅失、毀損についても対象としており、CIA

のいずれにも関係することとなる。

5

業側は一定の措置をとり得る（2-1.4.1. ）。

最後に、近時普及が見込まれているクラウドコンピューティングについても情報セキュリテ

ィとの関係が検討されなければならない(2-1.5.)。

6

2. 管理責任類型－その 1：会社法関係

2-1.2.1. 会社法上の内部統制と情報セキュリティの関係

内部統制と情報セキュリティの関係はどのようなものか。

(1) 考え方

会社における情報セキュリティに関する体制は、その会社の内部統制の一部といえる。取締

役の内部統制構築義務には、適切な情報セキュリティを講じる義務が含まれ得る。

具体的にいかなる体制を構築すべきかは、一義的に定まるものではなく、各会社が営む事業

の規模や特性等に応じて、その必要性、効果、実施のためのコスト等様々な事情を勘案の上、

各会社において決定されるべきである。また、取締役会は、情報セキュリティ体制の細目まで

を決める必要はなく、その基本方針を決定するだけでもよい。

(2) 説明

1) 内部統制の概念と情報セキュリティ

後掲の各裁判例によれば、内部統制とは「会社が営む事業の規模、特性等に応じたリスク管

理体制」と定義される。取締役には、会社に対する善管注意義務（会社法第 330 条、民法第

644 条）に基づいて、このような内部統制に関する基本方針を取締役会で決定し、決定した基

本方針に従った内部統制を構築する義務がある。この「リスク」の中には、情報セキュリティ

に関するリスクが含まれ得るため、リスク管理体制の構築には、情報セキュリティを確保する

体制の構築が含まれ得る。情報セキュリティを確保する体制は、内部統制に含まれ得るといえ

る。

2) 会社法の内部統制

会社法は、大会社と委員会設置会社について、内部統制システムの構築の基本方針を取締役

会で決定すべきことを明文の義務としている(会社法第 348 条第 3項第 4 号、第 362 条第 4項

第 6 号、第 416 条第 1項第 1 号ホ）。これらの規定は、善管注意義務から要求される内部統制

システム構築の基本方針決定義務を念のために明文にしたものである。決定すべき内部統制は、

類型に分けて列挙されている。その中には、①法令等遵守体制、②損失危険管理体制、③情報

保存管理体制、④効率性確保体制、⑤企業集団内部統制が含まれる(前記引用の会社法各条及

び会社法施行規則第 98条第 1項、第 2項、第 100 条第 1項、第 112 条第 1項、第 2項）。情報

セキュリティに関するリスクが、会社に重大な損失をもたらす危険のある場合には、②の損失

危険管理体制(損失の危険の管理に関する規程その他の体制をいう)に含まれる。

また、情報の保存と管理に関するセキュリティは③の情報保存管理体制(取締役の職務の執

行に係る情報の保存及び管理に関する体制をいう)の問題ともなり得るほか、法令が情報の安

全管理を要求しているような場合には、①の法令等遵守体制(取締役及び使用人の職務の執行

7

が法令及び定款に適合することを確保するための体制をいう)の問題にもなることがある。

3) 取締役会が決定すべき事項

会社法は、「業務の適正を確保するための体制の整備」について取締役会が決すべきものと

しているが、当該体制の具体的な在り方は、一義的に定まるものではなく、各会社が営む事業

の規模や特性等に応じて、その必要性、効果、実施のためのコスト等様々な事情を勘案の上、

各会社において決定されるべき事項である。

また、取締役会が決めるのは「目標の設定、目標達成のために必要な内部組織及び権限、内

部組織間の連絡方法、是正すべき事実が生じた場合の是正方法等に関する重要な事項（要綱・

大綱）7」でよいと解されている。

情報セキュリティに関していえば、「情報セキュリティ規程」「個人情報保護規程」等の規定

の整備や、情報セキュリティを含めたリスク管理を担当する部署の構築等が考えられる8。

4) 金融商品取引法の内部統制

金融商品取引法は、上場会社等について、財務報告に係る内部統制の有効性の評価に関する

報告書（内部統制報告書）の作成及び開示を義務付けている。(詳細については、2-3.2.1. を

参照）

(3) 関連法令（政省令・基準）

・会社法第 348 条第 3 項第 4 号・第 4 項、第 362 条第 4 項第 6 号・第 5 項、第 416

条第 1項第 1号ホ

・会社法施行規則第 98 条第 1 項・第 2 項、第 100 条第 1 項、第 112 条第 1 項・第 2

項

・金融商品取引法第 24 条の 4の 4、第 25 条第 1項第 6号、第 193 条の 2第 2項

(4) 裁判例

内部統制システムの整備義務に関して、

・大阪地裁平成 12 年 9 月 20 日判決・判時 1721 号 3頁・判タ 1047 号 86 頁

・金沢地裁平成 15 年 10 月 6 日判決・判時 1898 号 145 頁・労判 867 号 61 頁

・名古屋高裁金沢支部平成 17 年 5 月 18 日判決・判時 1898 号 130 頁・労判 905 号 52

頁

・東京地裁平成 16 年 12 月 16 日判決・判時 1888 号 3 頁・判タ 1174 号 150 頁

・東京高裁平成 20 年 5 月 21 日判決・資料版商事法務 291 号 116 頁

7 相澤哲ほか『論点解説新・会社法』335 頁8 事業報告での開示例として、資料版商事法務 284 号 153-162 頁

8

・大阪地裁平成 16 年 12 月 22 日判決・判時 1892 号 108 頁・判タ 1172 号 271 頁

・大阪高裁平成 18 年 6 月 9日判決・判時 1979 号 115 頁・判タ 1214 号 115 頁

2-1.2.2. 情報セキュリティの不備と会社役員の責任

情報セキュリティに関する体制が不備であるため、情報の漏えい、改ざん又は滅失（消失）

若しくは毀損（破壊）によって会社又は第三者に損害が生じた場合、会社の役員（取締役・

監査役等）は、損害賠償責任を問われ得るか。

(1) 考え方

取締役会が決定した情報セキュリティ体制が、当該会社の規模や業務内容にかんがみて適切

でなかったため、情報の漏えい等により会社に損害が生じた場合、体制の決定に関与した取締

役は、会社に対して、任務懈怠（けたい）に基づく損害賠償責任（会社法第 423 条第 1項）を

問われ得る。また、決定された情報セキュリティ体制自体は適切なものであったとしても、そ

の体制が実際には定められたとおりに運用されておらず、取締役（・監査役）がそれを知り、

又は注意すれば知ることができたにも関わらず、長期間放置しているような場合も同様である

9。

個人情報の漏えい等によって第三者が損害を被ったような場合、取締役・監査役に任務懈怠

につき悪意・重過失があるときは、第三者に対しても損害賠償責任を負う（会社法 429 条第 1

項）。

(2) 説明

前述のように、取締役は、内部統制システムの構築義務の一環として、情報セキュリティ体

制を構築する義務を負うと解される。

取締役会で決議された内部統制システムが、当該会社の規模や業務内容に鑑みて、株式会社

の業務の適正を確保するために不十分であった場合には、その体制の決定に関与した取締役は、

善管注意義務（会社法第 330 条・民法第 644 条）違反に基づく任務懈怠（けたい）責任（会社

法第 423 条 1 項）を問われ得る10。

また、内部統制システムは適切なものであったが、その内部統制システムが実際には遵守さ

れておらず、取締役（・監査役）がそれを知り、又は注意すれば知ることができたにも関わら

ず、それを長期間放置しているような場合にも、善管注意義務違反に基づく任務懈怠責任を問

われ得る11。情報セキュリティ体制の構築又はその運用に欠陥があり、情報の漏えい等によっ

て会社に損害が生じたときは、取締役（・監査役）は、以上の理由に基づき、責任を負うこと

9 相澤哲ほか『論点解説新・会社法』335 頁10 相澤哲ほか『論点解説新・会社法』335 頁、及び大阪地裁平成 12 年 9 月 20 日判決11 相澤ほか・同

9

があり得る。

また、取締役（・監査役）が職務を行うについて悪意又は重過失があったときは、それによ

り第三者に生じた損害についても賠償責任を負う(会社法第 429 条第 1項）。したがって、取締

役（・監査役）が、悪意・重過失により、適切な情報セキュリティ体制を構築せず、又は体制

が適切に運用されていないのにこれを是正するのを怠った場合に、個人情報の漏えい等によっ

て第三者が損害を被ったときは、取締役（・監査役）は、当該第三者に対しても責任を問われ

得る。


・会社法第 330 条、第 423 条第 1項、第 429 条第 1項

・民法第 644 条

(4) 裁判例

特になし

3. 管理責任類型－その 2：個人情報保護法関係

2-1.3.1. 個人情報保護法上の安全管理措置義務と情報セキュリティの関係

企業における「情報セキュリティ対策」と個人情報保護法への対応との違いはどこにある

か。

(1) 考え方

「情報セキュリティ(対策）」とは、情報の機密性、完全性、及び可用性の 3要素を維持する

こと、そのための対策をいう。それに対して、個人情報保護法への対応とは、「個人情報取扱

事業者」(個人情報保護法第 2条第 3項)が「個人情報」(同法第 2条第 1項)等を同法の定める

義務を遵守し取り扱うこと、そのための対応をいう。

保護の対象となる情報は、情報セキュリティ対策においては「情報」一般であるのに対して、

個人情報保護法における後述の安全管理措置義務関連の規定は、「個人データ」(同法第 2条 4

項)に限定される。「個人データ」以外の情報については、もっぱら情報セキュリティ対策とし

て各企業の自主的対応に委ねられる(ただし、その他の法令上の義務並びに契約があればそれ

らを遵守すること、及び、他人の権利利益を侵害しないことが求められる）。

また、保護の主体は、情報セキュリティ対策においては、「事業者」一般が念頭に置かれて

おり、限定がないのに対して、同法への対応が法的に義務付けられるのは、「個人情報取扱事

業者」に限定される。

情報セキュリティ対策は、原則として、事業者が資産一般の安全性の確保、他人の権利利益

の侵害の防止という観点から自分のこととして行われることが通常である。しかし、個人情報

保護法で求められる安全管理措置義務関連の規定への対応は、「安全管理措置」(同法第 20条）、

10

「従業者の監督」(同法第 21 条）、及び「委託先の監督」(同法第 22 条)といった、「個人情報

取扱事業者」が「個人データ」を取り扱う場合に最低限守るべき規範について、法的義務とし

て行われるものである。

なお、個人情報保護法では、安全管理措置義務関連の規定のほか、個人情報取扱事業者は、

利用目的の達成に必要な範囲内において、その取り扱う個人データを正確かつ最新の内容に保

つよう努めなければならず(同法第 19 条）、さらに、それが「保有個人データ」(同法第 2条 5

項)に該当する場合には、その内容が事実でない場合には、利用目的の達成に必要な範囲内に

おいて、本人からの訂正等の求めに応じなければならない(同法第 26条 1項）。

(2) 説明

企業における情報セキュリティ対策は、経営管理の視点から、事業活動を円滑に行うことと

の関係に留意しながら、自社の保有する情報資産の安全性を確保するために行われる。近年は、

情報セキュリティマネジメントシステムを構築し運用するという対策を講じるところが増え

てきている。

情報セキュリティ対策における対象情報の特定、及びその保護のレベルの設定は、本来経営

者がその責任の中で決定していくべきものである。しかし、近年、情報に関する各種法令が整

備されていくとともに、法的義務を遵守すること、他人の権利利益を侵害しないこと、又は、

情報を法的に保護していくために必要な対応を行うことといった観点から企業における情報

管理においては、法令遵守(コンプライアンス)が求められることが増えてきている。個人情報

保護法も、またそうした法規制の一つである。

「個人データ」の安全管理（情報セキュリティ対策）は、「個人情報取扱事業者」において

は、法的義務であるため、経営の自由として経営者の裁量に属する事柄ではなく、その義務の

内容を理解し、事業活動の前提として法の求める対応を十分に尽くしておかなくてはならない

ことになる。

なお、個人情報保護法では、情報セキュリティ対策（安全管理）のほかに、原則として特定

された利用目的の範囲内で取り扱うこと(同法第 16 条）、本人からの苦情について適切かつ迅

速に処理するよう努めること(同法第 31 条)が義務付けられている。また、個人データを正確

かつ最新の内容に保つよう努めなければならず(同法第 19 条）、特に「保有個人データ」につ

いては、その内容が事実でない場合、利用目的の達成に必要な範囲内において、本人からの訂

正等の求めに応じる義務もある(同法第 26 条 1 項）。正確性の確保及び訂正に応じる義務は、

情報セキュリティ対策における情報の完全性に関係する規定であるということができる。


・個人情報の保護に関する法律第 2 条（定義）、第 16 条（利用目的による制限）、第

19 条（正確性の確保）、第 20条（安全管理措置）、第 21条（従業者の監督）、第 22

条（委託先の監督）、第 26 条（訂正等）

11

・経済産業分野の個人情報保護ガイドライン(法第 2 条関連、法第 20 条関連～法第

22 条関連）

(4) 裁判例

情報セキュリティと個人情報に関わる民事責任に関して、

・京都地裁平成 13 年 2 月 23 日判決・判自 265 号 17 頁、大阪高裁平成 13 年 12 月 25

日判決・判自 265 号 11 頁、最高裁平成 14 年 7 月 11 日決定・判自 265 号 10 頁(以

上、宇治市住民基本台帳データ大量漏えい事件）

・札幌地裁平成 17 年 4 月 28 日判決・判自 268 号 28 頁、札幌高裁平成 17 年 11 月 11

日判決（以上、北海道警捜査情報漏えい事件）

・大阪地裁平成 18 年 5 月 19 日判決・判時 1948 号 122 頁・判タ 1230 号 227 頁（ブロ

ードバンドサービス顧客情報漏えい事件）

・東京地裁平成 19 年 2 月 8 日判決・判時 1964 号 113 頁・判タ 1262 号 270 頁、東京

高裁平成 19 年 8 月 28 日判決・判タ 1264 号 299 頁（以上、エステサロン顧客情報

漏えい事件）

2-1.3.2. 安全管理措置義務の対象となる個人情報

日本の個人情報保護制度では、個人情報を取り扱う主体ごとに安全管理措置の対象となる

個人情報の範囲は異なるか。

(1) 考え方

法令が定める安全管理措置義務の対象となる個人情報の範囲は個人情報を取り扱う主体ご

とに異なる。具体的には、個人情報取扱事業者は「個人データ」、国及び独立行政法人等は「保

有個人情報」が対象となる。また、地方自治体の場合、「個人情報」から「保有個人情報に該

当する情報」に至るまで実施機関ごとに異なる。

(2) 説明

個人情報保護制度においては、個人情報を取り扱う主体ごとに適用される法令が異なる。

民間部門の個人情報取扱事業者には「個人情報保護法」、国の行政機関は「行政機関個人情

報保護法」、独立行政法人等には「独立行政法人等個人情報保護法」が適用される。また、地

方自治体については国の個人情報保護に関する法律の義務規定は適用されず、各自治体の個人

情報保護に関する条例が適用される。

そのため、法令で定める安全管理措置義務の対象となる個人情報の範囲も、組織ごとに異な

る。

民間部門の個人情報取扱事業者について、安全管理措置義務の対象となるのは「個人データ」

である。個人データとは、「個人情報データベース等(コンピュータのデータベースか紙媒体か

12

を問わず、特定の個人情報を容易に検索することができるように体系的に構成したもの）」を

構成する個人情報のことをいう。

ただし、個人情報データベース等を事業の用に供している場合であっても、それを構成する

個人情報によって識別される特定の個人の数の合計が過去 6 か月以内のいずれの日において

も 5,000 人を超えない事業者は、個人情報取扱事業者に該当しないため、個人データの安全管

理措置義務を負わない。

国の行政機関と独立行政法人等については、主として「保有個人情報」がその対象になる。

「保有個人情報」とは、行政機関の職員(独立行政法人等の場合は、独立行政法人等の役員又

は職員)が職務上作成し、又は取得した個人情報であって、当該行政機関の職員(独立行政法人

等の場合は、当該独立行政法人等の役員又は職員)が組織的に利用するものとして、当該行政

機関（当該独立行政法人等）が保有しているものをいう。ただし、行政文書(行政機関の保有

する情報の公開に関する法律（平成 11年法律第 42 号）第 2条第 2項に規定する行政文書をい

う。）(独立行政法人等の場合は、独立行政法人等の保有する情報の公開に関する法律（平成

13 年法律第 140 号）第 2 条第 2 項に規定する法人文書(同項第 3 号に掲げるものを含む。)に

記録されているものに限られる。

また、地方自治体については、個人情報にあたる情報から保有個人情報にあたる情報に至る

まで、各自治体の個人情報保護条例によって安全管理措置義務の対象となる個人情報は異なる。

このように、個人情報保護制度上は、個人情報を取り扱う主体ごとに適用される法令に基づ

き安全管理措置義務の対象となる個人情報の範囲が異なるため、同一の個人情報であってもそ

の主体及び取扱態様により安全管理措置義務を負わない場合がある。

なお、個人情報保護法上の安全管理措置義務の対象とならない個人情報については、安全管

理措置を怠った結果により漏えい等が発生した場合、同法が定める安全管理措置義務違反には

該当しないとしても、同法に関する各省庁のガイドラインに反することがあるほか、それらの

情報が個人のプライバシーに係る情報に該当する場合には、プライバシー侵害として責任を負

う可能性がある。


・個人情報の保護に関する法律(平成 15年 5月 30 日法律第 57号)

・個人情報の保護に関する法律施行令（平成 15 年 12 月 10 日政令第 507 号）(平成

20 年 5 月 1 日政令第 166 号）

・経済産業分野の個人情報保護ガイドライン

・行政機関の保有する個人情報の保護に関する法律（平成 15 年 5 月 30 日法律第 58

号）行政機関の保有する個人情報の保護に関する法律施行令（平成 15 年 12 月 25

日政令第 548 号）

・行政機関の保有する個人情報の適切な管理のための措置に関する指針について(平

成 16年 9月 14 日付け総管情第 84号総務省行政管理局長通知）

13

・独立行政法人等の保有する個人情報の保護に関する法律（平成 15年 5月 30 日法律

第 59号）

・独立行政法人等の保有する個人情報の保護に関する法律施行令（平成 15 年 12 月

25 日政令第 549 号）

・独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針につ

いて(平成 16年 9月 14 日付け総管情第 85 号総務省行政管理局長通知）

・地方公共団体の条例

(4) 裁判例

特になし

2-1.3.3. 委託先の監督責任

個人データの取扱いの全部又は一部を委託するにあたって、個人情報保護法は委託元に監

督責任を課しているが、具体的にはどのような責任が生ずるのか。また、監督責任を果た

すために何をしなければならないのか。

(1) 考え方

個人情報保護法は、個人情報取扱事業者による個人データの第三者提供を制限しているが、

委託元である当該事業者の責任の下で、その取扱いを委託する場合、委託先はその制限の対象

となる場合の「第三者」に該当しないこととしている(同法第 23 条第 4 項第 1 号）。しかし、

委託先が個人データを取り扱うにあたっては、同法が定める安全管理措置を遵守させるよう必

要かつ適切な監督を行うことが委託元に義務付けられている(同法第 22 条）。

(2) 説明

1) 委託先を監督する責任の内容

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合、同法第 20 条

に基づく安全管理措置義務が尽くされるよう、委託先に対し必要かつ適切な監督をしなければ

ならない(同法第 22条）。

委託先の監督責任の内容は、委託業務の内容に対して必要のない個人データを提供しないこ

とをはじめとして、取扱いを委託する個人データの内容を踏まえ、本人の個人データが漏えい、

滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個

人データの取扱状況等に起因するリスクに応じた、必要かつ適切な措置を講じることである。

「必要かつ適切な監督」の内容としては、①委託先を適切に選定すること、②委託先との間

で必要な契約を締結すること、③委託先における委託された個人データの取扱状況を把握する

ことなどが考えられる(経済産業分野の個人情報保護ガイドライン 2-2-3-4.委託先の監督）。

14

2) 委託先の選定

委託先を適切に選定するためには、委託先の個人情報保護水準が委託する当該業務内容に応

じて、個人情報保護法が定める安全管理措置義務として適切な水準にあることを合理的に確認

することが必要であり、継続的に適切な選定を実施するために委託先の評価を適宜実施するこ

とも求められる。

3) 委託契約

委託契約には、当該個人データの取扱いに関する必要かつ適切な安全管理措置として、委託

元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を

合理的に把握することを盛り込むことが求められる。なお、本人からの損害賠償請求に係る責

務を、安全管理措置に係る責任分担を無視して一方的に委託先に課すなど、優越的地位にある

者が委託元の場合、委託先に不当な負担を課すことがあってはならない。

個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項としては、①委託

元及び委託先の責任の明確化、②個人データの安全管理に関する事項(個人データの漏えい防

止・盗用禁止に関する事項、委託契約範囲外の加工・利用の禁止、委託契約範囲外の複写・複

製の禁止、委託契約期間、委託契約終了後の個人データの返還・消去・廃棄に関する事項）、

③再委託に関する事項(再委託を行うに当たっての委託元への文書による報告）、④個人データ

の取扱状況に関する委託元への報告の内容及び頻度、⑤契約内容が遵守されていることの確認

(例えば、情報セキュリティ監査なども含まれる。）、⑥契約内容が遵守されなかった場合の措

置、⑦セキュリティ事件・事故が発生した場合の報告・連絡に関する事項、が挙げられる。

委託契約上の善管注意義務に違反して情報漏えいなどが発生した場合、それによって生じた

損害を、委託先が委託元に対して、賠償すべき責任を負うことがある。このような責任は、再

委託先と再委託元との間でも生じうる。再委託先が発生させた個人情報の漏えい事故を巡り、

再委託元に対する再委託先の賠償責任を認めたものとして、後掲愛南町個人情報漏えい事件判

決がある。

4) 個人データの取扱状況の把握

委託先における委託された個人データの取扱状況を把握するためには、委託契約で盛り込ん

だ内容の実施の程度を相互に確認することが望ましい。

また、委託元が委託先について「必要かつ適切な監督」を行っていない場合で、委託先が再

委託をした際に、再委託先が適切といえない取扱いを行ったことにより、何らかの問題が生じ

た時は、元の委託元がその責めを負うことがあり得るため、再委託する場合は注意を要する。

5) 委託と共同利用の違い

個人データを特定の委託先に提供する場合について、個人情報取扱事業者によっては、個人

情報保護法の解釈上、個人データの取扱いの委託ではなく、個人データの共同利用（同法第

15

23 条第 4 項第 3 号）にあたると誤解していることがある。委託先への提供は委託先の監督責

任が発生する一方で、共同利用は、共同して利用する個人データの管理について責任を有する

者を指定する必要はあるものの、同法において共同利用先の監督責任を負うものではない。

この点につき、共同利用か委託かは、個人データの取扱いの形態によって判断されるもので

あって、共同利用者の範囲に委託先事業者が含まれる場合であっても、委託先との関係は、共

同利用となるわけではなく、委託先の監督義務を免れるわけでもない。よって、共同利用者の

範囲に含まれる事業者に個人データの取扱いを委託し、個人データを提供しているからといっ

て、委託元がこれを共同利用とみなすこととしたとしても、そもそも委託先の監督責任が問わ

れることとなる。

6) 委託先の監督責任をとりまく課題

委託先の監督責任については、①個人情報取扱事業者に該当しない事業者に個人データの取

扱いを委託する際に安全管理措置を遵守するための留意事項、②委託先への検索性・体系性が

ない個人情報の取扱いの委託、③安全管理措置の実施と法令遵守の問題などがある。

①の問題は、個人情報データベース等を構成する個人情報によって識別される特定の個人の

数が 5,000 人を超えない事業者は、個人情報取扱事業者に該当しない。そのため、このような

事業者に委託する場合、当該委託先は安全管理措置義務を直接には負わないが、委託元は委託

先において個人情報の漏えい等が発生することにより監督責任及び個人情報取扱事業者自身

の安全管理措置義務違反を問われることから、委託先において個人情報が安全に管理されるよ

う契約の定めによって義務を課す必要がある。

②の問題は、個人データ(個人情報データベース等を構成する個人情報)は、データベースか

ら出力されるなどして 1件の個人情報として取り扱われる場合であっても、委託元である個人

情報取扱事業者にとっては「個人データ」であることには変わりがない。しかし、委託先に当

該個人データを検索性・体系性がない情報として提供した場合、委託先にとっては「個人情報」

を取得したに過ぎないことから、同一の個人情報でありながら委託先においては個人データに

は該当しない。この場合、委託先は当該「個人情報」に係る安全管理措置義務を直接には負わ

ないものと解されるが、委託業務の内容に対して必要のない個人データを提供しないという委

託先の監督責任の趣旨からも、委託先には委託にあたって必要最低限の個人データを提供する

ことが望ましく、また、委託元自身に安全管理措置義務が課せられており、委託した個人デー

タに関しても委託先への監督を通して安全管理措置を担保するという法の趣旨からも、委託先

にとっては個人データに該当しない個人情報についても適切に管理されるよう委託先に求め

ることが必要となる。

③の問題については、安全管理措置の実施に必要な措置を講ずることが、法令遵守のための

対応でありながら他の法令に適合しない対応にならぬよう注意すべきである。具体的には、本

人からの損害賠償請求に係る責務を安全管理措置に係る責任分担を無視して一方的に受託者

に課すなど、優越的地位にある者が委託元の場合、委託先に不当な負担を課すこと(経済産業

16

分野の個人情報保護ガイドライン 2-2-3-4.委託先の監督）、派遣労働者など雇用関係にない者

との間で個人情報の取扱に係る契約を直接結ぶことや、誓約書において損害賠償額の予定や違

約金を定めるなど労働基準法第 16条に違反する場合等が挙げられる。

7) 委託元が委託先の監督を尽くさなかった場合の責任

委託元が委託先の監督を尽くさなかった場合には、個人情報保護法違反となるだけではなく、

漏えい事故を起こした委託先が委託元に対して負うべき損害賠償責任との関係で、過失相殺事

由となることもある。

前掲愛南町個人情報漏えい事件判決は、前記事案において、再委託元にも安全管理義務を怠

った過失があり、同過失も漏えい原因の一端を担っているとして 4割の過失相殺を行い、生じ

た損害のうち 6割について、再委託先の再委託元に対する支払義務を認めた（ただし、本件で

過失相殺の対象となるべきどのような落ち度が再委託元に存在したのか、判旨からは不明であ

る）。


・個人情報の保護に関する法律（平成 15年 5月 30 日法律第 57 号）

・個人情報の保護に関する法律施行令（平成 15 年 12 月 10 日政令第 507 号）

・経済産業分野の個人情報保護ガイドライン

(4) 裁判例

・山口地裁平成 21 年 6 月 4日判決（愛南町個人情報漏えい事件判決）

2-1.3.4. 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライ

ン」の改正点 (※09 年度新規）

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の見

直しに伴い、情報セキュリティとの関連で留意すべき点は何か。

(1) 考え方

情報セキュリティとの関連で留意すべき改正のポイントは次の 4点である。

第 1 は、いわゆる闇名簿屋の個人情報の買い取り行為と企業の闇名簿屋の利用を禁止したこ

とである。これは、個人情報保護法第 17 条（適正な取得）の新たな解釈に踏み込む重要な改

正である。

第 2は、主務大臣への報告の簡素化(性質に応じた個人情報の取扱い)である。軽微な情報漏

えい時の企業対応が若干軽減されている。

第 3 は、いわゆるデューディリジェンスの適法性を確認するためその法律構成（理由付け）

と必要な秘密保持契約の項目を明らかにした「事業承継」に係るルールの明確化である。

17

第 4 は、「共同利用」制度の利用普及に係る具体策である。規制内容が曖昧であり、敬遠さ

れてきた「共同利用」の要件を明確化することで法的構成の幅を広げたものである。

(2) 説明

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(以下

「ガイドライン」という。)は、平成 16 年 10 月 22 日に策定され、その後、平成 19 年 3 月、

平成 20 年 2 月と 2度の改正を経て、今回平成 21 年 10 月 9 日に厚生労働省・経済産業省告示

第 2 号として公表されたものである。

3回目の改正点としては、「個人情報の保護に関する基本方針」の一部変更への対応、「個人

情報の保護に関する法律施行令」の一部改正への対応、「個人情報保護に関するガイドライン

の共通化について」への対応等をあげることができるが、情報セキュリティとの関連で留意す

べき改正のポイントは次の 4点である。

第 1 は、いわゆる闇名簿屋の個人情報の買い取り行為と企業の闇名簿屋の利用を禁止したこ

とである。

同法は、「適正な取得」について「個人情報取扱事業者は、偽りその他不正の手段により個

人情報を取得してはならない」と定めているが、同ガイドラインでは、従前「不正の手段によ

り個人情報を取得している事例」として次の 3つの事例を掲げていた。

事例 1）親の同意がなく、十分な判断能力を有していない子どもから、取得状況から考え

て関係のない親の収入事情などの家族の個人情報を取得する場合

事例 2）法第 23 条に規定する第三者提供制限違反をするよう強要して個人情報を取得した

場合

事例 3）他の事業者に指示して上記事例 1）又は事例 2)などの不正の手段で個人情報を取

得させ、その事業者から個人情報を取得する場合

「偽りその他不正の手段」に、刑事法上の詐欺や脅迫、民事法上の詐欺や強迫、または不法

行為があたる点に異論はないところであるが、事例 1）～3)は、必ずしもこうした刑事、民事

の責任を問い得ない場合であっても行政の取締りという観点から「偽りその他不正の手段」に

あたり得る場合があることを示していた。

一方、闇名簿屋（個人情報取扱事業者）が「個人情報」を買い取ることは「適正な取得」(法

第 17条)といえるのか。また、企業（個人情報取扱事業者）がそうした闇名簿屋を利用し「個

人情報」を買い求めることが「適正な取得」といえるのか、という点についてはその解釈を明

らかにしてこなかった。

同ガイドラインでは、次の 2つの事例を追加し、個人情報取扱事業者である闇名簿屋の買い

取り行為が同法第17条に違反することを明らかにしたものである(ガイドライン2-2-2.(1)事

例 4 参照）。また同時に、個人情報取扱事業者が闇名簿屋を利用して個人情報を買い取る行為

も違法であることを示している(同、事例 5参照）。

18

事例 4）本人の同意を得ることなく、かつ、法第 23条の各項各号に定める方法によること

なく個人情報が提供されようとしていることを知り、又は容易に知ることができるにもか

かわらず、当該個人情報を取得する場合

事例 5）上記 1）又は上記 2)などの不正の手段で個人情報が取得されたことを知り、又は

容易に知ることができるにもかかわらず、当該個人情報を取得する場合

市中に闇名簿屋が少なからず存在していることについては周知のところであろうが、こうし

たブラックマーケットが個人情報の換金への誘惑を創出し、従業者の違法行為を助長する遠因

ともなり、また、流出した情報を買い取り、複製して多数売却することによって拡散し、流出

情報の本人の被害が拡大する原因にもなっていた。

規制すべき実質的必要性が高いことは認められるが、同法第 17 条の許容するところである

か否かが問題となる。同法の起草段階では明確に想定していたところではなく、まさにその後

の運用と社会の状況を踏まえ、法目的と同法第 17 条の制定趣旨から解釈によって明らかにす

べきところである。

当初は、正当な、紳士録などの名簿販売、住宅地図の販売、人事異動のデータ提供や人物デ

ータベースの提供等のビジネスを徒に萎縮させることがないように、名簿販売業一般への取締

りを強化する解釈を回避していたようにも思われるが、法の施行後の実際の事件を見ていくと、

表稼業と裏稼業の境目が曖昧ということはなく、闇名簿屋にターゲットを絞った運用が可能で

あることが明らかになってきた。

要するに、ここで規制の対象にしようとしているのは、企業が厳格に管理しており、また本

人の第三者提供への同意を大量にとりつけることが本来不可能な顧客の個人データが電磁媒

体などで闇名簿屋に持ち込まれるような事例である。

一般に持ち込まれるはずのない個人情報が持ち込まれた場合、それを安易に買い受ける行為

は、全体として不正な手段によって入手したものと推定すべきであり、到底「適正な取得」と

評価することはできない。こうした個人データの多くは、その内容や数量から客観的に不正な

手段によるものと容易に判断することができる。過剰規制につながるリスクは少ない。

また、持ち込んだ当人に、名簿屋が本人確認の書類の提示を求め、さらに、本人の同意を得

た個人データである旨の書類にサインを求めたとしても、当然に「適正な取得」と評価される

ものではない。この点もまた、持ち込まれた「個人情報」の内容や数量などから客観的に明ら

かになるものである。例えば、金融機関の個人信用情報、信販会社の顧客のクレジットカード

情報などが数万人分持ち込まれた場合にそもそも本人同意などあろうはずがない。そこでの虚

偽申告を真に受けたという理由をそのまま採用することができないのは当然である。こうした

客観的に明らかな取得行為について、「偽りその他不正の手段」と解することは、十分に許さ

れるというべきである。

またそれと同時に、こうした闇名簿屋から個人情報取扱事業者が個人データを買い求める行

為も「不正の手段」によるものとして同法第 17 条の違反が問われることになる。従業者が販

売促進のために闇名簿屋を利用することがないよう社内教育を徹底する必要があろう。

19

第 2 は、主務大臣への報告の簡素化(性質に応じた個人情報の取扱い)である。

ファクシミリやメールの送信は全ての従業員一人一人の業務上の裁量の中にあって、誤送信

という日常的に発生するヒューマンエラーへの対応は、業務の見直し、手順書の策定、注意書

き、研修などを徹底してもなお、それを根絶することは現実的に困難である。ファクシミリや

メールの送信を上司の決裁事項とし、そのような情報システムを導入したり、二名で相互に確

認しながら行うという方法もあり得るが、特殊な業務を除いて業務の効率性をそこまで犠牲に

して行うべき案件ではない。

企業にとって、自らの事業を主管する主務大臣への報告は大きな負担を生じる作業である。

重要性の程度に関わりなく氏名があれば個人情報であるとして、個人データ 1件でも漏えいは

漏えいという建前から、全てに報告を課すことはいわゆる過剰反応を招く要因の一つになって

いるといってもよい。同ガイドラインでは、ようやくその点について主務大臣等への報告を軽

減することを示したものである。

すなわち、個人データを含むファクシミリやメールの誤送信については、主務大臣や認定個

人情報保護団体への報告を月 1回にまとめて実施することができるとした。

また、個人データを含む(要するに、個人情報データベース等から出力したラベルを用いた）

郵便や宅配便等の誤配は、原則として、安全管理措置（同法第 20条）、従業者の監督義務（同

法第 21 条）、委託先の監督義務（同法第 22 条）の違反を問わないこととし、主務大臣等への

報告も不要としたものである。

なお、個人データの種類や性質によっては、普通郵便や一般的な宅配便等の利用が移送手段

として不適切であると判断されることがある。その場合は、委託先選定のあり方（同法第 22

条）などが問われることがある点に留意しなくてはならない。

第 3 は、いわゆるデューディリジェンスの適法性を確認するためその法律構成（理由付け）

と必要な秘密保持契約の項目を明らかにした「事業承継」に係るルールの明確化である。

同ガイドラインは、「事業の承継のための契約を締結するより前の交渉段階で、相手会社か

ら自社の調査を受け、自社の個人データを相手会社へ提供する場合は、当該データの利用目的

及び取扱方法、漏えい等が発生した場合の措置、事業承継の交渉が不調となった場合の措置等、

相手会社に安全管理措置を遵守させるため必要な契約を締結しなければならない。」と定める

(ガイドライン 2-2-4.(3)(ii)参照）。

Ｍ＆Ａのための交渉段階で相手方企業の調査を行ういわゆるデューディリジェンス(以下

「デューディリ」という。）それ自体は、「合併その他の事由による事業の承継に伴って個人デ

ータが提供される場合」(同法第 23 条第 4 項第 2 号)には該当しない。それはあくままでも事

業の承継のための準備作業の一つにすぎないからである。実際、デューディリ後、事業承継に

至らないケースが多く、事業承継に伴うものとして「第三者」の例外とする解釈はかなりの強

弁といえなくもなかった。

しかし、デューディリにおける顧客名簿、労働者名簿、株主名簿等の閲覧行為を第三者提供

と解する場合には、個人顧客、労働者、個人株主など本人からあらかじめ同意を得るか(同法

20

第 23 条第 1 項）、またはオプトアウト手続き12(同法第 23 条第 2 項)によらねばならないこと

になる。これでは、特定企業をＭ＆Ａの対象としていることを早期の段階で内外に宣言するよ

うなもので、同法第 23 条第 1 項及び第 2 項の適用はＭ＆Ａ実務上採用できるものではないこ

とは明白である。

こうした不都合を回避するため、学説上は、これを委託（同法第 23 条第 4 項第 1 号）と解

する説と前述した事業の承継（同法第 23 条第 4 項第 2 号）とする説、その他黙示の本人同意

があったとする説があったが、本ガイドラインでは、名簿等の閲覧に応じる行為を個人データ

の提供と捉え、委託と構成し、デューディリを行う事業者及びその代理人である弁護士（法律

事務所）、公認会計士（監査法人）、コンサルタント（コンサルティング事務所）等を「第三者」

にあたらないと解することで本人同意は不要としたものである。

したがって、デューディリに応じる際には、同法第 22条（委託先の監督）が適用され、「①

委託先の選定」、「②委託契約の締結」、「③委託先における個人データ取扱い状況の把握」が義

務づけられる。当然ながら、情報処理の委託契約とは性質を異にするところがあるため、同ガ

イドラインでは、特に「②委託契約の締結」に関し、秘密保持契約に必要な事項を例示したも

のである。

第 4 は、「共同利用」制度の利用普及に係る具体策である。規制内容が曖昧であり、敬遠さ

れてきた「共同利用」の要件を明確化することで法的構成の幅を広げたものである。

個人データを特定の者との間で共同して利用する場合は、①共同して利用される個人データ

の項目、②共同利用者の範囲、③利用する者の利用目的、④個人データの管理について責任を

有する者の氏名又は名称などの情報をあらかじめ本人に通知し、又は本人が容易に知り得る状

態に置いておくとともに、共同して利用することを明らかにしなければならない(同法第 23

条第 4項第 3号）。この場合は、第三者に該当せず本人同意（同法第 23条第 1項）は不要であ

る。

しかし、「共同利用」の要件が厳しくまたその規制内容に曖昧な点があったため、本制度の

利用は当初から敬遠され、企業実務上、複数企業間の個人データの活用は、「委託」または「第

三者提供」といった法的構成がとられてきた。今回、「共同利用」の要件に関わる解釈上の疑

義を明確化することで各企業の法的構成の選択の幅を広げたものである。

そこで、同ガイドラインでは、これら①～④の事項のほかに取り決めておくことが望ましい

事項として、次の事項を例示したものである(ガイドライン 2-2-4.(3)(iii)参照）。

・共同利用者の要件(グループ会社であること、特定のキャンペーン事業の一員

12 オプトアウト手続きとは、個人情報の第三者提供にあたりあらかじめ、4つの事項（第三者

への提供を利用目的とすること、第三者に提供される個人データの項目、第三者への提供の

手段又は方法、及び本人の求めに応じて当該本人が識別される個人データの第三者への提供を

停止すること）を、本人に通知し、又は本人が容易に知り得る状態に置いておくとともに、本

人の求めに応じて第三者への提供を停止することをいう。

21

であること等、共同利用による事業遂行上の一定の枠組）

・各共同利用者の個人情報取扱責任者、問い合わせ担当者及び連絡先

・共同利用する個人データの取扱いに関する事項

-個人データの漏えい等防止に関する事項

-目的外の加工、利用、複写、複製等の禁止

-共同利用終了後のデータの返還、消去、廃棄に関する事項

・共同利用する個人データの取扱いに関する取決が遵守されなかった場合の措

置

・共同利用する個人データに関する事件・事故が発生した場合の報告・連絡に関

する事

・共同利用を終了する際の手続

なお、個人データの共同利用に関しては、2-2.2.1. 参照。


・個人情報保護法第 17 条、第 20条、第 21条、第 22条、第 23 条第 1項、第 23 条第

2項、第 23 条第 4項第 2号、第 23条第 4項第 3号

・個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン

(平成21年10月9日厚生労働省・経済産業省告示第2号）2-2-2.(1)、2-2-4.(3)(ii)、

2-2-4.(3)(iii)

(4) 裁判例

・大阪高等裁平成 13年 12 月 25 日判決（宇治市住民基本台帳漏えい事件控訴審判決）

2-1.3.5. 消費生活用製品安全法と情報セキュリティの関係（※09 年度新規）

消費生活用製品安全法には、情報セキュリティ保護のための規定が設けられているか。

(1) 考え方

消費生活用製品安全法が規定する長期使用製品安全点検制度（同法第 32 条の 2 以下）にお

いては、特定保守製品（同法第 2 条第 4項）に関する同法第 32 条の 4 第 3 項が定める氏名・

住所・製品の設置場所等の情報(以下「所有者情報」という。)の登録を受ける製造・輸入事業

者(以下「特定製造事業者等」という。)に対し、個人情報保護法にいう個人データだけでなく、

それに該当しない個人情報をも含め、所有者情報の安全管理措置義務が課せられている(消費

生活用製品安全法第 32条の 13第 2項）。

(2) 説明

同法は、消費生活用製品による一般消費者の生命・身体に対する危害の防止を図るための法

22

律である(同法第 1条）。この目的のための措置の一つとして、長期使用製品安全点検制度を設

けている。本制度は、長期間の使用に伴い生ずる劣化（経年劣化）により安全上支障が生じ、

特に重大な危害を及ぼすおそれの多い品目の特定製造事業者等に加えて、小売販売事業者、不

動産販売事業者、建築事業者、ガス・電気・石油供給事業者等の事業者、さらには消費者等、

それぞれが適切に役割を果たすことによって、経年劣化による事故を防止するためのものであ

る。本制度においては、対象製品となる特定保守製品の所有者は、所有者情報について、特

定製造事業者等に登録することとなっている(ユーザ登録制度）。このように、一事業者である

特定製造事業者等のもとに個人情報が大量に集約されることとなるため、その取扱いについて

諸規定が置かれている。

上記諸規定として、利用目的等の公表（同法第 32 条の 9）、利用目的の制限（同法第 32 条

の 10）、所有者名簿の作成・保存等（同法第 32 条の 11）と並んで、目的外利用の禁止・所有

者情報の安全管理措置義務（同法第 32条の 13）がある。以下では、この安全管理措置義務に

ついて説明する。

個人情報保護法では、個人データについての安全管理措置義務が規定されているが(同法第

20 条）、消費生活用製品安全法では、個人データに該当しない個人情報までをも含め、所有者

情報について安全管理措置義務を課している(同法第 32条の 13第 2 項）。違反は改善命令の対

象となる(同法第 32 条の 16）。この命令違反は罰則の対象となり(同法第 58 条第 5 号）、両罰

規定も用意されている(同法第 60 条第 2号）。

次に、同法では、従業者の監督及び委託先の監督（個人情報保護法第 21条・第 22 条参照）

の規定を置いていないが、これは従業者・委託先の監督は当然に安全管理措置義務に含まれる

ことから規定していないということにすぎず、従業者・委託先の監督を免除する趣旨ではない。

これに関連して、経済産業省から「消費生活用製品安全法上の個人情報の取扱いに関するガ

イドライン」(平成 20 年 7 月)が公表されている。同ガイドラインでは、同法が求める安全管

理措置の内容は、個人情報保護法で求められている内容と変わりはないため、「個人情報の保

護に関する法律についての経済産業分野を対象とするガイドライン」(以下「経済産業分野ガ

イドライン」という。)等の主務大臣が策定するガイドラインを参考として安全管理措置を図

ること、消費生活用製品安全法の安全管理措置義務は制裁において個人情報保護法に優先する

が、管理手法として経済産業分野ガイドラインの参照を妨げるものではない(確認的規定)とし

ている。

したがって、特定製造事業者等は、経済産業分野ガイドラインに基づき、所有者情報につい

て消費生活用製品安全法の安全管理措置義務に係る安全管理措置を講じるべきことになる。

なお、安全性に関わる不具合が発見された商品に関するユーザ名簿の収集については

2-2.2.2. 参照。


・消費生活用製品安全法第 32 条の 13第 2項

23

・経済産業省「消費生活用製品安全法上の個人情報の取扱いに関するガイドライン」

・経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガ

イドライン」

(4) 裁判例

特になし

4. 加害行為規制類型

2-1.4.1. コンピュータウイルスの作成・送付

コンピュータウイルスによって企業活動を阻害した場合に、刑法上処罰され得るか。

(1) 考え方

現実社会では、病院や研究所から細菌・ウイルスなどの微生物が外部へ漏出してひき起こさ

れる災害や障害（バイオハザード）が問題となっているが、サイバースペースでも、悪意に満

ちたプログラムの伝播・感染が現実の問題となっている。

コンピュータウイルスに関する行為は、電子計算機損壊等業務妨害罪（刑法第 234 条の 2）

や電磁的記録毀棄罪（刑法第 258 条、第 259 条）などの規定に該当すれば、処罰され得る。

(2) 説明

「コンピュータウイルス対策基準」(通商産業省告示第 952 号)によると、コンピュータウイ

ルスとは、「第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすよう

に作られたプログラムであり」、①自己伝染機能(自らの機能によって他のプログラムに自らを

コピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、他のシス

テムに伝染する機能）、②潜伏機能(発病するための特定時刻、一定時間、処理回数等の条件を

記憶させて、発病するまで症状を出さない機能）、③発病機能(プログラム、データ等のファイ

ルの破壊を行う、設計者の意図しない動作をする等の機能)のうち、一つ以上の機能を有する

ものである。

刑法には、コンピュータ犯罪に関連して、電磁的公正証書原本不実記録罪関係（刑法第 157

条、第 158 条）、電磁的記録不正作出罪関係（刑法第 161 条の 2）、電子計算機損壊等業務妨害

罪関係（刑法第 234 条の 2）、電子計算機使用詐欺罪関係（刑法第 246 条の 2）、電磁的記録毀

棄罪関係（刑法第 258 条、第 259 条）などの規定がある。

電磁的記録毀棄罪関係については、刑法第 258 条に「公務所の用に供する文書又は電磁的記

録を毀棄した者は、三月以上七年以下の懲役に処する。」と定められ、刑法第 259 条に「権利

又は義務に関する他人の文書又は電磁的記録を毀棄した者は、五年以下の懲役に処する。」と

定められている。

電子計算機損壊等業務妨害罪関係については、刑法第 234 条の 2に「人の業務に使用する電

24

子計算機若しくはその用に供する電磁的記録を損壊し、若しくは人の業務に使用する電子計算

機に虚偽の情報若しくは不正な指令を与え、又はその他の方法により、電子計算機に使用目的

に沿うべき動作をさせず、又は使用目的に反する動作をさせて、人の業務を妨害した者は、五

年以下の懲役又は百万円以下の罰金に処する。」と定められている。

なお、電磁的記録毀棄罪関係及び電子計算機損壊等業務妨害罪関係には、予備や未遂を処罰

する規定は定められていない。


・刑法第 234 条の 2（電子計算機損壊等業務妨害）など

(4) 裁判例

特になし

5. クラウドコンピューティングと情報セキュリティの関係(※10 年度新規)

クラウドコンピューティングの利用については、情報セキュリティに関する懸念がよく言

及されるところであるが、具体的にはどのような課題が想定され、対策が考えられるか。

(1) 考え方

基本的には従来のアウトソーシングサービスと法的には同様であるが、IT の基盤部分のコ

ントロールがクラウド事業者の手にあること、マルチテナントであること、約款取引が前提と

して想定されること、サービスが多層になり得ること、サービスが国境を越えて提供される機

会が増えること等の点で、異なる側面もあるので、サービスの選定等について、別途、考慮す

べき点が生じる。

(2) 説明

1) クラウドコンピューティングとは

「クラウドコンピューティング」の語は様々な論者により様々な意味で用いられるが、IT

戦略本部「i-Japan 戦略 2015」では、「データーサービスやインターネット技術などが、ネッ

トワーク上にあるサーバ群（クラウド（雲））にあり、ユーザは今までのように自分のコンピ

ュータでデータを加工・保存することなく、『どこからでも、必要な時に、必要な機能だけ』

を利用することができる新しいコンピュータネットワークの利用形態」と定義している13。

なお、米国国立標準技術研究所(National Institute of Standards and Technology, NIST)

では、クラウドコンピューティングに関する定義として以下の案を出している。

13 http://www.kantei.go.jp/jp/singi/it2/kettei/090706honbun.pdf

25

クラウドコンピューティングとは、(複数のユーザにより）共有された構成可能なコンピュ

ータ資源(例えば、ネットワーク、サーバ、ストレージ、アプリケーション、サービス)に対す

る、ユビキタス、簡便、オンデマンドなネットワークアクセスを可能にするモデルである。そ

れらコンピュータ資源は、最小限の管理の努力とサービスプロバイダのやりとりで、迅速に供

給され、リリースされ得るものである。このクラウドモデルは、可用性を促進し、5つの本質

的な特徴、3つのサービスモデル及び、4つの配置モデルから構成される。[仮訳]14

なお、以下では、「クラウドサービス」はクラウドコンピューティングを用いたサービス、

「サービス提供者」とはクラウドサービスを提供する事業者のことを指す。また、クラウドサ

ービスの中でも、特にパブリッククラウドといわれる不特定多数向けのサービス、中でも

IaaS(Infrastructure as a Service)と呼ばれる仮想的コンピュータの提供サービスを前提に

検討し、またクラウドサービスのユーザとしては。企業等の法人ユーザを想定している15。

2) クラウドサービスの特徴(特にセキュリティ上の留意点)

総じて、クラウドサービスは従来のアウトソーシングサービスと法的に本質的な差異がある

とは考え難く、基本的には本書の他の箇所の記述がクラウドサービスにも該当するものと考え

られる。

ただ、クラウドサービスにおいては、以下の点において従前のサービスとは異なる側面もあ

ると考えられる。それに伴って、利用者において、クラウドサービスの利用を選択する際に留

意すべき点がある。

① IT の基盤部分のコントロールがクラウド事業者の手にあること。IaaS、 PaaS、 SaaS と

いったサービスモデルや個々の事業者のサービス内容・実装によってその範囲は異なり得

る。従前においても、例えばホスティングについては、ハードウェアの選定、購入(所有)、

維持管理はサービス提供者側が行うことが通常と考えられ、その意味ではサービス提供者

側のコントロールが相応に存在していた。クラウドサービスにおいては、そうしたハード

ウェアの要素が、ソフトウエア及びその運用によって実装される仮想的なマシンないしデ

14 原文は、“SP800-145, Draft Difinition of Cloud Computing”:

http://csrc.nist.gov/publications/drafts/800-145/Draft-SP-800-145_cloud-definition.

pdf

著者：Peter Mell 及び Timothy Grance

原文の注釈にあるように、クラウドコンピューティングは発達中のパラダイムであるため、定

義は、今後改良されていくであろうとある。5つの本質的な特徴、3つのサービスモデル及び、

4つの配置モデルの説明は、本書では省略する。15 近時は個人向けのクラウドサービスも様々なものが登場し利用が進んでいるところではあ

るが、本書の主眼から外れるため割愛する。

26

ータ領域として提供されるため、程度の問題ながらサービス事業者のコントロールがより

大きい面があると考えられる。そうしたクラウドサービスを利用してシステムやデータを

置くことが、例えば以下のような情報セキュリティに係わる各種ルールとの関係で、秘密

管理性や統制の要件などを満たすか否かが問題となり得る。

a) 個人情報の保護(個人情報保護法等）

同法第 22 条においては、個人情報取扱事業者が個人データの取扱いの全部又は一

部を委託する場合、委託先に対して必要かつ適切な監督をしなければならないが

（2-1.3.3. ）、クラウド環境下では従前のアウトソーシングサービスの場合と全く

同じやり方で必要かつ適切な監督を行うことは必ずしも容易ではない。

b) 営業秘密の管理(不正競争防止法)

ユーザ企業が営業秘密であることを意図している情報をクラウドサービス上で管

理した場合、営業秘密の要件の一つである秘密管理性(a 情報にアクセスできる者

を制限すること、b.情報にアクセスした者が、それが秘密であると認識できること)

を満たすかという問題がある（2-2.5.営業秘密）。

c) 内部統制(会社法、金融商品取引法)

会社法上、取締役は内部統制構築義務を負い、その一貫として、適切な情報セキュ

リティを講じる義務がある（2-1.2.1. ）。適切な情報セキュリティの体制を構築す

ること、およびその体制が適切に運用されるよう監視することが必要であり、これ

を怠ると、取締役は会社に対し、損害賠償責任（会社法第 423 条第 1項）を問われ

る（2-1.2.2. ）。したがって、クラウドサービスを利用する場合には、そのリスク

も考慮に入れて、クラウドサービスに乗せる業務情報の種類の選別と利用方法につ

いて検討しておく必要がある。

金融商品取引法との関係では、クラウドサービスの利用によって、IT 全般統制の

文書化・経営者評価に支障がでないかという問題がある（2-3.2.1. ）。

d) 顧客より預かった情報の漏えい等を防止する義務(契約上の守秘義務・安全管理義務、プ

ライバシー等）

ユーザ企業が自らの顧客から秘密情報や個人情報等を預かる場合については、顧客

に対して契約上漏えい等せず安全に管理する義務を負うことになる。これをクラウ

ド環境に置こうとする場合、このような守秘義務、安全管理義務を果たせるかとい

う問題がある(上記 a）、b)と同様）。

② マルチテナントであること。ユーザのシステムやデータは、ユーザ毎に固有の物理的ハー

ドウェア上に存在するのではなく、一群のコンピュータ資源が仮想的・論理的に分割され

27

たところに共存する。そこで、基盤を構成するソフトウエア自体の脆弱性、外部や他ユー

ザ等からの基盤への攻撃、政府機関による強制的な差押え等によって基盤の運営に支障が

生じた場合、その基盤上にアプリケーションやデータを置く全てのユーザ企業に影響が及

ぶことになる。

③ 約款取引が前提として想定されること。パブリッククラウドと言われる、不特定多数の顧

客向けに提供されるサービスにおいては、統一仕様の大量のコンピュータ資源を少人数で

運用管理することにより、設備投資や運用コストを切り詰め規模の経済を活かして、標準

的かつ導入容易な価格でのサービスを実現している。サービス仕様を含め各種契約条項に

ついても、サービス事業者が予め用意する約款によることが想定される。ユーザにとって

は、少ない資金でサービス利用を開始したり、需要に応じて利用する資源を容易に増減し

たりできるメリットがある一方で、サービス仕様、利用条件、セキュリティ対策、監査対

応等の詳細については、サービス提供者が用意する選択肢を越えて個別対応を求めること

は期待し難い。サービス提供者としては、個々の顧客毎に個別対応することは運用の統一

性を害しサービスの混乱やコスト高を招くことになるので、容易には応じ難いものと想定

される。

④ サービスが多層になり得ること。例えば、或る事業者の IaaS の上に他の事業者がサービ

スを構築して SaaS として提供するケース等では、インシデント発生時に、ユーザ側でも

サービス事業者側でも原因特定が難しく、誰がどの点について責任を負うことになるか確

定することが困難という状況も想定される。

⑤ サービスが国境を越えて提供される機会が増えること。ネットワーク経由でサービスが提

供されるため、帯域や遅延の点さえ支障にならなければ、国内外を含め、先端的な、或い

は非常に低廉なサービスがユーザの選択肢に入ることになる。グローバルに事業展開を行

うサービス事業者のサービスを利用する場合は、一部のデータセンタへの天災等への脅威

に際してもサービス継続が期待できる一方で、(サービス基盤の技術的な実装如何による

が)サーバ所在地国が不明、或いは特定困難というケースも考えられる。サービス提供者

が服する法規制は、その所在地や設立準拠法によって様々であり、そのことにより予想外

の事態が生じることがある。たとえば、欧米では、クラウドコンピューティングの普及に

より、国外のデータセンタに情報が保管される可能性が増える結果、国外の捜査機関が令

状なしに情報にアクセスできる場合があることへの懸念が注目されている(米国の愛国者

法(PATRIOT 法)等)。また、インシデントが発生し、サービス提供者側に責任がある場合に

は責任追及を考えることになろうが、海外の事業者に対して、真の責任原因を特定した上、

現に訴訟を提起し、主張立証を行い、勝訴判決を得てこれを執行するまでの時間、労苦、

費用等の費用対効果を考え合わせると、提訴を躊躇することもあるであろう。

28

3) 考えられる対策

上に挙げた課題は、必ずしもそのためにクラウドサービスを利用すると法的要件が一切満た

せないとか、海外事業者を全く利用すべきでないことは意味しない。むしろ、ユーザ企業にお

いて、クラウドサービスの特徴をよく理解し、メリットとリスクを分析の上、自らの適したも

のを選んで使うことが重要である。

これをサービス利用のフェーズごとに見ると、①サービス提供者の選択、②サービス内容の

精査、③契約後のモニタリングとインシデント対応、④契約終了の際の手続き、の順に推移す

る。このうち、特に重要なのは、①及び②である。

① サービス提供者の精査・選択

サービス提供者がどのような事業者かを精査し選択することが重要である。いかに魅力的な

内容のサービスが約束されていようとも、サービス提供者に当該契約条項を履行する能力がな

ければ、契約は画餅に帰する。この観点から検討対象となるのは、サービス提供者の事業規模、

与信（倒産の可能性）、これまでの事業実績（事故歴などネガティブなものも含む）、サービス

提供者がどのような法制度の下にあるか、などである。

② サービス内容の精査

サービス内容は、契約条項によって決せられるものであるから、サービス内容の精査は、法

的見地から一体的に検討されるべき問題である。また、裏腹の問題として、ユーザ企業におい

てどのような業務についてクラウドを利用するかという選別についてもここで検討する必要

がある。上記③で述べた通り、通常はサービス事業者の約款によることになることが予想され

個別交渉の余地は少ないであろうが、サービス内容や条項の趣旨を問い合わせたり、複数の事

業者のサービスを比較するなど事前の準備を十分に行って、自らの目的に最も適したサービス

を選び、利用することが重要である。

a) サービスの定義、利用範囲

サービスの定義や利用範囲、ユーザ企業-サービス提供者間の役割分担を予め確認

しておく必要がある。なお、サービス提供者が任意にサービスの技術的仕様や運用

レベルの全部又は一部を変更する可能性を留保している場合がある(セキュリティ

の向上、機能追加、使用ソフトウエアのバージョンアップ等)が、その場合には、

ユーザ企業においても、クラウドサービスに置くデータやアプリケーション等がそ

のような変更に対応できるかを吟味しておく必要がある。

b) 事故等の対応

情報漏えい等のインシデント時の責任、救済については以下の項目について規定し

ておくことが考えられる。

29

・報告義務：どのような事象が起こった時に、何時までに、誰から誰に、どのような

方法でエスカレーションがなされるか。

・賠償責任：どのような事象が起こった時に、ユーザ企業やサービス提供者がどの範

囲で責任を負うか(または免責となるか)。

・事業継続：事故等によりクラウドサービス利用ができない状況を想定し、どのよう

なデータ等をクラウド上に置くか、事故等発生時の対応方法などを予め検討してお

くことが望ましい。

・不可抗力：紛争、テロ、災害等、不可抗力によるサービス停止について規定される

ことがある。一般の契約実務ではあまり重視されない条項であるが、サーバ設置国

の状況等、そのような事由の発生するリスクを検証することも重要であろう。

c) 再委託

サービス提供者において、再委託先を使うのかどうか、使う場合にそのことが開示

されるかどうか、使う際の再委託先の監督責任について明記されているか、等を確

認する必要がある。

d) 法律に基づく開示要求、ユーザ企業に対する訴訟等への対応

ユーザがクラウドサービス上に保管するデータ等について、サービス提供者のもと

に法律に基づく開示要求等があった場合に、どのように対応がなさされるか(ユー

ザ企業への通知等)、確認する必要がある。また、ユーザ企業が米国等の住人・企

業等と紛争になる潜在的な可能性がある場合には、米国法上の証拠開示手続、

e-Discovery におけるリティゲーション・ホールド16やディスカバリーについて、

サービス提供者からどこまで協力が得られるかの確認が必要になる場合もあろう。

e) 金融商品取引法上の内部統制への対応

IT 全般統制の文書化・経営者評価を担保する手段として、SSAE No.16 報告書、第

18 号報告書の徴求によってクリアすることができることから、サービス提供者に

対し当該報告書の提出を求めることができるかの確認が重要となる。

f) 契約終了を想定したデータの取扱い：ユーザ企業のデータに関するポータビリティ、相互

運用性、サービス終了後のデータ消去

ユーザがクラウドサービスの利用を開始した後に、サービス提供者を乗り換えたい、

所期の目的を達成したために解約したい、サービス提供者が倒産した等、契約を終

16 民事訴訟対応において、当事者が証拠を適切に保全し、開示すること。

30

了する局面が発生することが予想される。そこで重要となるのが、契約期間中にユ

ーザがクラウドサービス上に入力、集計、加工したデータやアプリケーションを回

収できるか、その後他の環境で再利用できるか(データのポータビリティ、アプリ

ケーションの相互運用性)、こちらから解約する場合の違約金等の有無・金額、ま

た解約したサービス上からの削除を担保できるかといった問題がある。

これらのデータやアプリケーションをユーザが契約終了時に出力して受領する

権利の有無と条件、データ形式の種類に応じた出力の可否(ユーザ自身の環境又は

他のサービス事業者のサービスにおいて移行・再利用可能な形式かどうか)、その

容易性はどうか等の点が、どのように定められているかについて、契約時に検討し

ておく必要がある。併せて、漏えい防止のため、サービス提供事業者側に契約終了

時のデータ消去手続が定められているか等についてもチェックが必要である17。

③ モニタリング、役割分担、インシデント対応

契約を締結し、サービス利用を開始した後は、サービスが契約通りに運用されているか、ユ

ーザ企業自身の役割とされる領域についてセキュリティ脅威が発生していないか等を継続的

にモニタリングしていく必要がある。また、クラウド上のデータ・アプリケーションを随時バ

ックアップすることも必要になろう。

④ 契約終了の際の手続き

契約の終了においては、ユーザ企業の顧客に対するサービスが停止することによる債務不履

行責任や、情報漏えいに関して生じる法的責任のリスクが大きくなる。

まず、契約条項に規定されたデータのポータビリティやアプリケーションの相互運用性を実

際に確保しつつ、円滑にデータの移行等の手続きを実施する必要がある。この場面では、後継

のサービス提供者（バックアップサービサー）を予め選定しておくことが必要な場合もあろう。


特になし

17 センシティブな情報を扱うユーザ企業においては、ITシステムの保守サービスを行う事業

者に対して、修理等する記録媒体(HDD 等)の磁気的消去や物理的破砕、ユーザへの譲渡等の厳

密なデータ消去措置を要求する場合がある。しかし、現状の技術を前提とすれば、パブリック

クラウドサービスにおいて、サービス事業者がルーチン的に実施している対応を越えて、上記

と類似又は代替的な措置を求めることは困難と考えられ、かようなユーザ企業としては、クラ

ウドサービスの利用を断念する、従前の方針を変更して追加的なリスクを取る旨判断する等の

可能性を検討する必要があろう。

31

(4) 裁判例

特になし

32

第2節機密性（C）に関するもの

1. はじめに

機密性とはアクセスを認可された者だけが情報にアクセスすることを確実にすることをい

う。かかる機密性を侵害する行為には、例えば個人情報の漏えいや、営業秘密の不正取得行為

などがある。

機密性について情報を管理する事業者に管理責任を課する法令としては、前述した個人情報

保護法(2-1.3.1. )、あるいは会社法の内部統制のうちの一部がある（2-1.2.1. ）。特に、情

報を管理する事業者が個人情報を漏えいした際には、情報を管理する事業者は一定の対応を求

められる（2-2.2.1. ）。なお、製品事故が発生したような一定の場合には、販売店等が個人デ

ータをメーカーに提供する行為も個人情報保護法に違反しないとされる場合がある

（2-2.2.2. ）

一方で、加害行為について規制する法令については、民法上は、不法行為責任あるいは契約

責任に基づいて損害賠償及び事前差止めを請求し得る。損害賠償あるいは事前差止めについて

は特にプライバシー権の侵害について問題となる(2-2.3.1. )。他に、クレジットカード情報

の保護を割賦販売法が図っている(2-2.4.1. )。

また、不正競争防止法上の「営業秘密」に関し、不正競争防止法上が保護を図っている

(2-2.5.1. )。その保護を受けるためには一定の要件を満たしておく必要がある18（2-2.5.2. ）。

そして、その要件を満たすための内部規定整備の方法などについても言及した（2-2.5.3. ）。

従業員等が作成に関与した情報についてどのような場合に営業秘密となるのかについても問

題となり得る（2-2.5.4. ）。

刑事法上は、情報の不正入手について一般的に処罰する規定があるわけではなく、侵害の態

様によって個別的な処罰が問題となるに過ぎない。例えば、情報が載った有体物を故意に持ち

出した場合には窃盗罪（刑法第 235 条）の成立が問題になり得るし、ネットワークコンピュー

タに対して不正にアクセスした場合には不正アクセス罪の成立が問題となる（2-2.6.1. ）。不

正アクセス禁止法による保護を受けるためにはどのような点に留意する必要があるかについ

ても検討した（2-2.6.2. ）。

さらに、管理している情報について、不正競争防止法上の保護以外にどのような保護を受け

得るのか検討した（2-2.7.1. ）。そして、秘密文書等についてコピー、改変の禁止のために技

術的な保護手段を講じている場合に、この技術的保護手段を回避する行為に対して著作権法上

どのような問題が生じるのか検討するとともに（2-2.7.2. ）、不正競争防止法上の技術的制限

手段について回避する行為に関する法的問題についても検討した(2-2.7.3. )。

18 不正競争防止法上の営業秘密に関する保護は、営業秘密を侵害する者に対して法的責任を

負わせるものとして加害行為類型に分類されることとなる。しかしながら、不正競争防止法上

の法的保護を受けるためには、情報を管理する事業者は、有用性、非公知性、秘密管理性の 3

つの要件を満たしておく必要があり、その意味で事業者に情報の管理を求める側面がある。

33

最後に、関連する法制度として、金融商品取引法上の内部者取引規制がある(2-2.7.4. )。

2. 個人情報保護法

2-2.2.1. グループ関係会社の個人情報の共同利用における会社間の責任

グループ関係会社で個人情報を共同利用して顧客にサービス提供又は対応している場合、

共同利用いずれかの会社が起こしたインシデントの責任(顧客対応、補償、事故対応費用、

訴訟対応費用等)は共同で負担すべきか。また、共同利用に加わっていない親会社も同様

に監督責任を問われるのか。

(1) 考え方

個人データの共同利用（個人情報保護法第 23 条第 4 項第 3 号）において、個人情報取扱事

業者の義務に違反した場合は、その共同利用を行う全ての個人情報取扱事業者が主務大臣の取

締の対象となり得る。

共同利用中のインシデントによって被害にあった本人に対する責任(顧客対応、補償、事故

対応費用、訴訟対応費用等)については、契約責任（民法第 415 条等）または不法行為責任（同

法第 709 条以下）の問題として別途対応することとなる。

(2) 説明

1) 個人情報保護法上の責任

個人データの共同利用（個人情報保護法第 23 条第 4 項 3 号）において、個人情報取扱事業

者の義務に違反した場合、主務大臣は、まず、本人に通知された内容、または、本人が容易に

知り得る状態に置かれていたところの表示に従って、個人データの管理について責任を有する

者について報告の徴収を行い、違反に係る事実関係についての行政調査を行うことができる。

次に、必要に応じて、共同利用を行う他の個人情報取扱事業者についても報告の徴収を行う

ことができる。そして、かかる調査結果に基づき、助言、勧告もしくは命令のいずれかを行う

か、またはそのいずれも行わないかを決定することとなる。対象事業者は、必ずしも個人デー

タの管理について責任を有する者に限定されるものではなく、義務に違反した個人情報取扱事

業者全部に及ぶ可能性がある。

義務違反を解消するため、及び再発防止のために命令された内容を一定期限（行政処分の附

款）までに履行するためには、通常、相応の費用がかかり、また、対応する従業員を指揮命令

することが必要となることから、その名宛人は各個人情報取扱事業者の代表者または役員とな

る。そこでの対応費用は第一次的には、主務大臣から命令された者である。複数いる場合には、

それぞれが負担しなければならない。その負担割合については主務大臣の立ち入るところでは

ない。費用の不足などを理由に、結果的に命令に違反した場合は、その名宛人となった全員及

び法人等団体が告訴の対象となる。

34

なお、共同利用している事業主であっても、個人情報取扱事業者に該当しない場合は報告の

徴収、助言、勧告、命令の対象から除かれることになる。したがって、罰則の適用もない。

2) 民事責任

共同利用して顧客にサービス提供又は対応している場合、共同利用いずれかの会社が起こし

たインシデントの責任(顧客対応、補償、事故対応費用、訴訟対応費用等)は共同で負担すべき

か、また、共同利用に加わっていない親会社も同様に監督責任を問われるのか、という問題は、

上述した個人情報保護法ではなく民事法上の問題である。

インシデントにより被害にあった個人との関係において、契約関係がある場合は、その契約

違反の問題（民法第 415 条）として、その他の場合は、不法行為一般の問題（民法第 709 条以

下）として処理することになる。

共同利用者中、まずは違法行為を行った者が特定されなければならない。違法行為者が複数

いて契約違反または不法行為を構成するとなった場合は、それらの者においては損害賠償につ

いて責任を負うことになる。内部的には過失割合に応じて求償することになろう。


・個人情報保護法第 23 条第 4項第 3号(共同利用）

・民法第 415 条（債務不履行による損害賠償）

・民法第 709 条（不法行為による損害賠償）

・民法第 715 条（使用者等の責任）

(4) 裁判例

特になし

2-2.2.2. 安全性に関わる不具合が発見された商品に関するユーザ名簿の収集（※調整中）

出荷した製品に安全性に関わる不具合が発見された場合に、メーカーの求めに応じて、代

理店や販売店等は、当該製品の販売先に係る顧客名簿を提供することができるか。

(1) 考え方

個人情報保護法との関係では、当該顧客名簿が個人データ（同法第 2条第 3項）に該当する

場合であっても、消費生活用製品安全法第 38 条第 2 項に基づき、製品事故が生じた場合にメ

ーカーによる回収等の措置のために必要な協力として、代理店や販売店等(以下「代理店等」

という。)が、当該製品の販売先に係る個人顧客名簿を提供するような行為（以下「本件提供」

という。）は、「法令に基づく場合」(個人情報保護法第 16 条第 3項第 1 号・第 23 条第 1 項第

2 号)として許容されうる。それ以外の場合であっても、製品に重大な欠陥があるような緊急

時に、メーカーから顧客情報を求められ、これに応じる必要がある場合には、「人の生命、身

35

体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であると

き」(同法第 16 条第 3項第 2号・第 23条第 1項第 2号)として許容されうる。以上に該当しな

い場合には、あらかじめ本人の同意を取得する必要がある(同法第 16 条第 1 項・第 23 条第 1

項柱書）。

なお、以上によって同法との関係で許容される場合であっても、提供する情報の内容等によ

っては、プライバシー権の侵害になる可能性もあることに留意する必要がある。

(2) 説明

顧客名簿に含まれる情報が、個人情報保護法上の個人情報（同法第 2条第 1項）に該当する

場合には、個人情報取扱事業者の義務（同法第 4章）の対象となる。

設問にいう顧客名簿掲載情報のうち、法人その他団体そのものに関する情報に該当する部分

(以下「団体顧客名簿」という。)は、個人情報とはいえないので、上記義務の対象とならず、

本件提供について同法上の規制が及ばない。

これに対し、提供すべき顧客名簿掲載情報が、生存する特定の個人を識別しうる情報に該当

する場合(以下「個人顧客名簿」という。)には同法上の個人情報となる。その場合であっても、

代理店等は、個人情報取扱事業者（同法第 2条第 3項）に該当しなければ上記義務を負わない。

しかし、個人情報取扱事業者に該当する場合には上記義務の対象となるので、その場合に本件

提供が許容されるかどうかについて、以下において解説する。

第 1 に、個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、利用目的

の達成に必要な範囲を超えて、個人情報を取り扱うことができない(同法第 16 条第 1 項）。こ

れを利用目的による制限という。したがって、本件提供が代理店等の利用目的に含まれていな

い場合には、本人の同意を得なければ、原則として本件提供をすることはできない。

第 2 に、個人顧客名簿が、同法上の個人データ（同法第 2条第 3項）に該当するときは、個

人情報取扱事業者は、原則として、あらかじめ本人の同意を得なければ第三者に提供すること

ができない(同法第 23 条第 1 項）。これを第三者提供の制限という。個人顧客名簿の掲載情報

は、一般に個人データに該当することが多いと考えられる。ただし、紙製の名簿のように、特

定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの以外

のものである場合であって、目次、索引その他検索を容易にするためのものを有しないもの(同

法第 2 条第 3 項第 2 号・同法施行令第 1 条)は、個人データに該当しない。この場合には本件

提供について本人の事前同意を取得する必要はない。

以上の利用目的による制限、及び、第三者提供の制限については、共通の適用除外事由が定

められており(同法第 16条第 3項各号・第 23 条第 1項各号）、この事由に該当するときは、本

人の事前同意がなくても本件提供を行うことができる。

本件に関係する事由として「法令に基づく場合」(同法第 16 条第 3 項第 1 号・第 23 条第 1

項第 2 号)がある。具体例として消費生活用製品安全法第 38 条第 2 項の場合がある。同項は、

消費生活用製品について製品事故が生じた場合に、その製造事業者・輸入事業者が当該製品の

36

回収その他の危害の発生・拡大防止措置をとる際、当該製品の販売事業者は、製造事業者等に

よる上記措置に協力するよう努めなければならないと定めている。メーカーによる回収等の措

置のために必要な協力として、同項に基づき当該製品の販売先に係る個人顧客名簿を提供する

行為は、「法令に基づく場合」として許容されうる。同法の詳細については 2-1.3.5. を参照。

以上に該当しない場合であっても、「人の生命、身体又は財産の保護のために必要がある場

合であって、本人の同意を得ることが困難であるとき」(同法第 16 条第 3項第 2 号・第 23 条

第 1 項第 2号)には、例外的に本人の事前同意なしに第三者提供することができる。「製品に重

大な欠陥があるような緊急時に、メーカーから顧客情報を求められ、これに応じる必要がある

場合」が、これに該当するものと考えられている(内閣府国民生活室「標準的なガイドライン」

19・29 頁）。これに該当するか否かはケースバイケースに判断されることになるが、該当性が

認められる場合には、目的外利用となるか否かを問わず、メーカーの求めに応じて、代理店等

は個人顧客名簿を提供することができる。

以上に該当しない場合には、あらかじめ本人の同意を取得する必要がある(同法第 16条第 1

項・第 23 条第 1項柱書）。同意を取得する代わりに、メーカーが代理店等に依頼して、代理店

等から個人顧客に対しメーカーが作った点検依頼文を送付してもらうという方法も考えられ

る。

なお、以上によって同法との関係で許容される場合であっても、提供しうる情報は、不具合

対応のために必要な範囲に限定される。したがって、例えば家族構成関係のように、無関係な

情報を提供することまでが許容されるものでないことは当然である。このように、提供する情

報の内容等によっては、同時にプライバシー権の侵害になる可能性も存在することに留意する

必要がある。


本文に掲げたもの

(4) 裁判例

特になし

3. プライバシー

2-2.3.1. プライバシー権の定義

(1) 考え方

個人情報保護制度とは、個人情報保護法をはじめとして、個人情報の保護を目的とする法令

や自主規制等に基づき、個人情報の適正な取扱いと保護を確保するための制度のことをいう。

個人情報保護法とプライバシー権の関係。

37

一方、プライバシーの権利とは、個人の実体的利益であるプライバシーに係る権利又は人格的

利益を保護法益とする権利のことをいう。

(2) 説明

個人情報保護法の目的は、個人情報の適正な取扱いに関して基本となる事項を定め、個人情

報取扱事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ個人の

権利利益を保護することである。その上で、対象となる個人情報を、生存する個人に関する情

報であって特定の個人を識別可能な情報と定義している。よって、個人情報保護法は、法律の

規制対象となる個人情報をその「内容」や「種類」によって区別することはせず、他人に知ら

れることを欲しない情報や特定の機微な個人情報など、プライバシー保護の対象となる情報と

考えられる情報についても特段の規定を置いていない。すなわち、プライバシーに該当する個

人情報も、それ以外の個人情報も区別せずに法律の規定が等しく適用される。

一方、プライバシーの権利は、当初は、マスメディア等による私生活への干渉に対する個人

の保護を目的として、私法関係における「ひとりで居させてもらう権利」という消極的な権利

概念で登場した。その後、行政サービスの効率化をはじめとして、公権力による個人情報の電

算処理が普及するにつれ、個人情報の最大の保有者たる行政機関に対して、自らに関する情報

のコントロールを保障する権利として、より請求権的な権利の保障が求められた結果、「自己

情報コントロール権19」として定義される権利概念が提唱され通説となり現在に至っている。

しかし、プライバシーの権利は、不法行為法上の権利として生成及び発展を遂げた権利とし

ての側面と、憲法上の権利として認識されるようになった側面の二つの側面を有するとともに、

その保護法益は、「自己情報」のコントロールだけでなく、以下の三つの保護法益からなると

考えられる20 。

a) 自らに関する事柄について、外部からの干渉を受けずに自らの意思に基づいて行うことを

認める「個人の自律」の保障。

b) 他人から干渉を受けたり望まない侵入を受けない隔絶された状態や利益を保護するため

の「私的な領域」の保護。

c) 社会において自らの存在を証明し、他人との識別を行う上で用いられる情報に関して他人

に知られたくない「個人情報」の保護。

それぞれ、a)は自律権的側面における個人の自由の保障、b)私的な領域における私生活上の

利益の保護が保護法益の内容であるが、c)については、個人情報保護との関係を踏まえて考え

る必要がある。

19 佐藤幸治「プライバシーの権利（その公法的側面）の憲法論的考察」法学論叢 86巻 5号

12 頁。

20 新保史生『プライバシーの権利の生成と展開』成文堂（2000）。

38

つまり、プライバシーの権利の保護法益としての「個人情報」と、個人情報保護法の規律対

象となる「(単なる）個人情報」の関係については、前者の個人情報とは、プライバシーの権

利を構成する保護法益の諸対象の集合の一部（上記三つの保護法益の一部）を構成する概念で

あり、あくまで、プライバシーの権利に内包される個別限定的な概念に過ぎず、プライバシー

保護の対象となるか否かについては多分に主観的要素に影響を受けるものである。一方、後者

については、個人情報保護法の定める定義に基づいて、それに該当する情報を規制対象として

判断することを可能ならしめるため、ある情報が特定の個人を識別できるか否かという「個人

識別性」の要件にあてはめて、当該情報に個人識別性が認められる場合には法規制の対象にな

ることを明確にしているにすぎず、その範囲を確定する上で必要な客観的記述的な基準が法に

おいて定められているにすぎない。

判例21おいても、プライバシーの権利は「私生活をみだりに公開されないという法的保障な

いし権利」と定義され、プライバシー侵害による不法行為の成立要件については、①公開され

た内容が私生活の事実またはそれらしく受けとられるおそれのある事柄であること、②一般人

の感受性を基準にして当該私人の立場に立った場合公開を欲しないであろうと認められるこ

と、③一般の人々に未だ知られない事柄であることを要すると判示されている。



・個人情報の保護に関する基本方針（平成 16 年 4 月 9 日閣議決定）基本方針一部変

更(平成 20年 4月 25 日閣議決定)

(4) 裁判例

・東京地裁昭和 39 年 9 月 28 日判決・判時 385 号 12 頁(「『宴のあと』事件」判決)

4. 割賦販売法

2-2.4.1. クレジットカード情報の保護強化

(1) 考え方

改正割賦販売法が平成 20 年 6 月に成立・公布され、平成 21 年 12 月 1 日より施行された。

その中で、インターネット取引の拡大に伴い、クレジットカードに関する漏えい事件や不正利

用が多発していること等を背景として、割賦販売法第 35 条の 16及び第 35条の 17 に「クレジ

21 「『宴のあと』事件」判決（東京地判昭和 39 年 9月 28 日判時 385 号 12 頁）。

クレジットカード情報の漏えいについて、改正割賦販売法はどのような制度を設置してい

るか。

39

ットカード番号等の適切な管理等」に関する規定が、同法第 49 条の 2 にクレジットカード番

号等の不正取得等に関する罰則規定がそれぞれ新設された。

(2) 説明

改正割賦販売法においては、クレジットカードを取り扱う業者に対して、カード番号等が漏

えいしたり不正に利用されないように、必要な措置を講じるよう義務づけられた。

クレジットカードを取り扱う業者とは「包括信用購入あっせん業者」「二月払購入あっせん

業者」(マンスリークリア22カードを用いた翌月払いを取り扱う業者）「立替払取次業者」(利

用者がクレジットカードを利用した時に、包括信用購入あっせん業者、二月払購入あっせん業

者のために、自分の名前で販売業者に対して料金を立て替える業者。)を指す。

こうした事業者は自社の従業員、退職者などが容易にクレジットカード番号等を漏えいした

り、不正に利用できないように適正に管理する必要があり、そのための安全管理措置を講じる

ことが義務づけられた。また、自社だけでなく、加盟店や業務を委託している業者に対しても、

適切な管理が図られるよう、指導等の措置を講じなければならない。

一方、クレジットカード番号等は、不正に利用すれば財産価値のあるものを入手できること

になり、逆に不正に利用された方は財産価値のあるものを失うこととなることから、クレジッ

トカード番号等の保護のため、不正な利益を図る目的でクレジットカード番号等を不正に流出

させたり、取得した者に対する罰則が新設された。

具体的には、クレジットカード番号等を業務上保有している会社の従業員や退職者が、自分

のためもしくは第三者の不正な利益を図るために番号を不正に提供した場合が処罰の対象と

なり、また、詐欺や無権限での複製の作成、不正アクセスなど、不正な手段を用いてクレジッ

トカード番号等を取得した場合も処罰の対象となる。

さらには、漏えいしたクレジットカード番号等が売買され、転々と流通するのを防ぐため、

クレジットカード番号等を正当な理由なく提供を受けた者はもちろん、有償で提供する目的で

クレジットカード番号等を保有していた場合も処罰の対象となる。なお、いずれの場合も法定

刑は 3年以下の懲役または 50万円以下の罰金と定められている。


・割賦販売法第 35 条の 16、第 35 条の 17及び第 49条の 2

・割賦販売法施行規則第 132 条及び第 133 条

(4) 裁判例

特になし

22 クレジットカードの決済方法の 1つで、翌月または翌々月に一括で支払うこと。

40

5. 営業秘密

2-2.5.1. 改正不正競争防止法

不正競争防止法では企業の秘密情報はどのように保護されているか。また、不正競争防止

法の平成 21 年改正によって営業秘密の保護はどのように変わったのか。

(1) 考え方

不正競争防止法では、「営業秘密」(同法第 2 条第 6 項)に該当する、秘密として管理されて

いる企業の情報を取得、使用又は開示する行為のうち、一定の営業秘密侵害行為を不正競争と

定めて、被侵害者の差止請求権及び損害賠償請求権を定めている。また、一定の悪質な営業秘

密侵害行為に対しては刑事罰も定められているし、民事訴訟上の保護措置として秘密保持命令

や当事者尋問等の公開停止が認められている。

平成 21 年改正においては、営業秘密侵害罪について、目的要件の変更や、営業秘密の不正

取得行為の処罰範囲が拡大された。

(2) 説明

不正競争防止法では、秘密として管理されている非公知かつ有用な情報を「営業秘密」（同

法第 2条第 6項）と定義し、営業秘密を取得、使用又は開示する一定の行為を不正競争と定め

ている（営業秘密の要件については 2-2.5.2. 参照）。このような営業秘密侵害行為によって

営業上の利益を侵害された者及び侵害されるおそれのある者には、損害賠償請求権や差止請求

権が認められている。

不正競争と定められている営業秘密侵害行為には、第三者が情報セキュリティ体制を破る行

為に起因する侵害行為と、従業員や委託先など情報セキュリティ体制の内部にいる者の背信行

為に起因する侵害行為とがある。具体的には、①営業秘密を窃盗、詐欺等の不正取得行為によ

って取得する行為（不正取得行為）、又は、不正取得行為により取得した営業秘密を使用若し

くは第三者に開示する行為（不正競争防止法第 2 条第 1 項第 4 号）、②営業秘密を保有する事

業者から営業秘密を示された者が、不正の利益を得る目的で、又はその保有者に損害を加える

目的で、その営業秘密を使用又は第三者に開示する行為（同第 7号）のほか、③営業秘密の開

示を受けた者が、不正取得行為又は不正開示行為(上記②の開示行為又は守秘義務違反による

開示行為をいう。)が介在したことを知っていた場合、又は重大な過失により知らなかった場

合に、その営業秘密を使用又は第三者に開示する行為（同第 5号、第 6号、第 8号、第 9号）

が、不正競争に該当すると定められている。

また、不正競争に関する民事訴訟における営業秘密の保護措置として、当事者等の関係者に

対してその秘密の保持を命じる秘密保持命令（不正競争防止法第 10 条）や、当事者尋問等の

公開停止（同法第 13 条）が認められている。

さらに、一定の悪質な営業秘密侵害行為には刑事罰（営業秘密侵害罪）も定められている(不

41

正競争防止法第 21 条第 1 項）。営業秘密侵害罪を犯した者は 10 年以下の懲役若しくは 1000

万円以下の罰金のいずれか又は両方が科される。営業秘密侵害罪には法人処罰規定も設けられ

ており、法人の代表者や従業員などが法人の業務に関して営業秘密侵害罪を犯した場合には、

その法人も 3億円以下の罰金を科される場合がある(同法第 22 条第 1項）。

具体的には、①不正の利益を得る目的で、又はその保有者に損害を加える目的（図利加害目

的）で、詐欺、暴行若しくは脅迫（詐欺等行為）、又は窃盗、不法侵入、不正アクセスその他

の保有者の管理を害する行為（管理侵害行為）により営業秘密を取得する行為（不正競争防止

法第 21 条第 1項第 1号）、②詐欺等行為又は管理侵害行為により取得した営業秘密を、図利加

害目的で、使用又は開示する行為（同第 2 号）、③営業秘密を保有者から示された者が、図利

加害目的で、その営業秘密の管理に係る任務（営業秘密管理任務）に背き、(イ）営業秘密が

記載され、若しくは記録された文書、図画又は記録媒体（営業秘密記録媒体等）若しくは営業

秘密が化体された物件（営業秘密化体物件）を横領し、(ロ）営業秘密記録媒体等の記載若し

くは記録について、若しくは営業秘密化体物件について、その複製を作成し、又は(ハ）営業

秘密記録媒体等の記載若しくは記録であって、消去すべきものを消去せず、かつ、当該記載若

しくは記録を消去したように仮装する方法で、その営業秘密を領得する行為（同第 3 号）、④

営業秘密を保有者から示された者が、営業秘密管理任務に背いて上記③の(イ)から(ハ)までに

掲げる方法により領得した営業秘密を、図利加害目的で、その営業秘密管理任務に背き、使用

又は開示する行為（同第 4 号）、⑤営業秘密を保有者から示された役員又は従業員が、図利加

害目的で、営業秘密の管理に係る任務に背き、その営業秘密を使用又は開示する行為（同第 5

号）、⑥営業秘密を保有者から示された役員又は従業員であった者が、図利加害目的で、在職

中にその営業秘密管理任務に背いて、その営業秘密の開示の申込みをし、又はその営業秘密の

使用若しくは開示について請託を受けて、退職後にその営業秘密を使用又は開示する行為（同

第 6 号）、⑦図利加害目的で上記②又は④から⑥の罪に当たる開示により取得した営業秘密を

使用又は開示する行為（同第 7号）が営業秘密侵害罪となる。

なお、不正競争防止法の平成 21 年改正前の営業秘密侵害罪においては、(1）各行為の目的

要件は「不正の競争の目的」とされていたが、同改正により、これが図利加害目的に変更され、

競争関係にない者による行為も処罰対象となり、たとえば、嫌がらせ目的でインターネット上

に情報を流出した場合や、第三者への転売目的で情報を取得した場合も処罰対象となっている。

また、(2）同改正前は、営業秘密の取得方法として書面・記録媒体の取得や複製が要件となっ

ていたところ(改正前不正競争防止法第 21 条第 1 項第 2 号）、同改正により、取得方法に制限

がされず、図利加害目的で、詐欺等行為又は管理侵害行為により営業秘密を取得する行為が処

罰対象となっている(上述①）。さらに、(3）同改正前は、営業秘密を保有者から示された者は、

使用又は開示した場合でなければ処罰対象となっていなかったところ(改正前不正競争防止法

第 21条第 1項第 3号から第 5号まで参照）、同改正により、営業秘密を保有者から示された者

による営業秘密の領得行為も処罰対象とされている(上述③）。ここで、営業秘密の領得とは、

営業秘密を保有者から示された者が、その営業秘密管理任務に背いて、権限なく営業秘密を保

42

有者の管理支配外に置く意思の発現行為をいう。なお、上述③の(ハ)が成立するためには、消

去したような虚偽の外観を作出する仮装行為が必要となるため、営業秘密を従業員や委託先な

どに示す場合には、業務終了時における営業秘密に関する書類の破棄又は返還及びデータの削

除を義務付け、実際に書類の破棄やデータの削除を行なったことを明示的に確認し保証する書

面を従業員や委託先から取得するという運用が重要といえる。

不正競争防止法の平成 21 年改正は、情報セキュリティ体制に対する侵害行為を従来より広

い範囲で規制の対象とすることで、同法による機密情報の保護をより手厚くするものであるが、

同改正は、営業秘密侵害罪の処罰対象の範囲を行為の面及び目的要件の面から拡張するもので

あるものの、「営業秘密」の要件を変更するものではないため、民事・刑事の別を問わず企業

の機密情報につき同法による保護を受けるためには、同改正前と同様、企業の機密情報の秘密

管理性を確保することが必要であり（2-2.5.2. 参照）、また、機密情報が漏えいした場合に備

えて、機密情報の複製や外部への持ち出しを客観的に把握できる手段を確保しておく必要があ

ることに変わりはない（4-2.1.4. 参照）。


・不正競争防止法第 2条第 1項第 4号～第 9号、第 10 条、第 13条、第 21条第 1項、

第 22条第 1項

(4) 裁判例

特になし

2-2.5.2. 情報の秘密管理

情報システムなどで管理される企業の秘密情報が営業秘密として不正競争防止法で保護さ

れるためには、情報を「秘密として管理」していなければならない(秘密管理性）。情報を

どのように管理していれば秘密管理性が認められるのか。

(1) 考え方

不正競争防止法の営業秘密としての保護を受けるためには、後掲のとおり有用性、非公知性、

秘密管理性の 3つの要件を満たす必要がある。情報の秘密管理という側面からは、このうちの

秘密管理性、すなわち、①情報にアクセスできる者を制限し(アクセス制限）、②情報にアクセ

スした者にそれが営業秘密であると認識できること(客観的認識可能性）、が必要となる。秘密

管理性の判断は、諸般の要素が総合的に考慮されるため、営業秘密としての保護を受けるため

には、過去の裁判例で秘密管理性の判断の際に考慮された要素を参考に、上記の要件を満たす

管理をする必要となる。

43

(2) 説明

不正競争防止法では「営業秘密」は、「秘密として管理されている生産方法、販売方法その

他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。」

と定義されている(不正競争防止法第 2条第 6項）。したがって、企業の事業活動に有用で非公

知な情報が不正競争防止法において営業秘密として保護されるためには、その情報が前述の定

義を満たす必要があり、「秘密として管理」されていること(秘密管理性)が要件となる。裁判

例では、この秘密管理性が認められるためには、①情報にアクセスできる者を制限され(アク

セス制限）、②情報にアクセスした者にそれが営業秘密であると認識できること(客観的認識可

能性）、が必要であるとされている。

ただし、秘密管理性は、諸般の要素をもとに個々の事案ごとに裁判所により判断されること

になるため、秘密管理性を満たすための客観的な管理水準を確定することは困難である。過去

の裁判例で秘密管理性の判断に影響を与えた要素は、今後の裁判所の秘密管理性の判断の際に

も影響を与える要素となる可能性が高いため、企業の秘密管理体制を検討する際には、これら

の過去の裁判例で考慮された要素を参考にすることが望ましい。秘密管理性についての裁判例

は多数あるが、具体的には、以下のような要素について秘密管理性を認めるための要素として

考慮されている。

1) 物理的、技術的に秘密情報を隔離・明示する方法

保管場所の隔離・施錠、アクセス権者の制限、電子データの複製の制限、不正アクセスの防

御措置、外部ネットワークからの遮断、保管媒体の持出禁止、「秘」であることの表示等

2) 人的管理

秘密保持契約の締結、就業規則における秘密保持義務の規定、社員教育・研修の実施、秘密

情報の取扱、アクセスに関するルールの策定等

なお、これらはあくまで過去の裁判例で考慮された要素であり、秘密管理性の判断の際に考

慮され得る要素は、これに尽きるものではないと考えられる。また、これらの要素の一つでも

満たしていないものがあれば秘密管理性が否定されるわけではない。

過去の裁判例で秘密管理性の判断に影響を与える可能性のある要素や過去の裁判例では問

題となっていないが、秘密管理性の判断に影響を与える可能性のある要素については、経済産

業省の「営業秘密管理指針」などで提示されている要素が参考となる。なお、同指針は、平成

22 年 4 月 9 日に改訂され、営業秘密管理チェックシート、各種契約書参考例や秘密管理の導

入手順を記載した参考資料も掲載された。


・不正競争防止法第 2条第 1項第 4号～第 10号・第 6項

・営業秘密管理指針改訂版（平成 22年 4月 9日最終改訂・経済産業省）

44

(4) 裁判例

秘密管理性を認めた主な裁判例：

・東京地裁平成 22 年 3 月 30 日判決

・大阪高裁平成 20 年 7 月 18 日判決

・大阪地裁平成 20 年 6 月 12 日判決





・大阪高裁平成 14 年 10 月 11 日判決




・大阪地裁平成 10 年 12 月 22 日判決・知的裁集 30巻 4号 1000 頁

2-2.5.3. 営業秘密の保護要件遵守のために整備すべき内部規定等

不正競争防止法に基づき営業秘密として事業者が保護を受けるための要件を満たすために

内部規定等はどのように整備すべきか。

あるいは、従業員からの誓約書の徴収等についてはどのように行うべきか。

(1) 考え方

秘密情報が「営業秘密」として保護されるためには、情報が「秘密として管理」されている

ことを確保するため、秘密情報の特定方法、秘密情報の管理者・アクセス権者、秘密情報の取

扱方法について秘密管理規定をあらかじめ内部規定として定め、就業規則や誓約書等により従

業員に秘密保持義務を課すことが望ましい。

就業規則や誓約書で秘密保持義務を課す場合には、秘密保持の対象となる情報が具体的に特

定できるようにしておくことが望ましい。

ただし、裁判においては、秘密管理性は具体的な管理状況について判断されるため、いずれ

の場合も情報が秘密として実際に管理されていなければ、内部規定等がいかに整備されていた

としても秘密管理性は認められない場合がある。

(2) 説明

1) 秘密管理規定

企業の秘密情報が不正競争防止法の「営業秘密」として保護されるためには、その情報が「秘

密として管理」されていること(秘密管理性)が要件となる。裁判例では、この秘密管理性が認

45

められるためには、①情報にアクセスできる者を制限され(アクセス制限）、②情報にアクセス

した者にそれが営業秘密であると認識できること(客観的認識可能性）、が必要であるとされて

いる。

そこで、秘密管理性を確保するためには、秘密情報の特定方法、秘密情報の管理者・アクセ

ス権者、秘密情報の取扱方法について秘密管理規定をあらかじめ内部規定として定めておくこ

とが望ましい。

例えばそれぞれ以下のような点についてのルールを定めることが望ましい。

・秘密情報の特定方法

どのような情報を秘密情報として取り扱うのか、秘密情報を特定する権限は誰が有

するのか、秘密であることをどのように表示するかなど。

・秘密情報の管理者、アクセス権者

秘密情報を誰が管理をするのか、秘密情報にアクセスすることができるのはどのよ

うな者かなど。

・秘密情報の取扱方法

自社の秘密情報を取得するためにはどのような手続きが必要か、秘密情報を管理者

から開示を受けた場合にどのように取り扱うべきか、秘密情報となるべき情報を新

たに取得した場合にどのように取り扱うべきかなど。

ただし、裁判においては、秘密管理性は具体的な管理状況について判断されるため、秘密管

理規定にしたがって情報が管理されていなければ、秘密管理規定がいかに整備されていたとし

ても秘密管理性は認められない場合がある。

2) 就業規則

就業規則において、従業員の秘密保持義務を定めておくことも秘密管理には有効であり、一

般的に広く行われているところである。就業規則で定めたり、又は誓約書を提出させたりする

等の方法により従業員との間で厳格な秘密保持の約定を定めるなどの措置を執っていなかっ

た場合、不正競争防止法の保護の要件である「秘密管理性」が認められなかった例23がある。

しかし、就業規則で包括的に秘密保持義務を定めただけの場合には、営業秘密の客観的認識

可能性が認められず、営業秘密としての管理が受けられなくなる可能性がある。裁判例でも、

「自己の所管の有無に関係なく会社の業務上の秘密事項を他にもらさない。」との条項を規定

しているが、業務上の秘密事項に関する従業員の守秘義務を一般的に定めたものにすぎないと

した例24、就業規則に、「社員は、会社の秘密、ノウハウ、出願予定の権利等に関する書類、

テープ、ディスク等を会社の許可なく私的に使用し、複製し、会社施設外に持ち出し、または

23 東京地裁平成 16年 4月 13 日判決・判時 1862 号 168 頁・判タ 1176 号 295 頁24 大阪高裁平成 15年 1月 28 日判決

46

他に縦覧若しくは使用させてはならない。」、「社員は、第 13条第 3項に定めるところの他、業

務上秘密とされる事項及び会社に不利益となる事項を他に漏らし、または漏らそうとしてはな

らない。社員でなくなった後においても同様とする。」という規定が置かれているが、「当該規

定はその対象となる秘密を具体的に定めない、同義反復的な内容にすぎない」とした例25、就

業規則中の規定は、書類等を厳重に保管すべき義務を従業員に課したものということができる

が、同規定は、原告の備品等を大切にし、消耗品等を節約するというような規定と同列に規定

されており、書類等の会社の備品等を取り扱う際の従業員の心構えを抽象的に定めた規定とい

うべきであり、このような規定をもって営業情報が秘密として管理されていると客観的に認識

し得るものではないとした例26、「業務上の、秘密又は公表していない文書事項を他に漏らし

てはならない。」「私用のため会社の物品を使用し、又は製作してはならない。」等の就業規則

の定めや、従業員が労働契約上使用者の営業秘密を保持すべき義務を一般的に負っていること

のみでは秘密管理性は認められないとした例27、就業規則において「社員は、次の事項を守ら

なければなりません。(中略）(3)自己の職務に関する書類、帳簿、機械、器具及び備品を紛失

若しくは汚損しないように注意し、退社に際してはその保管、引継ぎ等につき責任をもって処

理すること、(4)会社の秘密事項及び会社の不利益となる事項を他に漏らさないこと」、「社用

のために会社の物品を社外に持ち出そうとするときは、所属長の許可を受けなければなりませ

ん。」という記載は抽象的な定めをした規定にすぎず、就業規則にこのような規定が置かれて

いるからといって、秘密管理性は認められないとした例28等において、秘密管理性が否定され

ている。

したがって、就業規則において秘密保持義務を定める場合には、一般的な定めを設けるだけ

でなく、秘密保持義務の対象となる秘密情報は秘密管理規定の定めるところに従う旨を明記す

るなど、秘密管理規定との関連性を設けておくことが有効であろう。

3) 誓約書

より個別具体的に秘密保持義務を従業員に負わせる方法として、従業員から秘密保持に関す

る誓約書を取得する方法がある。ただし、誓約書において秘密情報の特定が不十分である場合

には、就業規則の場合と同様に、営業秘密の客観的認識可能性を欠くおそれがある。裁判例で

も、誓約書において、「①業務に係わる企画、資料、調査等の情報、②取引先関係者の一切の

個人情報、③財務、人事等に関する情報、④他社との業務提携に関する情報、⑤上司または営

業秘密等管理責任者により秘密情報として指定された情報、⑥以上のほか、貴社が特に秘密保

持対象として指定した情報」を秘密情報保持の対象となる情報として列挙されてはいるが、秘

密保持を要する情報を特定するための規定としては概括的、抽象的すぎるとして秘密管理性が

25 東京地裁平成 17年 2月 25 日判決26 大阪地裁平成 17年 5月 24 日判決27 大阪地裁平成 19年 5月 24 日判決28 東京地裁平成 19年 10 月 30 日判決

47

否定された事例29がある。

また、誓約書上は、「①業務に係わる企画、資料、調査等の情報、②取引先関係者の一切の

個人情報、③財務、人事等に関する情報、④他社との業務提携に関する情報、⑤上司または営

業秘密等管理責任者により秘密情報として指定された情報、⑥以上のほか、貴社が特に秘密保

持対象として指定した情報」が「秘密情報」として特定され、漏えいした情報が形式的にはこ

の定義に含まれていたとしても、実際には秘密として取り扱われていない場合など情報の取り

扱われ方によって、従業員が、その情報は営業秘密に含まれていないと理解する可能性がある

ことや、従業員が誓約書に署名を求められた際に具体的にどのような情報が営業秘密に該当す

るのかを認識しておらず説明も受けていないこと、従業員の半数が漏えいした情報が秘密とし

て管理されていると認識していないことなどを理由に、誓約書への署名を求めただけで当該情

報が秘密として管理されるに至ったとすることもできないとした事例30もある。

そこで、誓約書においては、従業員が内容を認識し得る程度に秘密情報を特定し、実際にも

当該情報を秘密として管理しておくことが望ましい。一方で、誓約書には「当社の秘密事項」

とのみ特定されていた場合であっても、誓約書が作成された経緯を考慮して、「少なくとも売

れ筋商品であった控訴人商品の販売先業者名と当該業者への販売価格及び仕入価格」について

は、「秘密保持義務が課された情報であることを当然に認識ないし認識し得るものである」と

した事例31もあり、誓約書ですべての秘密情報が特定されていないからといって直ちに秘密管

理性が否定されるわけではないものと考えられる。誓約書を作成する段階で秘密情報が具体的

に特定できない場合には、秘密保持義務の対象となる秘密情報は秘密管理規定の定めるところ

に従う旨を明記するなど、秘密管理規定との関連性を設けておくことで、秘密情報が具体的に

特定された段階で秘密保持義務が自動的に課されるようにしておく方法も有効であろう。なお、

「営業秘密管理指針」の参考資料には、各種契約書等の参考例として就業規則・秘密管理規程・

秘密保持誓約書の例などが掲載されており、参考となる。


・不正競争防止法第 2条第 1項第 4号～第 10号・第 2条第 6項


(4) 裁判例

本文中、脚注に記載のもの

29 大阪高裁平成 19年 12 月 20 日判決30 大阪地裁平成 19年 2月 1 日判決31 大阪高裁平成 20年 7月 18 日判決

48

2-2.5.4. 従業員・委託先が作成に関与した情報の営業秘密としての保護

従業員や委託先企業が自ら作成、取得に関与した顧客リストや技術情報などの秘密情報に

ついて、雇用会社や委託元会社は、営業秘密としての保護を受けることができるのか。

(1) 考え方

従業員や委託先企業が自ら作成、取得に関与したものであっても、それが業務の一環として

なされたものである場合に、その情報をいったん雇用会社や委託元会社が秘密として管理する

に至った場合には、その情報は会社の営業秘密として不正競争防止法により保護され得る。

(2) 説明

営業秘密の保有者から営業秘密を「示された」者が、不正の競業その他不正の利益を得る目

的又は保有者に損害を加える目的で、営業秘密を使用又は第三者に開示した場合には、不正競

争防止法第 2条第 1項第 7号所定の不正競争に該当する。そして、従業員や委託先企業が自ら

作成、取得に関与したものであっても、その情報がいったん雇用会社や委託元会社が営業秘密

として管理するに至り、その情報が会社の業務において用いるために整理されるなどした場合

において、これを第三者に使用又は開示したときには不正競争防止法上の不正競争に該当し得

るものと考えられる。

もっとも、従業員に関しては、あらゆる情報を会社の管理下において一切退職後は使用でき

ないとすることは、転職の自由との関係で問題がある。したがって、プロジェクトへの参加時

など、具体的に企業秘密に接する時期に、秘密として管理すべき情報を特定した上で、秘密保

持義務を負わせることが望ましいと考えられる。（なお、従業員に退職後の秘密保持義務を課

すための秘密保持契約については 3-2.1.7. を参照）。

委託先についても、基本的には同様に秘密として管理すべき情報を具体的に選別して特定し

た上で、秘密保持義務を負わせることが望ましいと考えられるが、転職の自由を配慮する必要

性がない点において従業員の場合とは異なると考えられる。


・不正競争防止法第 2条第 1項第 7号

(4) 裁判例

・札幌地裁平成 6年 7月 8日判決


・東京高裁平成 15 年 3 月 31 日判決

・東京地裁平成 14 年 2 月 5日判決・判時 1802 号 145 頁・判タ 1114 号 279 頁

・東京高裁平成 16 年 9 月 29 日判決

49

6. 刑事法

2-2.6.1. 情報の不正入手 (1)

情報の不正入手には、どのような罰則があるか。

(1) 考え方

情報の不正入手を処罰する規定はない。刑法の中にも情報の不正入手を一般的に処罰する規

定があるのではなく、様々な法律の中に情報の侵害の態様に応じて個別的な処罰規定が置かれ

ているにすぎない。

情報の不正入手に伴う漏えい行為については、公務員の守秘義務違反の罪(国家公務員法第

109 条、地方公務員法第 60 条等)や医師・弁護士などの秘密漏示罪（刑法第 134 条）など、情

報を扱う者の身分に着目して、その者に守秘義務を課すことによって情報の漏えいを処罰する

多くの規定がある。法律によっては、国家公務員法第 109 条、地方公務員法第 60 条等「窃用

（せつよう）」を処罰するものがあるが、これも広い意味では、漏えい行為の一つである。

一方、情報の不正入手の付随行為が、現実空間で発生した場合は、その付随行為について刑

法における窃盗罪や住居侵入罪等で処罰される場合がある。また、これがサイバー空間で発生

し、不正アクセス行為が行われた場合は、不正アクセス行為の禁止等に関する法律(平成 11

年法律 128 号。以下「不正アクセス禁止法」という)により処罰される。

(2) 説明

刑法には、コンピュータ犯罪に関連して、「電磁的記録」の定義規定（刑法第 7条の 2）、電

磁的公正証書原本不実記録罪関係（刑法第 157 条、第 158 条）、電磁的記録不正作出罪関係（刑

法第 161 条の 2）、電子計算機損壊等業務妨害罪関係（刑法第 234 条の 2）、電子計算機使用詐

欺罪関係（刑法第 246 条の 2）、電磁的記録毀棄罪関係（刑法第 258 条、第 259 条）などの規

定がある。

当時、情報の不正入手についても一般的な処罰規定を設けることが議論されたが、保護すべ

き情報の範囲や保護の程度などについて議論が分かれ、将来の課題とされた。情報は、同じ内

容であっても人によって価値が異なり、時間の経過によってもその価値が変動する。このよう

な客体に対して、一律に刑罰による保護を設定することには無理があり、個別的に保護せざる

をえないためである。

情報の不正入手に伴う漏えい行為については、情報そのものを保護するという形ではなく、

情報を扱う一定の者に守秘義務を課し、漏えいがあった場合に、その義務違反という形で刑事

責任が問われる。典型的なものは、公務員に対して職務上知り得た他人の秘密を漏らす行為を

処罰する、国家公務員法や地方公務員法にある守秘義務違反の罪(国家公務員法第 109 条、地

方公務員法第 60 条)や、医師や弁護士などによる秘密漏示罪である(刑法第 134 条）。他にも、

様々な職種において守秘義務違反の罪が規定されている。

50

また、行政機関個人情報保護法には、個人情報を漏えいした者に対する罰則（行政機関個人

情報保護法第 53 条）が設けられており、これを受けて各地の個人情報保護条例でも漏えい者

に対する罰則が規定されている例が多い。

なお、不正競争防止法は、営業秘密の不正取得・使用・開示行為のうち、一定の行為につい

て、「営業秘密侵害罪」として 10 年以下の懲役又は 1,000 万円以下の罰金（又はその併科）を

科すこととしている(不正競争防止法第 21 条）32。日本国内で管理されている営業秘密につい

ては、日本国外で不正に使用・開示した場合についても処罰の対象となる。いずれの行為も、

「不正の競争の目的」で行う行為が刑事罰の対象であり、報道、内部告発の目的で行う行為は

刑事罰の対象とはならない。

一方、情報の不正入手の付随行為が、現実空間で発生した場合には、その付随行為について

刑法における窃盗罪や住居侵入罪等で処罰される場合がある。また、これがサイバー空間で発

生し、不正アクセス行為が行われた場合は、不正アクセス禁止法により処罰される。しかし、

不正アクセス禁止法は、情報の不正入手や電子計算機の無権限使用を処罰することを目的とす

るものではなく、コンピュータネットワーク上におけるアクセス制御機能(利用権者を ID・パ

スワード等の識別符号により識別し、識別符号が入力された場合にのみその利用を認めるコン

ピュータの機能)に対する社会的信頼を確保し、犯罪の防止及び電気通信に関する秩序の維持

を図ることを目的としている。

そのため、他人の識別符号の入力による「なりすまし」や、セキュリティホールを突くこと

により誰とも識別されないようにするなどの不正アクセス行為を処罰の対象としており、電子

計算機に蔵置されている他人の情報を入手したり、他人の電子計算機を無権限で使用すること

自体は、不正アクセス禁止法における不正アクセス罪の構成要件とはなっていない。

また、不正アクセス行為は、ネットワーク上におけるアクセス制御機能に対する社会的信頼

を害する行為であるから、コンピュータをスタンドアローン(ネットワークに接続しない状態)

で用いる場合は、仮に他人の識別符号を入力するような行為があっても、不正アクセス禁止法

における不正アクセス行為とはならない。

もっとも、スタンドアローンのコンピュータであっても、例えばコンピュータを一時的に外

に持ち出すなどして、いったん自己の支配下に置いた上で、中の情報をコピーし、そのコンピ

ュータを元の場所に戻すような場合は、判例は行為態様に応じて、窃盗罪や横領罪の成立を認

めてきている。

その他の重要な規定としては、有線電気通信法・電気通信事業法などによる通信の秘密侵害

32 営業秘密侵害罪については、第 171 回通常国会において、「不正競争防止法の一部を改正す

る法律」（平成 21 年法律第 30号）が可決・成立し、①目的要件が不正の利益を得たり保有者

に損害を加えたりする目的に変更されるとともに、②営業秘密の管理に係る任務に背き、一定

の方法により営業秘密を領得する行為について新たに刑事罰が科せられる等、営業秘密の保護

強化に係る所要の改正が行われた。なお、改正法の施行日は、「公布の日から起算して一年六

月を超えない範囲内において政令で定める日」とされている。

51

罪などがある。


・不正アクセス禁止法第 3条（不正アクセス行為の禁止）

・行政機関の保有する個人情報の保護に関する法律第 53条（罰則）

・不正競争防止法第 21 条（罰則）

(4) 裁判例

・東京地裁昭和 59 年 6 月 28 日判決・判時 1126 号 3頁

・東京地裁昭和 60 年 3 月 6日判決・判時 1147 号 162 頁

2-2.6.2. 情報の不正入手 (2)

不正アクセス禁止法によって守られるためには、どうすればよいのか。

(1) 考え方

不正アクセス禁止法によって守られるためには、法の適用を想定するサーバ（「特定電子計

算機」）において、アクセス制御機能(アクセスをしようとするユーザを ID・パスワード等の

識別符号により識別、認証する機能)を付加し、当該サーバに対してネットワークを通じて別

の計算機のユーザがアクセスする際に、アクセス制御機能により制限することが必要である。

ただし、一般的に、アクセス管理者が特定利用（ネットワークを通じた当該サーバの利用）

を誰にでも認めている場合や、当該特定利用を承諾している場合には、アクセス制御機能によ

る制限はないものと解されることとなり、同法による保護を受けない。

(2) 説明

不正アクセス禁止法は、「特定電子計算機」に対して、アクセス管理者が「アクセス制御機

能を付加している場合に、そのアクセス制御機能による制限を回避できる情報(識別符号であ

るものを除く。）又は指令の入力を不正アクセス行為としてとらえ、これを禁止・処罰してい

る(スタンドアローンのコンピュータは、保護されない）。

したがって、不正アクセス行為からコンピュータが保護されるか否かは、アクセス制御機能

により制限された状態にあるか否かによって決まる。

なお、ネットワークコンピュータのファイル格納領域に蔵置されている秘密ファイル fにア

クセスする方法として、アクセス制御機能による制限がある a という通信方法のほかに、(プ

ログラムの瑕疵や設定の不備により、アクセス制御機能による制限がない）bという通信方法

も存在しており、b を経由して、f にアクセスすることが「不正アクセス行為」となるのかが

問題となった事案について、東京地裁（後掲）は、アクセス制御機能の有無については、(個々

52

の通信プロトコル33ごとに判断するのではなく）特定電子計算機ごとに判断するのが相当であ

り、管理者が特定電子計算機の特定利用を誰にでも認めている場合を除き、特定利用のうち一

部がアクセス制御機能によって制限されている場合であっても、その特定電子計算機にはアク

セス制御機能があると解すべきであるとした。

さらに、識別符号を入力してもしなくても同じ特定利用ができ、アクセス管理者が当該特定

利用を誰にでも認めている場合には、アクセス制御機能による特定利用の制限はないと解すべ

きであるが、プログラムの瑕疵や設定上の不備があるため、識別符号を入力する以外の方法に

よってもこれを入力したときと同じ特定利用ができることをもって、直ちに識別符号の入力に

より特定利用の制限を解除する機能がアクセス制御機能に該当しなくなるわけではないと解

すべきであるとした。なお、本判決に対しては控訴がなされておらず、すでに確定しているの

で、この問題に関する上級審の判断はまだ出されていない。


・不正アクセス行為の禁止等に関する法律第 2条、第 3条（特に、第 2条第 3項）

(4) 裁判例


7. その他

2-2.7.1. 他の知的財産権法規定による保護方法

不正競争防止法に基づく営業秘密としての保護以外に、他の知的財産権法規定による保護

方法として有用なものはあるか。

(1) 考え方

権利を取得するためには公開が必要となる特許権や実用新案権、意匠権といった産業財産権

は、営業秘密の保護には適していない。

他方、営業秘密が設計図、模型、写真、製造マニュアル、顧客データベースといった形をと

る場合、これらに著作物性が認められ、著作権法で保護される可能性がある。しかし、著作権

法はアイデア自体を保護するものではないため、営業秘密の保護方法としては十分とはいえな

い。

(2) 説明

特許権や実用新案権、意匠権といったいわゆる産業財産権は、権利を取得するためには、特

33 ネットワーク上で通信するための手順や規約。

53

許庁に登録して一般に公開しなければならないため、これらの産業財産権法では、秘密情報を

秘密のまま保護することはできない。他方、営業秘密が設計図、模型、写真、製造マニュアル、

顧客データベースといった形をとり、著作物性が認められる場合には、これらに著作権や著作

者人格権が発生している可能性がある。例えば、未公表の著作物については、著作者に著作者

人格権として公表権（著作権法第 18 条）が認められている。

また、著作権者は複製権を始めとする諸権利（同法第 21 条以下）を専有し、これらの権利

を侵害する者に対し、差止請求（同法第 112 条）、損害賠償請求及び名誉回復措置請求（同法

第 115 条）が可能である。また、著作権は登録によって発生する権利ではなく、公開は権利取

得に当然に伴うものではないため、情報を秘匿したまま著作権法で保護することが可能である。

ただし、著作権法の保護を受けるためには、当該営業秘密が創作的な表現物である必要があ

る。したがって、例えば、いかに重要な顧客データベースであったとしても、それが顧客の住

所電話番号をあいうえお順に並べたものなど、ありふれた構成であった場合には、データベー

スとしての創作性が認められず、著作権法の保護を受けることはできない(自動車データベー

スについて著作物性が否定された事例として、東京地裁平成 13 年 5 月 25 日中間判決・判時

1774 号 132 頁・判タ 1081 号 267 頁、東京地裁平成 14 年 3月 28 日判決・半時 1793 号 133 頁・

判タ 1104 号 209 頁。ただし、当該データベースの複製行為が不法行為に該当すると認定して

いることに注意）。

また、著作権法は著作物の創作的な表現を保護する法律であって、アイデアを保護するもの

ではないため、著作物に含まれるアイデア自体を使用する行為(例えば製造マニュアルを読ん

でそこに書かれているアイデアを利用して製造する行為)は著作権侵害とはならない。

さらに、他人の営業秘密である機械の設計図に基づき、第三者が無断で機械を製作しても、

機械に著作物性が認められない以上、設計図の著作権侵害にならないとされる(大阪地裁平成

4年 4月 30 日判決・判時 1436 号 104 頁・知的裁集 24 巻 1 号 292 頁）。

以上のとおり、著作権法による営業秘密の保護は極めて限定的であるといわざるを得ない。


・著作権法第 2条 1項 1号(著作物の定義）、第 10条（著作物の例示）、第 12条の 2(デ

ータベースの著作物）

(4) 裁判例

本文中に記載のものの他、

・東京高裁昭和 58 年 6 月 30 日判決・無体例集 15巻 2 号 586 号



・大阪地裁平成 16 年 11 月 4 日判決・判時 1898 号 117 頁

・知財高裁平成 17 年 10 月 6 日判決

54

2-2.7.2. 技術的な手段の回避

企業内の秘密文書や従業員情報、顧客情報等について、コピーや改変の禁止のための技術

的な手段（「技術的保護手段 TPM34」）をかけてある場合に、そのような技術的保護手段を回

避する行為自体については、法律上どのような責任が発生するのか。

(1) 考え方

コピーや改変の禁止のための技術的保護手段（TPM）を回避する行為自体は、著作権法上、

業として公衆からの求めに応じて行う場合以外には規制対象とはなっていない。

ただし、技術的保護手段を回避することによって可能となった当該文書等のコピー行為や当

該文書等の改変行為については、複製権侵害行為や翻案権侵害を構成する。

また、コピー禁止のための技術的保護手段を回避することを専らその機能とする装置やプロ

グラムを広く公衆に譲渡する行為、公衆に譲渡する目的をもって製造する行為等、業として公

衆からの求めに応じて技術的手段の回避を行う行為については刑事罰の対象となる（著作権法

第 120 条の 2 第 1号、第 2 号）。もっとも、回避された技術的保護手段が、著作権法上の「技

術的保護手段」の定義概念に該当するものであるのかという点については留意する必要がある。

一方、不正競争防止法では、営業上の利益の幅広い確保を目的として用いられている技術的

制限手段についての無効化機能のみを有する機器やプログラムの提供行為（第 2 条第 1 項第

10 号）、営業上の利益を確保するための（コンテンツ提供についての）契約関係等の正当な権

原を有する者以外に対して施されている技術的制限手段についての無効化機能のみを有する

機器やプログラムの提供行為（第 2条第 1項第 11号）を、それぞれ不正競争と定義しており、

このような不正競争によって営業上の利益を侵害された者あるいは侵害されるおそれのある

者は、当該行為者に対して差止請求をすることができる（不正競争防止法第 3条第 1項）ほか、

損害賠償請求等の民事上の法的救済を受けられる（これについての詳細は、2-2.7.3. を参照）。

なお、不正競争防止法において法規制の対象とは、不正競争防止法で定義されている「技術

的制限手段」（同法第 2 条第 7 項）であって、著作権法上の「技術的保護手段」とは、若干異

なることにも留意を要する。

著作権法における上記規定は、基本的には複製行為に制限を課するコピーコントロール技術

など著作権、著作隣接権等の侵害の防止や抑止をする手段として用いられている技術に限られ

ることを前提とする一方、不正競争防止法における上記規定では、コンテンツの視聴等の行為

に制限を課するアクセスコントロールとコピーコントロールの双方を保護する必要があるこ

とから、これらを区別することなく、いずれの技術についても対象としている。また、著作権

法では技術的保護手段を回避する機器・プログラムの提供行為に加え、回避行為そのものにつ

いても業として公衆からの求めに応じて行う場合には刑事罰の対象となるのに対して、不正競

34 Technological Protection Measures

55

争防止法では、民事上の救済のみが規定されており、またその対象も無効化機器またはプログ

ラムの提供の行為に限られ、これらの機器等の製造行為や無効化行為自体については不正競争

として位置付けられていない点も大きな違いである。

(2) 説明

著作権法には、平成 11 年法改正で導入された、技術的保護手段の回避等行為についての法

規制が存する。すなわち、電子的方法、磁気的方法その他の人の知覚によって認識することが

できない方法により著作権・著作者人格権、著作隣接権、実演家人格権を侵害する行為の防止

又は抑止をする手段であること、著作権等を有する者の意思に基づくことなく用いられている

ものでないこと、著作物等の利用に際しこれに用いられる機器が特定の反応をする信号を著作

物等とともに記録媒体に記録・送信する方式によるものであること、という各要件を充足する

「技術的保護手段」（著作権法第 2条 1項 20 号）について、著作権法では、技術的保護手段の

回避により可能となった複製を、その事実を知りながら行う場合について私的使用目的の複製

に係る著作権の制限の適用対象外とすること（同法第 30 条第 1項第 2号）、技術的保護手段の

回避を行うことを専らその機能とする装置やプログラムの複製物の譲渡等について罰則を適

用すること（同法第 120 条の 2 第 1 号）、業として公衆からの求めに応じて技術的保護手段の

回避を行う行為について罰則を適用すること（同法第 120 条の 2第 2号）という 3つの形で保

護を与えている。しかしながら、技術的保護手段を回避する行為自体については業として公衆

からの求めに応じて行う場合以外には規制対象としていない。もっとも、コピーや改変の禁止

のための技術的保護手段を回避してコピーを作成あるいは一部改ざんしたとしても、そのよう

な行為自体は複製権や翻案権を侵害する行為であることはいうまでもない。

技術的保護手段・技術的制限手段の回避行為に対する法的規制を巡っては、昨今、マジック

コンピュータ（マジコン）35を中心としたツールを不正に利用することによって、違法コピー

ソフトを用いたプレイが可能となるように、実質的にゲーム機の技術的な手段を回避する行為

等が広く蔓延しているとの指摘もある。また、平成 20年 11 月に公表された知的財産戦略本部

デジタル・ネット時代における知財制度専門調査会報告でも、不正競争防止法による規制を見

直すことや、著作権法においてアクセスコントロールの回避行為を位置付けるなどに言及しつ

つ、現行制度の実効性の検証を行い、違法ソフトの一般ユーザへの蔓延を防止するための何ら

かの措置を講ずることが必要とするなど、現行の規制の在り方を巡る議論が現れていることを

提示している36。

35 ゲームソフトなどに施されたアクセスコントロール等の技術的制限手段を回避し、不正な

利用を可能にするツール。36 同調査における検討・報告書の公表と前後するかたちで、平成 20年 7月、携帯型ゲーム

機等を製造・販売する企業及びソフトメーカーが、「マジコン」を輸入・販売していた 5事業

者に対し、不正競争防止法（第 2条第 1項第 10号、第 3条）に基づき、当該機器の輸入・販

売の差止等を求めて提訴し、被告らがマジコンを輸入・販売する行為は、不正競争防止法（第

56

その後、文化審議会著作権分科会法制小委員会技術的保護手段ワーキングチームでは、2010

年 11 月、CSS37等の「暗号型」技術、ゲーム機・ゲームソフト用保護技術についても技術的保

護手段の対象となりうるものとすべきこと、現行法の技術的保護手段、技術的保護手段の回避

についての定義のあり方の見直し、等を内容とする報告書をとりまとめ、文化審議会著作権分

科会法制小委員会技術的保護手段に関する中間まとめとして同年 12 月からの意見募集の手続

を経て、2011 年 1 月に文化審議会著作権分科会報告書（第 2部第 2編）としてまとめられた。

一方、産業構造審議会知的財産政策部会技術的制限手段に係る規制の在り方に関する小委員

会では、不正競争防止法第 2条第 1項第 10号、第 2条第 1項第 11 号の見直しを向けた検討を

行った上で、2010 年 12 月に「技術的制限手段に係る不正競争防止法の見直しの方向性につい

て（案）」とする報告書をとりまとめ、同年 12 月から 2011 年 1 月にかけて意見募集が行われ

た。同報告書では、「のみ要件」の緩和、刑事罰の導入、水際措置の導入等を提言しており、

不正競争防止法の下での技術的制限手段の無効化に対する規制範囲を拡張する方向性を示し

ている。

以上より、技術的保護手段（TPM）の回避に対する不正競争防止法及び著作権法による法的

規制の範囲については、現行法よりも拡張する方向での法改正が近いうちに実現する可能性が

あり、今後の動向に留意すべきである。

このように、技術的保護手段・技術的制限手段の回避行為に対する著作権法・不正競争防止

法上の法規制のあり方については、従来、著作権法ではコピーコントロール回避規制を中心と

している一方、不正競争防止法ではどちらかというとアクセスコントロール回避規制に主軸を

置いてきたものの、上記のような制度見直しの方向性として、一見、いずれの法制度もコピー

コントロール回避規制とアクセスコントロール回避規制を包含する形で収斂していくかのよ

うにも見えるところであって、両法による規制が敢えて区別して置かれていることの意義が見

えにくくなってきている。

しかしながら、著作権法の下での技術的保護手段回避とは、あくまでも著作物性を充足する

コンテンツを前提として複製等の支分権の対象たる行為を技術的に制限している手段を回避

することに対する法規制であることに留まるので、上記見直しの方向性においても、アクセス

コントロール機能しか有していない保護技術については著作権法上の「技術的保護手段」に包

含されないという考え方は維持するとされているものである。他方、不正競争防止法の下での

技術的制限手段回避とは、もともと、保護対象となるコンテンツの種類に限定はなく、回避対

象となる保護手段についてもアクセスコントロール及びコピーコントロールの両者を明確に

は区別するものではなく、営業上用いられている保護手段であるということで法規制の対象に

絞込みをかけているのであって、上記見直しの方向性としても、回避機能以外の他機能を併有

2条第 1項第 10 号）に該当する行為であるとして、当該機器の輸入・販売等の差止請求等を

認める判決が下され確定している（東京地裁平成 21 年 2 月 27 日判決）。37 Content Scramble System の略称。DVD の映像ソフトに対するアクセスコントロール技術の

1つ。

57

する機器等についても規制対象に含みうる形へ拡張するというものであって、基本的な制度構

造に変動が生じるものではない。したがって、両規制は、コンテンツの適正な利用を実現する

ためのコピーコントロール回避規制、アクセスコントロール回避規制という近似した法規制の

態様をとるものの、具体的な役割機能は明確に棲み分けられているものとして理解できるので

ある。


・著作権法第 2条第 1項第 20 号、第 21条、第 30条第 1項第 2号、第 120 条の 2第

1号・第 2号

・不正競争防止法第 2条第 1項第 10号・第 11号

(4) 裁判例

・不正競争防止法の技術的制限手段回避機器の提供行為に関するものとして本文中

に記載のものの他

・東京地裁平成 17 年 1 月 31 日決定

2-2.7.3. 不正競争防止法上の技術的管理手段の回避（※調整中）

特定の者だけしか視聴できないようにコンテンツにプロテクトを掛ける場合があるが、こ

のような視聴覚プロテクトを外すツールの取引は法規制の対象とされているか。

(1) 考え方

視聴覚プロテクトを外すことのみを機能としているツールの取引は、不正競争防止法違反に

なる場合がある(不正競争防止法第 2条第 1項第 10号、第 11号、第 7項）。不正競争防止法に

違反する場合には、視聴覚プロテクトを外すツールの取引は差止・損害賠償請求の対象となる。

(2) 説明

特定の人以外にはコンテンツを視聴できないようにするために、コンテンツを暗号化して、

アクセスを禁止する視聴覚プロテクト（いわゆるアクセスコントロール）が掛けられることが

ある。

不正競争防止法では、このようなコンテンツについて営業上用いられているアクセスコント

ロール技術を「技術的制限手段」と定義した上で、アクセスコントロールを外すことのみを機

能としているツールを販売する行為や、このような機能のみを有しているプログラムをインタ

ーネットなどで提供する行為などを不正競争行為としている(不正競争防止法第 2 条第 1 項第

10 号、第 11 号、第 7項）。技術的制限手段により保護対象となるコンテンツは、「影像若しく

は音の視聴若しくはプログラムの実行又は影像、音若しくはプログラムの記録」とされており、

映像、音楽などの著作権法で保護される著作物には限られない。

58

アクセスコントロールを外すことのみを機能としているツールの取引が不正競争防止法に

違反する場合には、当該ツールの提供者の行為は差止請求や損害賠償請求の対象となる(不正

競争防止法第 4 条、第 5 条）。ただし、不正競争防止法では、アクセスコントロールを外すツ

ールの取引について刑事罰は定められていない。しかし、産業構造審議会知的財産政策部会の

技術的制限手段に係る規制に関する小委員会は、不正競争防止法による「技術的制限手段」回

避機器等の提供行為規制の強化を検討し、2010 年 12 月 17 日に、規制対象機器等の拡大（「の

み」要件の緩和）、機器等の提供行為に対する刑事罰の導入等を提言する報告書を公表しパブ

リックコメントの募集を行ったという状況であり、今後の法改正の動きが注目される。

なお、不正競争防止法ではアクセスコントロールのみならず、営業上用いられているコピー

を禁止するプロテクト（いわゆるコピーコントロール）を外すことのみを機能としているツー

ルの取引も規制している(不正競争防止法第 2条第 1項第 10号、第 11 号、第 7項）。他方、著

作権法では、アクセスコントロールを外すツールの取引についての規制はないが、コピーコン

トロールを「技術的保護手段」と定義して、さまざまなコンテンツのうち著作権法で保護され

る映像、音楽などの著作物、実演、レコードについてコピーコントロールを外すことを専らそ

の機能としているツールの取引等についての規制を設けている(著作権法第 2 条第 1 項第 20

号、第 120 条の 2第 1号及び 2号）。(コピーコントロールに関する規制については2-2.7.2. 参

照）。しかし、アクセスコントロールとコピーコントロールという技術概念が相対化し、視聴

を妨げると同時に複製を制限するという技術も考えられることから、文化審議会著作権分科会

は、現行の著作権法で保護されていない「アクセスコントロール技術」のうち、実質的にはコ

ピーコントロール技術といえる暗号型の保護技術(複製権その他の支分権侵害を抑止する機能

を併せ持つもの）、ゲームソフトの複製や違法配信サイト上のアップロード・ダウンロード行

為を抑制する意図をもって用いられているゲーム機、ゲームソフト用の保護技術を「技術的保

護手段」と評価し、保護の対象とすることが適当とする報告書を 2011 年 1月 31 日の文化審議

会総会に提出した。こちらも今後の法改正の動きが注目される。

コピーコントロール技術を外すツールの取引については著作権法において刑事罰が定めら

れている(第 120 条の 2第 1号）。したがって、現時点では、コピーコントロールを外すツール

の取引は刑事罰の対象となるが、アクセスコントロールを外すツールの取引は刑事罰の対象と

はなっていない。


・不正競争防止法第 2条第 1項第 10号、第 11号、第 7項

・著作権法第 2条第 1項第 20 号、第 120 条の 2第 1号及び 2号

(4) 裁判例


59

2-2.7.4. 機密情報と内部者取引(※10 年度新規)

上場会社の社内システムの管理責任者が、職務上知った機密情報が公表される前に自社の

株式を売買する場合、どのような問題があるか。

(1) 考え方

上場会社の社内システムの管理責任者が、職務に関して一定の重要事実を知った場合、その

事実の開示前に自社の株式を売買することは、金融商品取引法の内部者取引規制に違反する。

上場会社は、内部情報の管理および内部者取引防止のための体制を整備することが望まれる。

(2) 説明

金融商品取引法は、上場会社等、または公開買付けをする者と一定の関係にある者が、一定

の重要事実を知った場合に、その公表前に一定の有価証券等の取引をすることを禁じている

(内部者取引規制。同法第 166 条第 1項・第 167 条第 1項）。上場会社の役員その他の従業者が、

自社の業務等に関する重要事実（同法第 166 条第 2項参照）をその者の職務に関して知った場

合には、当該事実が一定の方法で公表（同条第 4項参照）される前に、自社の上場株式の売買

をすることは、同法第 166 条第 1項により禁じられる(同項第 1号参照）。

内部者取引規制に違反した者は、罰則(5 年以下の懲役もしくは 500 万円以下の罰金、また

はこれらの併科[同法第 197 条の 2 第 13 号]、規制違反により得た財産の没収・追徴[第 198

条の 2])を科されるほか、課徴金も課される(同法 175 条 1項 2項）。

上場会社は、取引所の規則により、「内部者取引の未然防止に向けて必要な情報管理体制の

整備を行うよう努める」ものとされており(東京証券取引所・有価証券上場規程 449 条、大阪

証券取引所・企業行動規範に関する規則 21条）、内部情報の管理や内部者取引の防止のための

体制（内規や組織）の整備が望まれる(内規の参考例として、松本真輔『最新インサイダー取

引規制――解釈・実例・実務対応』第 6章[商事法務、2006]参照）。


・金融商品取引法第 166 条・第 167 条・第 175 条第 1 項第 2 項・第 197 条の 2 第第

13 号・第 198 条の 2

・東京証券取引所・有価証券上場規程 449 条

・大阪証券取引所・企業行動規範に関する規則 21条

(4) 裁判例

・最高裁平成 11年 2月 16 日判決・刑集 52 巻 2 号 1頁

・最高裁平成 11年 6月 10 日判決・刑集 53 巻 5 号 415 頁

・東京高裁平成 21 年 2 月 3日判決・判タ 1299 号 99 頁

60

第3節完全性(I)に関するもの

1. はじめに

完全性とは情報等が完全かつ確実であることを保護することをいう。完全性は、情報の作成

名義の同一性の問題と情報内容の同一性の問題に大別することができる。

情報を管理する事業者に対して管理責任を課す法令については、専ら総論において述べた個

人情報保護法や会社法上の内部統制の一部が該当する。特に、情報を管理する事業者としては、

情報の作成名義の同一性や情報内容の同一性が失われることによって、第三者から法的責任を

問われる可能性があり、かかる観点から内部規定等の整備を行っておくことが、会社法の内部

統制、個人情報保護法の安全管理措置の内容として必要となることがある。また、金融商品取

引法における財務報告の信頼性を確保するための内部統制報告制度は、正確な財務データ等の

確保を求めるものといえ、完全性の問題と考えることができる（2-3.2.1. ）。さらに、個人情

報保護法においては、個人データ内容の正確性の確保（個人情報保護法第 19 条－2-3.3.1. ）

や保有個人データの訂正等への対応（個人情報保護法第 26条－2-3.3.2. ）を定めている。

次に、情報システムが不完全だったために事故が発生した場合の扱いについても問題となり

うる(2-3.4.)。

第 3に刑事法上は、伝統的な文書偽造、変造罪に加えて、コンピュータ犯罪への対処を目的

として電磁的記録の不正作出、同行使に関して刑法上一連の構成要件が定められ（電磁的記録

不正作出罪、不正作出電磁的記録供用罪）、オンライン詐欺を適正に処罰するために電子計算

機使用詐欺罪が規定されている（2-3.5.2. ）。また、クレジットカード、キャッシュカードな

どの偽造、変造等について遺漏なく処罰できるよう支払用カード電磁的記録に関する罪が新設

されている（2-3.5.4. ）。さらに近時では、インターネットを介した金融取引の増加に伴い、

ネットバンキングのシステムの悪用や、いわゆるスキミングなどの被害も増加しており、これ

らに対する刑事責任が問題となる（2-3.5.3. ）。

第 4 に、電磁的記録の真正な成立の推定に関する法律として、「電子署名及び認証業務に関

する法律」がある（2-3.6.1. ）。申し込みフォームにおける入力ミスに関し、電子消費者契約

法がある(2-3.6.2. )。

2. 金融商品取引法の内部統制

2-3.2.1. 情報セキュリティと金融商品取引法の内部統制報告制度の関係

情報セキュリティと金融商品取引法の内部統制報告制度はどのように関係しているか。

(1) 考え方

財務報告の信頼性を確保するためには、財務データ等への適切なアクセス管理等が必要とな

る。内部統制報告制度では、情報セキュリティに関連する対策の有効性も経営者評価及び監査

の対象となる。

61

(2) 説明

上場企業等は、財務報告に係る内部統制を評価し、その結果を内部統制報告書として作成し、

内閣総理大臣に提出する必要がある(金融商品取引法第 24 条の 4の 4）。

一方、企業における IT利活用の現状を鑑みると、適正な財務報告を行うためには ITの利用

等が一般的と考えられることから、IT 統制(IT による会計処理の統制や ITに対する統制)も重

要となる。「財務報告に係る内部統制の評価及び監査の基準」によると、「内部統制の基本的要

素」には、「IT への対応」が含まれ、「IT への対応」は、IT 環境への対応と IT の利用及び統

制からなるとしている。

情報セキュリティは「IT への対応」に関係するものと考えられる。例えば、情報セキュリ

ティの対策としてアクセス管理があるが、これは財務データが改ざんされたり、不注意により

変更されたりすることを予防するための対策となる。

また、プログラムの変更管理を行うことにより、財務データを処理するプログラムが改ざん

されたり、不注意により変更され適切な会計処理ができなくなったりすることを予防すること

ができる。さらに、このようなアクセス管理等のプロセスレベルの情報セキュリティ対策が企

業集団全体としても適切に実施できるようにするための情報セキュリティ管理も全社的な内

部統制として重要な要素と考えられる。

なお、内部統制報告書は、公認会計士等による監査を受ける必要がある(金融商品取引法第

193 条の 2 第 2 項）。このため、公認会計士等も内部統制報告書の適正性を監査するために、

財務報告の信頼性に関係する範囲において情報セキュリティも評価することになる。


・金融商品取引法第 24 条の 4の 4、第 193 条の 2第 2項

・財務報告に係る内部統制の評価及び監査の基準

・財務報告に係る内部統制の評価及び監査に関する実施基準

・ (参考）内部統制報告制度に関する Q&A

(4) 裁判例

特になし

3. 個人情報保護法

2-3.3.1. 個人情報保護法第 19 条

個人情報保護法第 19 条はどのような規定か。

(1) 考え方

個人情報取扱事業者は、利用目的の達成に必要な範囲内において、保有している個人データ

62

が過去又は現在の事実と合致するように努めなければならない。個人情報データベース等への

個人情報の入力時の照合・確認の手続の整備、誤り等を発見した場合の訂正等の手続の整備、

記録事項の更新、保存期間の設定等を行うことにより、個人データを正確かつ最新の内容に保

つよう努めることとなる。なお、保有する個人データを一律に又は常に最新化する必要はなく、

それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すれば足りる。

(2) 説明

正確性の確保とは、取り扱う個人情報の内容が、利用目的の達成に必要な範囲内で過去又は

現在の事実と合致することをいう。その範囲は、それぞれの利用目的に応じて、その必要な範

囲内で正確性・最新性を確保することになるが、個人情報取扱事業者が保有する個人情報を、

可能な限り一律にまたは常に最新のものとする必要がある。

正確性の確保が必要な理由は、不正確な内容の個人情報が利用されたり、最新の個人情報と

は異なる内容の個人情報が利用されると、本人に不利益が生ずる可能性があるからである。

正確性の確保は、その利用目的の達成に必要な範囲内において行われることとなり、現在の

事実、過去の一定時点の事実、および、現在と過去の事実の双方の場合など、利用目的に応じ

て、その必要な範囲内で正確性・最新性を確保すればよい。

なお、正確性および最新性を確保する対象となる個人情報は、個人情報データベース等を構

成する個人データである。

個人情報の内容の正確性・最新性を確保するための具体的措置としては、個人情報の入力時

の照合・確認の手続の整備、誤り等を発見した場合の訂正等の手続の整備、記録事項の更新、

内容に変更があった場合の本人からの申し出の要請への対応、保存期間の設定等を行うことが

あげられる。

正確性の確保義務違反には個人情報保護法の罰則適用はないが、誤った情報を利用しつづけ

本人の権利利益を侵害することにより不法行為責任を問われることがある。

具体的な事例としては、大手消費者金融会社が、債務者と間違って支払督促をした者から個

人情報の抹消を求められたにもかかわらず、再度支払の催促を行ったことにつき、抹消すると

の約束に違反して少なくとも 1年数か月にわたりその個人情報を保有しつづけたことが、原告

のプライバシーの権を侵害すると判断された事例38がある。



(4) 裁判例

特になし

38 京都地裁平成 15年 10 月 3 日判決

63

2-3.3.2. 個人情報保護法第 26 条

個人情報保護法第 26 条はどのような規定か。

(1) 考え方

個人情報取扱事業者は、本人から、「保有個人データ」に誤りがあり、事実でないという理

由によって訂正等を求められた場合には、原則として、訂正等を行い、訂正等を行った場合に

は、その内容を本人に対し、遅滞なく通知しなければならない。

なお、他の法令の規定により特別の手続が定められている場合には、当該特別の手続が優先

されることとなる。

(2) 説明

個人情報取扱事業者が、本人から訂正等の求め応ずる義務を負うのは、「保有個人データ」

である。

「訂正等」とは、保有個人データの内容の訂正、追加又は削除を行うこという。「削除」と

は、不要な情報を除くことをいう。

保有個人データに誤りがあって事実とは異なる場合には、原則として、訂正等を行うことに

なるが、利用目的から見て訂正等が必要ではない場合や誤りである旨の指摘が正しくない場合

には、訂正等を行う必要はない。ただし、その場合には、遅滞なく、訂正等を行わない旨を本

人に通知しなければならない。



(4) 裁判例

・東京高等裁昭和 63 年 3 月 24 日判決・判時 1268 号 15 頁・判タ 664 号 260 頁(在日

台湾人身上調査票訂正請求訴訟控訴審判決）

4. システムの事故と民事責任

2-3.4.1. 情報システムと製造物責任法（※調整中）

情報システムに製造物責任法（PL法）は適用されるか。

(1) 考え方

製造物責任法は、無体物としてのソフトウエアそのものに対しては、適用されることはない。

しかし、ソフトウエアが機器、設備等の有体物に組み込まれている場合(たとえば機械がソフ

トウエアによって制御されているケース)に、システムの不備が有体物の欠陥として評価され

64

れば、その機器、設備等の製造業者等に製造物責任法にもとづく責任が発生する可能性がある。

(2) 説明

製造物責任法は、「製造又は加工された動産」の欠陥によって生じた損害に適用されるので、

無体物は適用の対象ではない。したがって、たとえばソフトウエアにバグがあり、目的とされ

る機能を果たさなかったとしても、そのこと自体は、製造物責任法の問題にはならない。

しかし、動産としての機器や設備を作動させるためにソフトウエアが組み込まれている場合

には、ソフトウエアのバグは、その機器や設備の「欠陥」と評価される可能性が高い。たとえ

ば、ある機械がソフトウエアによって制御され、人が近づくと機械の動作を停止する仕組みに

なっていたような場合に、人が近くにいることをセンサーが感知しながら、ソフトウエアのバ

グのために動作が停止せず、その人が傷害を負ったというケースを考えると、それは、制御さ

れた機械が「通常有すべき安全性」を欠いている状態と言えるであろうから、「製造された動

産」としての機械に欠陥があると言え、その人の傷害に対して、製造物責任が発生することに

なる。

この場合に、責任を負う主体は、「製造物」の製造業者等であるから、上記の例では機械の

メーカーということになる。メーカーは、被害者に対して損害賠償責任を履行した上で、ソフ

トウエアの販売業者に対して求償することになろう(この求償関係は、製造物責任法の問題で

はなく、メーカー・上記販売業者間の契約責任等に基づく問題である）。

ところで、製造物責任法は「欠陥」を「当該製造物が通常有すべき安全性」と定義している。

この「欠陥」は、「瑕疵」と区別された概念と言われている。「瑕疵」が、期待された品質の欠

如を広く指す概念として用いられるのに対して、「欠陥」は安全性にかかわる概念であるから、

製品の事故によって人の生命・身体が傷つけられたり、家財等の所有物が破壊されたりするよ

うな場合が念頭に置かれることが多い。ところが、最近の裁判例の中には、カーオーディオの

スイッチが一定の条件の下でショートしてしまい、自動車のバッテリーが上がる事故が発生し

た事案で、スイッチが「通常有すべき安全性」を欠いていたとして、製造物責任法を適用した

事例がある。しかも、その事案では、カーオーディオのメーカーが、顧客からのクレームを受

けて修理や原因調査を行なった費用をスイッチのメーカーに対して請求し、認められている

((4)に掲げた東京地裁平成 15 年 7 月 31 日判決）。したがって、製造物責任法に言う「欠陥」

や「損害」の概念は、一般に考えられている以上に広いということに注意しなければならない。


・製造物責任法第 2条第 1項・第 2項。

(4) 裁判例

製造物の「欠陥」に関して、


65

2-3.4.2. 電子化されたシステムの事故と過失

電子化されたシステムに事故が発生した場合、過失の認定はどのようになされるか。

(1) 考え方

システムを保守・点検していたか否か、システムの運用に習熟していたか、システムの発注・

検収・供用開始の判断について過失がなかったか等を問題とすることになる。

(2) 説明

例えば、ITS39装置によって制御された自動車の運転者は、ITS 装置の欠陥によって事故を発

生させた場合に、いかなる責任を負うか。民法第 709 条の過失の有無(自動車の場合には、自

賠法第 3 条の問題にもなる)の問題であるが、自然人の行為がほとんど介在せず、システムの

欠陥であった場合に、伝統的な意味での「過失」を論ずることには違和感がある。裁判では、

欠陥のあるシステムが使用されたことについて発注・検収・供用開始の判断等の段階で過失が

なかったか否か(システムの提供にかかわる過失）、また、システムを保守・点検していたか否

かやシステムの運用に習熟していたか(システムの運用にかかわる過失）、等が問題になるであ

ろう。

病院で医療装置が誤作動を起こし、患者の身体に損害を生じた場合はどうか。この場合には、

医療契約があるため、民法第 415 条の帰責事由の問題になるが、問題の考え方は同じになると

思われる。

参考判例として、不法行為責任については、航空機の墜落事故に関するもの(下記(4) 名古

屋地裁平成 15年 12 月 26 日判決・判時 1854 号 63 頁)があるが、ヒューマンエラーによる事故

と認定し、「損害発生のおそれを認識しながらした無謀な行為」にあたるとしたため、この点

の問題は顕在化しなかった。なお、この事件では、航空機メーカーの製造物責任は否定された。

契約責任の事件では、証券取引所の売買システムが取消注文を処理できないという欠陥(バ

グ)を持っていたという事案で、取引所は取消注文が実現されるような市場システムを提供す

る義務を負っていたと判断した上で、完全にバグがないことを確認しないままシステムの提供

開始を決定したことと、誤発注が行われたにもかかわらずその取消注文が受け付けられないま

ま発注者の意図しない売買取引が成立し続けた際に売買停止措置をとらなかったこととを併

せると、取引所に重大な過失があったと認定した裁判例がある(下記(4)みずほ証券誤発注事件

判決）。


39 Intelligent Transport Systems（高度道路交通システム）装置の略称。道路交通の安全性、

輸送効率、快適性の向上等を目的に、最先端の情報通信技術等を用いて、人と道路と車両とを

一体のシステムとして構築する新しい道路交通システム。

66

・民法第 415 条、同法第 709 条

(4) 裁判例

・名古屋地裁平成 15年 12 月 26 日判決・判時 1854 号 63 頁

・東京地裁平成 21 年 12 月 4 日判決・判時 2072 号 54 頁(みずほ証券誤発注事件判決)

5. 刑事法

2-3.5.1. 不正電磁記録の作成・行使（※調整中）

(1) 考え方

無断で他人名義の電子データを作成する行為は、電磁的記録不正作出罪（刑法第 161 条の 2）

として処罰されることがある。ただし、それが処罰されるためには，人の事務処理を誤らせる

目的でそれが行われること、無断で作成したデータが事務処理に供される権利、義務又は事実

証明に関するものであることが必要となる。

(2) 説明

①刑法では、電子データは「電子式方式、磁気的方式その他人の知覚によっては認識するこ

とができない方式で作られる記録であって、電子計算機による情報処理の用に供されるもの」

という電磁的記録として定義されている(刑法第 7条の 2）。電磁的記録とは、ハードディスク

などの記録媒体上に情報・データが保存された状態をいい、情報・データそれ自体、記録媒体

それ自体をいうのではない。

②人の事務処理を誤らせる目的で、その事務処理の用に供する権利、義務又は事実証明に関

する電磁的記録を不正に作ると、電磁的記録不正作出罪（刑法第 161 条の 2第 1項・第 2項）

として処罰される。その電磁的記録が公務所又は公務員によって作られるべきもの(公電磁的

記録)である場合には、公電磁的記録不正作出罪（刑法第 161 条の 2第 2項）として 10 年以下

の懲役又は 100 万円以下の罰金で処罰され、それ以外の電磁的記録（私電磁的記録）の場合に

は、私電磁的記録不正作出罪（刑法第 161 条の 2第 1 項）として 5 年以下の懲役又は 50 万円

以下の罰金で処罰される。前者の法定刑が重いのは、その信用性の高さが理由である。それに

当たるものとしては、自動車登録ファイルの記録、運転者管理ファイルの記録、住民基本台帳

ファイルの記録、不動産登記ファイルの記録などがある。

人の事務処理を誤らせる目的とは、不正に作られた電磁的記録を用いて他人の事務処理を誤

らせる目的をいい、取引先の会社に対する債務を減少させるため、会社内部の者と共謀して、

売掛金データの記録を改変するような場合がこれに当たる。

不正作出が処罰される電磁的記録は、公務所又は公務員によって作られるべき公電磁的記録

を別にすると、権利、義務又は事実証明に関するものに限られる。これ以外の電磁的記録を不

正に作っても、他の法令に違反して処罰されることがありうることは別として、刑法上の電磁

67

的記録不正作出罪で処罰されることはない。権利、義務に関する電磁的記録としては、銀行の

預金元帳ファイルの残高記録、プリペイドカード・IC カードの残額記録、自動改札機用定期

券の記録などがある。事実証明に関する電磁的記録としては、キャッシュカードの磁気ストラ

イプ部分の記録、勝馬投票券裏面の磁気ストライプ部分の記録、顧客データベースファイルの

記録、売掛金その他の会計帳簿ファイルの記録などがある。なお、コンピュータ・プログラム

は、電子計算機に対する指令の記録なので、電磁的記録であっても、権利、義務又は事実証明

に関するものとはいえない。

電磁的記録を不正に作る(不正作出)とは、電磁的記録を作る権限がなく又はそれを作る権限

を濫用して記録媒体上に電磁的記録を存在させることをいう。文書であれば、私人を作成名義

人とする私文書については、作成名義人が内容虚偽の文書を作っても処罰されることはないが、

電磁的記録の場合には処罰されることがある。つまり、電磁的記録の作出過程に関与する権限

がない者が勝手にシステムの設置運営主体の意図しない電磁的記録を作る場合ばかりでなく、

電磁的記録の作出過程に関与する一定の権限を有するとはいえ、システムの設置運営主体との

関係で、その補助者として真実のデータを入力する義務のある者が、その権限を濫用して虚偽

のデータを入力して電磁的記録を作る場合も含まれる。これに対し、システムの設置運営主体

であって、記録の内容を自由に決めることができる者が記録を作る場合には、その内容に虚偽

が含まれていても、これに当たらない。

③不正に作られた権利、義務又は事実証明に関する電磁的記録を、人の事務処理を誤らせる

目的で、人の事務処理の用に供する(供用)ことも、不正作出電磁的記録供用罪として処罰され

る(刑法第 161 条の 2第 3項）。供用とは、不正に作られた電磁的記録を、人の事務処理のため、

これに使用される電子計算機において用いることができる状態に置くことをいう。キャッシュ

カードなどのような「携帯型電磁的記録」の場合には、これを銀行の ATM 等に差し込み、電子

計算機により記録内容の読み取りが可能となったときに供用既遂となる。銀行の顧客元帳ファ

イルのような「備付型電磁的記録」の場合には、不正に作られた電磁的記録を事務処理に用い

ることのできる状態に置くことをいい、不正作出行為に続いて供用が認められる。供用未遂も

処罰される(刑法第 161 条の 2第 4項）。

④人の財産上の事務処理を誤らせる目的で、その事務処理の用に供する電磁的記録であって、

クレジットカードその他の代金又は料金の支払用のカードを構成するもの又は預貯金の引出

用カードを構成するものを不正に作ると支払用カード電磁的記録不正作出罪（刑法第 163 条の

2第 1項）が成立し、人の財産上の事務処理を誤らせる目的で、それらを人の事務処理の用に

供すると不正作出支払用カード電磁的記録供用罪（刑法第 163 条の 2第 2項）となり、それら

を構成部分とするカードを譲り渡し、貸し渡し又は輸入した者も処罰される(刑法第 163 条の

3第 3項）。


・刑法第 7条の 2、同法第 161 条の 2、同法第 163 条の 2

68

(4) 裁判例

・東京地裁平成元年 2月 17日判決・判タ 700 号 279 頁

・東京地裁平成元年 2月 22日判決・判時 1308 号 161 頁

・甲府地裁平成元年 3月 31日判決・判時 1311 号 160 頁・判タ 707 号 265 頁

・京都地裁平成 9年 5月 9日判決・判時 1613 号 157 頁

2-3.5.2. 電子計算機使用詐欺罪における「虚偽の情報」

電子計算機使用詐欺罪（刑法第 246 条の 2）における「虚偽の情報」とは何か。

(1) 考え方

「虚偽の情報」とは、電子計算機を使用する当該事務処理システムにおいて予定されている

事務処理の目的に照らし、その内容が真実に反する情報をいうものであり、金融実務における

入金、振込入金（送金）に即していえば、入金等の入力処理の原因となる経済的・資金的実体

を伴わないか、あるいはそれに符号しない情報をいうものと解した裁判例がある(東京高裁平

成 5年 6月 29 日判決・高刑集 46 巻 2 号 189 頁）。

(2) 説明

①電子計算機使用詐欺罪については、刑法第 246 条の 2に「前条に規定するもののほか、人

の事務処理に使用する電子計算機に虚偽の情報若しくは不正な指令を与えて財産権の得喪若

しくは変更に係る不実の電磁的記録を作り、又は財産権の得喪若しくは変更に係る虚偽の電磁

的記録を人の事務処理の用に供して、財産上不法の利益を得、又は他人にこれを得させた者は、

十年以下の懲役に処する。」と規定されている。

②下記の裁判例は、信用金庫の支店長であった被告人が自己の個人的債務の支払に窮し、振

込入金等の事実がないのに、部下の支店係員に命じ、振込入金等の電子計算機処理をさせ、借

入先の預金口座及び事故の預金口座の残高に加算させたという事案である。

原審である東京地裁は、入金や送金の権限を有する者が、その権限を濫用する行為により入

金や送金を行った場合には、その濫用行為自体が犯罪を構成し、電算機による入金や送金はそ

の犯罪に随伴する過程として理解すべきであり、本件のように、支店長やそれに代わって通常

決済をすべき者が了解を与え、その了解のもとに、支店の業務として入金や送金の手続きが行

われている場合には、入金や送金自体が架空のものということはできず、現実に入金や送金を

行ったと見るのが相当であるとして、電子計算機使用詐欺罪の成立を否定し、背任罪の成立を

認めた。

これに対して、検察官から控訴がなされ、東京高裁は、「刑法 246 条の 2 の『虚偽ノ情報』

とは、電子計算機を使用する当該事務処理システムにおいて予定されている事務処理の目的に

照らし、その内容が真実に反する情報をいうものであり、本件のような金融実務における入金、

振込入金（送金）に即していえば、入金等に関する『虚偽ノ情報』とは、入金等の入力処理の

69

原因となる経済的・資金的実体を伴わないか、あるいはそれに符合しない情報をいうものと解

するのが相当である。」「被告人は自己の個人的債務の支払に窮し、その支払のため、勝手に、

支店備付けの電信振込依頼書用紙等に受取人、金額等所要事項を記載しあるいは部下に命じて

記載させ、支店係員をして振込入金等の電子計算機処理をさせたものであって、被告人が係員

に指示して電子計算機に入力させた振込入金等に関する情報は、いずれも現実にこれに見合う

現金の受入れ等がなく、全く経済的・資金的実体を伴わないものであることが明らかであるか

ら、『虚偽の情報』に当たり電子計算機使用詐欺罪が成立する。」と判示するとともに、「被告

人の本件各行為は、(略）支店長としての業務上の行為というよりは、個人すなわち同金庫の

一般顧客と同等の立場における行為に、自己の支店長としての地位を悪用したものとみるのが

相当と思われる。」「支店長は(略）無制限な入金等の権限を有するわけではなく、現金等の受

入れの事実がないのに、特定の口座に入金したり、振込入金したりする権限が全くないことは

明らかである」などと述べて、原審の上記判断を否定した。


・刑法第 246 条の 2

(4) 裁判例

・東京高裁平成 5年 6月 29 日判決・判時 1491 号 141 頁・判タ 844 号 273 頁・高刑集

46 巻 2 号 189 頁

2-3.5.3. 口座残高改ざん－スキミングの手口と対策

スキミングとはどのような手口なのか。刑法の規定はどのようになっているのか。

(1) 考え方

スキミング（skimming）とは、キャッシュカードやクレジットカードの磁気情報を瞬時にコ

ピーする手口のことである。犯人は、不正にコピーした情報を元に偽造カードを作成し、本人

に成りすまして、銀行預金を下ろしたり、買い物をしたりする。情報だけがコピーされるので、

本人が偽造カードを作成されたことに気付きにくく、被害が大きくなりやすい。

例えば不正にクレジットカードを作成したり、それで買い物をするといったような行為やキ

ャッシュカードやクレジットカードの磁気情報を不正にコピーする行為等については、罰則規

定に該当すれば、処罰され得る。日頃からの危機意識や不要なカードを作らないとか、残高確

認を定期的に行うなど、自衛的な手段も大切である。

(2) 説明

①カード犯罪といえば、以前は、紛失や盗難カードをそのまま不正に使用するケースが中心

70

だったが、「スキマー」と呼ばれる機械を使ってカードの磁気情報を不正にコピーし、その情

報を元に大量偽造するスキミング（skimming、吸い取り）と呼ばれる手法が使われるようにな

った。2005 年に起きた、ゴルフ場の支配人を巻き込んだスキミング事件は記憶に新しい。

カードを利用する場合は、通常、加盟店の方で当該カードが事故カード等でないかを確認す

るため、CAT 端末（与信照会端末）40や POS 端末（販売情報管理端末）41から磁気情報がカード

会社に送信され、カード会社の承認が返信される。磁気情報としては、会員氏名、会員番号、

有効期限などが記録されており、さらに偽造を防止するための偽造防止コード（暗号）が記録

されている。

しかし、磁気情報の暗号化は、磁気情報を丸ごとコピーして貼り付けてしまうスキミングの

前ではほとんど意味がない。カードの外観上から本物であることを証明する、虹色に輝くカー

ド会社のロゴホログラムも今では偽造可能である。デジタル情報はオリジナルとコピーの判別

が原理的に不可能であるから、このような方法で偽造されたカードは、視覚によるチェックを

くぐり抜けて、完全に本物のカードとして通用する。

また、2000 年からデビットカード42のサービスも開始している。これは金融機関のキャッシ

ュカードでそのまま店舗などでの支払を可能とするものである。店舗のカードリーダーにカー

ドを通し、キャッシュカードと同じ暗証番号を入力すると、即座に利用者の口座から店舗に代

金が支払われる。

②偽造されたクレジットカードを使って買い物などする場合は、詐欺罪（同法第 246 条）や

電子計算機使用詐欺罪（同法第 246 条の 2）などの規定に該当すれば、処罰され得る。また、

2001 年に刑法の一部改正が行われ、支払用カードを構成する電磁的記録に関する規定が整備

された。すなわち、支払用カードを構成する電磁的記録の不正作出（刑法第 163 条の 2 第 1

項）、不正作出に係る支払用カードを構成する電磁的記録の供用（同条第 2項）、同電磁的記録

をその構成部分とするカードの譲渡し・貸渡し・輸入（同条第 3 項）は、10 年以下の懲役又

は 100 万円以下の罰金に、同電磁的記録をその構成部分とするカードの所持は、5年以下の懲

役又は 50 万円以下の罰金（刑法第 163 条の 3）に、刑法第 163 条の 2 第 1 項の罪の準備罪と

しての支払用カードを構成する電磁的記録の情報の取得・提供（刑法第 163 条の 4 第 1 項）、

保管（同条第 2項）、器械・原料の準備（同条第 3項）は、3年以下の懲役又は 50 万円以下の

罰金に、それぞれ処することとされた。刑法第 163 条の 2及び第 163 条の 4第 1項の罪の未遂

は、処罰される(刑法第 163 条の 5）。キャッシュカードやクレジットカードの磁気情報を不正

にコピーする行為等は、これらなどの規定に該当すれば、処罰され得る。

③カード犯罪対策は技術との闘いである。技術的なセキュリティを常に高めることが必要で

40 クレジットカード加盟店に設置される Credit Authorization Terminal 端末の略称。端末

で、クレジットカード会社とオンラインで通信し、クレジットカードの信用情報を照会する。41 小売店のレジ等で利用されている Point of sale system 端末の略称。42 Debit カード：金融機関発行のキャッシュカードを加盟店店頭での支払い時に利用できる

サービス。

71

ある。現在、カードそのものに小型のコンピュータである ICチップを組み込んだ IC カード化

への移行が進められている。IC カードは独自の演算機能をもち、磁気カードに比べ記憶容量

が飛躍的に増すため、極めて高度で複雑なセキュリティ・システムを実現することができる。

しかし、現在の技術では偽造が不可能と言われる IC カードも、100％安全とは必ずしも言い切

れない。


・刑法第 163 条の 2(支払用カード電磁的記録不正作出等）・第 163 条の 3(不正電磁的

記録カード所持）・第 163 条の 4(支払用カード電磁的記録不正作出準備）・第 163

条の 5(未遂罪）

(4) 裁判例

特になし

2-3.5.4. 支払用カード電磁的記録に関する罪（※調整中）

偽造したクレジットカードを使用した場合、処罰の対象となるか。

(1) 考え方

クレジットカードを偽造した場合には、偽造態様の違いにより、私文書偽造罪（刑法第 159

条）又は支払用カード電磁的記録不正作出罪（刑法第 163 条の 2）が成立する。前者の罪が成

立するのはカードの券面上の記載のみを偽造した場合であり、電磁的記録部分を偽造すれば後

者の罪が成立する。これらの偽造カードを使用すると、偽造私文書行使罪（刑法第 161 条）又

は不正作出支払用カード電磁的記録供用罪（刑法第 163 条の 2第 2項）が成立する。

(2) 説明

①クレジットカードの券面上の記載だけを偽造した場合には、クレジットカードはクレジッ

トカード会社の「署名」(記名を含むので、会社名の記載があることで足りる)のある事実証明

に関する私文書を偽造したものとして、有印私文書偽造罪（刑法第 159 条第 1 項）が成立し、

それを使用すれば、偽造私文書行使罪（刑法第 161 条）が成立する。

②クレジットカードの券面上の記載のほか、クレジットカードを構成する電磁的記録を偽造

した場合には、支払用カード電磁的記録不正作出罪（刑法 163 条の 2第 1項）が成立する。た

だし、同罪が成立するためには、人の財産上の事務処理を誤らせる目的が必要であり、これは、

クレジットカードを使用して商品等を購入しようとする場合だけでなく、キャッシング機能を

利用する目的の場合も含まれる。ただし、身分証明のためにクレジットカードを呈示しようと

している場合は含まれない。

不正に作られた電磁的記録を含むクレジットカードを真正なものとして、人の財産上の事務

72

処理を誤らせる目的で、人の事務処理の用に供した場合、不正作出支払用カード電磁的記録供

用罪が成立する(刑法第 161 条の 2第 2項）。これは、不正に作られた支払用カードを構成する

電磁的記録を、他人の財産上の事務処理のため、それに使用される電子計算機において用いる

ことができる状態に置くことをいい、電磁的記録の内容が電子計算機により読み取り可能とな

った時点で供用罪は成立する。


・刑法第 159 条、同法第 161 条、同法第 163 条の 2

(4) 裁判例

特になし

6. 完全性を補完する制度

2-3.6.1. 電子署名法

電磁的記録の真正な成立の推定に関して、どのような法律があるか43。

(1) 考え方

電磁的記録の真正な成立の推定に関する法律として、「電子署名及び認証業務に関する法律」

(以下「電子署名法」という)がある。

(2) 説明

電子署名法においては、電子署名に関し、電磁的記録の真正な成立の推定（法第 3 条）、特

定認証業務に関する認定の制度（法第 4 条等）、その他必要な事項を定めることにより、国民

による電子署名の円滑な利用を確保し、電子商取引を始めとするネットワークを利用した社会

経済活動の一層の推進を図ることとしたものである。

電子署名法第 2条第 1項の「電子署名」の定義は、この法律が適用される電子署名、認証業

務等の範囲を限定するものである。そこで、いわゆる技術的中立性の要請に配慮し、電子署名

の方式、方法等に着目した定義を避け、電子署名の機能等に着目した定義を採っている。同項

第 1号はいわゆる「なりすまし」防止に対応するもの、同項第 2号は「改ざん」防止に対応す

るものであり、これら 2つの脅威への対応がなされることで、もう一つの脅威である「送信否

認」も防止することができる。

また、電子署名法の体系では、認証業務を 3段階に定義している。電子署名が行われた情報

を受け取った者は、電子署名を行った者が誰であるのかを確認する必要があるが、認証業務と

43 本項は、法務省、総務省、経済産業省「電子署名及び認証業務に関する法律の施行状況に

係る検討会報告書」（平成 20年 3月）より、該当部分抜粋。

73

は、その確認のために用いる情報が利用者に係るものであることを証明する業務のことである

(法第 2条第 2項）。また、この中から主務省令で規定された基準に適合する電子署名について

行われる認証業務を「特定認証業務」(法第 2条第 3項）、さらに、設備や業務の実施方法に係

る基準を満たし、認定を受けた認証業務を「認定認証業務」(施行規則第 6条第 2号)と称して

いる。


・電子署名及び認証業務に関する法律

・民事訴訟法

(4) 裁判例

特になし

2-3.6.2. 申込みフォームにおける入力ミスと電子消費者契約法（※調整中）

ウェブ上の申込みフォームで商品を注文する際に「1個」の申込みをするつもりで「11個」

と入力してしまった。10個について、無効を主張することができるか。

(1) 考え方

表意者は、原則として 10 個について注文の意思表示の無効を主張することができる。通販

事業者が確認画面を設けて注文数「11 個」の確認を表意者に求めていた場合には、無効主張

ができない。

(2) 説明

本件は、10 個の部分の注文について、錯誤無効（民法第 95条）の主張が問題となる事案で

ある。口頭や書面の注文で「1個」と言ったり書いたりすべきところを「11個」とするような

場合には、表意者に重過失があるので、錯誤無効を主張できない(同条ただし書き）。ところが

ウェブ上のフォームのような電子的方法によって消費者と事業者が契約する場合には、特別法

である電子消費者契約法がこの「表意者に重過失がある場合の無効主張の制限」の例外を設け

ている。

電子消費者契約法第 3 条は、「電子消費者契約」においては、消費者が意思表示をするつも

りがないのに意思表示をしてしまった場合(購入するつもりがないのに「購入」ボタンを押し

てしまった場合)や実際には意思表示とは異なる内容の意思表示を行う意思があった場合(「11

個」と入力したけれど本当は「1 個」と入力するつもりであった場合)には、錯誤無効におけ

る「表意者に重過失がある場合の無効主張の制限」を適用しないとしている。つまり錯誤があ

れば、表意者は原則どおり無効を主張できる。

このルールが適用される「電子消費者契約」であるためには、①消費者と事業者（個人事業

74

者も含む）の間の契約であること、②消費者が PC や携帯を用いて画面上の申込みフォームの

入力により申込みを行うこと、③申込みは事業者側が画面上に設定する手続に従って行われる

ことが必要である。

このように、ウェブ上のフォームの入力ミスの場合には、表意者は無効主張できるのが原則

であるが、これにもさらに例外がある。電子消費者契約法第 3条ただし書きは、事業者が「電

磁的方法によりその映像面を介して、その消費者の申込み若しくはその承諾の意思表示を行う

意思の有無について確認を求める措置を講じた場合」には、同条本文の適用はないとしている。

この「確認を求める措置」とは入力内容の確認画面のことであり、事業者が確認画面を設けて

いる場合には、同条本文の適用がなくなり、「表意者に重過失がある場合の無効主張の制限」

が復活して表意者は錯誤無効の主張ができなくなる。これは、入力ミスをした表意者に対して、

「ご注文内容の確認」の画面上で「数量：11 個」と表示して、表意者がこの画面上の確認ボ

タンを押したのであれば、もはや表意者に錯誤無効の主張を許す必要はないからである。

本件でも確認画面を設けていたのであれば、表意者は錯誤無効の主張はできない。

なお、表意者が確認画面を設けることの効用は、表意者による無効主張の回避に留まらない。

特定商取引法第 14条は、通信販売の販売事業者が「顧客の意に反して(中略）申込みをさせよ

うとする行為として経済産業省令で定めるもの」を行った場合には、行政処分を受けることが

あるとしている。これを受けて特定商取引法施行規則第 16 条第 1 項第 1 号および第 2 号は、

①クリックが有料の契約の申込みとなることが消費者にすぐにわかるように表示しないこと、

②消費者が申し込み内容を簡単に確認し訂正できるように措置していないこと、の 2つの行為

を定めている。確認画面を設けていれば、①については、確認画面における「申込み」「購入」

などのボタンのクリックが有料の契約の申込みとなることは明らかに表示されていることに

なる。また②については、確認画面上で申込内容を簡単に確認して、間違っていれば申込画面

に戻って訂正することができる。したがって、①②のいずれについてもクリアできていること

になる。

このように確認画面を設けておけば、特定商取引法第 14 条に基づく行政指導を受けるリス

クも回避できることになる。


・民法第 95条

・電子消費者契約法第 3条

・特定商取引法第 14条

・特定商取引法施行規則第 16 条第 1項第 1号、第 2号

(4) 裁判例

特になし

75

第4節可用性（A）に関するもの

1. はじめに

可用性とは、許可された利用者が必要な際に情報及び関連資産にアクセスできることを確実

にすることをいう。

可用性に関して管理責任を課す法令についても、専ら総論において述べた個人情報保護法や

会社法上の内部統制の一部がある。可用性についても、第三者から法的責任を問われないため

に内部規定等の整備を行っておくことが必要となる場合がある。

加害行為について規制する法令については、まず、民法上は、損害賠償請求、差止請求権等

が認められる。この点について問題となるのは、データの紛失、消失に関して損害賠償額がど

のように算出されるかという点である（2-4.2.1. ）。

可用性についても、刑事責任が問題となるほか、補完する制度として、電子公告が中断等し

ないよう、会社法が規定を置いている(2-4.4.1. )。

2. 民事責任

2-4.2.1. 情報媒体の財産的価値

他者のデータを紛失・消失した場合、損害賠償額は、どのように算出されるのか。

(1) 考え方

裁判例によれば、データ修復作業の経済的価値が損害額とされる。

(2) 説明

情報媒体が債務不履行・不法行為等によって滅失・損傷した場合に、責任が成立すると認め

られると、「通常生ずべき損害」及び、「特別の事情によって生じた損害であって(中略）、当事

者がその事情を予見し、又は予見することができた」ものについて損害賠償責任を負担するこ

とになる(民法第 416 条）。これらの「損害」を考える上では、情報媒体の価値をどのようにし

て算定するかという点が問題になる。

理論的に考えると、①認められるべき損害賠償額は媒体の価値であるという考え方と、②情

報の価値であるという考え方があり得る。裁判例は、運送人が情報媒体を滅失した場合の損害

賠償責任に関して、データ修復作業の経済的価値を損害額として認めている。これは、②の考

え方に立つことを前提として、情報の価値はそれ自体としては算定できないため、失われた情

報を復元する作業のためのコストによって算定したものと思われる。そして、それは「通常生

ずべき損害」として認められている。

このような裁判例は、一般論として、①の考え方を排除するものではないであろう。例えば、

滅失・損傷したデータが媒体に収納された状態で取引の対象となるような場合(例えば、汎用

ソフトウエアの CD-ROM による販売)は、その取引価格を鑑定等の方法によって認定し、損害額

76

とすることもあり得ると思われる。

なお、フロッピーディスクが運送中に紛失したという事案では、データ修復作業のコストが

損害賠償額と認められた結果、かえって、フロッピーディスクが高価品とされ、運送人は明告

の欠如を理由として責任を免れることになった。立法論としては、高価品の明告という制度そ

のものに疑問があり、少なくとも情報媒体のような場合に適用すべきか否かは疑問があるが、

裁判所は考慮していない。


・民法第 415 条、第 416 条

・商法第 578 条、第 580 条、第 581 条

・国際海上物品運送法第 12条の 2

(4) 裁判例

・岡山地裁平成 14 年 11 月 12 日判決(平成 13年(ワ）第 967 号）44

・神戸地裁平成 2年 7月 24 日判決・判時 1381 号 81 頁・判タ 743 号 204 頁

3. 刑事責任

2-4.3.1. 可用性と業務妨害罪（※調整中）

DDoS 攻撃を受けてサーバがダウンした場合の攻撃者の法的責任はいかなるものか。

(1) 考え方

DDoS 攻撃によって、業務に使用するサーバをダウンさせた場合には、電子計算機損壊等業

務妨害罪（刑法第 234 条の 2）が成立するものと解される。

(2) 説明

DDoS 攻撃とは、分散する大量のコンピュータが特定のサーバへ一斉にパケット45を送出して、

通信路をあふれさせて機能を停止させてしまう攻撃をいう。業務用サーバに対してこの攻撃が

行われ、その結果サーバがダウンした場合には、電子計算機の「使用目的に沿うべき動作」を

阻害したものとして、電子計算機損壊等業務妨害罪（刑法第 234 条の 2）が成立すると解され

る。


44 最高裁ウェブサイト、岡村久道『情報セキュリティの法律』229 頁45 データ通信において、ネットワーク層を流れるために分割され制御情報を付加されたデー

タ、またはその単位。

77

・刑法第 234 条の 2

(4) 裁判例

特になし

4. 可用性を補完する制度

2-4.4.1. 電子公告を行うに当たっての情報セキュリティ上の留意事項

会社法上の公告を電子公告によって行う場合に必要となる情報セキュリティに関する留

意事項にはどのようなものがあるか。

(1) 考え方

会社法の定めに従って行う公告手続（法定公告）を電子公告によって行う場合は、当該公告

のページについて、①不特定多数の者がアクセスできない状態や②改変等の「公告の中断」に

該当する事象が生じないよう、または、公告の中断(内容の改変を含む。)に該当する事象が生

じた場合には速やかに復旧が図られるとともに「公告の中断に関する追加公告」が適切に行わ

れるよう、社内の関係部署間で、電子公告期間中であることの意義や公告ページの状況に関す

る情報の共有、連絡･対応体制の整備を行っておく必要がある。

(2) 説明

「電子公告」とは、従来、会社が官報や日刊新聞紙に掲載する方法により行っていた合併や

資本減少等の公告等を、ホームページに掲載する方法によって行う場合の当該方法をいう(会

社法第 2条第 34 号）。

法定公告を電子公告によって行うためには、定款で電子公告を公告方法として定め(同法第

939 条第 1 項、第 3 項）、その定めと公告を掲載するホームページの URL を登記しなければな

らない(同法第 911 条第 3項第 28 号及び第 29号イ）。なお、電子公告を公告方法とする場合に

は、事故その他やむを得ない事由によって電子公告による公告をすることができない場合に備

え、定款に官報または日刊新聞紙を予備的な公告方法として定めることができるが(同法第

939 条第 3項後段）、この場合にもその定めを登記しなければならない(同法第 911 条第 3項第

29 号ロ）。

また、官報や日刊新聞紙によって行う公告は、いったん掲載されれば当該媒体に定着するこ

とから、いつでも掲載時と同じ状態で参照することができ、公告内容が不適切であった場合を

除き、公告の掲出をもって有効な公告となる。しかしながら、電子公告に関しては、「いった

んホームページに掲げた以上永久にこれを継続しなければならないとすることは非現実的で

あり、また、不必要」であり、他方で「ホームページに掲げる期間があまり短いと、公告とし

ての周知機能を果たさなくなってしま」うため(始関正光「Ｑ＆Ａ平成 16年改正会社法電子

公告・株券不発行制度」15 頁参照）、公告の種類に応じた「公告期間」が定められ、その期間、

78

継続して掲出しなければならないこととされている(同法第 940 条第 1項）。

電子公告については，官報や日刊新聞紙の場合と異なり，その性質上、いったん適切な内容

で公告内容がアップロードされたとしても、公告期間中に当該ページが閲覧できない状態に陥

ったり、公告内容が改変されたりする可能性が否定できない。このような障害が発生した場合

には、登記された公告ページにアクセスして公告を確認しようとした者が、公告の存在の有無

や公告の内容を誤認してしまう可能性が否定できないことから、電子公告に関しては、公告期

間において「継続して」閲覧が可能となっていることが重要となる。

ただし、公告ページへのアクセスは、通信経路上における障害等、必ずしも公告を行う会社

の責に帰すことができない事由によって不能となる場合があり得、また、Web サーバにおいて

利用されているアプリケーションに脆弱性が発見された場合等、いったんサーバを停止して修

正プログラムの適用等の対処を行わなければならない事態も想定される。このような場合に、

一律に公告を無効として、公告のやり直しをさせることは会社にとって酷であり、また、関係

者を混乱させることになる。このため、公告の中断が発生した場合においても、以下のすべて

の要件を満たす場合には、電子公告は、その内容が適切なものである限り、有効なものとして

取り扱われることとされている(同法第 940 条第 3項）。

①公告の中断が生ずることについて、会社が善意でかつ重大な過失がないこと、または、会

社に正当な事由があること

②公告の中断が生じた時間の合計が、公告期間の 10 分の 1を超えないこと

③会社が公告の中断が生じたことを知った後、速やかに、ⅰその旨、ⅱ公告の中断が生じた

時間、及び、ⅲ公告の中断の内容を、追加公告したこと

さらに、公告が有効に成立したことを示す客観的な証拠を残すためには、官報や日刊新聞紙

による公告の場合には、公告が掲載された媒体を示せば足りるが、電子公告の場合には、公告

の中断(改変を含む。)が生じていないこと、あるいは、公告の中断が生じた場合であっても上

記の許容要件を満たしていることを確認する必要が生じる。しかし、電子公告の場合、公告終

了後に公告の有無や内容を証明する客観的証拠が残らないため、適法な電子公告が行われたか

否かを後に検証することが困難である。このため、電子公告については、計算書類の公告（同

法第 440 条第 1 項）の場合を除き、会社は、法務大臣の登録を受けた者(以下「電子公告調査

機関」という。)に対し、調査を行うことを求めなければならず(同法第 941 条）、電子公告調

査機関は、公告期間中、定期的に調査の委託を受けた公告ページを調査して、正常に掲載され

ていたかどうか、改変がされていなかったかどうか等を判定して、その結果を記録し、調査の

委託者（会社）に対して、通知しなければならないこととされている(同法第 946 条第 2 項、

第 4 項及び電子公告規則第 5条）。

この調査結果の通知には、公告情報(追加公告を含む。)の内容、調査結果（公告ページの確

認）を行った日時、その際に入力したアドレス及び調査結果(公告情報どおりの情報が受信で

79

きたかどうか）、公告ページにアクセスできたかどうか。）、調査結果から推計されることにな

る公告の中断が生じた可能性のある時間の合計等の情報が記載される(電子公告規則第 7 条）。

また、公告の方法を電子公告と定める会社が、登記の申請をする場合において、当該登記の申

請書に公告をしたことを証する書面の添付が要求されているときは、電子公告調査機関が発行

する調査結果通知が「公告したことを証する書面」(商業登記法（昭和 38年法律第 125 号）第

59 条第 1項第 2号等)に該当するものとして取り扱われる。

(注）いわゆる決算公告(株式会社が行う貸借対照表(大会社にあっては貸借対照表

および損益計算書)の公告)については，①電子公告調査機関の電子公告調査を受け

ることを要しない(同法第 941 条）、②決算公告用のホームページは，他の公告事項

についてのホームページとはリンクのない別のアドレスのものを登記することが

できる(会社法施行規則第 220 条第 2項)等の特例があり、本項において指摘する問

題の対象とはならない。

以上のとおり、会社が電子公告を公告方法として採用する場合には、電子公告が無効と判断

されることがないよう、できる限り公告の中断(公告ページへのアクセス不能、公告内容の改

変等)を生じさせない体制、及び、公告の中断が生じた場合には、その事実の発生を関係者が

直ちに認識し、復旧のための措置、追加公告の手続等を行うことができる体制を整えておくこ

とが重要である。

たとえば、電子公告を掲載する Web サーバの管理者との間で、電子公告の意義や公告の中断

が発生した場合に生じる問題、公告の中断が発生した場合に必要となる手続等に関する情報を

あらかじめ共有し、

・公告期間中に Web サーバ停止を要するようなメンテナンスやシステム改修を計画

しない

・公告期間中は、会社自らにおいても公告ページへのアクセス状況を把握し、中断が

発生した場合に迅速な復旧及び追加公告、または代替公告方法への迅速な切り替え

等の対応ができるよう、原因究明のための情報収集ルートや自社のみでは解決でき

ない問題についての対応依頼先、復旧に要する時間の見積もり方法等の確認、復旧

のための要員の確保等を行っておく

・公告期間中に Web サーバで利用するアプリケーションの脆弱性が発見された場合

等 Web サーバの停止を伴う緊急対応が必要な事情が発生した場合における経営判

断（対応意思決定）の手続を事前に定めておく

等の準備を行っておくことが期待される。

実際に生じている公告の中断の原因としては、システム障害、社内工事による停電、通信機

器の故障、サーバメンテナンス等が見受けられる。中断時間の最小化もさることながら、これ

らの中断理由について、「会社が善意でかつ重大な過失がないこと、または、会社に正当な事

80

由があること」を説明できるよう状況に関するログ等を残しておくことも重要であると考えら

れる。

会社が行う法定公告が無効と判断されてしまう場合には、合併や資本の減少その他の法定公

告の対象となっている手続が有効に成立しないこととなってしまい、会社に多大な損害が生じ

ることになるため、電子公告が無効なものとされることがないよう、相当の注意を払う必要が

ある。公告費用の負担の軽減のために電子公告を公告方法として採用しても、電子公告の要件

を満たす運用ができない場合には、公告無効等の結果としてかえって多大な費用負担を強いら

れることになりかねない。


・会社法第 2条第 34号、第 911 条第 3項第 29 号、第 939 条第 1項、第 3項、第 940

条第 1項、第 3項、第 946 条第 4項

・電子公告規則

(4) 裁判例

特になし

81

第3章管理策を講じる上での要求事項

第1節はじめに

ここまで論じてきたように、情報を管理する事業者が情報について一定の管理責任を問われ

る場合があり、また、不正競争防止法のように情報を管理する事業者自らが法的保護を受ける

ため、情報について一定の管理を行わなければならない場合がある。もっとも、情報を管理す

る事業者が管理責任を全うするためにどのようなことをしても構わないというわけではなく、

他の法令が許容する範囲内で管理責任を果たさなければならないのは当然である。

以下では、管理策を講じるに当たって、他の法令との関係で留意する点につき言及する。

第2節労働法、労働者派遣法、従業員のプライバシー保護との関係－事前防止策

3-2.1.1. 従業員との関係での情報セキュリティ体制の確立

企業は、従業員が情報セキュリティ上の事故を発生させる事態を未然に防止し、また、こ

うした事態が発生した場合に適切な対応をとるために、雇用関係上どのような措置を講じ

ておくべきか。

(1) 考え方

企業が従業員との関係で情報セキュリティ体制を確立する上では、情報セキュリティをめぐ

る企業と従業員との関係を明確にしておくことが重要である。

このような体制は、労働法制に適合した形で行われる必要があるが、その際、特に就業規則

を適切な形で作成することが重要になる。

(2) 説明

1) 従業員との関係において構築すべき情報セキュリティ体制

企業が情報セキュリティを確保する観点から、従業員との関係において講じておくべき措置

としては、まず、従業員が職務遂行にあたって情報セキュリティの観点から遵守すべき事項を、

従業員の服務上の義務（服務規律）としてあらかじめ定めておくことが挙げられる。こうした

事項の遵守は、個別の業務命令等によってもある程度対応は可能であるが、情報セキュリティ

体制を確立するという観点からは、明確な服務規律の定めを設けて周知徹底を図ることが望ま

しい。また、後述するように、こうした定めを設けることが法律上、使用者に義務付けられて

いる場合も存在する。

また、こうした服務上の義務の履行を確実なものとするためには、従業員が義務に違反し、

情報セキュリティ上の事故を生じさせた(あるいはそのおそれがある）場合には事実関係を確

認し、違反の事実が確認された場合には迅速に是正するとともに、必要に応じて従業員に対し

82

て懲戒処分等の制裁を課すことが可能な体制を整えておくことが重要である。こうした観点か

らも、事実関係の調査や懲戒処分との関係で、あらかじめ関連する規定を整備しておくことが

必要になる。

以上のような情報セキュリティ体制の構築にあたって、特に重要になるのが、就業規則上の

規定の整備である。

2) 就業規則に関する法令上の要求事項

現行法上、就業規則に関する法令上の要求事項の概要は、次のとおりである。

・まず、常時 10 人以上の労働者を使用する事業場において使用者に就業規則作成が

義務付けられる(労働基準法第 89 条）。

就業規則作成が義務付けられる場合においては更に、以下の事項が要求される。

・労働基準法第 89 条各号所定の事項の就業規則への記載(第 1 号から第 3 号までは、

必ず記載すべき事項（絶対的必要記載事項）であり、第 3 号の 2 から第 10 号まで

は、該当する定めをおく場合には就業規則に記載する必要がある事項（相対的必要

記載事項）である。）(表 3-1 参照）

・就業規則新規作成時及び変更時における、事業場の労働者代表の意見聴取（同第

90 条）

・就業規則新規作成時及び変更時における、所轄労働基準監督署長への届出(同第 89

条及び第 90 条、同法施行規則第 49条）

・法令所定の方法による、事業場の労働者への就業規則の周知(同第 106 条、同法施

行規則第 52 条の 2、なお労働契約法第 7条、第 10条も参照）

情報セキュリティ関連の規定を整備するに際しては、以下のような点に特に留意が必要であ

ろう。

第 1 に、就業規則に記載すべき事項については、労働基準法第 89 条の第 1号から第 9 号ま

でに具体的に列挙されていない事項であっても、当該事業場のすべての労働者に適用される事

項(一定の範囲の労働者のみに適用される事項ではあるが、労働者のすべてがその適用を受け

る可能性があるものも含まれると考えられる)については、同条第 10号により、就業規則に規

定を設ける必要がある。

したがって、情報セキュリティとの関係で問題となる規定は、第 9号までに該当しないとし

ても、第 10 号に該当するものとして、就業規則で定めておく必要がある場合がほとんどであ

ろう。

第 2 に、基本的には上記第 1 点で述べたとおりであるものの、次に掲げる事項については、

就業規則作成義務を負う使用者においても、就業規則に記載する義務は生じない。

・労働基準法第 89 条第 1 号から第 9 号までに列挙されておらず、かつ、事業場のす

83

べての労働者に適用されるもの(同条第 10 号)にも該当しない(例えば、事業場内の

特定の部署や職種の労働者のみを対象とする）事項

・就業規則に記載する義務のある事項について、(その基本的内容が就業規則に記載

されていることを前提として）その実施のための具体的な作業手順等の細目に関す

る事項

これらの就業規則への記載が義務付けられない事項についても、情報セキュリティに関する

ルールとして設定するものであれば、使用者は何らかの形で規程を整備しておくべきである。

その方法としては、就業規則の一部として記載する方法(記載が義務付けられていない事項を

使用者が任意に就業規則に記載することは差し支えない)と、就業規則とは別に内規等の形で

定めておく方法が考えられる。

前者による場合には、就業規則に記載された事項については、使用者と従業員の間の権利義

務関係を設定する効力（後述）が生じる一方、新たに規定を設けたり、変更したりする際に、

上述した労働基準法が定める手続（意見聴取、届出など）を履行する必要が生じる。後者によ

る場合には逆に、使用者と従業員との間の権利義務関係を設定する根拠としては就業規則より

弱いものとなる反面、規定の新設・変更時の手続は(労働基準法の規律を受けないので）簡便

なものとなる。

そこで、使用者としては、こうした得失を考慮しつつ規定の形式を選択すべきであり、例え

ば、従業員に対する服務上の義務付けを確実に行う必要の高い重要な事項については就業規則

で定める、頻繁な変更が見込まれる細則的な定めについては内規で定める、等の対応が考えら

れる。

なお、就業規則とは別に定められた内規等の規程は、前述のとおり、就業規則と比べると法

的な情報セキュリティ体制を構築する際の根拠として弱いものではあるが、(内規の内容を使

用者の指揮命令と捉える等の法律構成で）その内容を従業員の服務上の義務と解する余地はあ

るものと考えられる。

そのためには、内規と就業規則の関連付け(就業規則上のどの規定の内容を具体化した内規

であるか等)を明確化することや、内規の内容について積極的な周知徹底を図ること等が必要

となるであろう(情報セキュリティに関する事件ではないが、内規の形で定められた消費者金

融会社の貸付基準を遵守する従業員の義務を認めた例として東京地裁平成 17 年 7 月 12 日判

決・労判 899 号 47 頁）。

第 3 に、就業規則は必ずしも単一の文書として作成しなければならないわけではなく、例え

ば、情報セキュリティに関する定めを「業務用コンピュータ利用規程」等の形で就業規則の本

則とは別に定めておくことも差し支えない。この場合には、就業規則の本則に、該当の情報セ

キュリティ関連の事項については別途定める規程による旨を定めておくことが望ましい(昭和

63 年 3 月 14 日基発 150 号、平成 11 年 3 月 31 日基発 168 号）。

なお、このように就業規則の一部を形式上独立の規定とする場合にも、労働基準法の適用上

は、こうした独立規定と本則を合わせたものを一つの就業規則として扱うことになり、独立規

84

定を変更する際にも、同法が定める意見聴取、届出等の手続をとる必要がある。

第 4 に、常時使用する従業員数が 10 人未満の事業場においては、就業規則の作成は任意で

あるが、就業規則を定めておくことには、後述するように、従業員との間の権利義務関係を一

括して設定できるメリットがあり、また、従業員に懲戒処分を課すためには就業規則に根拠規

定を設けておく必要があることから、こうした小規模の事業場においても、情報セキュリティ

体制を整備する上では、就業規則を作成しておくことが望ましい。

このように就業規則作成義務が生じない事業場について使用者が任意に就業規則を作成す

る場合にも、上記の要求事項のうち、従業員への周知については、作成義務が存在する場合と

同様の対応が必要となる。

3) 情報セキュリティとの関係での就業規則の意義及び運用上の留意点

上記の法的要請を満たす形で作成、運用される就業規則には、情報セキュリティの観点から

は、次に挙げるような意義が認められる。

第 1 に、就業規則には、その内容が合理的であることと、従業員に対して周知させる手続が

取られていることを要件として、当該就業規則の適用を受ける労働者の労働契約内容を定める

効力が認められる(労働契約法第 7 条。なお、上記の 2 要件のうち周知については、問題とな

る従業員（労働者）が所属する事業場において周知がなされている必要がある。最高裁第二小

法廷平成 15 年 10 月 10 日判決・労判 861 号 5 頁参照。また、この場面での周知は前述の労働

基準法第 106 条の場合と異なり、従業員が就業規則の内容を知り得る状態にあれば、その方法

は問われないというのが通説的理解であるが、労働基準法第 106 条による周知の要請が別途存

在する以上、企業としては同条所定の方法による周知を心がけるべきである）。したがって、

企業が情報セキュリティの観点から、従業員が遵守すべき事項を就業規則に定めてこれを従業

員に周知させた場合、その内容が情報セキュリティ確保の手段として合理的なものである限り、

これを遵守すべき従業員の義務の存在が認められ、従業員に遵守を求める使用者の対応は法的

根拠を伴ったものとなる。

第 2に、判例によれば、企業が従業員に対して懲戒処分を行うためには、就業規則上の懲戒

の種別及び事由を定めておくことが必要である(前掲・最高裁第二小法廷平成 15 年 10 月 10

日判決）。したがって、情報セキュリティ上の問題を生じさせた従業員に対し、制裁として懲

戒処分を課すためには、就業規則上の根拠規定の整備が不可欠となる(実際に懲戒処分を行う

ためには更に、就業規則所定の懲戒処分事由への該当性、懲戒権濫用の成否（労働契約法第

15 条）などが更に問題になる）。

なお、こうした就業規則規定の違反に対して現実に懲戒処分を行う場面としては、情報セキ

ュリティ上のルール違反によりインシデントが発生した場合（この点については 3-3.1.4. を

参照）と、単にルール違反が生じている段階で処分を行う場合が考えられるが、このうち事前

のインシデント予防策として懲戒処分を行う後者の場合、懲戒処分事由（ルール違反行為）の

重大さの評価は、一般的にいえば具体的なインシデントが生じた場合に比して低いものとなる。

85

このため、適法・有効な懲戒処分を行うという観点（主として懲戒権濫用の成否が問題とな

る）からは、処分内容の選択や処分に至る過程において留意が必要となる。懲戒処分を課すこ

との可否や、どの程度重い処分までが許容されるかは、ルール違反がインシデントを惹起する

蓋然性、想定されるインシデントの重大性、従業員の職種・地位(情報セキュリティに対して

特に高い意識が求められるものかどうか）、平素におけるルールの周知・徹底のあり方、過去

における同種事案への対応事例など、当該事案における様々な事情に左右されるところであり、

実務上の指針となる公刊裁判例も必ずしも多くないが、基本的には、発見されたルール違反に

対し、懲戒処分事由に該当する行為である点を指摘しつつ注意を与えて是正を促した上で、な

お従業員の態度が改まらずに違反が繰り返される場合に、比較的軽い処分を行うことが許容さ

れ得るものと考えておくべきであろう(この点については私用メール等の規制に関する

3-2.1.4. も参照）。

以上が、情報セキュリティとの関係での就業規則規定を整備することの意義であるが、就業

規則の効力、意義については、企業と従業員との間で締結される個別合意や労働協約との関係

で、以下のような留意も必要である。

まず、従業員との間で個別に合意することで就業規則と異なる労働契約内容を定めることは、

就業規則の定めよりも従業員に有利な内容を合意する場合に限って許容される(労働契約法第

7条但し書、第 12条）。したがって、このような個別の合意により、特定の従業員について情

報セキュリティ上の義務を軽減することは可能であるが、逆に就業規則の定めよりもこれを加

重することはできない(このような合意をしても、労働契約法第 12 条により、従業員が負う義

務の内容は就業規則の定めどおりとなる）。

このように、従業員に対する情報セキュリティ上の義務付けについて個別合意を通じて行う

ことには就業規則との関係で制約があることを考慮すると、企業が従業員との関係で情報セキ

ュリティ体制を確立する上で、個別合意が果たす役割は一般的にいえば限られたものとなる

(主たる役割は就業規則が担うことになる）。このことを前提として、個別合意に依ることが考

えられる事項としては、次のようなものが考えられる。

第 1 に、就業規則で概括的に定められた事項の内容を、個々の従業員との間で個別合意によ

って具体化することである。典型的な例としては、秘密保持義務の定めについて、就業規則上

は、業務上知り得た会社の秘密の漏えい・業務外利用禁止という概括的な定めを置いておき、

個々の従業員との間で、当該従業員の職務内容に即した形で「業務上知り得た秘密」の具体的

内容を個別合意により特定する場合が挙げられる。

このような場面では、個別合意を通じて従業員が負う義務の内容が具体化されることにより、

企業は、事後的に問題が生じた際に従業員に対して債務不履行責任の追及や懲戒処分を行おう

とする際の法的リスクを軽減し得る(懲戒処分については、個別合意それ自体は懲戒処分の根

拠とはなり得ないと考えておくべきであるが、就業規則上に服務上の義務違反等が懲戒処分事

由として定められている場合に、個別合意の違反が当該処分事由に該当するものとして懲戒処

分を行うことができ、その際、個別合意の内容が具体的であれば、懲戒処分事由該当性が否定

86

されたり懲戒権濫用が成立したりするリスクを軽減できると考えられる）。

第 2に、従業員に対して退職後の秘密保持義務や競業避止義務を課すことについては、こう

した退職後の法律関係について就業規則で定めることの可否につき疑義がある(3-2.1.6. 参

照）。このため、これらの事項については、個別合意で定めておくことが望ましい(なお、この

ことが妥当するのは、退職後の従業員に不作為債務としての秘密保持義務ないし競業避止義務

を課す定め(3-2.1.6. (1)「考え方」掲記の①②)についてであり、退職後の競業行為を理由

とする退職金の削減、返還の定め（同③）については、退職金について定める就業規則の中に

その旨を規定しておけば足りる）。

次に、労働協約との関係では、労働協約の適用を受ける従業員については、労働協約の効力

が就業規則に優先する(労働基準法第 92 条、労働契約法第 13 条。なお、労働協約は個別合意

との関係でも優先的効力を持つ。労働組合法第 16 条・第 17 条）。このため、会社が締結する

労働協約の中に、情報セキュリティ体制の構築に影響を及ぼす規定がある場合には、当該労働

協約の効力が存続している限り、当該労働協約の適用を受ける従業員について、就業規則等で

労働協約と異なる定めをすることはできない（そのような就業規則等の定めは効力を持たな

い）ことに留意が必要である。


・労働基準法第 89 条、第 90 条、第 106 条

・労働契約法第 7条、第 10条、第 12条

(4) 裁判例

本文中に記載のもの

87

表 3-1

労働基準法(最終改正：平成 19年 12 月 5日法律第 128 号）抜粋

(作成及び届出の義務）

第 89 条常時 10 人以上の労働者を使用する使用者は、次に掲げる事項について就業規則を

作成し、行政官庁に届け出なければならない。次に掲げる事項を変更した場合においても、同

様とする。

号事項絶対的／相対的

必要記載事項

一始業及び終業の時刻、休憩時間、休日、休暇並びに労働者を二組

以上に分けて交替に就業させる場合においては就業時転換に関す

る事項

絶対的

二賃金(臨時の賃金等を除く。以下この号において同じ。)の決定、

計算及び支払の方法、賃金の締切り及び支払の時期並びに昇給に

関する事項

絶対的

三退職に関する事項(解雇の事由を含む。）絶対的

三

の

二

退職手当の定めをする場合においては、適用される労働者の範囲、

退職手当の決定、計算及び支払の方法並びに退職手当の支払の時

期に関する事項

相対的

四臨時の賃金等(退職手当を除く。）及び最低賃金額の定めをする場

合においては、これに関する事項

相対的

五労働者に食費、作業用品その他の負担をさせる定めをする場合に

おいては、これに関する事項

相対的

六安全及び衛生に関する定めをする場合においては、これに関する

事項

相対的

七職業訓練に関する定めをする場合においては、これに関する事項相対的

八災害補償及び業務外の傷病扶助に関する定めをする場合において

は、これに関する事項

相対的

九表彰及び制裁の定めをする場合においては、その種類及び程度に

関する事項

相対的

十前各号に掲げるもののほか、当該事業場の労働者のすべてに適用

される定めをする場合においては、これに関する事項

相対的

88

3-2.1.2. 企業秘密に関する誓約書の要請

顧客名簿データなどの企業秘密の守秘に関する誓約書を従業員から取る意義とは何か、ま

た、取る際にどのようなことを考慮すべきか。

(1) 考え方

誓約書を取る意義としては、在職中の秘密保持義務を明確化できるということと、退職後の

秘密保持義務を明確化することが挙げられる。誓約書を取るタイミングとしては、プロジェク

トへの参加時など、具体的に企業秘密に接する時期がより適切であるといえる。対象とする秘

密情報はできるだけ具体化すべきである。

(2) 説明

1) 在職中の秘密保持義務の明確化

労働契約は、賃貸借契約等と同様に継続的性格を有することから労使双方の信頼関係が重視

される。そのため、労使はともに相手方の利益を不当に侵害しないことが求められる(労働契

約法第 3条第 4項、民法第 1 条第 2項）。このことから、従業員は、仮に労働契約において特

別に定めがなくても、企業秘密遵守の義務を負うと考えられている。しかし責任の範囲などが

必ずしも明確とはいえないことから、契約上の特約または就業規則上の条項によって秘密保持

を定めておくことが有効であると考えられている。もっとも、就業規則に秘密保持に関する規

定があっても、抽象的な規定に留まらざるを得ないためどの程度の義務を負うかも明確ではな

い。そのため、義務の内容を具体化する観点からも、誓約書を取ることは意味がある。

ただし、誓約書に違反したからといって、常に懲戒処分が有効とされるわけではないことに

注意を要する。懲戒処分は、「懲戒処分に係る労働者の行為の性質及びその態様その他の事情

に照らして、客観的に合理的な理由を欠き、社会通念上相当であると認められない場合には、

その権利を濫用したものとして、当該懲戒は、無効」となる(労働契約法第 15 条)からである。

懲戒処分を科すためには、就業規則に列挙された懲戒事由に該当することが必要であり、実際

に企業秩序を乱している事情が必要である。

2) 退職後の秘密保持義務の明確化

退職後には、原則として在職中負っていた労働契約の信義則上の守秘義務が退職により消滅

すると考えられるので、誓約書を取っておくことが望ましい。誓約書を取るタイミングとして、

従業員の退職時、あるいは退職後に誓約書を取ることも考えられないわけではない。しかし、

退職時あるいは退職後には従業員がこれに応じないことも少なくないものと考えられる。

また、入社時に取った誓約書では、抽象的な内容とならざるを得ないため、その有効性には

限界がある(このような問題は、後から誓約書が有効か否かをめぐって争いになる）。そこで、

義務を具体化するといった観点からも、もっとも適切な方法としては、企業秘密に接する段階

89

において守秘すべき情報を特定した上でかかる情報に関する守秘について合意する旨の誓約

書を当該従業員から取得することなどが考えられよう。なお、従業員の退職後に競業避止義務、

秘密保持義務を課す場合の留意点については、3-2.1.6. を参照のこと。

3) 従業員が誓約書への署名に応じない場合の措置

誓約書への署名については労働契約上使用者が有する業務命令権が及ぶとは考えられない

ため、業務命令の対象とすることはできない。したがって、従業員が署名を拒否したことを業

務命令違反として懲戒処分を行うことはできない。また、誓約書に署名しないという行為が、

企業秩序を侵しているとまでいえないため、この観点からも懲戒処分にはできない。

もっとも、誓約書を提出しない従業員をプロジェクトに参加させないことは認められる。こ

れは、人事権の行使の範囲内にあたるので可能である。誓約書を提出しない従業員に対しては、

このような人事権の行使で対処することになろう。

4) 誓約書の対象情報

誓約書の対象となる情報について、裁判例(奈良地裁昭和 45 年 10 月 23 日判決・判時 624

号 78 頁)は、従業員本人が仕事の中で自然に身につけたスキルのような情報に制約を課すこと

ができないとしている。したがって、そのような情報を誓約書の対象とすべきではない。

上記のもの以外についても、守秘すべき必要の特にない情報を含め広く誓約書を取ることは、

あまり望ましいとはいえない。後に誓約書の内容が争いになった場合、誓約書の有効性が否定

されるおそれがあるからである。したがって、それぞれの従業員が守秘すべき情報をできるだ

け特定し、具体化すべきであろう。

なお、本件は不正競争防止法に関連しており、この点については、3-2.1.7. を参照。


・憲法第 19条

・民法第 1条第 2項

・労働契約法第 3条第 4項

(4) 裁判例

・奈良地裁昭和 45 年 10 月 23 日判決・判時 624 号 78 頁

・大阪高裁昭和 53 年 10 月 27 日判決・労判 314 号 65 頁

・東京地裁平成 15 年 10 月 17 日判決・労経速 1861 号 14 頁

・東京高裁平成 14 年 5 月 29 日判決・判時 1795 号 138 頁

90

3-2.1.3. 私用メール等のモニタリング

企業が従業員による秘密情報流出・漏えいの未然防止、早期発見のために、従業員に提供

する業務用の電子メールアドレスを用いた通信の内容に対してモニタリングを行うことに

ついて、法律上問題点になる点、留意すべき点は何か。

(1) 考え方

企業が従業員に提供する業務用の電子メールアドレスやコンピュータ端末は､従業員の私的

な通信など、私的な目的でも利用されることが少なくない実態がある｡このため、こうした私

的利用に伴う私的な通信･情報との関係で､企業が行う電子メール等のモニタリングは、従業員

に対するプライバシー侵害の問題を生じさせる可能性がある。

また、従業員による電子メールやコンピュータの利用に関する情報が、従業員の個人情報に

該当する場合、これに対するモニタリングは、企業による個人情報の取得に該当するため、個

人情報保護法への抵触が生じるおそれもある。

企業は、こうした問題についての法的リスクを回避・軽減するために、まず、業務用の電子

メールアカウントやコンピュータ端末の利用に関する規程を設け、その中で、私的利用につい

てのルールを明確化するとともに、個人情報保護法制に適合的な形でモニタリングについて規

定し、従業員への周知徹底を図るべきである。その上で、当該規程に基づいてモニタリングを

行う際には、モニタリングを必要とする個別具体の事情(例えば具体的な情報流出のおそれや

既に流出が生じている可能性の有無・程度)も考慮しつつ、社会的に相当な範囲を逸脱する監

視(例えば不必要な監視、従業員に過度の心理的圧迫を与える監視)と評価されることがないよ

う、具体的な手段・態様に注意を払うべきである。

なお、以上の問題のうち、プライバシー侵害の問題は、理論上は、電子メール等の私的利用

が許容されていることを前提として発生するものといえる。この点につき、企業が従業員の私

用メールや業務用コンピュータの私的利用を禁止することには服務規律上の根拠が認められ

るが、一方で過度に渡らない私用メール等が許容されるべきことは社会通念として一定の定着

をみていると考えられるため、そのことへの配慮が必要となる。そのため、私用メール等につ

き、全面禁止やそれに近い厳しい規制をする場合にはそのことを必要とする合理的理由と、従

業員が私用メール等に代替する私的通信手段を利用することへの配慮が求められると考えら

れる。

(2) 説明

1) 電子メール等のモニタリングをめぐる問題点

企業が従業員の利用する電子メール等をモニタリングすることには、次に挙げるように、従

業員に対するプライバシー侵害と、個人情報保護法の観点から、法的な問題が生じ得る。

①プライバシーに関する問題点と裁判例の状況

91

まず、企業が電子メール等のモニタリングを通じて、私的利用に伴う従業員の私的な情報を

知ることは、従業員のプライバシーを侵害する違法な行為とされる可能性がある。

この点については近時いくつかの下級審裁判例が現れており、それらにおいて示された考え

方は、概ね次のようなものである(東京地裁平成 13 年 12 月 3 日判決・労判 826 号 76 頁、東京

地裁平成 14 年 2 月 26 日判決・労判 825 号 50 頁、東京地裁平成 16 年 9 月 13 日判決・労判 882

号 50 頁など）。

a) まず、電子メール等の私的利用について、これを禁止する服務規律上の定めが存在しない

か、存在しても、その実効性確保に向けた取り組みが十分でない場合(これまで裁判例に

おいてプライバシー侵害が問題になったのは全てこのような事案である）、社会通念に照

らして過度にわたらない私的利用が許容されているものと解される。

b) このように、電子メール等の私的利用が一定範囲で許容されている場合、私的利用に伴う

従業員の私的情報はプライバシーによる保護の対象となり得る。ただし、このような場合

にも、企業が行うモニタリングが直ちにプライバシー侵害として違法になるわけではない

(裁判例の中には、このことに関連して、電子メール等の私的利用の場合には使用者が管

理する領域（サーバ上のファイル等）に情報が残ることなどから、私用電話のようなケー

スに比べるとプライバシーによる保護の程度は弱いものとなる旨を述べるものもある。前

掲・東京地裁平成 13 年 12 月 3日判決）。

c) 具体的にプライバシー侵害が成立するかどうかの判断は、モニタリングの目的が企業運営

上必要かつ合理的なものか、その手段・態様は相当か、従業員の人格や自由に対する行き

過ぎた支配や拘束にならないか、従業員の側に監視を受けることも止むを得ないような具

体的事情が存在するか、等の要素を総合的に考慮し、モニタリング行為が社会通念上相当

として許容される範囲を逸脱するかどうかを判断するという枠組みの下で行われ、これが

肯定される場合にプライバシー侵害が成立する｡

なお、このようなプライバシー侵害の問題は、基本的には被監視者とされた従業員に対して

企業が不法行為（民法第 709 条、第 715 条）に基づく損害賠償責任を負うことになるかという

問題であるが､プライバシー侵害の程度が重大である場合には、そのような違法性の強いモニ

タリング等の行為によって得られた情報は従業員に対する懲戒処分等の不利益を課す根拠と

なし得ないものとされる可能性もある(結論としては否定したが、このような処理の可能性を

認めた例として、前掲・東京地裁平成 16 年 9 月 13 日判決）｡

② 個人情報保護法上の問題点と関連する規定等

次に、個人情報保護法との関係では、企業が行う電子メール等のモニタリングに対して同法

の規制が及び、具体的対応いかんによって同法違反が成立するおそれがある。

すなわち、従業員による電子メールやコンピュータの利用に関する情報（メールの文面、ア

クセス履歴等）は、当該情報それ自体から、あるいは企業が管理する他の情報と容易に組み合

92

わせることで利用者を特定し得るものについては個人情報保護法第2条第1項にいう個人情報

に該当する｡そして、このような個人情報を企業が電子メール等のモニタリングを通じて取得

することは、従業員の個人情報の取得に該当する。このため､同法第 2 条第 3 項にいう個人情

報取扱事業者に該当する企業がモニタリングを行う際には、取得される個人情報の利用目的の

特定及びその通知等（同法第 15 条第 1 項、第 18 条）、本人の同意を得ない取得情報の目的外

利用の原則禁止（同法第 16 条）、さらに、取得した個人情報が個人データ（同法第 2 条第 4

項）に該当する場合には、本人の同意を得ない取得情報の第三者への提供の原則禁止(第 23

条)などの同法が定める事項を遵守しなければならない。

なお、個人情報取扱事業者に該当しない企業には、上記のような個人情報の管理に関する義

務を定める個人情報保護法の規定は適用されないが、このような企業も、個人情報保護法の規

定に準じた形で適正に従業員の個人情報を管理するように努めることが望まれる(例えば、｢雇

用管理に関する個人情報の適正な取扱いを確保するために事業主が講ずべき措置に関する指

針｣(平成 16 年 7 月 1 日厚労告第 259 号)第四参照）｡

以上のほか、個人情報保護法制との関係では、経済産業分野の個人情報保護ガイドラインの

定めも、企業が電子メール等のモニタリングを行う際に留意すべき点を検討する上で参考にな

る(経済産業分野の個人情報保護ガイドライン 2-2-3-3 の該当部分は、直接的には、従業員が

他者（顧客等）の個人情報を扱う際の扱いの適正化を確保するために事業者が行うモニタリン

グに関するものであるが、従業員自身の個人情報保護という観点から適正なモニタリングのあ

り方を考慮する上でも参考になる）｡

同ガイドラインは、以下のようにすることが望ましいとしている。

モニタリングに関する事項等は、労働組合に通知し、必要に応じて、協議を行うこと。モニ

タリングの目的、すなわち取得する個人情報の利用目的をあらかじめ特定し、社内規程に定め

るとともに、従業員に明示すること｡モニタリングの実施に関する責任者とその権限を定める

こと｡モニタリングを実施する場合には、あらかじめモニタリング実施について定めた社内規

程案を策定するものとし、事前に社内に徹底すること。モニタリングの実施状況については、

適正に行われているか監査又は確認を行うこと｡

2) 電子メール等のモニタリングについて企業が講ずべき措置

以上のような裁判例・法令等の状況を前提とすると、企業は、電子メール等のモニタリング

を行う際には、従業員に対するプライバシー侵害や個人情報保護法への抵触という法的リスク

の回避・軽減を図るという観点から、以下のような措置を講ずべきである｡

①モニタリングに関する規程の整備

まず、業務用の電子メールアカウントやコンピュータの利用方法に関する規程を整備し、そ

の中で、電子メール等のモニタリングについての規定を置くべきである｡このような規定を置

き、それに従ってモニタリングを行うことは、モニタリング行為の手段・方法の相当性を肯定

93

する要素となるなど、前述した、プライバシー侵害の成否についての判断( 1)①の c）)にお

いて、侵害のリスクを回避・軽減することにつながる｡また、個人情報保護法との関係では、

このような規程の中でモニタリングによって収集した従業員の個人情報の利用目的を示すこ

とで、利用目的の特定・通知等という同法上の要求事項を満たすことになる｡

こうした規程は、事業場の全従業員を対象としたものであるときには、就業規則に記載する

ことが労働基準法上要求される(労働基準法第 89条第 10 号）｡また、事業場の全従業員を対象

としていない場合及び使用者に就業規則の作成義務がない場合(労働基準法第 89条参照。これ

らの場合、就業規則に記載する法律上の義務はない)にも、対象となる事項が情報セキュリテ

ィ上の重要な事項であることからすると、就業規則に記載しておくことは望ましいといえる

（3-2.1.1. 参照）。作成した規程は、就業規則として作成したかどうかに関わらず、対象とな

る従業員に周知する必要がある(就業規則の周知については、労働基準法第 106 条、労働契約

法第 7 条、第 10 条参照。就業規則の形をとらない場合にも、上述した法的リスクの回避・軽

減を実現するためには従業員への周知が不可欠である）。

規程中でモニタリングに関する事項として規定しておくべき事項としては、次のようなもの

が挙げられる。

・モニタリング対象となる機器等の私的利用（私用メール等）に関するルール(私的

利用の許容範囲等）

・モニタリングを実施する権限と責任の所在（権限・責任が帰属する職制･部署等）

・モニタリングを実施する目的（収集情報の利用目的）

・モニタリングの具体的実施方法(調査の対象となる媒体等及び調査の手法、事前予

告の有無等の調査実施手続き）

このほか、収集した情報の保存期間、収集情報の第三者提供を原則として行わないこと(個

人情報保護法第 23条参照）、モニタリングの適正を確保するための監査に関する事項などにつ

いての規定を置くことも考えられる｡

いくつかの点に説明を補足すると、まず、私的利用の許容範囲等に関する定めは、これをど

のように設定するかによって、モニタリングとの関係で保護の対象となる従業員のプライバシ

ーの範囲に影響を及ぼす(前記 1)①の a) b)参照）。この点について、理論上は、私的利用を

一切禁止するとともに、電子メール等がモニタリングによる閲覧の対象となることを事前に明

らかにしておけば、プライバシー侵害の問題は生じなくなるといえるが、このような取扱(特

に私的利用を一切禁止すること)が許容されるかについては検討を要する(後述「3）電子メー

ル等の私的利用の禁止について」）参照）。

次に、モニタリングの実施目的については、情報流出・漏えいの防止、電子メール等の業務

目的外利用の防止等の、企業運営上の必要性･服務規律の観点から合理的なものであることを

要する｡

モニタリングの実施方法については、従業員のプライバシー侵害を生じさせないことへの留

94

意が必要となる。基本的には、上述したモニタリングの目的を達成する上で合理的であり、か

つ、従業員のプライバシーその他の人格的利益を必要以上に侵害しないよう配慮した内容を定

めるべきであるが、次の②で述べるように、プライバシー侵害を生じさせないものとして許容

されるモニタリング手法の範囲は、具体的状況に応じて変化し得るため、②で述べる内容を踏

まえつつ、具体的な状況に応じた柔軟な対応の余地を残すような定め方とすることが望ましい

といえよう。

②モニタリング実施時の留意点

次に、具体的にモニタリングを実施する際の留意点であるが、基本的には、①で述べた規程

の整備がなされていることを前提として、当該規程の定めに沿う形で実施すべきものである｡

ただし、モニタリングがプライバシー侵害となるかどうかは、最終的には、個別具体の事案に

即して判断されることになる( 1)①の c)参照)ので、実施に際しては、実施の具体的必要性(情

報流出等が現に発生しているか又はまさに発生しようとしている具体的なおそれ)の有無・内

容、実施しようとする手法が従業員に及ぼす不利益の内容・程度等を個別に考慮して、許容限

度を超えた従業員の権利・利益の侵害と評価されることのないよう留意することが必要である。

こうした具体的留意点は、個々の事案ごとに判断されるという性質上、一般的に記述するこ

とに限界があるし、現時点の裁判例から得られる示唆も限られたものではあるが、おおむね次

のようなことがいえるであろう｡

まず、情報流出等の具体的な恐れが生じていない段階で行われるモニタリングは、｢広く、

浅く｣を旨とすべきであり、特定従業員に対象を絞って集中的にモニタリングを行うのは、当

該従業員から情報流出等が生じている具体的な疑いが生じた後とすべきであろう。

同様に、事前にモニタリング等の実施について十分な予告を行わない抜き打ち的な検査や、

(使用者が管理するサーバ等ではなく）従業員が日常的に使用する端末等、従業員が通常管理

する領域を対象として行う検査は、それを必要とする(より穏当な手段ではモニタリングの目

的を達成することができない)事情が具体的に存在していることが必要であろう｡

3) 電子メール等の私的利用の禁止について

上述した問題のうち、従業員のプライバシー侵害をめぐる問題においては、前述した裁判例

の判断枠組みに照らすと、会社の提供するメールアカウント等について、私的な目的での利用

が一定の範囲内で許容されることが、プライバシー侵害が成立する前提になっているといえる

(前述 1）①、特にその a））｡すなわち､このように私的利用が許容されるが故に、法的に許容

された私的利用に関する情報が、従業員のプライバシーとして法的保護の対象となり、ひいて

は企業が行うモニタリング等の措置が、プライバシー侵害の問題を生じさせ得るのである。逆

にいえば、仮に、こうした私的利用を禁止することが法的に許容されるとするならば、そのよ

うな措置を徹底し、かつ、電子メール等の利用に関する情報がモニタリングの対象となること

を明らかにしておくことで、従業員は電子メール等の利用について、法的に保護されるプライ

95

バシーを有しないこととなる｡

なお、電子メール等の私的利用の禁止の可否については 3-2.1.4. を参照。

4) 従業員の私物であるコンピュータ等を対象とした検査

以上の検討は、モニタリングの対象となる業務用のメールアカウント等を企業が提供するこ

とを前提としたものであった。これと異なり、従業員が私物のコンピュータを業務に利用して

いる場合には、そこに保存されたデータについて従業員のプライバシーを保護する必要性は企

業が提供するコンピュータの場合に比して著しく大きいものとなり、この場合には会社が従業

員の意に反してその調査を行うことはできないと考えておくべきである。

企業としては、情報流出･漏えいを防止する必要性が特に大きい従業員・業務については、

従業員が私物のコンピュータを用いて業務を運行する必要のない業務運行体制を構築し、私物

コンピュータの業務利用を禁止すべきである｡


特になし

(4) 裁判例


3-2.1.4. 私用メールを禁止する規程

企業が従業員の私用メールを禁止する規程を設けることはできるか。

(1) 考え方

企業が従業員の私用メールや業務用コンピュータの私的利用を禁止することには服務規律

上の根拠が認められるが、一方で過度に渡らない私用メール等が許容されるべきことは社会通

念として一定の定着をみていると考えられるため、そのことへの配慮が必要となる。そのため、

私用メール等につき、全面禁止やそれに近い厳しい規制をする場合にはそのことを必要とする

合理的理由と、従業員が私用メール等に代替する私的通信手段を利用することへの配慮が求め

られると考えられる。

(2) 説明

企業が業務遂行のために従業員に提供する器材・設備等を私的な目的を含む業務外の目的で

利用することを禁じることには服務規律上の根拠がある。こうした観点から、使用者が提供す

る電子メールアカウントを用いた従業員の私用メール、業務用メッセンジャーソフト46の私的

46 ネットワークに接続したユーザ間でメッセージの送受信、ファイル転送などをリアルタイ

96

利用などの行為を禁止することには一定の合理的根拠があるといえる｡また、こうした私的利

用が就業時間内に行われる場合には、当該行為は従業員が労働契約上負っている職務専念義務

に達反するとみることも可能であり、こうした観点からも、私的利用の禁止が正当化され得る｡

しかし、他方において、過度に渡らない私用メール等が許容されるべきことは社会通念とし

て一定の定着をみていると考えられるため、そのことへの配慮も必要である｡

そのため、私用メール等につき、全面禁止やそれに近い厳しい規制をする場合には、そのこ

とを必要とする合理的理由(従業員の業務内容等に照らして、情報流出防止等の観点から私用

メール等を禁止する必要性が特に大きいこと等)と、従業員が私用メール等に代替する私的通

信手段を利用することへの配慮が必要になると考えておくことが適当であると考えられる｡


特になし

(4) 裁判例

特になし

3-2.1.5. 私物 PC の持込禁止及び会社の情報を含む物品の持ち出し禁止

次の事項を実施する際に労働法上、どのようなことを考慮すべきか。

①私物 PC等の社内持込及び利用禁止

②業務用データの社外持ち出しの規制

(1) 考え方

業務命令により私物パソコン等の社内利用禁止及び業務情報の社外持ち出しの規制を行う

ことができる。3-2.1.1. で論じたように労働基準法第 89 条 10 号により、規制については就

業規則に根拠規程を置く必要がある。

(2) 説明

①私物パソコン等の社内持込及び利用は、企業秘密漏えいの可能性があるため、会社は、企業

秩序維持権限及び企業秩序定立権限から従業員に持込及び利用の禁止を命ずることができる。

私物 PC は、当然のことながら会社には所有権がないため、所有者の意思に反して調査するこ

とは原則的にできないと考えるべきである。調査は、現に秘密漏えい事故があり、当該従業員

にその漏えいの疑いを持つことに合理的な根拠があるなどの高度の必要性がある例外的な場

合に限定されよう。また、私物 PCには多くのプライバシー情報が含まれる点も留意されねば

ならない。

ムに行うアプリケーション。

97

私物 PC については、基本的には、社内持込を禁止すること等で対応すべきである。従業員

は、労働契約上の付随義務として企業秩序遵守義務を負うため、これに従わなければならない

ことになる。

②従業員は労働契約上秘密保持義務を負っているため、使用者は業務用の情報の社外持ち出し

を規制することができる。

また、業務上の情報を含む物品に関し、会社は所有権を有するため、これをどこで使用させ

るかについて会社には管理権限により決定することができる。企業は、企業秩序維持権限及び

企業秩序定立権限により、規則(この場合、業務上の情報を含む物品を社外に持ち出さないと

いう規則)を定立する権限がある。従業員は、労働契約上の企業秩序遵守義務からこのような

規則に従う義務を負っている。

なお、上記①及び②のような義務の内容は、就業規則に根拠規定を置いた社内規程等におい

て、禁止の範囲などを明確に定めておかなければならない。


特になし

(4) 裁判例

・最高裁第三小法廷昭和 54年 10 月 30 日判決・民集 33 巻 6 号 647 頁

3-2.1.6. 退職後の従業員の競業避止義務、秘密保持義務

企業が、従業員が退職後に他社に転職するなどして会社の秘密情報を流出させることを防

止しようとする場合、雇用関係上の対策としては、どのようなものを講じることが考えら

れるか。

(1) 考え方

企業としては、従業員との間の契約関係において、従業員が退職後に会社の秘密情報を流出

させる行為、あるいはこれにつながり得る行為に制約を加えるための定めを整備しておくこと

が望ましい。このような定めとしては、

① 退職後の従業員に秘密保持義務を課す定め

② 退職後の従業員に競業避止義務を課す定め

③ 従業員が退職後に競業行為を行った場合に、支給される退職金の額を減らす、若しくは支

給しない（既に退職金が支給されている場合、その全部又は一部を返還させる）旨の定め

等がある。

これらの定めの効力等は、それぞれ異なる枠組みの下で判断され（①につき 3-2.1.7. 、②

98

につき 3-2.1.8. 、③につき 3-3.1.7. ）、認められ得る効力も異なる。そこで企業としては、

それぞれの定めの特質を考慮しつつ、自企業においてどのような定めを設けるべきかを判断す

べきことになる。

①②のタイプの定めを設けようとする場合、当該定めは、従業員との間の個別合意という形

態をとるべきである（就業規則に規定を置くことも考えられるが、その場合もこれと併せて個

別合意を結んでおくべきである）。③のタイプは、退職金制度を定める規程の中に当該定めを

置くことになる。

これらの定めを設けていない場合、あるいはこれらの定めに該当しない場合には、従業員が

退職後に行う秘密情報の流出行為は、不正競争防止法上の不正競争行為若しくは民法上の不法

行為に該当する場合に限って、これらの法律に基づく規制の対象となる。

(2) 説明

1) 退職後の従業員による秘密情報の流出を防止するための契約上の規制の枠組み

企業が、退職後の従業員による秘密情報の流出を防止しようとする場合、雇用関係上の対応

としては、従業員によるこうした行為、あるいはこれにつながり得る行為に制約を加えるため

の定めを、従業員との間の契約関係の中で定めておく必要がある。従業員は、退職後は自由に

職業活動をなし得るのが原則であるため、このような定めがなければ、不正競争防止法上の不

正競争行為や民法上の不法行為に該当し、これらの法律に基づく規制の対象となる場合を除け

ば、在職中に知り得た元使用者の秘密情報の利用・開示に対する法的な制約は存在しないこと

になる（退職後の競業行為が不法行為に該当するか否かの判断を行った最高裁判決として、最

高裁第一小法廷平成 22年 3月 25 日判決・民集 64 巻 2号 562 頁。同判決については 3-2.1.8.

も参照）。

退職後の従業員による秘密情報の流出防止を図るための契約上の定めとしては、次のような

ものがある。

第 1は、従業員に対して、在職中に知り得た会社の秘密情報を他者に漏らしたり、自ら利用

したりしない義務（秘密保持義務）を課すことである。

第 2 は、従業員に対して、会社の業務と競業する事業を自ら営んだり、このような事業に就

職したりしない義務（競業避止義務）を課すことである。このタイプの定めについては、様態

として、禁止される行為の内容を、情報漏えいのおそれが類型的に高い行為に限定する形で従

業員に義務を課すこと（例えば、従業員に対し、在職中に担当していた顧客への勧誘行為を禁

止するなど）も考えられる（このように禁止される行為の範囲が絞り込まれていた方が、当該

定めの有効性が認められやすくなる）。

第 3 は、従業員が第 2 に挙げた競業行為を行った場合に、支給される退職金の額を減らす、

又は支給しない（既に退職金が支給されている場合、その全部若しくは一部を返還させる）旨

を定めることである。

これらのうち、第 1と第 2の手法をとった場合、企業は、禁止された行為を行った元従業員

99

に対して、当該行為の差止めや、当該行為によって被った損害の賠償の請求をなし得る。第 3

の手法をとった場合には、禁止された行為を行った従業員に対しては、退職金の全部又は一部

の支払を拒むか、既に支払っていた場合にはその返還を求めることになる。

これら 3つの手法を比較すると、まず、第 1の手法（秘密保持義務の定め）は従業員による

情報漏えいそれ自体を禁止対象としているのに対し、第 2の手法（競業避止義務の定め）は情

報漏えいにつながり得る行為を広く禁止対象としている。このように、第 2の手法は第 1の手

法と比べて禁止対象が広く、それだけ従業員の退職後の職業選択の自由に対する制約の度合い

が大きいため、定めの有効性の判断が、より厳格なものとなる。すなわち、一般的にいえば、

第 1 の手法の方が、第 2の手法よりも、その有効性を認められやすい（より一般的にも、禁止

される行為の範囲が絞り込まれていた方が、定めの有効性を認められやすいといえる）。

次に、第 3の手法（退職金の減額等）は、退職した従業員の行為を直接的に禁止する（差止

める）効果をもたらすものではないが、その反面、定めの効力等が認められた場合、企業側に

は従業員の行為によって被った具体的損害の額に関わりなく一定の額の金銭を従業員に請求

できる（あるいは一定の範囲で退職金支払を免れる）というメリットがある（第 1、第 2の場

合には、後述（5））のとおり、予め違反に対する損害賠償の額を定めた場合の当該定めの効力

については、問題になり得る点がある）。

企業としては、このような各手法の特質及びその相違を考慮しつつ、自企業においてどのよ

うな定めを設けるべきかを判断すべきである（各類型の効力等の判断手法の詳細は、第 1の手

法につき 3-2.1.7. 、第 2の手法につき 3-2.1.8. 、第 3の手法につき 3-3.1.7. ）。なお、こ

れらの手法のうち複数のものを併用することは差し支えなく、実際にもそのような例は多い。

以下では、こうした諸問題のうち、上記第 1及び第 2の定めを設ける場面で問題になり得る

点を取り上げて解説する。

2) 退職後の従業員の競業避止義務、秘密保持義務に関する明示的根拠の要否

従業員（労働者）は、在職中は労働契約の付随義務として、特に明示的な合意がなくとも使

用者に対して競業避止義務や秘密保持義務を負っていると解される。

これに対し、こうした労働契約に付随する競業避止義務や秘密保持義務は、従業員の退職後

にまで存続するものではなく、したがって、企業が退職後の従業員に対し、契約上の競業避止

義務や秘密保持義務を課そうとする場合には、その旨を明示的に定める根拠が原則として必要

であるというのが、現在では、裁判例、学説の双方においてほぼ異論のないところである。そ

こで、企業が退職後の従業員にも契約上の競業避止義務や秘密保持義務を課そうとする場合、

その旨を就業規則に定めておく、その旨を定める合意を個々の従業員との間で締結する、等の

措置を講じることが望ましい。

3) 就業規則で退職後の従業員の競業避止義務、秘密保持義務を定めることについての問題点

このうち就業規則については、その内容に合理性が認められ、かつ従業員に対して周知され

100

ている場合に別段の合意のない限り就業規則の規定が労働契約内容になる（労働契約法第 7

条）ものの、従業員が退職した後についても同様に、退職従業員と企業の間の契約内容を就業

規則で定めることができるかは問題となる。裁判例においては、従業員の在職中に退職後の競

業避止義務の定めを新設する就業規則の変更が行われた事案において（一般の就業規則変更に

よる労働条件変更の場合と同様に）当該変更の合理性が認められれば退職後の競業避止義務が

それによって定められる旨の判断を示すものが見られ、この点については肯定的に解する傾向

にあるといえそうである（東京地裁平成 7年 10 月 16 日決定・労判 690 号 75 頁、東京地裁平

成 15年 10 月 17 日判決・労経速 1861 号 14 頁など）。

しかし、学説上は就業規則で従業員が退職した後の法律関係を定めることはできないとの見

解も有力であること、上記のような裁判例も、必ずしも数は多くなく、裁判実務上の処理基準

として確立しているとまでは言いがたいことを考えると、退職後の従業員の競業避止義務、秘

密保持義務の定めを就業規則規定のみに依拠して行うことは、少なからぬ法的リスクを伴うと

いうべきであろう。

したがって、このような定めを設ける場合には、（仮に就業規則に規定を設ける場合にもこ

れとは別に）従業員との間で個別に合意を交わしておくべきである。

このことを前提として、就業規則に（も）規定を設ける場合の留意点としては、次のような

ものがある。

まず、就業規則を変更して新たに退職後の秘密保持義務、競業避止義務に関する定めを設け

る場合、就業規則変更の合理性（労働契約法第 10 条）が認められるための基準（すなわち、

就業規則を変更することで、従業員に退職後の競業避止義務を新たに負わせることが許容され

るための基準）は、裁判例上確立しているとは言いがたいものの、退職後の従業員に競業避止

義務を負わせる定めの公序良俗違反性（3-2.1.8. ）と概ね同様の判断をする傾向が見られる

ことから、公序良俗違反が否定される場合には、就業規則変更の合理性も肯定される可能性が

高いと考えられる（前掲・東京地裁平成 7年 10月 16 日決定など）。

次に、就業規則に退職後の従業員の競業避止義務や秘密保持義務を定める規定を置いた場合

には、従業員との間の個別合意によって、就業規則の定めよりも従業員に不利益となるような

義務を課すことができなくなる（労働契約法第 12条）。また、就業規則規定の新設や変更によ

り、既に退職した後の従業員に対し、新たに義務を課したり、義務の内容を従業員側の不利益

に変更したりすることについては、裁判例は存在しないが、許容されないと解すべきものと思

われる。

4) 個別合意で退職後の従業員の競業避止義務、秘密保持義務を定めることについての問題点

個別合意については、企業は従業員に対して優越的な交渉力を有する場合が多いことから、

こうした優越的な交渉力を用いて不当に合意を成立させたのではないかが問題になることが

ある。このような観点から合意の効力を否定した裁判例として、前掲・東京地裁平成 15年 10

月 17 日判決は、労働者（従業員）の退職時に締結された退職後の競業避止義務を定める合意

101

について、企業側で一方的に作成した文書に署名を求めるものであったこと、署名がない場合

には退職金を支給しない態度を見せたこと等の事情を考慮して、その効力は「労働基準法の精

神に反し」認められないとしている（一方、合意成立時の企業側の交渉態度を理由とした合意

無効の主張を退けた例として、東京地裁平成 19年 4月 24 日判決・労判 942 号 39 頁など）。

したがって、企業側としては、このような合意を成立させようとする場合の交渉態度に留意

が必要となる。また、従業員の退職時には、合意をすることのメリットを説いて従業員の説得

を試みることが在職中の場合より難しくなることから、合意の調達は、退職時より前の段階で

行っておくことが望ましいとも考えられる。

具体的な合意の時期としては、配置転換・新プロジェクトの立ち上げ等により、企業の営業

秘密に接する職務など、競業避止義務・秘密保持義務を課す必要のある職務に新たに就く時点

のほか、企業の業種・従業員の職種などから見てそのような職務に就く蓋然性が高い場合には

採用時、などが考えられる（これらを併用し、特定の職務に就く時点で、採用時の合意の内容

を対象となる営業秘密等の点で具体化する新たな合意をするといった対応も考えられる）。

5) 退職後の従業員の競業避止義務、秘密保持義務の違反に対して損害賠償等の額を予め定め

ておくことについての問題点

退職後の従業員に競業避止義務、秘密保持義務を課す定めの中に、義務違反に対する制裁と

して、具体的な金額を示しつつその支払義務を負わせる旨を定める例が実際上しばしば見られ

るが、このような定めは、「労働契約の不履行について違約金を定め、又は損害賠償額を予定

する契約」を禁止する労働基準法第 16 条に抵触するおそれがある（同条違反であるとすれば、

競業避止義務等の定めのうち、義務に違反した従業員に一定の金額の支払義務を課す部分は無

効になるほか、同条違反に対する刑罰（労働基準法第 119 条第 1号により 6箇月以下の懲役又

は 30万円以下の罰金）も定められている）。

なお、こうした問題を生じるのは、定められた競業避止義務等の違反があった場合に、それ

によって企業側に現実に発生した損害の額に関わりなく、一定の金額の支払義務が発生する旨

の定めであり、義務違反があった場合に、それによって企業側に現実に生じた損害について賠

償責任が生じる旨（すなわち民法の原則どおりの処理）を確認的に定める規定については問題

とならない。

また、従業員が退職後に競業行為を行った場合に退職金の減額等を行う旨の定めが労働基準

法第 16 条に違反するか否かについては、この種の事案において広く見られる退職金規程上の

定めについて同条違反を否定した最高裁判決（最高裁第二小法廷判決昭和 52 年 8 月 9 日・労

経速 958 号 25 頁）が存在することから、これを否定する考え方が裁判実務上の主流になって

いるといえる（ただし、同条違反が成立しないとしても、他の理由でこのような規定の効力が

否定される可能性はなお存在する。3-2.1.8. 及び 3-3.1.7. を参照）。

もっとも、この点の判断は個別の事案に即して行われるものであるため、具体的事案によっ

ては、同条違反の成立が認められる可能性がないとはいえない（退職後の競業行為を減額等の

102

事由として定めた事案ではなく、かつ前記最高裁判決以前の裁判例であるが、退職金不支給事

由の定めが労働基準法第 16 条に違反するとした例として、岡山地裁玉島支部昭和 44 年 9 月

26 日判決・判時 592 号 93 頁。なお、このように同条違反が成立する場合があるとしても、そ

のほとんどは、前述した同条違反以外の理由により定めの効力が否定される場合と重なり合う

ものと考えられる）。

この点については、従業員の退職後の競業避止義務等の定めは（従業員が退職している以上）

労働基準法第 16 条にいう「労働契約」には該当しないという考え方もあり得るところであり、

裁判例における判断も必ずしも確立しているとはいえない（在職中・退職後双方を対象とした

競業避止義務の違反に対する違約金の定めを「少なくとも労働基準法 16 条の趣旨に反する」

として無効とした例として、東京地裁昭和 59年 11 月 28 日判決・労判 459 号 75 頁、退職後の

競業避止義務の違反に対する違約金の定めを無効としなかった例として東京地裁平成 19 年 4

月 24 日判決・労判 942 号 39 頁（ただし、判決文を見る限り労働基準法第 16 条違反の成否は

そもそも争われておらず、同条違反でないとされた理由も明らかでない））。

以上のことを考慮すると、現時点において、退職後の競業避止義務等の違反に対して具体的

な金額を挙げて違約金や損害賠償額の予定を定める規定を設けることについては、労働基準法

第 16 条又はその趣旨に違反することが明らかとまではいえず、また、裁判所の判断は長期的

に見て違反を否定する方向に向かいつつあると評価する余地もあるものの、他方で、違反の成

立が認められる可能性も相当程度存在する状態にあるものと考えられる。企業としては、この

ような法的リスクの状況を念頭に置きつつ、上記のような規定を設けることの是非を検討すべ

きである。


・労働契約法第 7条、第 9条、第 10条、第 12条など

(4) 裁判例

本文中に記載のものの他

・東京地裁平成 7年 10 月 16 日決定・労判 690 号 75 頁


3-2.1.7. 退職後の秘密情報漏えいを防止するための秘密保持契約

退職者が在職中に知り得た秘密情報を使用又は第三者に開示することを防ぐためには、い

つどのような方法で秘密保持義務を負わせることが有効であるか。

(1) 考え方

在職中に、秘密保持義務の対象となる情報を特定し、退職後もその情報について秘密保持義

務を継続的に負うことを明示した秘密保持契約を個別に締結することが望ましい。さらに、従

103

業員のプロジェクトへの参加時など、具体的に秘密情報に接する機会を得る際に、その都度、

秘密保持義務の対象となる情報をより具体的に特定し、退職後もその情報について秘密保持義

務を継続的に負うことを明示した誓約書をとることが望ましい。

(2) 説明

就業規則により退職後の秘密保持義務を負わせることは一定の合理性が認められる範囲で

は有効と解される余地がある。一方で就業規則では従業員の退職後の法律関係を定めることは

できないという見解も有力であり、退職後の従業員の秘密保持義務を就業規則にのみ依拠する

ことは少なからず法的リスクを伴うことになる（就業規則による退職後の秘密保持義務の有効

性については 3-2.1.6. 参照）。そこで、退職者が在職中に知り得た企業の秘密情報を第三者

に開示させないためには、個別の秘密保持契約により、当該退職者に企業に対する秘密保持義

務を負わせることが有効と考えられる。

また、企業に対する契約上の営業秘密保持義務は、営業秘密の要件である秘密管理性を充足

するための重要な要素の一つと考えられている。そして、秘密情報が営業秘密としての保護を

受けるためには、秘密保持の対象となる情報が具体的に特定されている必要があると考えられ

ているため（東京地裁平成 17年 2月 25 日判決参照・判時 1897 号 98 頁・判タ 1195 号 258 頁）、

営業秘密としての保護を受けるためには、対象となる秘密情報を特定した上で契約を締結する

ことが望ましい（契約における秘密情報の特定については 2-2.5.3. 参照）。

秘密保持契約を締結する場合には、その締結時期に留意する必要がある。入社時において、

秘密保持契約を個別に締結する場合には、秘密保持の対象とする具体的な秘密情報の特定が困

難であり、秘密情報を特定しない包括的な秘密保持義務を定めることにならざるを得ない。他

方、退職時に秘密保持契約を締結しようとしても、退職者が秘密保持契約の締結を拒否される

場合があり、この場合には契約の締結を強要することはできない。

そこで、従業員に秘密情報を開示する段階で、退職後も秘密保持義務を継続的に負うことを

明示した秘密保持契約を締結することが有効と考えられる。この場合、労働契約終了後も守秘

義務を継続的に負担させる合意の効力が問題となるが、裁判例（東京地裁平成 14 年 8 月 30

日判決）においても、「使用者にとって営業秘密が重要な価値を有し、労働契約終了後も一定

の範囲で営業秘密保持義務を存続させることが、労働契約関係を成立、維持させる上で不可欠

の前提でもあるから、労働契約関係にある当事者において、労働契約終了後も一定の範囲で秘

密保持義務を負担させる旨の合意は、その秘密の性質・範囲、価値、当事者（労働者）の退職

前の地位に照らし、合理性が認められるときは、公序良俗に反せず無効とはいえないと解する

のが相当である。」としている。

また、秘密保持義務の定めを実効的なものにするためには、秘密保持義務違反に対する違約

金を定めておくことが有効である。なお、秘密保持義務違反に対する違約金の定めは労働基準

法第 16 条との関係でその有効性について議論があるが（3-2.1.6. 参照）、秘密保持義務の定

めの効力は競業避止義務のものと比較して、より緩やかに認められると考えられることからす

104

れば、競業避止義務違反の違約金の定めと同様に、秘密保持義務違反についての違約金の定め

も有効となる可能性がある。


・不正競争防止法第 2条第 1項第 7号、第 21条第 1項第 3号・第 5号


(4) 裁判例


3-2.1.8. 退職後の従業員に競業避止義務を課す定めの効力

秘密情報の流出を防止する目的で、従業員の退職後の競業避止義務を課すことを定める就

業規則規定や個別合意の効力について、従業員の職業選択の自由との関係でどのような問

題が生じるか。

(1) 考え方

退職後の従業員に競業避止義務や秘密保持義務を負わせる就業規則規定や個別合意につい

ては、それが退職した従業員の職業選択の自由を過度に制約するものとして、公序良俗違反（民

法第 90 条）により無効になるのではないかが問題になる。

この点につき、裁判例の傾向は、使用者の正当な利益、従業員の地位、禁止される行為の内

容、行為が禁止される場所的・時間的範囲、代償措置等の要素に基づいて判断するという点で

は概ね一致しているが、具体的判断にはばらつきがあると考えられる。

(2) 説明

1) 退職後の従業員の競業避止義務を定める約定の効力を判断する枠組み

退職後の従業員に競業避止義務を課すためには、その旨を明示的に定める就業規則規定、個

別合意等の根拠が必要であるが、これらの定めについては、適法な手続に則った就業規則の作

成・周知や合意の成立が認められたとしても更に、それが退職した従業員の職業選択を過度に

制約するものとして公序良俗違反（民法第 90 条）により無効になるのではないかが問題にな

る。

この点に関連して、最高裁の判例（最高裁第一小法廷平成 22 年 3 月 25 日判決・民集 64 巻

2 号 562 頁）がある。本判決は競業避止義務の定めの効力が問題になったものではなく、この

ような定めがない事案についてのものであるが、原判決が、退職者が退職後に開業した競業会

社の取締役への就任の登記を遅らせるなどして競業行為を隠蔽しながら退職前に有していた

取引先との営業上のつながりを利用して元使用者の顧客を奪取したことが不法行為に当たる

としたのを覆し、退職者の行った競業行為は社会通念上、自由競争を逸脱した違法なものとは

105

いえないと判断した。このように就業規則などに特段の規定がないケースにおいては、退職者

の競業避止義務を認めることは困難であるか、認められたとしても、極めて限定された範囲と

ならざるを得ない。それゆえ、一般には就業規則等に競業避止義務に関する特段の定めをおく

ことが得策であると考えられてきた。このように、特段の規定がおかれた場合について、最高

裁判例はないが、下級審判例の中には、いくつかこの効力に触れたものがある。その細部にお

いては必ずしも確立した傾向を示すとはいえないが、使用者の正当な利益、従業員の地位、禁

止される行為の内容、行為が禁止される場所的・時間的範囲、代償措置等の要素に基づいて判

断するという点では概ね一致しているといえる。

2) 裁判例における具体的判断

①使用者の利益、従業員の地位

まず、使用者の利益として考慮され得るのは、独自性のある技術上・営業上の情報や、形成

に特別な投資を必要とする顧客関係（モップ等のレンタル事業についてこれを肯定した例とし

て、東京地裁平成 14 年 8 月 30 日判決・労判 838 号 32 頁）などである。一方、問題となる従

業員について、このような使用者の利益の存在が認められない場合、約定の効力は否定される

（大阪地裁平成 12 年 6 月 19 日判決・労判 807 号 32 頁、大阪地裁平成 15 年 1 月 22 日判決・

労判 846 号 39 頁など）。

②禁止される行為の内容

約定で禁止される行為の内容が、競業行為の自営や競業企業への就職を全面的に禁止するも

のでなく、①で挙げた使用者の利益を侵害するおそれが大きい行為に絞り込まれている場合、

従業員の職業選択の自由に及ぼす制約が小さくなることから、約定の効力は認められやすくな

る。例えば、前掲・東京地裁平成 14 年 8 月 30 日判決は、退職後 2年間、在職中の営業担当地

域及びこれに隣接する地域における（転職先からの）使用者の顧客への営業活動を禁止する内

容の定めが置かれた事案であり、このように禁止する行為の内容が絞り込まれていたことから、

代償措置がなくとも当該定めは有効と認められると判示されている。

なお、このことに関連して、裁判例の中には、競業行為の自営や競業企業への就職を一般的

に禁止する約定の効力を使用者の利益を侵害するおそれが多い行為を禁止する限度で肯定す

る合理的限定解釈を行うものが、近年目立つようになっている（合理的限定解釈を行った上で、

その限度で差止めを認めた例として、東京地決平成 16 年 9 月 22 日・判時 1887 号 149 頁、合

理的限定解釈を行った結果義務違反を否定した例として、東京地裁平成 17年 2月 23 日判決・

判タ 1182 号 337 頁）。

③競業行為を禁止する時間的・場所的範囲

競業行為を禁止する時間的・場所的範囲についても、使用者の利益を保護する上での合理性

があるかどうか、退職した従業員の職業選択の自由を過大に制約するものでないかが問題にさ

106

れる。近年の裁判例としては、競業行為を禁止する範囲（退職後 5年、場所的制限なし）が広

範に過ぎることと、代償措置があるとはいえないか又は不十分であることを理由として競業避

止義務の定めの効力を否定した例がある（大阪地裁平成 10年 12 月 22 日判決・知財集 30巻 4

号 1000 頁）。

なお、上記の裁判例では、競業行為を禁止する場所的範囲の限定がないことが、競業避止義

務の定めの効力を否定する根拠の一つとされているが、裁判例の中には、保護されるべき使用

者の利益が技術情報であること（奈良地裁昭和 45 年 10 月 23 日判決・判時 624 号 78 頁）や、

使用者が全国規模で事業を行っていること（東京地裁平成 19 年 4 月 24 日判決・労判 942 号

39 頁）を理由に挙げて、場所的範囲の限定がない競業避止義務の定めについても、そのこと

を理由として効力を否定しない判断を示したものも存在する（もっとも、前掲・大阪地裁平成

10 年 12 月 22 日判決も技術情報の保護を目的として競業避止義務が定められた事案である）。

④代償措置

競業行為を規制される従業員に対して、その代償として金銭の支払等を行うことの考慮の仕

方について、裁判例の立場は、特に大きく分かれている。すなわち、一方には、これを退職後

の競業避止義務を定める約定に不可欠な有効要件と見る（東京地裁平成 7年 10月 16 日決定・

労判 690 号 75 頁（同決定にいう、義務を新たに創設する約定について））ものや、代償措置が

ないことをこうした約定の効力を否定する判断において重視するもの（前掲・大阪地裁平成

10 年 12 月 22 日判決、東京地裁平成 12 年 12 月 18 日判決・労判 807 号 32 頁など）が存在す

る。

その一方、こうした代償措置の有無・内容は約定の効力を判断する際の考慮要素の一部を占

めるにとどまるものと位置付け、代償措置がない場合であっても約定の効力を認める例（前

掲・東京地裁平成 14年 8月 30 日判決）や、代償措置が明確な形で講じられていない場合にも、

従業員に支払われた賃金が比較的高額である場合に、そのことを代償措置としての性質も有す

るものとして柔軟に考慮する例（前掲・東京地裁平成 16 年 9 月 22 日決定、東京地裁平成 19

年 4月 24 日判決など）も存在する。

もっとも、代償措置が明確な形で講じられていない場合に約定の効力を認めた事案の多くは、

禁止される行為の内容が絞り込まれた形で約定がなされていたか、合理的限定解釈により、裁

判所が禁止される行為の内容を絞り込んだ上でその効力を認めた事案である。

3) 差止めの要件

前述した判断枠組みにしたがって、義務違反が認められる場合、従業員の義務違反行為に対

する差止め又は、義務違反によって生じた損害の賠償の請求が認められ得る。ただし、裁判例

の中には、このうち前者の差止めについて、元使用者の営業上の利益が侵害されるか、そのお

それがある場合に限って認められるという要件を課しているもの（前掲・東京地決平成 7 年

10 月 16 日など）も存在する。

107


・民法第 90条

(4) 裁判例

本文中に記載のものの他

・東京地裁平成 15 年 10 月 17 日判決・労経速 1861 号 14 頁など

3-2.1.9. 退職後の従業員が海外で行う競業行為に対する規制

企業は秘密情報流出防止を目的とした従業員との間の契約によって、従業員が退職後に海

外で競業行為を行うことを禁止できるか。

(1) 考え方

企業と従業員との間における、退職後の競業避止義務を定める約定の効力が、海外における

競業行為の禁止にまで及び得るかという問題と、仮にこの点が肯定される場合、海外において

競業避止義務違反に当たる競業行為を行った従業員に対してどのような法的手段をとり得る

か、という問題に分けて考える必要がある。

前者の問題については、（日本法の下で判断する場合）海外における競業行為も禁止対象に

含める形で退職後の競業避止義務の定めを設けた場合、競業行為を禁止する場所的範囲が広す

ぎるのではないかという観点からその効力が問題となるが、使用者が保護しようとする利益の

性質や、使用者の経営規模によっては、このような約定の効力も認められる可能性はあると考

えられる。

後者の問題については、従業員の競業避止義務違反に対する法的責任を、実効的かつ迅速に

問おうとする場合、従業員が転職した先の国の裁判所に訴えを提起する必要がある場合が多く

なるものと考えられる。

(2) 説明

1) 海外における競業行為を禁止対象に含める競業避止義務の定めの効力

退職後の従業員に競業避止義務を負わせる定めは、公序良俗違反の成否という観点からその

効力が問題となる（3-2.1.8. ）。この判断においては、競業行為が禁止される場所的範囲も考

慮要素となり、その範囲が広すぎる場合には定めの効力は否定される。しかし、裁判例の傾向

を見ると、当該定めによって保護しようとする使用者の利益の性質や、使用者の事業展開の規

模によっては、場所的範囲を限定しない定めの効力も認められ得るため、海外における競業行

為を禁止対象に含める定めについても、これらの事情のいかんによっては、その効力は認めら

れ得ると考えられる。

ただし、以上の検討は、競業避止義務の定めの効力を日本法の下で判断することを前提とし

108

たものであり、後述のとおり、外国の裁判所に訴えを提起する場合には、日本法以外の法が適

用される結果、これと異なる判断がなされる可能性がある。

2) 従業員の海外における競業避止義務違反行為に対する法的対応

仮に、海外における競業行為を禁止対象に含める競業避止義務の定めに効力が認められると

しても、実際にその違反があった場合における実効性のある法的対応の在り方が問題となる。

海外に居住する退職従業員に対しては、日本の裁判所に訴えを提起することの可否が問題とな

るし、仮に日本の裁判所で勝訴判決を得たとしても、これに基づいて直ちに、海外に居住する

退職従業員を強制執行等の方法で判決に従わせることはできない（当該海外の裁判所等におけ

る手続が別途必要となる）。

したがって、従業員の競業避止義務違反に対する法的責任を、実効的かつ迅速に問おうとす

る場合、従業員が転職した先の国の裁判所に訴えを提起する必要がある場合が多くなるものと

考えられる。

海外の裁判所に訴えを提起する場合、まず、当該国の法律（日本法では法の適用における通

則法がこれに該当する）にしたがって、競業避止義務を定める約定の効力をどの国の法に基づ

いて判断するかを決定し、決定された法の下で約定の効力を判断することになる。


・法の適用に関する通則法

(4) 裁判例

特になし

3-2.1.10. 派遣労働者に対する誓約書の要請･教育訓練の実施

派遣先企業は秘密情報流出防止の目的で派遣社員の秘密漏えい防止の誓約書提出を義務付

けることができるか。また、セキュリティ対策のための教育訓練を行うことができるか。

(1) 考え方

派遣労働者の秘密漏えい防止については、派遣元企業と派遣先企業との間の労働者派遣契約

の中でそれを条件とするなど、労働者派遣契約の中で検討すべき事項である。

教育訓練に関しては、派遣労働者が派遣契約上負う職務を遂行する上で必要な範囲のもので

あれば、派遣先企業は当該派遣労働者に教育訓練を行うことは可能である。

(2) 説明

従業員は、労働契約に付随する義務として秘密保持義務を負っている。しかし、派遣先企業

と派遣労働者との間には労働契約が存在しないため、派遣先企業において派遣労働者に秘密保

109

持義務を直接負わせることはできない。派遣労働者の守秘義務に関しては、あくまでも雇用関

係のある派遣元企業と派遣労働者の間で義務付けがなされるべき事項である。

したがって、派遣労働者に秘密保持を義務付けるためには、基本的には派遣元との労働者派

遣契約（労働者派遣法第 26 条）において、派遣元・派遣労働者間で派遣先の業務に関する秘

密保持契約を締結させることを条件としておくことが考えられる。そして、派遣労働者が派遣

元に対して誓約書の提出させること、その誓約書の写しを派遣先に提出することも派遣の条件

としておくとよいであろう。また、派遣労働者が秘密を漏えいした場合には、派遣元が損害賠

償額の支払の責任を負う旨などを定めておくなどの措置も考えられる。

ところで、労働者派遣法第 24 条の 4 は「派遣元事業主及びその代理人、使用人その他の従

業者は･･････その業務上取り扱ったことについて知り得た秘密を漏らしてはならない。派遣元

事業主及びその代理人、使用人その他の従業者でなくなった後においても、同様とする。」と

定めている。この条文にいう「従業者」とは派遣元において勤務する従業者のほか、派遣労働

者も含むため、派遣労働者は労働者派遣法上「秘密を守る義務」を負うということになる。し

かし、この義務は、労働者派遣法の性質から、該当する者が国に対して負っている義務（公法

的な義務）である。派遣労働者が派遣先企業に対してこの義務を負うものではない。したがっ

て、やはり上記のように労働者派遣契約の中での対応が必要となるといえる。

派遣先は、派遣労働者の就業に際して、当該企業において秘密としている事項又は一般の従

業員が負っている秘密保持の内容について、派遣労働者に周知すべきである。そして、秘密保

持について教育訓練が必要になる場合には、派遣先企業はこれを実施することができる。派遣

労働者は、派遣先企業の指揮命令下で使用されるため、派遣先企業で指揮命令を受けて職務を

遂行する上で必要な教育訓練であれば、派遣先企業は当該派遣労働者に教育訓練を命ずること

ができるからである。このことについても、できるかぎり労働者派遣契約の中に明確化してお

いた方がより適切であると思われる。


・民法第第 709 条

・労働者派遣法第 24条の 4、第 26 条


(4) 裁判例

特になし

3-2.1.11. 構内で業務する委託先社員（請負契約）からの誓約書の取得

委託元企業は、秘密情報流出防止の目的で、構内作業を委託47している委託先企業の従業

47 委託=請負又は準委任。ただし、法領域によって若干意味が異なっている。

110

員から構内情報セキュリティルールの遵守を求める誓約書を取得することができるか。

作業を委託した委託元企業が直接、委託先企業の従業員から誓約書を取得してもよいか。

秘密情報流出防止の目的で、委託元企業が直接、委託先企業の従業員に教育を実施するこ

とができるか。

(1) 考え方

委託元企業（注文者・委任者）は、構内作業を委託している委託先企業（請負人・受任者）

の従業員に対して指揮命令権を有しないので、誓約書を差し入れるよう直接命令し、もしくは

教育を受けるよう直接命令することはできない。委託元企業としては、委託先企業と締結しよ

うとする委託契約（業務処理請負契約等）の中に、委託先企業が委託先企業の従業員から委託

元企業所定の秘密保持に関する誓約書を徴収し、それを委託元企業に提出する義務、及び、委

託先企業が同従業員に対し委託先企業所定の教育を受けるよう命じる義務を定めた条項を設

けておき、このような条項を盛り込んだ委託契約の締結を、委託先候補の企業に対して働きか

ける方法によることが考えられる。

(2) 説明

委託契約（業務処理請負契約等）の場合にも、委託先企業の従業員が委託元企業の事業場で

業務することがある。しかし、当該労働者は、労働者派遣法に基づく派遣労働者ではない上に、

委託元企業と当該従業員の間には、労働契約等、直接の契約関係が存在していない（大阪地裁

平成 13 年 3 月 23 日判決・労判 806 号 30 頁、大阪高裁平成 15 年 1 月 28 日判決・労判 869 号

68 頁）。したがって、当該従業員に対する指揮命令権は、委託先企業に帰属しているにすぎず、

これを委託元企業は有していない。そのため、委託元企業は当該従業員に対して誓約書を提出

し、もしくは教育訓練を受けるよう、直接命令することはできない。ただし、当該従業員にお

いて、任意の判断に基づき、委託元企業の求めに応じ、自主的に誓約書を提出し、もしくは教

育訓練を受けることは妨げない。

今日においては、秘密情報流出防止の目的で、委託先企業の従業員にも秘密保持を求める必

要性が高い。そのため、委託元企業としては、秘密保持に関し詳細な条項を定め、委託先企業

が委託先企業の従業員から委託元企業所定の秘密保持に関する誓約書を徴収し、それを委託元

企業に提出すべき義務、委託先企業が同従業員に対し委託先企業所定の教育を受けるよう命じ

る義務を定めた条項を入れた委託契約（業務処理請負契約等）を作成しておき、このような内

容の委託契約を締結する意思を有する委託先候補企業との間において、当該契約を締結する方

法によることが考えられる。これを締結した委託先企業は、前記義務の履行として、同従業員

に対し誓約書の提出を命じて、徴収した誓約書を委託元企業に提出し、もしくは、同従業員に

対し委託先企業所定の教育を受けるよう命じることになる。また、委託元企業が委託先企業向

けに作業場の順守内容説明会などを開催する場合、委託先企業が自社の教育訓練の一環として

自社の従業員を参加させることも差し支えない。

111

形式的に委託契約という名称にしていても、現実に企業が委託先企業の従業員に直接命令す

るような状況があれば、偽装請負との指摘を受ける可能性がある（大阪高裁平成 20年 4月 25

日判決・労判 960 号 5 頁）。偽装請負により労働者を派遣している企業は、派遣禁止業務への

労働者の派遣（労働者派遣法第 4条第 1項）や、派遣事業の許可なしの労働者派遣（同法第 5

条第 1項）、派遣事業の届出なしに労働者派遣（同法第 11 条第 1項）などにあたれば、それぞ

れ罰則（同法第 59条）により処罰されうる。


・労働契約法第 6条

・労働者派遣法第 2条第 1号、第 4条第 1項、第 5条第 1項、第 11 条第 1項、第 59

条

・職業安定法 4条 6項

・昭和 61 年労告 37 号「労働者派遣事業と請負により行われる事業との区分に関する

基準を定める告示」

(4) 裁判例

本文中にあげたもの

3-2.1.12. 委託先従業員に対する情報セキュリティルールの徹底

企業が、情報セキュリティの観点から、自企業構内で就労する委託先企業の従業員に対し

て次のような措置をすることに、労働法上の問題はあるか。特に、企業が施設管理権を根

拠としてこのような措置をする場合、そのことを理由として当該措置が合法的なものとな

るといえるか。

①清掃・宅配業者から目にしたものの秘密を保持する旨の誓約書をとること

②常駐する委託先の従業員に具体的な施策（コンピュータ使用時のウイルス対策、パスワ

ード保護など）を実施させること

③セキュリティ違反の疑いがある時の調査協力義務を直接委託先従業員に課すこと

(1) 考え方

企業が、委託先企業の従業員に対して直接、情報セキュリティ上の対応を求めることについ

ては、職業安定法や労働者派遣法の規制を受けない適法な業務委託（業務処理請負）に該当す

るための要件を逸脱しないことに留意が必要となる。

この点については、情報セキュリティ上の合理的な理由に基づく措置であれば、例外的に委

託元企業が委託先企業の従業員に対して直接指示することも許容される場合があると解され

るが、こうした扱いはあくまでも例外的と位置づけられるものであることに留意した対応を採

ることが必要だと考えられる。施設管理権に基づいて企業が行う措置についても、このような

112

枠組みの中で判断されることになると考えられる。

(2) 説明

1) 適正な業務委託のための労働法上の要求事項

企業が業務委託（業務処理請負）を利用して事業を遂行する場合、労働法上の法令遵守とい

う観点からは、形式上は業務委託であってもその実質において職業安定法が規制する労働者供

給もしくは労働者派遣法が規制する労働者派遣に該当するものとして、これらの法律による規

制を受ける事態（いわゆる偽装請負）を生じさせないという点に、特に留意が必要となる。こ

のような観点から合法的な業務委託となるために満たすべき事項は、現行法上、労働者供給と

の区別については職業安定法施行規則第 4条、労働者派遣との区別については「労働者派遣事

業と請負により行われる事業との区分に関する基準」（昭和 61 年労働省告示第 37 号）におい

て定められており、委託元、委託先の双方がこれらの定めを遵守することが必要となる。

設問のように委託元企業が、情報セキュリティ上の必要性に基づいて委託先従業員に対し、

委託先企業を介さずに直接的な関与を行おうとする場合、主として問題になるのは、上記の定

めのいずれにおいても、適法な業務委託に該当するためには、委託先の従業員に対する指揮命

令は委託先のみが行うことが必要とされている点である。すなわち、設問のようなケースでは、

委託元企業が委託先従業員に対して直接指揮命令を行ったものとして、適法な業務委託に該当

しないのではないかが問題となる。

2) 委託元企業の施設管理権との関係

この点については、委託先従業員が委託元企業の施設内で就労する場合、委託元企業が施設

に関して有する施設管理権が、情報セキュリティ上の関与を委託先企業の従業員に対して直接

行うことの正当化根拠となりうるかが問題となる。この点については、裁判例等による確立し

た実務上の判断基準は存在しないが、次のように考えることが可能であろう。

まず、施設管理権の意味を明確にしておく必要がある。施設管理権という概念は、労働法の

裁判実務においては一般に、企業が従業員に対して有する企業秩序定立・維持権の一内容と把

握され、従業員が企業施設内で行う労働組合活動や政治活動に対する規制や、その違反に対す

る懲戒処分の根拠として用いられる概念である（最高裁昭和 54 年 10 月 30 日第 3 小法廷判決

民集 33 巻 4 号 647 頁参照）。これに対し、ここでの文脈での施設管理権とは、こうした概念と

は異なり、企業がその施設に関して有する所有権等の物権的な権利に基づいて、施設の保全を

危うくする行為を規制したり、このような行為を行う者を企業施設から排除したりする権利で

あると考えられる（施設管理権を企業秩序定立・維持権と捉える方がそれによって規制が正当

化される範囲はより広いものとなるが、判例上、企業秩序定立・維持権は労働契約に付随して

発生する権利とされており（最高裁昭和 58 年 9 月 8 日判決・判時 1094 号 121 頁参照）、直接

の労働契約関係が存在しない委託元企業と委託先従業員との間には妥当しないと考えられる）。

物権的な権利は何人に対しても主張しうるものであるので、このような意味での施設管理権は、

113

直接の契約関係にない委託先従業員との関係においても、委託元企業が情報セキュリティ上の

措置を行う根拠となりうるものである。

もっとも、このように考えるとしても、前述した適法な業務委託の実現との関係で、委託元

企業の施設管理権を根拠として委託先従業員に対して直接的な関与をすることが正当化され

る範囲は限定的なものだと考えられる。すなわち、前述した業務委託と労働者派遣・労働者供

給を区別する基準においては、委託先従業員に対して行われる業務の遂行や服務規律に関する

指示・管理は、そのすべてを委託先企業が行うことが原則となっており、その際に指示・管理

の法的根拠や法形式は問題とされていない。そこで、施設管理権についても他者にその行使を

委託することは可能である以上、施設管理権に基づく委託先従業員に対する指示・管理につい

ても、それが業務遂行や服務規律に関するものである限り、原則的には委託先企業が委託元企

業から委託を受けてこれを行うことになると考えられるのである。

そうすると、結局のところ、委託元企業が（物権的権利としての）施設管理権に基づいて委

託先従業員に対する直接的な関与を行うことが許容されるかどうかという問題も、そのことに

ついて合理的理由が認められるかどうかという、次に挙げる枠組みの中で判断されることとな

り、そこにおいて、施設管理権の裏付けを伴う措置であることは、合理的理由の存在を根拠づ

ける方向で考慮される要素と位置づけられることになると考えられる。

3) 委託元が行う関与についての基本的な考え方

前述したように、労働法の観点から適法な業務委託に該当するためには、委託先従業員に対

する業務遂行や服務規律に関する指示・管理はすべて委託先が行うことが原則として要求され

る。

もっとも、現行の行政実務におけるこの問題の処理の基準を定める取扱要領においては、労

働者派遣と業務委託の区別に関する上記告示の該当部分について、次のような解釈を示してい

る。

「当該要件の判断は、当該労働者に係る事業場への入退場に係る規律、服装、職場秩序の保

持、風紀維持のための規律等の決定、管理につき、当該事業主〔注：委託先企業〕が自ら行う

ものであるか否かを総合的に勘案して行う。

なお、安全衛生、機密の保持等を目的とする等の合理的な理由に基づいて相手方〔注：委託

元企業〕が労働者の服務上の規律に関与することがあっても、直ちに当該要件に該当しないと

判断されるものではない。」

このように、情報セキュリティ上の指示が、「機密の保持･･･を目的とする･･･合理的な理由」

に基づいて行われるものである場合には、諸事情を「総合的に勘案」する判断の中で、当該指

示の存在を理由として適法な業務委託であることが否定されない余地があることが認められ

ている（労働者供給との区分についても、同様に解してよいと考えられる）。

4) 具体的対応策

114

上記取扱要領においては、どのような場合であれば委託元企業が情報セキュリティ上の関与

を直接行っても適法な業務委託であることを否定されないかについて具体的には定めていな

い。この点については、次のように考えることが可能であろう。

まず、どのようなものが委託元による直接の関与を許容する「合理的な理由」に該当するか

であるが、委託先従業員への指示・管理は委託先が行うのが原則である以上、こうした「合理

的理由」に該当するのは例外的な場合に限られることになる。具体的には、委託業務との関係

で特に求められる措置というよりはむしろ、施設管理権に基づいて委託先企業の施設に立ち入

る者に対して等しく求められる措置という性格が強い事項であることや、緊急性が高いなど情

報セキュリティを損なわないためには委託元が直接委託先従業員への関与をする必要が特に

大きい状況であることが、「合理的な理由」の存在を根拠づける要素になりうると考えられる。

設問との関係で具体的にみると、まず、①の誓約書の徴収については、基本的に委託業務に

関連した措置であり、委託先を介して行うべきものであろう。②の作業に際しての情報セキュ

リティ措置の実施についても、基本的には同様である。ただし、委託先従業員が情報セキュリ

ティ措置が十分でない状態で就労することにより、情報セキュリティが損なわれる事態が発生

する具体的な危険が生じていたり、まさに生じようとしているような場合には、委託元がセキ

ュリティ措置の遵守を求め、これが十分でない場合に委託先従業員の就労を阻止することが例

外的に許容されよう。③の調査協力についても、禁止された情報媒体の持ち出し等の情報セキ

ュリティを損なう行為が現に行われていることについて具体的な疑いがあるような場合には、

委託元が委託先従業員に対して直接、調査に応じることを求めることも許容されるものと考え

られる。ただし、企業が行う所持品検査等の調査については、そもそも強制にわたる調査はな

しえないことに留意が必要である。このほか、委託元が直接行うことが許容されうる措置とし

ては、入構時の身元確認などが考えられる。

いずれにしても、委託先企業としては、問題となる指示等の関与を行う必要性について、可

能な範囲でできるだけ具体的な情報セキュリティ上の理由を示せるようにしておく必要があ

るといえる。

次に、適法な業務委託に該当するかどうかは、情報セキュリティ上の指示以外の面も含めた

諸事情を勘案した上での総合的な判断として行われるものであるから、情報セキュリティその

他の合理的理由が存在しない場面で直接的な指示が行われていないかどうかが、結論を左右す

るといえる。このような観点からは、情報セキュリティの観点から行う関与の内容・範囲を明

確にしておき、このような指示と、一般的な業務遂行上、服務規律上の指示が混在していると

評価されないようにすることを留意すべきである。


・職業安定法施行規則第 4条

・「労働者派遣事業と請負により行われる事業との区分に関する基準」（昭和 61 年労

働省告示第 37号）

115

・同取扱要領

(4) 裁判例

特になし

3-2.1.13. 委託先への情報セキュリティ実施状況の調査・監査（※調整中）

委託元から委託先に業務を依頼するとき、委託先管理の一環として、事前に取扱い業務の

情報セキュリティの順守及び実施状況を調査・監査することは、契約で定めれば可能か。

また、可能な場合にはどの範囲の調査まで認められるか。（現地確認、インタビュー、関

連遵守規定の有無と内容、教育実施仕様及びサーバ操作ログ48等の概要など）

(1) 考え方

委託元から委託先に業務を依頼するとき、委託先管理の一環として、事前に取扱い業務の情

報セキュリティの順守及び実施状況を調査・監査することは、契約で定めれば可能である。た

だし、そのような確認がいつの時点でどの程度まで可能であるかについては、委託元と委託先

の契約により定まることになる。

(2) 説明

営業秘密や個人情報を取り扱う業務を自らが直接コントロールできない組織に委託するこ

とは、それらの情報が委託先において不正利用されたり、委託先において情報漏えい等が生じ

るリスクがどの程度あるかが分かりにくいため、あるいは、リスクの程度が分かったとしても

適切なコントロールを直接行うことができないため、委託先で情報がどのように取り扱われて

いるかを把握することは企業のリスク管理の観点から重要である。

しかし、どの程度の確認をすればよいのかは、取り扱う情報の重要性及びそれを確認するた

めのコストとのバランス等を考慮して委託先及び委託元の間で決することになる。

なお、委託先での情報の管理状況を確認するためには、委託元が確認するためのコストのみ

ならず、委託先がその確認に対応するためのコストも発生することに留意しなければならない。

委託先の情報管理状況を十分に確認できない場合は、保守的に見積もって、情報漏えい等が

発生するリスクを高いとしなければならない場合もありえる。

委託先の情報セキュリティ対策もまた秘密情報であるため、具体的な運用の仕方まで委託先

に知られたくない場合や委託先が複数の組織の情報を預かっているため特定の委託元に関す

るデータのみを抜き出して確認させることが不可能という場合、委託元が第三者に情報の管理

状況に対する確認を依頼し、報告書を入手し、その報告書を委託先に提示するという方法も考

えられる。

48 サーバ上で行われた操作の全ての履歴が記録されたファイル。

116


特になし

(4) 裁判例

特になし

第3節労働法、労働者派遣法、従業員のプライバシー保護との関係－事後対応策

3-3.1.1. 私用メールを行ったことを理由とする解雇・懲戒処分

3-2.1.4.の場合、従業員に対して私用メールを行っていたこと自体を理由に解雇や懲戒処

分を行うことは許容されるか。

(1) 考え方

従業員による私用メール等の行為は、解雇や懲戒処分の根拠となり得る。ただし、こうした

処分を実際に行うためにはまず、私用メール規制について定めた規程を作成し、従業員に周知

する等の形で、私用メール規制に関する服務上の規律が徹底されていることが重要である。こ

のような徹底がなされていない場合、解雇や懲戒処分の許容性は大きく減殺される。こうした

私用メール等を規制する規程が整備された上で、その違反に対して解雇や懲戒処分を行う際も、

私用メール等によって情報漏えい等のインシデントが現実に生じた場合にそのことを理由と

して行う処分は別として、私用メール等の禁止規定の違反それ自体を理由としては解雇や重い

懲戒処分を課すことはできず、また、違反の程度が軽微である場合には、軽い懲戒処分であっ

ても懲戒権の行使が権利濫用とされる可能性があると考えておくべきである。

(2) 説明

1) 私用メール等を理由とした解雇や懲戒処分の効力を判断する枠組み

私用メール等を理由とした解雇や懲戒処分の効力も、一般的な解雇・懲戒処分の効力を判断

するのと同様の枠組みで判断される。すなわち、解雇については就業規則等で定められた解雇

事由への該当性、解雇権濫用の成否（労働契約法第 16 条）などが、懲戒処分については就業

規則上の根拠規程の存否、就業規則上の懲戒処分事由への該当性、懲戒権濫用の成否（労働契

約法第 15条）などが、それぞれ問題となる。

なお、本項目の設問は、情報漏えい等の情報セキュリティ上のインシデントが発生していな

い段階における予防策の一環として、私用メール等について解雇や懲戒処分を行う場面を念頭

においているが、実際には、私用メール等を理由とした解雇や懲戒処分は、私用メール等を通

じた情報漏えいや、企業の信用失墜等の問題が生じた後の段階で、こうしたインシデントの発

生や信用失墜行為等を理由とした解雇・懲戒処分と一体のものとして行われることも多い（後

掲の裁判例もほとんどがこのような事案である）。

117

このようなケースでは、通常、インシデントの発生や信用失墜行為等の方が、解雇や懲戒処

分の主たる理由とされる（インシデント発生を理由とした解雇・懲戒処分等については

3-3.1.4. 参照）が、私用メール等の解雇事由・懲戒処分事由該当性や、その重大性の判断も、

解雇や懲戒処分の効力（特に権利濫用の成否）に一定の影響を及ぼす。その場合の、私用メー

ル等に関する判断のあり方については、本項目での説明が妥当すると考えてよい。

2) 解雇・懲戒処分の根拠・効力についての考え方及び裁判例

私用メール等の行為は、前述（3-2.1.4. ）のように、業務用機器等の業務目的外利用や職

務専念義務違反（勤務時間中に行われる場合）等の観点から、従業員の服務上の義務に違反す

るか、少なくとも服務規律上望ましくない行為と評価できる。このため、このような行為に対

して適用できる就業規則上の解雇事由や懲戒処分事由の定めがある場合、こうした行為が当該

定めに基づく解雇や懲戒処分の根拠となり得ることは、一応肯定できる（解雇の根拠規定とし

ては、勤務態度不良、服務上の義務違反などを解雇事由とする定め、懲戒処分の根拠規定とし

ては、会社財産の私的利用、服務上の義務違反などを懲戒処分事由とする定めが、それぞれ該

当するであろう。また、解雇事由や懲戒処分事由の定めを列挙した末尾に「前各号に準ずる事

由のあるとき」といった包括的な解雇事由・懲戒処分事由の定めが置かれているときに、これ

を根拠規定とする余地もあると考えられる）。

しかし、裁判例を見ると、私用メール等の規制について服務規律上の明確な定めが存在しな

い場合や、何らかの定めが存在しても、これに抵触する従業員の行為に対して注意喚起がされ

ることがないなどその周知徹底が十分でない場合には、一定の範囲内での私用メール等は黙認

されていたと認められる等の理由により、問題となった私用メール等の行為について、解雇事

由や懲戒処分事由に該当するとはいえないとされたり、該当するとしても解雇や懲戒処分の根

拠として重く見ることはできないと評価されたりする傾向にある（東京高裁平成 17 年 11 月

30 日判決・労判 919 号 83 頁及びその原判決東京地裁平成 17年 4月 15 日・労判 895 号 42 頁、

東京地裁平成 19 年 9 月 18 日判決・労判 947 号 23 頁、東京地裁平成 19 年 6 月 22 日判決・労

経速 1984 号 3 頁、札幌地裁平成 17 年 5 月 26 日判決・労判 929 号 66 頁、東京地裁平成 15 年

9 月 22 日判決・労判 870 号 83 頁等）。

なお、これらの裁判例においては、私用メール等以外の事由も解雇や懲戒処分の根拠として

主張されており、むしろ私用メール等以外のものが主要な根拠である場合が多いため、私用メ

ール以外の点についての判断に左右される形で結論は分かれている。一方、4～5 年の間に業

務用アドレスを用いて行ったメール送受信件数各千数百件の半数以上が私用メールで、解雇直

近の時期には送受信件数百数十件の 8割以上が私用メールであった月もあり、しかも私用メー

ルの受信から返信まで間がないケースが多いという事案で重大な職務専念義務違反が認めら

れ、結論としても懲戒解雇が有効となった例として福岡高裁平成 17 年 9 月 14 日・労判 903

号 68 頁があるが、当該判断に際しては、私用メールがいわゆる出会い系サイトへの登録に伴

うものであったことによる企業（専門学校）の名誉・信用毀損の点が重視されており、また、

118

原判決である福岡地裁久留米支部平成 16 年 12 月 17 日判決・労判 888 号 57 頁では懲戒解雇は

重すぎるとして権利濫用により無効とされている点から見ても、私用メールの点のみから懲戒

解雇が認められたとは必ずしもいえない。

3) 私用メール等を理由とした解雇・懲戒処分に関して企業がとるべき対応・留意点

上記のような裁判例の状況をもとに考えると、企業として情報漏えいリスクの軽減等の情報

セキュリティの観点から、私用メール等に対して具体的状況に応じて的確に懲戒処分・解雇等

の対応をとろうとする場合、私用メール等の規制について具体的に定めた規程を設けておくべ

きである（電子メール等のモニタリングに関する規程を設ける場合には、その中に私的利用の

規制に関する定めを置くことになろう。3-2.1.3. （2）2）参照）。併せて、懲戒処分について

は、規程上の私用メール規制の定めに違反した場合に適用される就業規則上の懲戒処分事由の

定めを明確化しておく(必要なら就業規則を改めて根拠となる定めを設ける）べきである(同様

のことは解雇についてもいえるが、後述のとおり、こうした規程の違反のみを理由として解雇

が認められるとは考えにくい）。

また、こうした規程は、その内容を従業員に周知させるとともに、これに抵触する従業員の

私的利用行為に対しては適宜に注意するなど、平素よりその内容を徹底しておく必要がある。

なお、こうした規程を設ける際に、私用メール等について全面禁止かそれに近い厳しい規制を

設けることについては、前述（3-2.1.4. ）のように注意を要する。

次に、具体的に解雇や懲戒処分を行う場面での留意点についてみると、前述（2））のとおり、

これまでの裁判例においては、私用メール等の規制に関する服務規律が未徹底の事案がほとん

どという前提ではあるが、総じて言えば、私用メール等それ自体は、解雇や懲戒処分を根拠付

ける重大な事由とは評価されない傾向にある。また、一般的にいっても、私用メール等それ自

体は、例えば情報漏えい、企業の信用失墜等の行為と比べると、使用者にもたらす打撃・損害

の程度は大きくない場合が多いと考えられる。

このようなことを考慮すると、私用メール等の規制に関する服務規律が徹底された状況下に

おいても、私用メール等の禁止規定の違反のみを理由としては解雇や重い懲戒処分を課すこと

ができず、また、違反の程度が軽微である場合には、軽い懲戒処分であっても懲戒権の行使が

権利濫用とされる可能性があると考えておくべきであろう（なお、既に触れたことの繰り返し

であるが、私用メール等によって、情報漏えい、業務運営上の具体的支障、企業の信用失墜等

のより重大な問題が引き起こされた場合、後者については、解雇や重い懲戒処分の根拠になり

得る）。


・労働契約法第 15 条、第 16 条など

(4) 裁判例

119


3-3.1.2. 情報流出事故が発生した場合の対応(1)－従業員の調査協力、始末書の徴収、教育

訓練の実施

情報流出事故を発生させた従業員に対し、調査に協力させたり、始末書を徴収したり、情

報セキュリティ啓発教育を受けさせたりする等の措置をとる際に労働法上考慮すべき事項

としてはどのようなものがあるか。

(1) 考え方

1) 従業員の負う調査協力義務

情報流出事故が発生した場合、この事故にかかわる従業員は、調査に協力する義務を負うと

考えられる。

2) 始末書の提出

始末書の内容が客観的に状況説明に過ぎないものであれば、業務命令により提出を命ずるこ

とができる。これに対して、謝意を強制する内容の始末書の提出命令に関しては、懲戒処分と

なるので、あらかじめこのような始末書提出義務を定める就業規則上の規定が必要である。

3) 教育訓練

業務命令により情報セキュリティ啓発教育を受けさせることができる。ただし、その教育内

容が、実質的に教育の意味がない見せしめ的なものであるときは、業務命令権の濫用となる。

(2) 説明

1) 従業員の調査協力

企業が行う従業員による企業秩序違反行為の調査について他の従業員の協力義務が問題と

なった判例は、従業員の調査協力義務を肯定しつつも、それが「労働者の職務遂行にとって必

要かつ合理的なものでなくてはならない」としている。

そこで、情報流出事故が発生した場合、この事故を解明するのに必要かつ合理的な範囲での

調査に関して、従業員はこれに協力する義務を負うと考えられる。これに関しても、事故発生

の場合には、調査があり得る旨をあらかじめ規程において明確にしておく必要がある。

2) 始末書の提出

始末書の内容が状況説明に過ぎないものであれば、業務命令により提出を命ずることができ

る。これに従わない業務命令違反に対しては、懲戒処分を課すことは可能である。この場合、

状況説明としての具体的内容として、反省点を列挙させたり、今後気をつけていくべきこと、

120

心構え等について、書かせることは、業務命令権の範囲内であるといえ、問題なく行えよう。

これに対して、その内容に「謝意」が含まれる場合には、懲戒の一類型としての始末書の提出

となるので、これを義務付ける就業規則上の規定が必要である。

ところで、「謝意」を求める、すなわち、「謝らせる」という行為は、従業員の良心、思想、

信条等と微妙にかかわる内的意思の表明を求めるものであるから、反省を強要することにもな

り、個人の良心・内面の自由の観点から問題となる可能性がある。このような危険を冒して「謝

らせよう」とあまりに感情的になるよりも、今後二度と同様の事件が生じないよう冷静・客観

的に事態を収拾することのほうが得策であろう。

3) 教育訓練

教育を実施する権利は、労働契約から派生し、特に長期雇用システムにおいては幅広い教育

訓練の実施の権限が企業にはあると考えられる。しかし、内容が業務遂行と関係がなく、過度

の苦痛を伴うなどいわゆる「いじめ」的制裁を含むような場合などは、権利濫用となる。情報

セキュリティ啓発教育に関しても、この点に特にこの点に問題が生じていない限り、命令する

ことは、可能である。


・労働基準法第 89 条第 9号

(4) 裁判例

・最高裁第二小法廷昭和 43年 8月 2 日判決・民集 22巻 8号 1603 頁


・大阪地裁堺支部昭和 53年 1月 11 日判決・労判 304 号 61 頁

・東京地裁昭和 42 年 11 月 15 日判決・労民 18巻 6号 1136 頁

・東京地裁昭和 62 年 1 月 30 日判決・労判 495 号 65 頁

・大阪地裁昭和 50 年 7 月 17 日判決・労経速 892 号 3 頁

・高松高裁昭和 46 年 2 月 25 日判決・労民 22巻 1号 87 頁

・大阪高裁昭和 53 年 10 月 27 日判決・労判 314 号 65 頁

・最高裁第二小法廷平成 8年 2月 23 日判決・労判 690 号 12 頁

3-3.1.3. 情報流出事故が発生した場合の対応～私物 PC の調査～

従業員が私物 PC に業務上の情報を保有しており、Winny などにより、その情報が流出事

故を生じさせた場合、従業員の私物 PC を調査する際に、必要となること（手続きや注意

事項）は何か

従業員が企業の調査に協力しない場合の懲戒は可能か。

121

委託元企業で委託契約によって構内業務を行っている委託先企業の従業員が同様の情報

の流出事故を発生させた場合、当該従業員の私物 PC の調査をするために必要となること

（手続きや注意事項）は何か。

(1) 考え方

従業員が私物 PC に業務上の情報を保有し、その情報の流出事故を生じさせたような場合、

会社は強制的に当該従業員の私物 PC の調査を決行できない。しかし、当該従業員に対して労

働契約上、従業員に調査協力義務がある場合には調査協力を求めることは可能であり、調査に

協力しない従業員に対し、会社は、調査協力義務違反を理由に懲戒処分にすることができる。

従業員の私物 PC の調査を行う場合には、調査を必要とする合理的理由に基づくこと、妥当

な方法と程度で行われること、同様の従業員に対して実施される制度として確立しておくこと、

就業規則に明示的に規定しておくことが必要である。

しかし、従業員の私物 PC には、会社の調査権限は及ばないので、懲戒処分が可能であって

も、調査協力を拒む従業員の私物 PC に対して強制的に調査を実施することはできない。

(2) 説明

1) 従業員の調査協力義務

企業は、企業秩序違反事件について調査をすることができる。しかし、最高裁は、このこと

から直ちに、労働者が、これに対応して、いつ、いかなる場合にも、当然に、企業の行う右調

査に協力すべき義務を負っているものと解することはできないとしている。従業員の調査協力

義務について、労働者が企業秩序違反事件において調査協力義務を負うのは次の二つの場合で

あることが明確にされている。

第 1に、管理職などのように、その職責に照らして職場秩序維持に責任を負っているために、

調査に協力することが職務の内容となっており、調査に協力する義務が労務提供義務の履行そ

のものであるといえる場合である。

第 2 に、一般の従業員であっても、労働者が労務提供義務を果たす上で必要かつ合理的であ

ると認められる範囲においてこの義務を負うことになる。

調査協力義務に関して、具体的には、調査対象である違反行為がどのような性質･内容を有

するものであるのか、違反行為が労働者の職務遂行とどのような関係にあるのか、ほかに適切

な調査方法がないのか等が総合的に判断されることになる。

これを前提とすると、たとえば、従業員が私物 PC に業務上の情報を保管し、Winny などに

より、その情報の流出事故を生じさせたような場合、かかる行為は、企業に多大なる損害を与

える性質・内容であり、従業員の職務遂行上密接に関係するものであり、事件を解明するため

に従業員の私物 PC を調査する方法として合理性があると考えられるので、従業員は、調査協

力義務を負うといえよう。

122

2) 調査の際の注意事項

従業員の私物 PC は、あくまでも従業員個人の所有物である。そのため、私物の調査に関し

ては、一定の配慮が要請される。私物の検査に関しては、最高裁が、従業員の所持品検査に関

して、以下の 4つの要件が満たされていなければならないとしている（最高裁第二小法廷昭和

43 年 8 月 2 日判決・民集 22 巻 8 号 1603 頁）。①所持品検査を必要とする合理的理由に基づく

こと、②一般的に妥当な方法と程度で行われること、③制度として職場従業員に対して画一的

に実施される（事件に関連する労働者すべてに実施し、一定の労働者のみを狙い撃ちにしては

ならない）ものであること、④就業規則その他明示の根拠に基づき行われることである。

①に関しては、調査を必要とする合理的理由に基づくこと、これは、現に秘密漏えい事故が

あり、当該従業員にその漏えいの疑いを持つことに合理的な根拠があれば、実施することが可

能であるといえよう。②に関しては、妥当な方法と程度で行われること、とくに、私物 PC に

は、プライバシー情報が多く含まれていることが予想される。慎重に行う必要がある。③に関

しては、情報流出事故が発生した場合、同様の従業員に対して調査が実施されることを制度と

して確立しておくことが必要であろう。④に関しては、就業規則に明示的に規定しておくこと

が必要である。このような要件を満たせば、調査をすることは可能となろう。

3) 情報漏えいを発生させた従業員への対応

調査協力を拒む従業員に対しては、懲戒処分で臨むことになろう。しかし、企業は、従業員

の私物 PC を調査する権限があるわけではないので、あくまでも従業員の調査協力が前提とな

る。調査協力を拒否する従業員に対しては、就業規則などに根拠がある場合には懲戒処分を行

うことが可能であるが、それを超えて、強制的に調査を決行することはできない。

また、損害が生じた場合には、当該従業員に損害賠償請求をすることも可能であるが、使用

者から労働者に対して行う損害賠償請求に関しては、裁判例上、損害賠償額を請求額よりも減

額する傾向がある。これは、労働者に対する金銭賠償が、資力に乏しい労働者にとって過酷な

結果をもたらすことから、裁判所が、使用者が労働者の労働によって経済的利益を得ているこ

とを考慮し、公平の分担という見地から信義則（民法第 1条第 2項）に基づき、労働者の責任

を制限するものである。使用者が当該労働者に対して為す損害賠償請求については、「事業の

性格、規模、施設の状況、被用者の業務の内容、労働条件、勤務態度、加害行為に態様、加害

行為の予防若しくは損失の分散についての使用者の配慮の程度その他諸般の事情に照らし、損

害の公平な分担という見地から信義則上相当と認められる限度において、被用者に対し右損害

の賠償又は求償の請求をすることができる」とされている（最高裁第一小法廷昭和 51 年 7 月

8 日判決・民集 30巻 7号 689 頁）。

このような理由により、企業は損害の全額を補填できない可能性がある。また、漏えいが大

量のため、損害賠償額が多額となった場合は、資力の関係で、従業員から回収することが困難

な場合も想定される。したがって、事後的な損害請求によって対処するよりも、事前に私物

PC の職場内持込を可能な限り禁止する方法が、より現実的であろう（この点に関して

123

3-2.1.5. ）。また、データの持ち出しについても禁止事項としておくべきである。

4) 委託（委任・請負）の場合

企業（委託元）の構内で委託契約（業務処理請負）によって業務を行っている委託先企業の

従業員が同様の情報の流出事故を発生させた場合、委託元企業と、委託先企業の従業員は、直

接の契約関係が存在しないので、委託元企業が委託先企業の従業員に対し、直接、原則として、

当該従業員の私物 PC について、調査協力の命令を行うことはできない。

この点を考慮すると、委託先企業の従業員が企業の調査に協力するように委託先企業が命令

を行わせる義務を負うことを、委託元企業と委託先企業との間の契約（業務処理請負契約）の

中に規定として盛り込んでおくべきである。

調査を行うのは、企業であるが、企業の調査に委託先会社の従業員が応ずる義務の根拠は、

あくまで委託先会社と従業員との間の労働契約関係にあるということになる。命令できるのは、

委託先企業だけである。委託契約に上記のような条件をつけておき、企業において委託先会社

の従業員の私物 PC により情報流出が生じた場合、直ちに当該従業員に調査協力の命令を出す

よう委託先企業に請求することになる。

5) 派遣の場合

労働者派遣においては、派遣先企業に指揮命令権が認められるので、派遣先企業は、自己の

従業員と同様に派遣労働者に対して調査に協力するよう命じたり、教育訓練に参加するよう命

ずることができる。


・民法第 1条第 2項



(4) 裁判例

労働者の調査協力義務に関して、


労働者の所持品検査に関して、


労働者に対する損害賠償請求に関して、

・最高裁第一小法廷昭和 51年 7月 8日判決・民集 30巻 7号 689 頁

124

3-3.1.4. 情報流出事故が発生した場合の対応(2)－従業員に対する解雇、懲戒処分、損害賠

償請求等

企業が秘密性侵害行為などの情報セキュリティインシデントを発生させた従業員に対し、

解雇、懲戒処分、損害賠償請求等を行うことができるのはどのような場合か。

(1) 考え方

従業員が在職中に営業上の秘密の漏えい等の秘密性侵害行為を行うことは、原則的には従業

員が労働契約の付随義務として負っている秘密保持義務の違反に該当し、企業はこのような従

業員に対し、解雇、懲戒処分、損害賠償請求等の法的手段をとり得る。

ただし、具体的な解雇や懲戒処分の効力は、労働法上の判断枠組みに基づいて判断されるこ

とになる。

この他、秘密性の侵害以外の情報セキュリティインシデント（例えば、完全性の侵害に当る

情報の改ざん）についても、具体的行為態様に照らして解雇、懲戒処分、損害賠償請求の対象

となる場合がある。

(2) 説明

1) 秘密性侵害行為に対する解雇、懲戒処分、損害賠償請求

従業員が在職中に発生させる情報セキュリティインシデントのうち、これまでの裁判例にお

いて最も多く問題にされてきたのは営業上の秘密の漏えい等の秘密性侵害行為である。企業の

従業員（労働者）は、労働契約に付随する義務として、その在職中、秘密保持義務を負ってい

ると解されていることから、こうした秘密性侵害行為は原則的には当該義務の違反となる。

こうした場合、企業は、当該行為を行った従業員に対し、解雇、懲戒処分、損害賠償請求等

を行い得る。ただし、解雇及び懲戒処分については、それぞれの効力を判断する労働法上の枠

組みに依拠して具体的な効力が判断されることになる（懲戒解雇の場合には双方の枠組みに沿

った判断がなされる）。

すなわち、解雇については、解雇権濫用（労働契約法第 16 条）が主要な問題となり、従業

員の行為態様、問題となった行為の重大性等に照らして解雇の効力が判断される。懲戒処分に

ついては、あらかじめ就業規則に設けられた根拠規定に基づいて処分を行うことが必要である

ほか、ここでも、権利濫用の成否が問題となり（労働契約法第 15 条）、処分の根拠とされた行

為の重大性に比して重すぎる処分でないか、他の同種事案に対する扱いと均衡を失していない

か、等の点が問題になる（3-2.1.1. 参照）。

このほか、従業員の秘密性侵害行為によって会社に損害が生じた場合、労働契約上の債務不

履行若しくは不法行為に基づく損害賠償請求の対象となることもある。

近年の裁判例における具体的な判断としては、退職直前の従業員自らが関与した設計書類、

設計計算書等を自宅に持ち出した行為について、当該書類記載の情報を利用して退職後に競業

125

行為に及ぶ意図が推認できるなどとして懲戒解雇を有効とし、退職金を支給しないことも適法

であるとした例（大阪地裁平成 13 年 3 月 23 日判決・労経速 1768 号 20 頁）、新商品に関する

データ漏えい行為について、懲戒解雇に相当するものと認め、退職金を支給しないことも適法

であるとしたほか、データ保存費用等、当該商品の開発・情報管理のために会社が支出した費

用の一部に相当する額の損害賠償請求を認めた例（東京地裁平成 14 年 12 月 20 日判決・労判

845 号 44 頁）などがある。

一方、従業員に対する制裁が認められなかった例としては、従業員が、会社との間の雇用関

係上の紛争に関連する資料として弁護士に会社の顧客情報を渡した行為について、当該情報を

渡した経緯や相手方を考慮すると守秘義務違反に該当するとはいえないなどとして、懲戒解雇

を無効とした例（東京地裁平成 15年 9月 27 日判決・労判 858 号 57 頁）などが存在する。

2) 秘密性侵害行為以外の情報セキュリティインシデント

また、裁判例上の事例は少数であるが、完全性侵害行為（情報の改ざんや正確な情報の記録

を怠ること）について、具体的行為態様に照らして労働契約上の義務違反が認められる場合も

ある。具体例としては、農協職員による貸付金の担保に関する資料の改ざんを理由とした懲戒

解雇を有効とした例（大阪地裁平成 13 年 7 月 23 日決定・労経速 1783 号 17 頁）、先物取引会

社の従業員について、会社に対して自己の担当顧客の真実の氏名・住所等を告知する義務の存

在を認め、当該告知を怠ったことによって生じた回収不能差損金相当額の損害賠償を認めた例

（東京地裁平成 11年 11 月 30 日判決・労判 782 号 51 頁）などが存在する。


・労働契約法第 15 条、第 16 条など

(4) 裁判例


3-3.1.5. 従業員による秘密情報漏えいと内部告発（※調整中）

企業が、内部告発として秘密情報を漏えいした従業員に対して解雇や懲戒処分を行おうと

する場合、労働法上どのような問題が生じるか。

(1) 考え方

従業員の内部告発行為については、労働法上、企業・使用者による特定の労働法規違反を監

督行政庁に申告したことを理由として労働者を不利益に取り扱うことを禁止する法律上の定

めが存在する他、内部告発としての正当性が認められる場合、当該行為を理由とする解雇等の

不利益な取り扱いが禁止されるという判例法理が下級審裁判例において形成されている。この

ため、企業の秘密情報を外部に漏えいする従業員の行為についても、当該行為が、上述した各

126

種の内部告発に対する法的保護の要件を満たす場合、これに対して解雇や懲戒処分等の不利益

を課すことはできなくなる。

企業の対応としては、内部告発が社外に向けて行われることを回避しつつ問題に適切に対処

するための内部通報体制の整備が求められる。

(2) 説明

1) 従業員の内部告発に対する労働法上の保護の概観

従業員が企業の秘密情報を漏えいする行為を行った場合、労働法上は、当該従業員に対して

解雇、懲戒処分等の不利益を課すことの可否が問題となり、一般的にいえば、当該問題は、労

働契約法第 15条、16 条等が定める、当該不利益措置の効力を判断する枠組みの下で解決が図

られることとなる（以上のほか、損害賠償の問題も含めて 3-3.1.4. 参照）。

しかし、当該情報漏えい行為が、法律上保護された内部告発に該当する場合には、当該行為

を理由として従業員に上記のような不利益を課すことはできなくなる（解雇や懲戒処分であれ

ば、無効となる）。

従業員の内部告発に法的保護を与える労働法上の制度としてはまず、多くの労働法規の中に、

当該法規の違反を監督行政庁に申告したことを理由とする、当該労働者に対する不利益な取り

扱いを禁止する規定が置かれている（労働基準法第 104 条、労働安全衛生法第 97 条、労働者

派遣法第 47 条の 3 など。たとえば労働基準法違反の時間外労働について申告する際の証拠と

して、営業上の秘密を含んだ業務報告書が提出されるというように、こうした法違反の申告が

秘密情報の漏えいを伴う可能性はあるものと考えられる）。

また、このような法律上の明文の規定がない場合についても、下級審裁判例の積み重ねによ

り、内部告発に「正当性」が認められる場合には当該内部告発を理由とした不利益な取り扱い

の適法性を否定する法理が形成されている（その具体的内容は後述 2)を参照。なお、こうし

た判例法理は、労働契約法制定前の時期に形成されたものであるが、労働契約法施行後も同様

に妥当するものと考えられる）。

なお、従業員が行う内部告発については、公益通報者保護法が定める公益通報に該当する場

合、同法による保護の対象にもなる（3-3.1.6. 参照）。

2) 内部告発の正当性に関する判例法理

上述したように、内部告発が正当性を有する場合に、当該内部告発を理由とした従業員に対

する不利益取扱いを禁止する法理が下級審裁判例の積み重ねにより形成されているが、そこで

の正当性の判断は、以下の諸要素の総合判断によって行われる（代表的な例として、大阪地裁

堺支部平成 15 年 6 月 18 日判決・労判 855 号 22 頁。同様の枠組みにより、内部告発者を昇格

等について不利益に扱ったことが違法とされた例として富山地裁平成 17年 2月 23 日判決・判

時 1889 号 16 頁）。

127

・告発対象事実が真実であるか、又は告発者が真実と信じるのが相当であるといえる

か

・告発目的の相当性、公益性

・告発の手段、方法の相当性

秘密情報の漏えいと内部告発の関係が問題になった事例としては、福岡高裁宮崎支部平成

14 年 7 月 2 日判決・労判 833 号 48 頁が存在する。この事件では、金融機関の従業員が顧客情

報に不正にアクセスして社外に流出させたことなどを理由とする懲戒解雇の効力が争われ、第

一審判決ではその効力が肯定されたが、控訴審判決では、従業員の行為は内部の不正を糾すと

いう観点から金融機関の利益に合致するものであり違法性が大きく減殺されるとの判断が示

され、結論としても懲戒解雇は無効とされている（なお、これまでに挙げた裁判例はいずれも、

結論として労働者の保護を肯定したものであるが、裁判例による内部告発に対する保護のあり

方を把握する上では、東京高裁平成 14年 4月 17 日判決・労判 831 号 65 頁、大阪地裁平成 17

年 4 月 27 日判決・労判 897 号 26 頁、東京地裁平成 18 年 8 月 30 日判決・労判 925 号 80 頁な

どの保護否定例も参考になる）。

なお、このような枠組みの下で解雇や懲戒処分の効力が否定されない場合にも、解雇権濫用

（労働契約法第 16条）や懲戒権濫用（同 15 条）など、不利益な措置の効力を判断する枠組み

の中で内部告発に関する事情が考慮され、その結果として解雇等の効力が否定される場合もあ

る（後掲・東京地裁平成 21 年 6 月 12 日判決など参照）。

3) 企業内部への通報への対処

上述した、内部告発の保護に関する法理は、告発が企業の内部に向けて行われた場合にも、

基本的には妥当するものと考えられる（前掲・大阪地裁堺支部平成 15 年 6月 18 日判決は、主

要な告発先が生協の総代であった事案であり、企業内部に向けた告発ともいいうる事案であっ

た。なお、一般的にいえば、企業内部に向けた告発は、外部への告発と比較してその方法にお

いて穏当なものとして、上記枠組みの下で正当性が認められやすくなると考えられる）。もっ

とも、裁判例を参考にすると、いくつかの点では、企業外部への告発と比較して特殊な考慮が

なされるものと考えられる。

たとえば、東京地裁平成 21 年 6 月 12 日判決・労判 991 号 64 頁では、財団法人の総務部長

が財団の常務理事によるパワーハラスメント、セクシュアルハラスメント等の問題についての

報告書を理事長に提出したところ、降格的な配転命令を受け、更にその後に諭旨解雇されたと

いう事案において、当該報告書は問題是正の端緒となるものにすぎず、その内容中に客観的事

実と一致しない部分があるとしてもそのことから直ちに報告書提出行為が違法不当なものと

して懲戒処分事由に該当するとはいえない、という判断の下で当該報告の真実性を肯定した上

で、このような真実性のある文書を理事長に提出する行為自体は、総務部長としての職責を果

たす行為であって問題はなく、懲戒処分事由には該当しないとされている（結論としては、報

告書の内容自体やその内容を財団の業務と関係するボランティア団体の関係者に伝えた行為

128

が、パワーハラスメント、セクシュアルハラスメントの被害者とされる者のプライバシーに対

する配慮に欠けるものと評価されるなど、いくつかの点で懲戒処分事由該当性が肯定されたも

のの、総務部長の行為は、報告書提出後に降格的配転が命じられるという不当な降格人事に対

する対抗措置として行われた面があること等からすると、諭旨解雇に合理性・相当性があると

はいえないとして、解雇の効力が否定された）。同判決からは、企業内部への通報においては

通報内容の真実性が外部への通報の場合より緩やかに肯定される可能性があること、通報者の

職責等の事情によっては、通報行為が職務上の正当な行為に当たり、不利益な措置の根拠とな

しえなくなる可能性があること等が窺われる。

また、山口地岩国支部平成 21年 6月 8日判決・労判 991 号 85 頁では、農業協同組合の理事、

管理職従業員、次期総代会における理事・監事就任予定者らに対して組合理事が貸付規約違反

の貸付を行ったことを示す文書等（借主及び連帯保証人の氏名、借入金額、使途等の個人情報

を含むもの）を送付した従業員に対する懲戒解雇について、文書の送付先は理事・監事就任予

定者も含めて組合外の主体とはいえず、業務上の秘密や組合員の個人情報を組合外に漏らした

り漏らそうとしたりした場合という懲戒解雇事由への該当性が認められない等として、無効と

されている。

4) 企業の対応

以上のように内部告発に一定の法的保護が与えられることを前提とすると、企業としては、

従業員が企業内部における違法行為等問題のある行為の是正を図るために当該事実を通報し

ようとする場合にも、できるだけ企業内部への通報が行われるような体制を整えることで、内

部告発を通じた機密情報等の漏えいの防止を図る必要がある。こうした観点からは、企業内部

での違法行為について、内部通報の体制を構築するとともに、当該制度の運用について、通報

者の特定がなされないようにするなどの、通報自体についての情報セキュリティ確保や、違法

行為が発見された場合の迅速・適切な対応等を通じ、不利益取り扱いを恐れることなく実効的

な違法行為是正が期待できるものとしての従業員の信頼を高める努力が求められる。なお、以

上のような企業としての対応を検討する上では、公益通報者保護法に関して定められている、

「公益通報者保護法に関する民間事業者向けガイドライン」の内容も参考になる。


・労働契約法第 15 条、16条

・労働基準法第 104 条

・労働安全衛生法第 97 条

・労働者派遣法第 49条の 3

(4) 裁判例


129

3-3.1.6. 従業員による秘密情報漏えいと公益通報者保護法

企業が、秘密情報を漏えいした従業員に対して解雇や懲戒処分を行おうとする場合、公益

通報者保護法との関係で、どのような問題が生じるか。

(1) 考え方

従業員による秘密情報漏えい行為が公益通報者保護法で定める公益通報の要件を満たすも

のである場合、当該行為を理由とした解雇、懲戒処分等の不利益な取り扱いは、同法により無

効とされ、あるいは禁止される。

企業の対応としては、企業外への公益通報を通じて秘密情報が企業外に流出する事態を回避

しつつ問題に適切に対処するため、内部通報体制の適切な構築と運用が求められる。その際に

は、「公益通報者保護法に関する民間事業者向けガイドライン」が対応の指針となる。

(2) 説明

1) 公益通報者保護法による公益通報者保護の概要

公益通報者保護法は、同法第 2条にいう「公益通報」に該当する行為のうち、同法第 3条が

定める要件を満たすものについて、当該行為を理由とした解雇の無効及び解雇以外の不利益取

扱いの禁止を定めている（公益通報者保護法第 3条、同法第 5条。なお、派遣労働者による公

益通報については、派遣先による労働者派遣契約の解除の無効、派遣先による派遣労働者に対

する不利益取扱いの禁止も定めている。同法第 4条、同法第 5条第 2項）。

以上の各規定が定める公益通報者の保護要件は次の通りである。

① 通報を行った場合に保護の対象となり得る主体

・労働基準法第 9条が定義する労働者であること

上記の要件を満たす限り、いわゆる正社員であるか、パート、アルバイト、派遣社員等のい

わゆる非正社員であるかは問われず、全ての労働者の通報が保護の対象となり得る。また、上

記の労働者に該当するかどうかの判断は、実体に即してなされるので、請負契約、委任契約、

業務委託契約等を締結して就労している者（労務提供先等においては、労働者として扱ってい

ない場合が多いと考えられる）も、その労務提供や報酬の実体において労働者に該当すると判

断されることにより、保護の対象になる場合がある。

② 通報の対象となる事実（保護の対象となる通報の内容）

・次の i）及び ii）に該当する通報対象事実が生じ、又は、まさに生じようとしてい

ること

i）通報者の労務提供先（会社等）の行為、又は、労務提供先の役員、従業員、代

理人等が労務提供先の事業に従事するものとして行う行為であること

ここでいう「労務提供先」とは、ア）労働契約関係に基づいて労働者を直接雇用する事業者、

130

イ）労働者が派遣労働者である場合の派遣先事業者、ウ）労働者が他の事業者との契約関係に

基づき業務に従事する場合の当該他の事業者（取引事業者、グループ企業等）をいう。

ii）公益通報者保護法別表又はその委任に基づいて定められた政令に列挙された法

律の違反行為のうち、次のいずれかに該当するものであること（公益通報者保護法

第 2条第 3項）

・刑罰規定に違反する行為

・最終的に刑罰規定に違反する行為につながる法令違反行為（ある法令違反行為に対

して行政処分が予定されており、当該処分に違反した場合には刑罰の対象となるよ

うな場合を指す）

③ 通報先

・次の i）～iii）のいずれか

i)事業者内部（通報者の労務提供先又は労務提供先があらかじめ定めた者（例えば、

通報窓口として指定された社外の法律事務所等を指す）

ii)行政機関（通報対象事実について処分又は勧告等を行う権限を有する行政機関）

iii) その他事業者外部（その者に対し当該通報対象事実を通報することがその発

生若しくはこれによる被害の拡大を防止するために必要と認められる者。（通報対

象事実により被害を受け又は受けるおそれがある者を含み、当該労務提供先の競争

上の地位その他正当な利益を害するおそれがある者を除く））

④ 通報が満たすべき要件

・通報先（③の i）～iii））ごとに設けられた、以下に掲げる保護の要件を満たすこ

と

i）事業者内部への通報の場合（③の i））

a) 不正の目的（不正の利益を得る目的、他人に損害を加える目的等）で行われた

通報でないこと

ii）行政機関への通報の場合（③の ii））

a) 不正の目的で行われた通報でないこと

b) 通報内容が真実であると信じる相当の理由がある（例えば、単なる伝聞等では

なく、通報対象事実に関連する証拠等相当の根拠がある場合）こと

iii) その他事業者外部への通報の場合（③の iii））

a) 不正の目的で行われた通報でないこと

b) 通報内容が真実であると信じる相当の理由があること

c) 次のイ～ホのいずれか 1つに該当すること

イ事業者内部又は行政機関への通報をすれば解雇その他不利益な取扱いを受け

131

ると信ずるに足りる相当の理由がある場合

ロ事業者内部に通報すれば当該通報対象事実に係る証拠が隠滅され、偽造され、

又は変造されるおそれがあると信ずるに足りる相当の理由がある場合

ハ労務提供先から事業者内部又は行政機関への通報をしないことを正当な理由

がなくて要求された場合

ニ書面（電磁的記録を含む）により事業者内部に公益通報をした日から 20 日を

経過しても、当該対象事実について、当該労務提供先等から調査を行う旨の通知が

ない場合又は当該労務提供先が正当な理由がなくて調査を行わない場合

ホ個人の生命又は身体に危害が発生し、又は発生する急迫した危険があると信ず

るに足りる相当の理由がある場合

2) 秘密情報漏えい行為との関係

情報セキュリティの観点から問題となる企業の秘密情報の漏えい行為と公益通報者保護法

との関係については、概ね次のようなことを指摘できる。

まず、後述するように（3)企業の対応）、公益通報者保護法の下では、企業内部における通

報体制を整備することが求められ、この点において、同法は、企業にこのような内部通報体制

の構築・整備を促すことを通じて、企業外への通報による秘密情報の漏えいの防止を図ろうと

するものといえる。

その一方、以下に述べるように、企業外部への通報が公益通報者保護法の下での保護の要件

を満たす場合には、企業の秘密情報流出を伴う企業外部への通報にも同法による保護が及び、

通報者に対して通報を理由として解雇等の不利益を課すことができなくなる可能性がある。

すなわち、公益通報を行政機関やその他事業者外部に対して行う場合は、通報内容(上記の

ような法令違反行為が生じているか、まさに生じようとしていること)が真実であると信じる

ことについて相当な理由があることが保護の要件とされている(④ⅱ）ｂ）、ⅲ）ｂ））。このこ

とから、このような通報を行う際には、通報内容が真実であるか、通報者が真実であると信じ

るのが相当であるといえるための根拠になる事実（評価根拠事実）を示すことが必要になると

ころ、このような評価根拠事実の中には、企業の秘密情報が含まれうる。例えば、企業の取引

関係や事業活動の中で生じる背任等の法令違反行為の存在を根拠付ける資料の中に、取引履歴

や営業上のノウハウ等の営業上の秘密情報が含まれる場合、企業の生産活動の中で生じる食品

衛生法違反等の法令違反行為の存在を根拠付ける事実の中に、生産技術上の秘密情報が含まれ

る場合等が考えられる。

このように、法令違反行為の存在を根拠付ける事実として、企業の秘密情報等が企業外の通

報先に流出する事態が生じうるのであるが、公益通報者保護法上の保護要件の定めは、こうし

た情報流出が生じたかどうかについては問題としない（ただし、情報流出を生じさせることを

主眼とした通報がなされたような場合には、不正の目的に基づく通報（上記④参照）として保

護が否定される場合があり得る）。このため、上記のような形で情報流出が生じたとしても、

132

公益通報者保護法上の保護の要件が満たされる限り、当該情報流出を生じさせたことに対して

解雇や懲戒処分等を行うことはできない可能性がある。

3) 企業の対応

公益通報者保護法の趣旨・目的を踏まえて、企業の従業員から事業者に通報があった場合に、

その通報を事業者内で適切に処理するための指針として「公益通報者保護法に関する民間事業

者向けガイドライン」が、平成 17 年 7 月に内閣府により策定されている（公益通報者保護法

を所管する官庁は、その後の消費者庁発足に伴い現在では消費者庁となっている）。企業にお

いては、労働者等からの法令違反等に関する通報を事業者内において適切に処理するために、

本ガイドラインを踏まえて、適正な通報処理制度の構築に努めることが求められる。


・公益通報者保護法

・公益通報者保護法に関する民間事業者向けガイドライン

(4) 裁判例

特になし

3-3.1.7. 競業避止義務違反を理由とする退職金減額･不支給

秘密情報流出防止を目的として競業避止義務を従業員に課した場合、これに違反したこと

を理由とする退職金の減額・不支給は認められるか。

(1) 考え方

基本的に認められる。ただし、賃金の後払い的性格の強い退職金制度の場合、退職金の減額･

不支給ができない場合がある。

(2) 説明

判例は、企業が労働者（従業員）に対し退職後の同業他社への就職をある程度の期間制限す

ることをもって直ちに労働者の職業の自由等を不当に拘束するものとは認められず、したがっ

て、会社がその退職金規定において、競業制限に反して同業他社に就職した退職従業員に支給

すべき退職金につき、その点を考慮して、退職金を減額する規定にも合理性があるとしている。

これは、退職金が賃金の後払い的性格を持つとともに、功労報償的性格をあわせ持つと解され

るため、功労を抹消するような行為について退職金を減額・不支給（没収）する条項も合理性

があると考えられているためである（したがって、退職金を全額支払わなくても、労働基準法

第 24条第 1項の全額払の原則に違反することにはならない）。

なお、一審が、競業避止義務に違反した場合には退職金の半額を没収するという約定が損害

133

賠償の予定を約したものであり労働基準法第 16 条に違反するとした判断したのに対し、二審

及び最高裁は、これを否定している。ただし、このような退職金の減額・不支給は、同業他社

への就職を制約するものであるため、労働者の職業選択の自由との関係が問題となる。すなわ

ち、退職金の減額・不支給が適用になるのは、ある程度の合理的な範囲に限定されるのである。

合理的でない場合には、条項が無効とされよう。

また、理論的には、支払済みの場合退職金返還請求も可能である。もっとも、退職金減額・

不支給のメリットとしては、あらかじめ退職金を押さえてしまうことで、損害賠償請求を行う

手間を省けるところにあるので、一度支払ってしまった退職金を取り戻すことができると考え

ることにどれほどのメリットがあるか疑問ではある。したがって、特に秘密に触れる業務に従

事する従業員が退職を申し出たような場合には、退職金を支払う前に当該従業員に関し十分慎

重に調査するなどの対応が求められよう。その対策の一例としては、秘密を取り扱う企業であ

る場合、十分調査できるように支給日に余裕をもたせた退職金制度を設計しておくなどの方法

も考えられよう（また、退職金相当額の違約金の約定を取り付けておく等の対策も検討される

べきである。なお、この場合、労働契約の不履行に対する違約金の定めではないので労働基準

法第 16 条の問題は生じない）。

なお、退職金の不支給･減額が認められない場合として、業務実績に応じて額が機械的に積

算されるような方式（ポイント式退職金制度）や、退職金相当額を毎月前払で支払ってもらう

か退職時に積み立てた額を支払ってもらうか従業員が選択する方式（退職金前払選択制度）が

採用されている場合が挙げられる。このような制度の下では、賃金後払的性格が強く功労報償

的性格は認められないとして、退職金の減額・不支給は否定されるとする裁判例がある。また、

選択的な制度を採用している企業において退職一時金を選択した従業員に対してのみ、制裁措

置として退職金を減額・不支給にすることは、公平さを欠き許されないと考えられる。


・労働基準法第 16 条、第 24 条、第 89 条第 3号の 2

(4) 裁判例

・最高裁第二小法廷昭和 52年 8月 9 日判決・労経速 958 号 25 頁

・名古屋高裁平成 2年 8月 31 日判決・労判 569 号 37 頁

・大阪高裁平成 10 年 5 月 29 日判決・労判 745 号 42 頁

・名古屋地裁平成 6年 6月 3日判決・労判 680 号 92 頁

3-3.1.8. 競業避止契約を行った退職社員の退職後の動向調査

競業避止契約を行って退職を行った社員に対して、契約遵守状況の確認を目的に、退職後

の動向について調査を行うことは可能か。調査を行える範囲はどこまでか。（退職本人へ

の定期インタビュー、調査会社への依頼）

134

(1) 考え方

競業避止契約を行って退職を行った社員に対して、契約遵守状況の確認を目的に、退職後の

動向について調査を申し入れること自体は適法である。ただし、契約の内容として特に定めて

いない限り、退職者本人がそれに応ずるかどうかは任意となろう。

労働契約終了後の競業避止義務を定める特約に付随して、その実効性の確保のために、定期

インタビューに応じることを契約内容とすることは、長時間に及んだり、頻繁に行ったり、ま

た、就業時間内に設定するなど退職社員に過度な負担を強いる内容でない限り有効であろう。

さらに、調査会社へ依頼して、再就職先企業の競業の事実の有無や退職社員が禁止されている

競合行為等を行っているかどうかを調査することについては、その調査手法が適法である限り

禁止されるべき理由はない。ただし、調査会社が刑事、民事法はもとより探偵業法、個人情報

保護法等を遵守して調査するよう、調査内容、調査手法、スケジュールなどの計画に関与する

など、調査会社の選定と監督に責任を持つ必要がある。

(2) 説明

自社の営業秘密、昨今はそれに加えて顧客等の個人情報、及びプライバシー情報は、社内規

程においてその守秘を含む取扱いについて定めるとともに、使用者（雇用者）と従業者（被用

者）との間で誓約書等を取り交わすなど秘密保持契約を締結することによって保護することが

一般的である。

また、こうした秘密保持契約の実効性には限界があることから、競業避止義務を課すことが

ある。特に退職した社員や退任した取締役、監査役との秘密保持義務の実効性を確保するため

に競業避止契約は一定の役割を果たしている。

秘密保持及び競業避止契約は、退職者に対する事実上の牽制的効果を期待するに止まるもの

ではなく、その債務の内容が確実に履行されなければならないのは当然である。したがって、

当該契約に基づき、退職者本人に対して、転職先企業が競合関係にあるか否か、競合する事業

を営んでいる場合には競合する業務に携わっているか否かについて、その守秘義務の期間中

（一般的に営業秘密の場合は 1～3年程度）、定期的なインタビュー、または調査票の送付等を

求めることは可能であろう。

しかし、仮に退職者が当該契約に違反し競合する業務に携わっていた場合、そのことを違反

者自らが申告、回答することは一般に期待できるものではない。必要に応じて、調査会社に依

頼することも検討しなければならない。はたして調査会社に退職者本人の個人情報を提供し調

査を委託することが個人情報保護法上適法といえるのであろうか。

個人情報取扱事業者が利用目的の達成に必要な範囲において個人データの取扱いの全部ま

たは一部を委託する場合は第三者提供における第三者には当たらない（個人情報保護法第 23

条第 4 項 1 号）。したがって、退職者本人の同意は必要なく、会社の一存で調査会社に退職者

の個人データを引き渡すことができる。問題は、それが利用目的の範囲内であるかどうかであ

るが、競業避止契約において、調査方法（調査会社に委託すること等）及び個人情報の利用目

135

的（調査に用いること等）についての条項を定めるとともに、別途、利用目的を明示する必要

がある（契約書の該当箇所にアンダーライン等を引いて締結時に読み聞かせるなどする方法が

あり得る）。

なお、個人情報取扱事業者は委託先の監督義務を負う（同法第 22 条）。調査会社の選定に際

しては、探偵業の業務の適正化に関する法律に基づき都道府県公安委員会への届出（同法 4

条）や報告等の義務を行っていること等を確認する必要があろう。契約に際しては、調査会社

が法定事項を記載した書面を交付して、その内容を説明していること（探偵業法第 8条）を確

かめる必要がある。さらには、調査目的を逸脱し他人のプライバシー等を侵害（民法第 709

条）することのないよう調査方法についても詳細に取り決めることが望ましい。また、契約の

締結後は、調査の途中においても定期または不定期にその状況の報告を求めるなどして、個人

データの漏えいや個人情報の目的外利用、その他退職者に迷惑が及ばないように適切な監督が

求められる。


・個人情報保護法第 23 条第 4項 1号、第 22条

・探偵業の業務の適正化に関する法律

(4) 裁判例

特になし

3-3.1.9. 競業避止契約を締結した退職社員の転職先への事実問合せ（※調整中）

競業避止契約を結んだ退職社員が他社へ就職した事実が判明したとき、転職元企業は、直

接に転職先企業に対し競業事実の有無を問い合わせることは可能か。また、当該転職先企

業において競業事実がなかった場合、退職社員から法的責任を問われる可能性があるか。

(1) 考え方

競業避止契約に関連して行う退職社員の転職先企業への競業事実の有無の調査は、当該契約

が有効であることを前提に、当該契約において定めた、①競業禁止期間内を対象とするもので

あり、かつ、②禁止される競業行為の範囲にあるか否か確認の必要性がある場合は、当該契約

の履行を確保するために認められることが多い。調査に際しては、調査との関係が薄いにもか

かわらず機微情報をやりとりする場合のように、プライバシー権の侵害に該当することがない

ように配慮して誠実に行わなければならない。調査の結果、転職先企業において競業の事実が

なかったことが判明したとしても、そのことをもって直ちに不法行為責任を問われるものでは

ないと考えられる。

なお、競業避止契約や、退職社員から取得する誓約書等において、①調査方法（直接、転職

先企業との間で競業事実の有無に関する退職社員の情報をやり取りすること）について、及び、

136

②調査に際して、両企業間でやりとりされる退職社員本人の個人情報の利用目的（第三者提供

することを含む）について、それぞれ明文で定めておくことが望ましい。

(2) 説明

転職元企業が退職社員の転職先企業に直接、競業事実の有無の確認を求めた場合、相手方で

ある転職先企業は、①当該契約当事者の会社であること（なりすましでないこと）、②当該競

業避止契約の有効性、③競業禁止期間、禁止される競業行為の範囲、場所など当該契約の内容

をそれぞれ確認すべきである。転職先企業においては、回答することが法的に義務づけられて

いるわけではないが、このことは、転職先企業において、自社が不正競争防止法違反となるこ

とを未然に防止するためにも重要な作業である。したがって、転職社員からヒアリングを行う

など調査を開始することが望ましい。

ところで、前記調査の過程では、必然的に両企業間で退職社員に関する個人情報がやりとり

されることから、両企業において、個人情報保護法との関係に留意する必要が生じる。具体的

には、利用目的と、第三者提供の制限との関係が問題となる。

まず、競業避止契約や、入社時・退社時等に退職社員から取得した誓約書等に、競業事実の

有無の調査方法等に関し、転職先企業と個人情報をやり取りすることがある旨の規定が含まれ

ているときには、それに当該退職社員が同意したことになるから（同法第 16 条第 1項・第 32

条第 1 項）、当該同意の範囲で行うことができることは当然である。したがって、退職社員と

の紛争を未然に防止するためには、前記規定を置いておくことが望ましい。

しかしながら、このような規定を置くことは、必ずしも常に容易であるとはいえないので、

以下、それが置かれていない場合について説明する。

まず、利用目的との関係では、当該退職社員の個人情報を取得する際に、同法第 18 条に基

づき、利用目的に競業事実の有無に関する調査が含まれる旨の通知等を行っておれば、当該調

査目的のために利用しうる。当該調査目的のために利用するものであることが自明であるよう

な場合には、前記通知等も要しない（同条第 4項第 4号）。

これに対し、本来は他の利用目的で取得された個人情報についても、当該調査目的のために

利用しうるか。競業事実の有無を調査するときは、少なくとも転職元企業の財産の保護のため

に必要があるということができる。それと同時に、調査の密行性等に照らし、調査に先立って

当該退職社員から個別同意を得ることが困難である場合が多いものと考えられる。したがって、

このような場合には、利用目的による制限の除外事由（同法第 16 条第 3 項第 2 号）に該当す

るので、調査のための目的外利用が許容される。

次に、第三者提供の制限（同法第 23 条第 1 項）との関係について説明する。同項の対象情

報は個人データである。したがって、個人情報であっても、いわゆる散在情報のように個人デ

ータに該当しないものは、これを提供しても前記制限違反とならない。

これに対し、従業員データベースに含まれる個人情報のように、個人データ（同法第 2条第

4項）に該当するものは第三者提供の制限の対象となる。賃金台帳等も個人データに該当する

137

ことが多いものと思われる。しかしながら、このような場合であっても、前述のように、財産

等の保護のために必要がある場合であって、退職社員の個別同意を得ることが困難であるとき

は、同項第 2号の定める除外事由に該当し、同条違反とはならない。

以上の場合においても、調査との関係が薄いにもかかわらず、機微情報をやりとりする場合

のように、プライバシー権の侵害に該当することがないように配慮を要する。

なお、競業避止契約は退職社員の再就職を妨げその生計の手段を制限してその生活を困難に

するおそれがあるとともに、職業選択の自由に制約を課すものである。一般に労働者はその立

場上使用者の要求を受け入れて競業避止契約を締結せざるを得ない状況にあると考えられる

ことから、会社は、その問い合わせにおいては、努めて慎重な対応が求められる。したがって、

競業避止契約を締結した以上、その実効性を確保するために当然にこうした調査ができるもの

と解するのではなく、労働契約終了後の競業避止義務の遵守の確認に際して、具体的にどのよ

うな調査方法を行うことができるか契約書中に明文で定めておくなど退職社員に、転職先企業

に問い合わせがあり得ることを具体的に告知し了解を得ておくことが望ましいように思われ

る。

再就職後に、元の会社から直接転職先企業に競業事実の有無の問い合わせすることは、当該

社員が気まずい思いをするだけではなく、何らかの人事的不利益を被るのではないかといった

不安やその後の人事に少なからぬ影響があったという思いにつながりかねないリスクが伴う。

特に、照会の結果、競業の事実がなかった場合は、退職社員に大きな不満を残しかねず、損害

賠償請求訴訟（民法 709 条）に発展することもないわけではない。

しかし、就職活動先への照会、競合関係にないことが明白な企業への照会、嫌がらせ目的の

照会など濫用的な権利行使と解されない限り、本件のような照会等調査それ自体に違法性はな

いと解すべきであろう。


・不正競争防止法

・個人情報保護法第 2条第 4項（個人データ）

・個人情報保護法第 16 条（利用目的による制限）

・個人情報保護法第 18 条（取得に際しての利用目的の通知等）

・個人情報保護法第 23 条（第三者提供の制限）

・労働契約法第 3条（労働契約の原則）

(4) 裁判例

特になし

138

3-3.1.10. 派遣労働者が情報セキュリティルールに違反した場合の契約解除及び賠償請求

（※調整中）

派遣労働者が派遣先の定める情報セキュリティルールに違反した場合（インシデントを

生じた場合を含む）、労働者派遣契約に派遣先での情報セキュリティルール遵守について

の定めがあれば、契約を解除し、派遣元企業と本人に損害賠償を請求することは可能か。

労働者派遣契約に明確な定めがない場合、どこまでのことが可能か。

(1) 考え方

労働者派遣を受ける企業（派遣先企業）は、派遣労働者による自社の情報セキュリティルー

ル遵守の徹底を図る方策として、派遣元企業との間で締結する労働者派遣契約において、情報

セキュリティルールの遵守に関する事項（当該ルールの遵守を派遣元に対して誓約した労働者

を派遣すること等）を定めておくべきである。このような定めの下で、派遣された労働者の情

報セキュリティルール違反が改善されない場合や重大な違反が生じた場合、派遣先企業は労働

者派遣契約上の債務不履行（不完全履行）があるものとして、派遣元に対し、違反をした派遣

労働者の交代を求めることができ、また、こうした対応によって債務不履行の状態が解消され

ないときには契約を解除することができる。

上記のような労働者派遣契約上の定めがない場合にも、派遣労働者の情報セキュリティルー

ル違反を派遣先企業の指揮命令への違反と捉えて労働者派遣契約上の債務不履行と構成し、上

記のような対応をとる余地は存在すると考えられる。しかし、この場合には債務不履行責任を

問えない法的リスクが増大し、また、情報セキュリティルールの遵守体制としても十分ではな

いことになるといえるので、上記のとおり、労働者派遣契約上に適切な定めを置き、これに基

づく遵守体制を構築しておくべきである。

派遣労働者の情報セキュリティルール違反に起因して、インシデントの発生等による損害が

派遣先企業に生じた場合、その態様に応じて債務不履行又は不法行為により、派遣元企業又は

派遣労働者の損害賠償責任が生じうる。

(2) 説明

1) 派遣労働者についての情報セキュリティルール遵守体制の構築

労働者派遣においては、派遣先企業は派遣労働者に対して、業務に関する指揮命令を直接行

うことができ、業務遂行に必要な情報セキュリティルールの遵守についても、派遣先の指揮命

令が及ぶといえる。そこで、派遣先企業が定める情報セキュリティルールを派遣労働者に遵守

させる方策として、少なくとも、このような指揮命令を通じた遵守体制の構築が考えられる。

しかし、このような指揮命令権を通じた情報セキュリティルール遵守体制は、後述するよ

うに、違反が生じた場合における法的責任追及の可否という点では不確実性が高いものと考え

られるため、派遣先企業としては、法的な意味での確実性がより高い情報セキュリティルール

139

遵守体制として、派遣元企業との間で締結する労働者派遣契約において、情報セキュリティル

ールの遵守に関する事項を定めておくべきである。具体的な内容としては、派遣労働者が派遣

先で行う業務が、派遣先の定める情報セキュリティルールの定めを遵守しつつ遂行されるべき

ものであることを明示するとともに、そのことの確実を期するための方策として、派遣元にお

いて当該ルールの遵守に関する情報セキュリティ教育を受け、かつ、当該ルールを遵守する旨

の誓約書を派遣元に提出した労働者を派遣する旨を定めておくこと等が考えられる。

2) 情報セキュリティルールの不遵守が発生した場合の対応

上記のような労働者派遣契約上の定めが存在するにも関わらず、派遣労働者による派遣先の

定める情報セキュリティルールの遵守が徹底されない場合、派遣元企業は、契約で定められた

派遣先の業務に従事する（情報セキュリティルールを遵守しつつ業務に従事することがその中

に含まれる）労働者を派遣するという労働者派遣契約上の義務を不完全な形でしか履行してい

ないことになる。この場合、派遣労働者本人や派遣元に対する注意喚起等による是正を試みて

も状況が改善されなければ、派遣先企業は派遣元に対し、契約上の義務の完全な履行の請求と

して、派遣労働者の交代を求めることができ、こうした措置を講じてもなお状況が改善されな

い場合には、派遣契約期間の途中においても、派遣元の債務不履行を理由として契約を解除（民

法第 541 条）することができる（情報セキュリティルールの不遵守が問題となった事案ではな

いが、派遣労働者の派遣先での就労状況が労働者派遣契約の定めた水準に達していない場合に

派遣先が派遣労働者の交代を求めうる旨を述べた裁判例として、大阪地裁平成 18 年 1 月 6 日

判決労働判例 913 号 49 頁）。

3) 派遣元、派遣労働者に対する損害賠償請求

派遣労働者の情報セキュリティルール違反により、派遣先企業に損害が生じた場合には、当

該損害について、派遣元企業は、労働者派遣契約上の債務不履行もしくは不法行為（派遣労働

者の不法行為責任についての民法第 715 条に基づく使用者責任）を負う場合がある。また、派

遣労働者本人も、不法行為（民法第 709 条）に基づく損害賠償責任を負う場合がある。これら

の損害賠償責任の有無、賠償額は、民法上の原則に従って判断されることになる（加えて、労

働者の損害賠償責任については、信義則を根拠として民法上の原則に従った額からの減額の余

地を認める判例法理（最高裁昭和 51 年 7 月 8 日第 1小法廷判決民集 30巻 7号 689 頁）の適

用もあると考えられる）。

裁判例における具体例としては、情報セキュリティそのものに関する事案ではないが、派遣

先企業が別の会社から受託した顧客勧誘業務を派遣労働者に行わせたところ、当該派遣労働者

が契約書を偽造する等の不正処理を行い、これが発覚したために派遣先企業が委託元からの委

託を打ち切られたという事実関係の下で、労働者派遣契約上の債務不履行に基づく派遣元企業

の損害賠償責任を否定する一方で、使用者責任（民法第 715 条）に基づく派遣元企業の損害賠

償責任を認めた（ただし過失相殺 5 割）例がある（東京地裁平成 15 年 10 月 22 日判決判時

140

1850 号 70 頁。労働者派遣契約の内容に少なからず不明確な点があった事案である点には留意

を要する）。

4) 労働者派遣契約に情報セキュリティルールの遵守に関する明示的な定めがない場合

一方、派遣元と派遣先との間の労働者派遣契約において、情報セキュリティルールの遵守に

関する明示的な定めがない場合においても、派遣労働者が、派遣の対象とされた業務を派遣先

の指揮命令に従って遂行することは、労働者派遣契約の本質的な内容であり、したがって、派

遣労働者が派遣対象業務の遂行上必要な派遣先の指揮命令に従わないことは、労働者派遣契約

上の債務不履行になりうると考えられる。そして、前述のように、派遣先は、派遣労働者に対

する指揮命令権に基づいて情報セキュリティルールの遵守を求めうるので、その違反は労働者

派遣契約上の債務不履行となりうる。同様の考え方に基づき、派遣労働者本人の損害賠償義務

も、労働者派遣契約上の情報セキュリティルール遵守に基づく明示的な定めがない場合にも生

じうる。

しかし、このように一般的な指揮命令違反という枠組みで派遣元の債務不履行責任等を追及

する場合、派遣元等の法的責任が認められるかどうかは、労働者派遣契約上に明示的な定めが

存在する場合に比べると著しく不明確なものとなり、また、法的責任が認められる範囲も、よ

り限定的なものにとどまることになると考えられる。また、こうした状況は、労働者派遣契約

の定めに基づいて、個々の派遣労働者との関係でも、遵守すべき情報セキュリティルールの内

容が事前に明らかにされる状況と比べると、情報セキュリティの徹底という点で不十分なもの

ということになる。したがって、派遣先企業としては、前述（ 1)）のような対応をとってお

くことが望ましいといえる。


特になし

(4) 裁判例


3-3.1.11. 情報セキュリティを実施していないことを理由にした委託先の取引停止・解除

業務委託契約の委託先の情報セキュリティに関して、委託元が流出・漏えいのリスクがあ

ると認識できた場合、またそのおそれを示す兆候や証拠を掴んだ場合には、契約（解除条

項等）の定めがあれば、委託元が委託先との取引を停止又は解除することはできるか。

(1) 考え方

情報の流出又はそのおそれは、業務委託契約上の義務違反にあたり、契約解除の理由となる。

解除条項にそのことが明記されていれば、契約解除の有効性は、より確実である。

141

ただし、個別の事案において、情報流出のおそれが、別の動機による契約解除の「口実」と

して用いられているにすぎない場合には、例外的に、解除ができないとされる場合もあり得る。

(2) 説明

業務委託契約における委託先の義務の中には、その業務にかかわる情報を適切に管理し、流

出・漏えいを防止すべき義務が含まれる。そのことは、委託契約に明示的に書かれている場合

が多いと思われるが、仮に書かれていなくとも、委託契約上の付随義務として認められるであ

ろう。

従って、委託先が情報を流出・漏えいさせることは、委託契約の不履行（契約上の義務違反）

に該当し、契約解除の理由となる（民法 541 条）。契約の解釈等にかかわる紛争を避けるため

には、委託契約中に、あらかじめ、「情報の流出・漏えいがあった場合には、ただちに契約を

解除することができる」という条項を規定しておくことが有益である。

情報の流出・漏えいのおそれがあるにすぎない場合には、まだ契約違反が発生していないの

で、明示的な解除条項がないにもかかわらず契約を解除することは難しい。また、契約中に解

除条項を置く場合にも、その内容は、委託元の恣意的な判断を許すものであってはならず、客

観的に合理性を有するものでなければならないと考えられる。具体的には、解除条項が「当社

（委託元）が、委託先において情報の流出・漏えいのおそれがあると認める場合」といった内

容になっていると、訴訟になった場合に、有効性が完全に認められるとは限らない。「委託先

において情報の流出・漏えいのおそれがあることを合理的に示す事情がある場合」というよう

に、客観的な合理性が認められる条項とすべきであろう。

委託契約が継続的契約にあたる場合には、解除条項が契約に書かれていたとしても、文言ど

おりに効力が認められない可能性がある。これは、継続的契約の解除には、「重大な契約違反」

や「信頼関係の破壊」が必要であると考えられているためである。もっとも、情報の流出・漏

えいは、今日では通常、「重大な契約違反」に当たるであろう。また、流出・漏えいのおそれ

も、十分な証拠に裏づけられているのであれば、「信頼関係の破壊」に該当すると考えられる。

なお、「重大な契約違反」の法理は、契約違反の中でも重大なものだけが解除権発生の根拠と

なるというものであるから、解除の可能性を限定するものであるが、「信頼関係の破壊」の法

理は、契約違反にはならない場合であっても信頼関係が破壊されたことを根拠として契約解除

ができる可能性を認めるものであり、解除の可能性をむしろ広げる場合がある。



(4) 裁判例

継続的な業務委託契約の解除における正当事由に関して、

・千葉地裁平成 18 年 1 月 19 日判決・労判 926 号 70 頁、東京高裁平成 18 年 6 月 27

142

日・労判 926 号 64 頁（NHK の受信料集金委託契約において、委託先により不適切

な事務処理が行われていた事実を認めて委託契約解除につき正当事由を肯定）

3-3.1.12. 委託先で情報セキュリティインシデントが生じた場合の措置

業務委託契約の委託先で情報セキュリティ事故が発生した場合、委託元として行う措置は

どの範囲において法的に容認されるのか。

(1) 考え方

業務委託契約が委任契約・準委任契約にあたる場合には、委託先（受任者）に委任事務処理

の状況に関する報告義務がある（民法 645 条・656 条）。したがって、情報セキュリティ事故

が発生した場合に、現状や改善策に関する報告を求めることは、契約条項がなくとも可能であ

る。

現地調査・監査のように委託先の財産権にかかわる措置を行うことや、損害の拡大防止要求

のように委託先に対して一定の行為を求めることは、委託先の同意なくして行なうことはでき

ない。あらかじめ契約に書いておけば、それによって同意が与えられていたことになるから、

それらの措置も可能となる。したがって、事前に明確な契約書を作成しておくことが望ましい。

(2) 説明

情報の取扱いを伴う業務委託契約は、委任契約・準委任契約にあたる場合が多いと考えられ

る。製品の製造委託のように、基本的には請負契約であると解される場合であっても、情報の

取扱いに関する業務が含まれていれば、その限度で、準委任契約の要素を含む混合契約である

と言えるであろう。

委任契約においては、受任者は、委任者の請求があるときは、いつでも委任事務処理の状況

を報告しなければならない（民法 645 条）。したがって、情報セキュリティ事故が発生した場

合には、委託元（委任者）は、委託先（受任者）に対して、報告要請、改善報告要請、被害報

告・二次被害の可能性報告の要請等を行なうことができる。もっとも、委託元がそのような要

請を行なうことができるという規定をあらかじめ契約に定めておくことは、法律関係を明確す

るという意味で、望ましい。

これに対して、委託先の敷地内への立ち入りを伴う現地調査・監査等は、委託先の財産権や

自由を侵害することになるから、原則として、委託先の同意がなければできない。ただし、こ

の場合の「同意」は事前に取得しておくことでもよいから、委託契約中に、「委託元は、情報

の漏えい等に際して必要と認める場合には、委託先の事務所・工場等に立ち入って必要な調査

を実施させるよう求めることができ、委託先はこれに応じなければならない。」といった条項

をあらかじめ規定しておけば、情報セキュリティ事故発生時に現地調査等を求めることもでき

る。

現実的には、委託先でセキュリティ事故が発生すると、委託元は、さしあたり、損害の回復・

143

拡大防止、原因の除去等の対応を求めるとともに、どのような対応がとられたのかについての

報告を求めるという場合が多いと思われる。状況次第では、委託元と委託先との合同対策チー

ムを編成し、両社の従業員が共同してそうした作業を行なうこともあり得るであろう。委託先

によるこうした対応は、単なる報告義務の範囲を超えてはいるが、委任契約の付随的義務に含

まれ、委託契約に明示的な規定がなくとも、委託元は委託先に対してこのような対応を求める

ことができるとも考えられる。

しかし、その限界は明確ではないので、やはり、抽象的な規定であってもあらかじめ契約中

に定めておくことが望まれる（たとえば、「顧客に重大な損害が発生するような事態に際して

は、委託元と委託先は、協力して損害の回復、拡大防止その他の必要な対応を取るものとする」

などといった条項）。また、その場合の費用負担（相互に追加負担を求めないこととするか、

原因を発生させた側に対して実費負担を請求できることとするか等）についても、契約書の中

に定めておくことが有益であると思われる。



(4) 裁判例

・準委任の法的性質を有する法律関係における受任者の報告義務に関して、

・最高裁平成 20年 7月 4日判決・裁判所時報 1463 号 2 頁（民集登載につき未確認）

第4節独禁法・下請法との関係

3-4.1.1. 秘密情報等の流出防止のための監視カメラ設置等の要求（※調整中）

委託元事業者 Xと下請事業者 Yは、取引開始に当たり、Xが営業秘密として保有する技術情

報を Yに開示するとき、Yはその情報の秘密を守るために情報セキュリティ対策を実施する

ことに合意している。この場合、Xが取引契約に基づき Yに開示した営業秘密として保有す

る技術情報について、ファイルサーバ等の機器類への不正アクセスを監視するため、Yの費

用負担において監視カメラの設置を求める行為は許されるか。

(1) 考え方

Y は、X 所有の技術情報について善管注意義務を負っているから、自らの費用負担において

情報の秘密を守るために必要かつ十分な情報セキュリティ対策を実施する義務がある。必要か

つ十分な情報セキュリティ対策は時代と共に変化し、監視カメラの設置が社会的に要請される

ようになった場合は、Yは自らの費用負担においてそれを設置する義務がある。

すなわち、①当該技術情報の秘密を保護するため監視カメラを設置することに合理的理由が

認められ、かつ、②他の情報開示先に対しても同等の条件が課せられている場合には、Yの費

用負担において監視カメラの設置を求めたとしても独占禁止法・下請法上問題になり得ないと

144

考えられる。

独占禁止法・下請法上問題になり得るのは、Xの取引上の地位が Yに優越していることを利

用して、Xが、正常な商慣習に照らして不当に、取引の条件又は実施について Yに対し不利益

を与える場合であり、例えば、Xが社会的に一般化していないような高度（高額）な特定の監

視カメラを設置するよう Yに要求するケース、Xが、Yが必要かつ十分と考える範囲を超えて、

多数の監視カメラを設置するよう Yに要求するケースなどがこれに該当する。ただし、これら

のケースにおいても、Xがそれ相応の設置費用を負担するなど Yの利益を不当に害しないと認

められる場合には、優越的地位の濫用行為には該当せず独占禁止法49・下請法上50の問題とは

なり得ないと考えられる。

(2) 説明

1) 問題の所在

X が営業秘密として保有する技術情報を Y に開示する際に、Y に対し必要かつ十分な情報セ

キュリティ対策を講ずるよう要請し Yがこれを承諾しているが、必要かつ十分な情報セキュリ

ティ対策として監視カメラの設置が求められるべき場合において、監視カメラが設置されてい

ない場合がある。この場合、Yの費用負担において監視カメラを設置するよう要請する行為が

独占禁止法・下請法上問題になるかどうか。なお、監視カメラは、秘密情報を格納するサーバ

ルームや、個人情報を取り扱うオペレータ室などでは、通常実施されるレベルの情報セキュリ

ティ対策として設置されるものであり、①情報の盗難などの事故・事件が生じたときに Yが警

察当局に証拠として提供する、②X からの問い合わせに対して、Y が情報漏えいを起こしたも

のではないことを証明する、③Y の内部犯行や第三者による窃盗を抑止する、④Y の内部原因

によって情報漏えいが発生した場合に、Xに対して経緯を説明する道具などとして用いられて

いる。

2) 独占禁止法・下請法上の問題になり得ないと考えられるケース

Xと Yとの取引上の地位が対等な場合は、当事者がどのような契約を結ぼうと（公序良俗に

反しない限り）自由であり、X所有の技術情報を Yに提供する条件として Yの費用負担におい

て監視カメラの設置をするよう義務付けたとしても独占禁止法・下請法上の問題は生じ得ない

と考えられる。

また、Xの取引上の地位が Yに優越している場合でも、①当該技術情報の秘密を保護するた

49 正式名称は，「私的独占の禁止及び公正取引の確保に関する法律」。公正かつ自由な競争を

促進し，事業者が自主的な判断で自由に活動できるようにすることを目的とした法律。下請法

は独占禁止法の特別法。50正式名称は「下請代金支払遅延等防止法」。下請取引の公正化・下請事業者の利益保護のた

め、下請取引における親事業者の義務・禁止事項等を定めた法律であり、独占禁止法の特別法。

145

め監視カメラを設置することにそれなりの合理的な理由に基づくものと認められ、かつ、②他

の情報開示先に対しても同等の条件が課せられている場合には、それ自体は独占禁止法・下請

法上問題になり得ないと考えられる。

この考え方は、最高裁第三小法廷平成 10 年 12 月 18 日判決・民集 52 巻 9 号 1866 頁におい

て「販売方法に関する制限を課することは、それが当該商品の販売のためのそれなりの合理的

な理由に基づくものと認められ、かつ、他の取引先に対しても同等の制限が課せられている限

り、それ自体としては公正な競争秩序に悪影響を及ぼすおそれはない」と判示していることを

参考にしたものである。

3) 独占禁止法・下請法上問題になり得ると考えられる場合

独占禁止法・下請法上問題になり得ると考えられるのは、Xの取引上の地位が Yに優越して

いることを利用して、X が、正常な商慣習に照らして不当に、取引の条件又は実施について Y

に対し不利益を与える場合である。例えば、①通常は秘密情報を保管・利用しない執務室など

にも監視カメラの設置を要求するなど必要かつ十分な程度を超えて設置を求めるような場合、

②過度に高度（高額）な特定の監視カメラシステムの導入を要求するような場合、③監視カメ

ラの映像を常に Xに提供させるなど Xの必要のために設置させたような場合などである。

ただし、この場合においても、Xがそれ相応の設置費用を負担するなど Yの利益を不当に害

しないと認められる場合には、独占禁止法・下請法上の問題とはならないと考えられる。

この考え方は、下請法の運用基準（平成 15年 12 月 11 日公正取引委員会事務総長通達第 18

号）51の以下の記述を参考にしたものである。なお、下請法第 4条第 2項第 4号は、親事業者

が、下請事業者の給付についてその責任がないのに、受領前に給付の内容を変更させたり、受

領後にやり直しをさせたりする行為を禁止している。

「給付内容の変更ややり直しによって、下請事業者にとって当初の委託内容がそれまでに行

った作業が無駄になり、あるいは下請事業者にとって当初の委託内容にはない追加的作業が必

要となった場合に、親事業者がその費用を負担しないことは「下請事業者の利益を不当に害」

することとなるものである。やり直しの費用を親事業者が負担するなどにより、下請事業者の

利益を不当に害しないと認められる場合には、不当な給付内容の変更及び不当なやり直しの問

題とはならない。」

4) 下請法上問題になり得ると考えられる場合

Xが Yに対し追加的に、①通常は設置しないような秘密情報を保管・利用しない執務室など

にも監視カメラの設置を要求するなど必要かつ十分な程度を超えて監視カメラの設置を求め

るような場合、②過度に高度（高額）な特定の監視カメラシステムの導入を要求するような場

51 正式名称は「下請代金支払遅延等防止法に関する運用基準」。公正取引委員会が下請法を運

用するための基準として策定した。

146

合、③監視カメラの映像を常に Xに提供させるなど専ら Xのために監視カメラを設置させたよ

うな場合であって、これに伴って生ずる追加費用分をXがYに対し別途支払う場合はともかく、

Y がその費用分を製造コストに含めると従来の単価よりも高い単価になるとしてその単価で

見積書を提出したが、Xは Yと十分協議することなく、一方的に、通常の対価相当額と認めら

れる下請事業者の見積価格を大幅に下回る単価下請代金の額を定めたような場合は、買いたた

きとして下請法第 4条第 1項第 5号に違反するおそれがある。

この考え方は、下請法運用基準の「買いたたき」の「違反行為事例 5－5」、すなわち、「親

事業者は、従来、週 1回であった配送を毎日に変更するよう下請事業者に申し入れた。下請事

業者は、配送頻度が大幅に増加し、これに伴って 1回当たりの配送量が小口化した場合は、運

送費等の費用が嵩むため従来の配送頻度の場合の下請単価より高い単価になるとしてこの単

価で見積書を提出した。しかし、親事業者は、下請事業者と十分な協議をすることなく、一方

的に、通常の対価相当と認められる下請事業者の見積価格を大幅に下回る単価で下請代金の額

を定めた。」を参考にしたものである。


・独占禁止法第 2条第 9項 5号52

・下請法第 4条第 1項第 5号

・下請代金支払遅延等防止法に関する運用基準(平成15年12月11日公正取引委員会

事務総長通達第 18号)

(4) 裁判例

特になし

3-4.1.2. 秘密性の高い技術情報を委託業務のために開示する際に情報セキュリティ対策を

要求することの可否（※調整中）

組み立てメーカーXが自ら開発し秘密情報として保有する技術情報を、従来から委託取引関

係のある部品メーカーYに対して開示する際、Xが Yに対して、その情報を保護するために、

通常は実施するものと見なされる情報セキュリティ対策のうち、実施されていない情報セ

キュリティ対策の実施及び費用負担を Y に要請することについて、独占禁止法との関係で

注意すべき点はあるか。

52優越的地位の濫用について規定している。具体的には、取引上優越的地位にある事業者が，

その地位を利用して取引先に対し正常な商慣習に照らして不当に不利益を与える行為。例えば

押し付け販売など。

147

(1) 考え方

X が自ら開発し秘密情報として保有する技術情報を Y に開示する際に、Y に対し必要かつ十

分な情報セキュリティ対策を講ずるよう要請することは当然のことであり、法律上何らの問題

も生じないと考えられる。また、Y は、X 所有の技術情報について善管注意義務を負っている

から、その対策費用について自ら負担しなければならない。

独占禁止法上問題になり得ると考えられるのは、Xの取引上の地位が Yに優越していること

を利用して、Xが Yに対して、正常な商慣習に照らして不当に、取引の条件又は実施について

不利益を与える場合であり、例えば、X が当該技術情報の保護方法として、Y に対し、通常実

施されているレベルを過度に超えているような対策を自らの費用負担において実施するよう

要求するような場合である。

なお、Xの取引上の地位が Yに優越しておらず対等な立場に立っているときは、当事者がど

のような内容の契約を締結しようと自由である（契約自由の原則53）。

(2) 説明

1) 独占禁止法上問題になり得ないと考えられる場合

事業者がどの事業者と取引するか、しないかは、基本的には事業者の取引先選択の自由に属

する。したがって、Xが新規の取引先を選択する際、必要なセキュリティ対策を実施しないこ

とを理由として取引しない旨の判断を下したとしても、独占禁止法上の不公正な取引方法（単

独の取引拒絶54）には該当しない。

また、X と Y とが継続的な取引関係にあったとしても、X の取引上の地位が Y に優越してお

らず Xと Yとが対等な立場に立って取引しているときは、Xが Yに不利益な取引条件を提示し

たとしても、Y は、自己にとって不利益な条件ならば受け入れないであろうから、X が Y に一

方的に不利益な取引条件を押し付けることはできない。したがって、当事者がどのような契約

を結ぼうと（公序良俗に反しない限り）自由であり、独占禁止法上の問題は生じ得ないと考え

られる。

2) 独占禁止法上問題になる場合

X の取引上の地位が Y に優越している場合、Y は、取引の諾否や取引条件について、自由に

自主的に判断することができず Xから不利益な条件を押し付けられるおそれがある。そのため、

公正取引委員会は、優越的な地位を利用して相手方に不当に不利益を与える行為を、独占禁止

53 契約自由の原則とは、契約を結ぶか否か、契約の当事者、契約の内容、書面の作成するか

否かなど、契約に関する決定は契約の当事者の自由であり、法律で制約されないという近代法

の原則をいう。54 取引先選択の自由とは、取引先の選択は取引主体の自由かつ自主的な判断によるという考

えをいう。

148

法第 2条第 9項 5号で奉呈し、同法第 19 条で禁止している。

3) 優越的地位とは？

公正取引委員会は、90年 6 月に制定した流通取引慣行ガイドライン（「流通・取引慣行に関

する独占禁止法上の指針」）において優越的な地位を次のように定義している（第2部第五2）。

「当該納入業者にとって当該小売業者との取引の継続が困難になることが事業経営上大き

な支障をきたすため、当該小売業者の要請が自己にとって著しく不利益なものであっても、こ

れを受け入れざるを得ないような場合」であり、その判断に当たっては、当該納入業者の「当

該小売業者に対する取引依存度、当該小売業者の市場における地位、販売先の変更可能性、商

品の需給関係等を総合的に」判断する。

このガイドラインは小売業における優越的地位について述べているが、この考え方は他の業

種においても共通すると考えられる。

この定義は、我が国において広範に見られる長期継続的な取引関係を背景に優越的地位が生

じているとの認識に基づいている。すなわち、長期継続的な取引が広範に行われている場合に

は、ある取引先との取引の継続が困難になった場合は容易に他に取引先を見つけることはでき

ないという事情がある。このため、仮に、X から不利益な取引条件を提示された場合、Y が、

「この提示を断ったら取引の継続が困難になって事業経営上支障をきたすおそれがある」と考

え、その取引条件が自己にとって著しく不利益なものであっても、これを受け入れざるを得な

い。このような事情にあるとき、Xの取引上の地位が Yに優越しているというのである。

一方、X と Y との取引が長期継続的なものではなくスポット取引のようなものであれば、Y

は、X が Y にとって著しく不利益な取引条件であったような場合は、Y は、断ったとしても事

業経営上大した支障はなく、この条件を呑むか否かを自由に自主的に判断できるから、Xの取

引上の地位が Yに優越することはない。

以上のとおり、長期継続的な取引の場合には優越的地位が生じやすいといえる。

4) 正常な商慣習とは？

「正常な商慣習」とは、公正な競争維持の観点から「正常」とみられる商慣習のことをいう。

5) 「不当に不利益を与える」とは？

「不当に」とは、公正な競争を阻害するおそれがある場合をいう。

公正な競争とは、①事業者間に自由な競争が行われている、②価格・品質・サービスを中心

とした能率競争が行われている、③取引の諾否や取引条件について取引主体が自由に自主的に

判断することができることであり、このような競争を維持・促進するのが独占禁止法の目的で

ある。

つまり、「不当に」とは、取引の諾否や取引条件について取引主体が自由に自主的に判断す

ることが妨げられている場合であり、そのような状況の下で、相手方が負担する必要のない金

149

銭や費用等の経済上の利益を負担させるような場合を「不利益を与える」という。

独占禁止法上問題になり得ると考えられるのは、Xの取引上の地位が Yに優越していること

を利用して、Xが通常実施されているレベルをはるかに超える秘密情報の保護対策を Yの費用

負担において実施するよう要求するような場合である。（3-4.1.1. 参照）この場合、Yは、「通

常実施されているレベルの秘密情報の保護対策ならいざ知らず、それをはるかに超える保護対

策をなぜ自己の負担において実施しなければならないのか」「この要求は不合理である」と不

満を募らせるだろう。

すなわち、取引の相手方に「不合理」と思わせるような要求をすることは、独占禁止法上問

題になるケースが多いといえる。


・独占禁止法第 19 条55、第 2条第 9項 5号

(4) 裁判例

特になし

第5節知的財産権法との関係

3-5.1.1. リバースエンジニアリングにおける著作権法上の問題

コンピュータウイルス対策のために各ウイルスを解析する場合や情報セキュリティ対策と

して不正行為に用いられるソフトウエアの構造等を解析する場合に、その複製や一部改変

を行なわざるを得ない状況が生じ得ると考えられるが、これらの行為について著作権法上

の問題はないのか。

(1) 考え方

現行著作権法の下では、たとえその用途がセキュリティを脅かす不正行為に供されるソフト

ウエアやコンピュータウイルスについても、プログラム著作物として著作権による保護を否定

することはできないと考えられ、このようなプログラム著作物について、たとえウイルス対策

等の公益目的の解析であっても、現行規定の解釈上は、権利者に許諾なく複製や一部を改変す

る行為が生じている以上は著作権法第 47 条の 3 等の権利制限規定に該当しない限り、複製権

や翻案権、同一性保持権と抵触する可能性は否定できない（現実的に、それらの著作権者が権

利行使を行うという可能性は極めて低いと考えられる）。

一方、コンピュータウイルスの著作権の行使による解析行使等の差止請求が当然に認められ

るべきであるのかは議論の余地が残されている。裁判例としてこの点について正面から判断し

55 独占禁止法第 2条第 9号であげられた「不公正な取引方法」を禁止している。

150

た事例は未だなく、現状では依然として明確ではない。

また、この種のプログラム著作物の場合、著作権者が不明である場合がほとんどと考えられ

るところ、裁定制度を活用することも考えられよう。

(2) 説明

コンピュータウイルスや不正行為に用いられるソフトウエア（以下「不正目的ソフトウエア」

という。）であっても、著作権法上のプログラム著作物（著作権法第 2条 1項 10 号の 2）に該

当するものは多いと考えられる。

このため、これらの不正目的ソフトウエアであっても、それを構成するプログラムについて

は著作権が発生し、原則的には著作権法上の支分権（著作権法第 21条～第 28 条）及び著作者

人格権（第 18条～第 20条）による保護が及ぶことになる。

したがって、不正目的ソフトウエアへの対策等のために、リバースエンジニアリングを行う

に際して生じる複製や翻案についても、原則的には当該プログラムの著作権者の許諾なしには

行うことはできないのであって、許諾なしに行うことは著作権侵害行為や同一性保持権侵害を

構成し得る。

なお、著作権法では公益との調整を図るために様々な権利制限規定を設けているが、設例で

挙げられている「コンピュータウイルス対策のために各ウイルスを解析する場合や情報セキュ

リティ対策として不正行為に用いられるソフトウエアの構造等を解析する場合」に直接適用し

得る規定は存在していないし、解釈論として適用し得る規定が存在するのか明確ではない。

もっとも、ソフトウエアの機能構造解析については、一般的にもリバースエンジニアリング

を巡る問題として認識されており、学説上は、プログラムの中身を知るための解析過程で生じ

る複製・翻案については、著作権法の規範的解釈により、法上の複製・翻案と解すべきではな

いという説（例えば、中山信弘『著作権法』103－105 頁）もあり、このような立場に立てば、

何ら著作権侵害は構成しないということになろう。

現状では、裁判例の考え方は明らかではないが、仮に、著作権侵害訴訟の形で権利行使なさ

れたとしても、そもそも公益目的での不正目的ソフトウエアの対策行為について差止請求や損

害賠償請求が肯定される可能性は低いものと考えられ、また基本的にそのような請求は認めら

れるべきものでないことに異論は少ないであろう。

その理論構成としては幾つか考えられよう。

例えば、事実として複製が行なわれているものの著作権法上の「複製」には当たらないとし

た判例（東京高裁平成 14 年 2 月 18 日判決・判時 1786 号 136 頁）の考え方の応用、権利濫用

法理、（ウイルスの場合、多数のコピーが拡散され、変換されることを前提としていることを

捉えて、）複製・翻案についての黙示の許諾が存するとの解釈等が考えられるかもしれない。

また、不正目的ソフトウエアのほとんどはその製作者が不明であることから、著作権者不明

として著作権法上の裁定制度（著作権法第 67 条第 1 項）を積極的に活用することによって、

不正目的ソフトウエア対策を進めることができるものと考えられる。

151

なお、リバースエンジニアリングを巡る著作権法における対応の現状を踏まえて、昨今、文

化審議会著作権分科会でも、この点についての権利制限規定の導入について、検討が進められ

ており、平成 21 年 1 月の報告書では、相互運用性の確保や障害の発見等の一定目的のための

調査・解析について権利制限を認めるべきことについては概ね意見の一致が見られた」とされ

ている（同上・報告書 73頁）。このことから、今後の立法を巡る動向についても、注意を要す

る。


・著作権法第 2条第 1項第 10 号の 2、第 18 条～第 28 条、第 20 条第 2項第 3号、第

47 条の 3、第 67 条第 1項

(4) 裁判例

リバースエンジニアリング関連では、特になし


3-5.1.2. マルウエアに感染等したソフトウエアの解析に伴う複製

マルウエアに感染等したソフトウエア、又はマルウエアの感染等から守られるべきソフト

ウエアについて、セキュリティ対策の目的で当該ソフトウエアを解析する際にこれを複製

することは、著作権法上、問題ないのか（行為を行う主体としては民間企業及び公的機関

を含む）。

(1) 考え方

ソフトウエアを複製することは、その目的にかかわらず、さしあたり著作権法上の複製に該

当する。そのため、他人のソフトウエアを無断で複製することは複製権侵害の問題を生じさせ

得る。もっとも、当該複製について権利者の明示的または黙示的な許諾がある場合は複製権の

侵害にならない。また、一定の権利制限規定に該当する場合も同様であり、本件の場合、特に

複製主体が公的機関の場合に関して著作権法第 42 条の適用を受ける可能性があるほか、プロ

グラムの著作物の複製物の所有者が自ら利用するために必要と認められる限度で複製するの

であれば著作権法第 47 条の 3 に基づき権利が制限されるため、複製権の侵害とはならない。

なお、マルウエア自体を解析することにともなうマルウエアの複製については、3-5.1.1. を

参照。

(2) 説明

セキュリティ・テスティングをするためには、マルウエアに感染等したソフトウエアを解析

したり、マルウエアに感染することを防止したいと考えるソフトウエアを解析したりするため

に、当該ソフトウエアを複製する必要がある場合、この複製が著作権法上の問題を生じさせる

152

可能性がある。

たしかに、その目的がたとえセキュリティ対策であるとしても、当該ソフトウエアを「有形

的に再製」している以上、著作権法の「複製」を行っていることは否定できない。

もっとも、このような複製行為が直ちに複製権侵害となるとすれば、セキュリティ対策を効

果的に行うことに支障を生じさせかねない。そこで、当該ソフトウエアの複製権侵害に当たら

ないとする解釈論として以下のものが考えられる。

まず、著作権者の許諾がある場合である。当該ソフトウエアの著作権者（この場合は複製権

者）が、本件のようなソフトウエアの複製について明示的または黙示的に許諾している場合は

複製権侵害にならないものと解される。例えば、当該ソフトウエアのメーカーが解析を直接依

頼した者が複製を行うような場合はこれに当たる。他方、ソフトウエアを一般に販売している

メーカーが、当該ソフトウエアがセキュリティ対策のために必要な限りで複製されることにつ

いて黙示的に許諾していると解釈できる場合があるかどうかは検討の余地がある。

次に、制限規定の適用である。

まず、著作権法第 42 条第 1 項柱書は「著作物は、裁判手続のために必要と認められる場合

及び立法又は行政の目的のために内部資料として必要と認められる場合には、その必要と認め

られる限度において、複製することができる」と規定しているため、例えば、セキュリティ対

策を目的とする行政機関がその行政の目的のためにソフトウエアを複製することが「内部資料

として必要と認められる」複製に当たれば、複製権侵害にならないことになる。もっとも、実

際に同項に該当する場合があるかどうかは検討の余地がある。


・著作権法第 21条、第 42条、第 47条の 3

(4) 裁判例

特になし

153

第4章インシデント発生時の対応、訴訟手続、フォレンジック等

第1節はじめに

本章では、典型的なインシデントの発生を念頭においた上で、インシデント発生後、企業は

どのような対応をすべきかについて論じる。

情報漏えい・システム障害などのインシデントの発生によって企業が損害を受けた場合、①

原因究明、②処分を含めた事後処理、③再発防止策の実施を行うことは、取締役の義務であり、

これを怠ると任務懈怠の責任を問われる可能性がある。

典型的なインシデントである、個人情報の漏えいの場合と、営業秘密の漏えいの場合には特

に以下のような対応が求められる。

個人情報の漏えいが発生した場合、被害者への通知、漏えい事実の公表、監督官庁への報告

などの対応を検討する必要がある。営業秘密の漏えいの場合については、不正競争防止法に基

づく告訴等の適否、可否が検討されることになる。

そして、訴訟手続きを念頭においた場合、どのようにして証拠を収集すべきかが実務的な対

応としては重要である。情報は無体物であることから、証拠の保全・提出にあたって留意が必

要となる（4-2.1.1. ）。また、電子文書の真正性確保のために電子署名及び認証業務に関する

法律が設けられている（4-2.1.2. ）。

特に不正競争防止法における営業秘密の保護については、漏えいの事実を立証することが困

難であることから、一定の場合に被告側にも具体的態様の明示義務を課すなどしている

（4-2.1.3. ）。ただ、原告側に立証責任があるのであるから、予め営業秘密は十分に管理し、

漏えいがあった場合には漏えいの事実を客観的に把握できるようにしておく必要がある

（4-2.1.4. ）。

また、会社で保有している情報に対して訴訟当事者からその提供を求められることがある

（4-2.1.5. ）。ただ、一定の場合には、その提供を免れることができる（4-2.1.6. ）。なお、

訴訟において不利であると考えられる情報について破棄するなどした場合には、法律上不利益

がある（4-2.1.7. ）。

第2節個々の問題

4-2.1.1. IT 関連の損害賠償等に関する民事訴訟において証拠を保全・提出

IT 関連の損害賠償等に関する民事訴訟において証拠を保全・提出するために留意すべき点

にはどのようなものがあるか。

(1) 考え方

民事訴訟法上は、原則としてどのようなものでも証拠とすることができるが、裁判官が書証

として証拠調べをするためには、その文書が外観上見読可能なものでなければならない。また

154

証拠が要証事実を立証するに足る実質的な証拠価値を有すると評価されるためには、その前提

として、当該文書が挙証者が作成者であると主張する者(以下「作成者」という。）の意思に基

づいて作成され、他の者により偽造又は改ざんされたものではないことを示す必要がある。

文書ファイルが、プリントアウトするなどして見読可能な状態で証拠として提出される場合、

相手方が当該ファイルに収録された情報内容とプリントアウトされた文書の記載内容が異な

るなどとして争う場合に備えて、プリントアウトされた文書ともとの文書ファイルの記載内容

が合致していること、元の文書ファイルが偽造又は改ざんされたものではないことを証明する

ため、オリジナルデータのコピーなどを保全しておくことが必要である。

(2) 説明

1) 問題の所在

IT 関連の損害賠償請求訴訟では、事件の性質上、紙媒体の文書や証人など従来型の証拠の

ほかに、デジタルデータの収録された磁気ディスク等を証拠として提出する場合が予想される。

そのような場合に、従来型の証拠と違ってコピーや改ざんが容易だという特性があり、またデ

ジタルデータそのままでは読む及び見るということができない（見読性がない）。そこで、ど

うすれば裁判の証拠とできるかが問題となる。

2) 民事訴訟で提出できる証拠とは？

民事訴訟法は、原則としてどのようなものであっても証拠とすることができる。これを証拠

能力に制限がないという。したがって、コンピュータに内蔵されたデータであっても、その意

味内容を証拠化することは可能である。

しかし、一般的にデジタルデータを文書ないし準文書として証拠化することが可能であると

しても、訴訟上の証拠資料として事実認定の用に供するためには、裁判官がその証拠の内容を

理解するに足る見読可能性を備えなければならず、さらに、要証事実を裁判官が認定するに十

分な証明力を当該証拠が有することが必要である。デジタルデータの意味内容を証拠資料とす

る場合は、そのいずれについても注意が必要である。

3) デジタルデータを取り調べる方法

デジタルデータは、そのままでは見読性がなく、情報内容を証拠資料とするためには、何ら

かの形で裁判官が認識できるようにしなければならない。いわゆる文書ファイルであれば、デ

ジタル情報として記録されている文書の内容をエディタソフト56やワープロソフト、表計算ソ

フト、プレゼンテーションソフトなど、いわゆるビューアソフト57により見読可能にして、モ

ニターやプリンター等に出力する。裁判官は、上記の情報記録媒体自体が証拠として提出され

56 プログラム作成のためのソフトウエア。テキストエディタなどもエディタソフトの一種。57 画像や文書を閲覧するためのソフトウエア。

155

た場合には、モニターに表示された情報を取り調べることになり、プリントアウトされた紙媒

体が証拠として提出された場合には、これを取り調べる。

前者の場合、当事者は情報記録媒体を準文書として提出することになる。この場合、裁判所

や相手方の求めがあるときは、情報内容を説明した書面を提出しなければならない（民訴規則

第 149 条参照）。後者の場合、当事者はプリントアウトされた紙媒体を文書として提出するこ

とになり、相手方が情報記録媒体の複製物の交付を求めたときは、複製物を相手方に交付しな

ければならない（民訴規則第 144 条参照）。

なお、情報記録媒体の内容が言語により表現されている文書ファイルであれば、これを表示

し又はプリントアウトすることにより取り調べることが可能だが、ソフトウエアやメタデータ

のような場合は、プリントアウト等したとしても、それだけで裁判官が理解できるものとはな

らない。この場合、証拠を提出する当事者は、証拠説明書を裁判所に提出するとともに、証拠

の内容及びその意味を説明した書面、場合によっては陳述書などの書証を提出することが考え

られる。

4) デジタルデータの成立の真正を証明するための留意点

デジタルデータを証拠として提出する場合、当事者は、当該データが作成者の意思に基づき

真正に成立したものであることを証明しなければならない（4-2.1.2. 参照）。

デジタルデータが、例えば電子商取引でやりとりされたものであれば、電子署名の方法が法

定されており、これにより成立の真正を証明することが考えられる。ところが例えば損害賠償

請求訴訟では、そうしたデータ等が整っていることは少なく、訴訟の相手方が争った場合に、

成立の真正を証明する方法が問題となる。そこで、データの意味内容を証拠資料とするために

は、そのデータファイルがいつできたのか、最後に修正を加えられたのがいつかを明らかにす

るためのタイムスタンプや、修正履歴を記録しておくことが考えられる。また、こうしたデー

タを特定し、成立の真正を証明するためには、デジタルフォレンジック技術58が有用である。


・民事訴訟法第 231 条

・民事訴訟規則第 144 条、第 149 条

(4) 裁判例

・デジタルデータ又はそれにより作成された紙媒体の証拠調べが問題となった例

・大阪高裁昭和 53 年 3 月 6日決定・高民集 31巻 1号 38 頁

・最高裁平成 19年 8月 23 日判決・判時 1985 号 63 頁・判タ 1252 号 163 頁

58 デジタルフォレンジック技術については、デジタルフォレンジック研究会編『デジタルフ

ォレンジック事典』（日科技連出版社・2007）参照。

156

4-2.1.2. 民事訴訟における電子データの成立の真正の立証の要否

民事訴訟において、電子データを証拠とする場合にはその成立の真正を証明しなければな

らないか。

(1) 考え方

民事訴訟法は、文書が作成者の意思に基づいて作成されたことを形式的証拠力として要求し

ているが、これは電子データについても同様である。電子データにおいて、署名・押印に相当

するのが電子署名である。

(2) 説明

1) 文書証拠の形式的証拠力

書証については、その文書が作成者の意思に基づいて作成されたことが必要である。これを

形式的証拠力と言い、私文書の作成者が、その意思に基づいて当該私文書に署名又は押印をし

た場合には、その私文書全体がその意思に基づいて作成されたものと推定され、その私文書に

文書作成者の印章により顕出された印影があれば、その印影は、その私文書の作成者の意思に

基づくものであり、その私文書の作成者がその意思に基づいて押印したものと事実上推定され

る。

2) 電子データの場合

電子データの場合も、その意味内容を証拠資料としたいのであれば、その成立の真正を証明

する必要がある。電子データについて電子署名が行われた場合には、その電子データは真正に

成立したものと推定される。ただし、その電子署名は、適正に管理されて本人だけが行うこと

のできる電子署名に限られる。



・電子署名及び認証業務に関する法律第 3条

(4) 裁判例

文書作成者の印章により顕出された印影がある私文書につき、その成立の真正の推定が問題

となった例

・最高裁昭和 39年 5月 12 日判決・民集 18 巻 4 号 597 頁

157

4-2.1.3. 営業秘密の使用の立証方法

営業秘密侵害訴訟において侵害者（被告）が技術情報である営業秘密を使用した事実をど

のように立証すればよいのか。

(1) 考え方

侵害者（被告）が営業秘密の取得や使用を否認している場合には、被侵害者（原告）は営業

秘密の存在とその内容を特定し、営業秘密の使用を立証しなければならないが、不正競争防止

法に定める具体的態様の明示義務（不正競争防止法第 6条）等を活用することにより侵害者に

も侵害情報の特定を促す訴訟活動をする必要がある。

(2) 説明

営業秘密の侵害訴訟においては、侵害の事実を立証する責任は侵害の事実を主張する原告に

ある。このため、被告が営業秘密を取得し使用した事実を立証しなければ、原告の請求は認め

られないことになる。

特に、被告が営業秘密の秘密管理性や非公知性を争うのではなく、取得や使用自体を争う場

合には、この点が裁判で争点となるため、原告は営業秘密を具体的に特定し、侵害者が当該営

業秘密を使用した事実を立証する必要がある。

営業秘密の使用を立証するためには、原則として営業秘密となる技術情報を開示して特定し

た上で、様々な間接事実を積み重ねて、相手方が営業秘密を使用したことを立証する必要があ

るが、例えば、被侵害者が営業秘密となる技術情報の一部を開示し、当該技術情報を用いなけ

れば侵害者の製品は製造できないことを立証し、侵害者が異なる製法で同一製品が製造できる

ことを反証できない場合には、営業秘密の使用の事実が当該営業秘密の一部の開示によって立

証される場合もある。

なお、営業秘密が技術情報であった場合には、被告がその技術を使用したか否かを立証する

ことが困難な場合が多い。そこで、不正競争防止法に係る訴訟においては、原告が主張する侵

害行為を組成する物又は方法を、被告が否認する場合には、自分の行為の具体的態様を明らか

にしなければならないとされている（不正競争防止法第 6 条）。そこで、営業秘密侵害訴訟に

おいても、原告が、被告は特定の製品について営業秘密を使用して製造したものであると主張

した場合には、被告において、当該製品をどのような技術を用いて製造したのかを積極的に反

証する必要があることになろう。

ただし、「相手方において明らかにすることができない相当の理由」がある場合には、具体

的態様の明示義務は負わないこととされており、具体的態様を明示することで被告側の営業秘

密が開示されてしまう場合などがこれに該当すると考えられている。

また、特許法では、「物を生産する方法の発明について特許がされている場合において、そ

の物が特許出願前に日本国内において公然知られた物でないときは、その物と同一の物は、そ

の方法により生産したものと推定する。」との規定がある（特許法第 104 条）。同条の趣旨は、

158

新規物質の生産方法の発明がなされた場合、他のものによるその物と同一の物の生産はその特

許方法によってなされている蓋然性が高いことから、立証責任の転換により特許権者の負担の

軽減を図ったものと解されている（東京地裁昭和 53 年 2 月 10 日判決・判時 903 号 64 頁）。

そこで、営業秘密が新規物質の生産方法であって、被告が同一の物を製造している場合には、

同条を類推適用することにより、被告の製品は原告の営業秘密の使用により製造されたもので

あるとの事実が推定されるべきであろう。

この他にも、両者の営業秘密を開示しなければ侵害行為が立証できない場合には、訴訟記録

の閲覧等制限の申立て（民事訴訟法第 92 条）、文書提出命令制度におけるインカメラ手続（民

事訴訟法第 223 条第 6項）、不正競争防止法第 7条第 2項、第 3項）、秘密保持命令（不正競争

防止法第 10 条）、尋問の公開停止（不正競争防止法第 13 条）等を活用した立証活動をするこ

とが考えられる。

なお､営業秘密侵害罪の刑事訴訟手続に関して､平成22年12月20日に､経済産業省及び法務

省は､刑事訴訟手続における営業秘密を保護するための措置として､裁判所は､営業秘密の内容

を公開法廷で明らかにしない旨の決定（秘匿決定）をすることができ、この場合、営業業秘密

の内容を特定させることとなる事項につき呼称等を定め、また、一定の要件が認められるとき

は公判期日外において証人尋問等を行い得る旨を骨子とする取りまとめを行っており、今後の

法改正の動きが注目される。


・不正競争防止法第 2条第 1項第 4号～第 9号、第 6条、第 7条第 2項・第 3項、第

10 条、第 13 条

・特許法第 104 条

・民事訴訟法第 92 条、第 223 条第 6項

(4) 裁判例

特になし

4-2.1.4. 営業秘密漏えいの証拠を確保する方法

情報漏えいが営業秘密侵害に該当すると裁判で認められるためには、営業秘密を不正に取

得したことや、情報の取得者が当該情報を使用したこと、第三者へ開示したことなどを立

証する必要がある。しかし、取得対象が情報という無体物であるがゆえに、その証拠を確

保することは容易ではない。そこで、情報漏えいが発生した場合に漏えいの事実を立証す

るために、どのような方法により情報を管理しておくべきか。

159

(1) 考え方

情報漏えいの事実を把握するために、秘密情報を物理的・技術的に隔離して管理し、秘密情

報の複製や外部への持ち出しを、客観的に把握できる手段を確保しておくことが必要である。

(2) 説明

営業秘密の証拠を保全することは、漏えい者や漏えいした営業秘密を使用した第三者に対し

て民事上の請求をするために必要となる。また、営業秘密侵害罪は、親告罪（不正競争防止法

第 21 条第 3 項）であるが、実務的には、告訴段階において十分な証拠が確保されていない場

合に、捜査機関が告訴後の捜査のみで証拠を収集して営業秘密侵害罪を立件することは非常に

困難であるといわれている。そこで、営業秘密の漏えいが発生した場合には、自主的にその証

拠の保全を行うことが重要となる。

まず、情報漏えいの証拠を確保するためには、情報漏えいの事実を把握するためにも、秘密

情報を物理的・技術的に隔離して管理しておくことが望ましい。なお、このような物理的・技

術的管理は、不正競争防止法での営業秘密の秘密管理性（①アクセス制限、②客観的認識可能

性）の要件を満たすためにも必要な措置である。

具体的な管理方法としては、保管場所の隔離・施錠、アクセス権者の制限、電子データの複

製の制限、不正アクセスの防御措置、外部ネットワークからの遮断、保管媒体の持出禁止等の

秘密管理性の判断において裁判例が考慮している要素や、またその他の管理方法についても、

経済産業省の「営業秘密管理指針」において掲げられているものが参考となる。

さらに、このような予防措置に加え、情報が外部に流出した場合に備え、秘密情報の複製や

外部への持ち出しを、客観的に把握できる手段を確保しておくことが必要である。例えば、管

理場所における監視カメラの設置、電子データの複製履歴の保存、電子メールのモニタリング

や過去の送受信メールの保存等の情報漏えい時に流通経路を特定することが可能なシステム

の設置などを行うことが考えられる。また、不正アクセスなどに対しては、コンピュータを解

析して証拠を収集するコンピュータフォレンジックを行うことにより証拠を確保することも

可能であろう。さらに、情報を漏えいさせている者が特定できている場合には、捜査当局の協

力を得て具体的な流出経路を特定して証拠を確保することも考えられる。


・不正競争防止法第 2条第 6項、第 21 条第 1項


(4) 裁判例

特になし

160

4-2.1.5. 民事訴訟において訴訟の当事者から情報の提供を求められる場合

民事訴訟において、訴訟の当事者から、自社が保有する情報の提供を求められることはあ

るか。

(1) 考え方

民事訴訟の当事者が相手方や第三者の保有する情報の提供を求める手段としては、文書提出

命令、検証物提示命令、証人尋問・本人尋問、訴訟前または訴訟中の当事者照会、証拠保全、

訴えの提起前の証拠収集処分、その他裁判外で弁護士会照会がある。

特別法上の提出義務としては、会社法上に商業帳簿の提出義務が定められ、また特許法や著

作権法など知的財産関係法にも書類の提出義務が規定されている。

以上のほかに、裁判所を通じて釈明を求める、または、文書送付嘱託や調査嘱託を求めるこ

とも、相手方や第三者が保有する情報の提供を求める手段の一つと位置付けられる。

(2) 説明

1) 裁判所の命令等による証拠の提出

民事訴訟において、相手方が保有する文書その他の情報媒体は、それを訴訟に提出するかど

うかの選択を保有者が持っている。しかし文書提出命令によりその文書等の提出を命じられた

場合には、当該文書を提出しなければならない。

文書提出義務は、平成 8年の民事訴訟法改正により一般義務化された。この結果、裁判所は、

民事訴訟法第 220 条第 4号に基づく文書提出命令の申立てがされた場合、証拠とすべき必要性

が認められ、同号が掲げる提出義務除外事由に該当しない限り、文書提出命令を発し、当該文

書の所持者はその提出義務を負うことになる。

文書提出命令の対象には、紙媒体のもののみならず、録音テープやビデオテープ、デジタル

データの記録された記録媒体なども含まれる。

こうした文書提出義務と類似の規定は、他の法令にもみられる。例えば、会社法には、第

443 条及び第 619 条の計算書類等の提出命令、第 434 条及び第 616 条の会計帳簿の提出命令、

第 498 条の貸借対照表等の提出命令、第 493 条及び第 659 条の財産目録等の提出命令がみられ

る。また特許法第 105 条や著作権法第 114 条の 3の書類提出なども重要である。

当事者が文書提出命令に従わない場合、裁判所は、相手方の当該文書の記載に関する主張を

真実と認めることができ、また、相手方が、当該文書の記載に関して具体的な主張をすること

及び当該文書により証明すべき事実を他の証拠により証明することが著しく困難な場合には、

その文書によって証明しようとした事実に関する主張を真実と認めることができる。また、訴

訟の当事者ではない第三者が文書提出命令に従わない場合には、過料の制裁を課されることが

ある。

文書の内容ではなく物の形状や性質などを証拠資料とする検証についても、文書と同様に検

161

証物提示命令の規定（民訴法第 232 条による第 223 条の準用）がある。なお文書であっても、

その形状や改ざんの有無などを明らかにするための証拠調べは検証によることになる。

裁判所は、原則として誰でも証人として尋問することができ、また、当事者本人を尋問する

ことができる。当事者は、自己に協力的な証人や自分自身の尋問を申し出ることも、いわゆる

敵性証人の尋問を求める、あるいは、相手方当事者の尋問を申し出ることも可能である。

証人が正当な理由なく出頭せず、又は証言拒絶権や宣誓拒絶事由がないにもかかわらず証言

や宣誓を拒んだ場合には、過料や罰金の制裁が課されることがある。また、宣誓の上で虚偽の

事実を述べれば、偽証罪の制裁が課されることがある。当事者尋問の場合、偽証罪の適用はな

いが、正当な理由のない不出頭や陳述拒絶、宣誓拒絶があった場合には、裁判所は、尋問事項

に関する相手方当事者の主張を真実と認めることができ、また虚偽の陳述があった場合には過

料の制裁を課すことがある。

2) その他の場合

上記 1)と異なり、制裁を伴わない制度としては、当事者照会（民訴法 163 条）があり、照

会を受けた相手方は照会に対して回答する義務があると解されているが、制裁規定を欠くため、

ほとんど利用はされていないとの指摘がある。

また、裁判長は、訴訟関係を明瞭にするため、事実上及び法律上の事項に関し、当事者に対

して問いを発し、又は立証を促すことができ（釈明権）、実務上活用されている。当事者が相

手方に対して主張や立証を求める場合、裁判長に発問を求めるという形がとられる。これを実

務上は求釈明という。

このほか、裁判所は、必要な調査を官庁等の団体に対して嘱託することができ（民訴法 186

条）、また、当事者は、文書の所持者にその文書の送付を嘱託することを裁判所に申し立てる

ことができ（民訴法 226 条）、これらも実務上活用されている。

3) 訴えの提起訴訟前における証拠収集

訴えの提起の前後にかかわらず、証拠調べの対象となる物が滅失するおそれがあるなど、あ

らかじめ証拠調べをしておかなければその証拠を使用することが困難となる事情があると認

められる場合、裁判所は証拠調べをすることができ（証拠保全）、医療事故紛争における患者

側が医療側の保有する医療記録について改ざんのおそれを理由として証拠保全を申し立てる

ことは実務上よくある。

また平成 15 年の民事訴訟法改正では、訴えを提起しようとする者が訴えの被告となるべき

者に対し訴えの提起を予告する通知を書面ですることなどを要件として、訴えの提起前におけ

る当事者照会及び証拠収集処分（文書送付嘱託等）の制度が創設された。

4) 弁護士会照会

民事訴訟法上の制度とは別に、民事には限られないが、弁護士会照会（いわゆる第 23 条の

162

2 照会）が行われている。これは、事件を受任した弁護士等の申出に基づき、その所属弁護士

会が、公私の団体等に対して必要な事項の報告を求めることができ、相手方はその報告義務を

負うというものである。


・民事訴訟法第 132 条の 2～第 132 条の 4、第 149 条、第 163 条、第 186 条、第 190

条、第 211 条、第 220 条、第 223 条～第 226 条、第 232 条、第 234 条

・弁護士法第 23条の 2、第 30 条の 21

・外国弁護士による法律事務の取扱いに関する特別措置法第 50 条

・沖縄の弁護士資格等に対する本邦の弁護士資格等の付与に関する特別措置法第 7

条

・沖縄弁護士に関する政令第 10条

・会社法第 443 条、第 493 条、第 498 条、第 616 条、第 619 条、第 659 条


・著作権法第 114 条の 3

(4) 裁判例

文書提出命令に対する提出拒絶が問題となった事例につき、4-2.1.6. 参照。

4-2.1.6. 民事訴訟における営業秘密、プライバシー情報の非公開の可否

民事訴訟においては、営業秘密やプライバシー情報を公開しないことができるか。

(1) 考え方

上記 4-2.1.5. のとおり、証人尋問・当事者尋問には不出頭や証言拒否等に一定の制裁が設

けられており、また、文書の所持者は、文書提出命令が発せられた場合には、文書提出義務を

負う。そして、民事訴訟手続は公開が原則であり、何人も訴訟記録の閲覧を請求することがで

きる。しかし、秘密として保護されるべき情報等は、証言義務や文書提出義務等を免れる場合

がある。また、訴訟記録中の営業秘密等が記載された部分は閲覧制限の対象となることがある。

加えて、平成 16年の特許法等の改正（平成 16年法律第 120 号）により、特許法などの知的財

産関連法に秘密保持命令制度と当事者尋問等の公開停止の措置が導入され、裁判の公開と秘密

保護との両立が図られた。

(2) 説明

1) 証言や文書提出の拒絶事由等

企業との関係では、民事訴訟法第 197 条第 1項第 3号の技術又は職業の秘密に関する事項に

ついての証言拒絶権と、同号の秘密に関する民事訴訟法第 220 条第 4号ハの文書提出義務の除

163

外事由、また同号ニの自己使用文書の提出義務除外事由が重要である。

また特許法や著作権法などの知的財産関係法令にある書類の提出義務についても、「正当な

理由」による提出拒絶が認められている。

2) 秘密として保護される要件

自己使用文書に該当する要件としては、ある文書が、その作成目的、記載内容、これを現在

の所持者が所持するに至るまでの経緯、その他の事情から判断して、専ら内部の利用に供する

目的で作成され、外部に開示されることが予定されておらず、開示によって所持者に看過し難

い不利益が生ずるおそれがあり、自己使用文書に該当することを否定すべき特段の事情がない

ことを要するとするのが判例である。

また，職業の秘密については、その事項が公開されると当該職業に深刻な影響を与え、その

遂行が困難になるもののうち、保護に値する秘密についてのみ証言拒絶が認められ、保護に値

する秘密かどうかは、秘密の公表によって生ずる不利益と証言の拒絶によって犠牲になる真実

発見及び裁判の公正との比較衡量により決せられるとするのが判例である。これを情報が秘密

として保護される要件という観点から見るならば、営業秘密について秘密として管理している

ことが必要なことはもちろん、それに加えて開示されたらどのような不利益が生じるのかを明

らかにしておく必要がある。

3) 秘密保持命令

特許紛争や不正競争関連紛争では、営業秘密に属する事項を主張立証の中で開示せざるを得

ないことが多く、その秘密保護が欠けるため裁判による権利保護が不可能になってしまうおそ

れが強い。また裁判官だけが文書を見るインカメラ手続について、その提出を求めた当事者も

立会を認める必要が主張されていた。そこで平成 16 年の特許法等の改正により、インカメラ

手続に文書提出命令申立人等の立会を認める制度を導入するとともに、訴訟上提出された準備

書面や証拠書類に営業秘密が含まれていた場合に、特に裁判所が秘密保持命令を発し、違反し

た場合は刑事罰を科すこととした。これによってインカメラ手続に立ち会った文書提出命令申

立人や、第三者に対しては閲覧制限がかけられるような準備書面・証拠書類等を見ることので

きる相手方当事者は、その情報を訴訟追行以外の目的で使用したり、第三者に開示したりする

ことが禁止される。

同旨の規定は特許法と不正競争防止法のほか、種苗法、商標法、著作権法、実用新案法、意

匠法にもある。

4) 当事者尋問等の公開停止

裁判の公開は憲法上の要請であり、従来は少なくとも訴訟事件について非公開審理を認める

ことに極めて慎重であった。しかし秘密保護やプライバシー保護の要請が強くなってきたため、

訴訟記録の閲覧制限だけでは秘密保護が不十分とされてきた。他方、審理の充実も必要であり、

164

秘密保護のための証言拒絶、文書提出拒絶を一方的に拡張することは適当ではない。そこで、

例外的に非公開審理の可能性を認め、裁判の公開と秘密保護とを両立させる方策として、平成

16 年の特許法等の改正により当事者尋問等の公開停止の措置が導入された。

特許法第 105 条の 7を例にとると、特許権または専用実施権の侵害の有無に関して、当事者

本人、法定代理人、証人が尋問を受ける場合に、それが開示されると当事者の事業活動に著し

い支障を生ずることが明らかな営業秘密が含まれているために十分な陳述ができず、しかも他

の証拠によっては侵害の有無が判断できないと認められる場合に、裁判官全員一致の決定によ

って尋問を非公開で行うことができるとされている。

同旨の規定は種苗法、不正競争防止法、実用新案法にある。


・民事訴訟法第 92 条、第 197 条、第 220 条、第 223 条第 1項・第 6項など

・特許法第 105 条、特に同条第 3項、第 105 条の 4～第 105 条の 7

・不正競争防止法第 7条、特に同条第 3項、第 10条～第 13 条

(4) 裁判例

・最高裁平成 11年 11 月 12 日決定・民集 53 巻 8 号 1787 頁

・最高裁平成 12年 3月 10 日決定・民集 54 巻 3 号 1073 頁

・最高裁平成 13年 12 月 7日決定・民集 55 巻 7 号 1411 頁


・最高裁平成 18年 2月 17 日決定・民集 60 巻 2 号 496 頁

・最高裁平成 18年 10 月 3日決定・民集 60 巻 8 号 2647 頁

・最高裁平成 19年 8月 23 日決定・判時 1985 号 63 頁・判タ 1252 号 163 頁



4-2.1.7. 自社に不利な証拠となり得る社内文書の破棄について

自社に不利な証拠となり得る情報が記載された社内文書を破棄した場合、破棄したことで

訴訟上の不都合を招くことはあるか。

(1) 考え方

文書提出命令の対象となる文書を破棄すれば、裁判所がその文書の記載に関する相手方の主

張を真実と認めることができるという規定があり、提出義務がないとしても、不利な内容の文

書が破棄された事実が明るみに出れば、裁判所が不利益に考慮する可能性がある。

165

(2) 説明

1) 証明妨害

文書提出義務を負う文書について、民事訴訟法第 224 条第 2項は「当事者が相手方の使用を

妨げる目的で提出の義務がある文書を滅失させ、その他これを使用することができないように

したときも、前項（引用者注--当該文書の記載に関する相手方の主張を真実と認めることがで

きる）と同様とする」と定め、同条第 3項ではさらに「相手方が、当該文書の記載に関して具

体的な主張をすること及び当該文書により証明すべき事実を他の証拠により証明することが

著しく困難であるときは、裁判所は、その事実に関する相手方の主張を真実と認めることがで

きる」と定めている。

これは講学上「証明妨害」と呼ばれる。民事訴訟法第 224 条第 2項にいう「提出の義務があ

る文書」とは、同法第 220 条の提出義務があると定められている文書であって、実際の提出命

令の有無とは関係がなく、文書の破棄等の行為は、裁判所が提出命令を発する以前に行われて

も同法 224 条第 3項に当たると解される。

2) 実務上の取扱

例えばカルテの改ざんのケースのように、証拠となることが当然予想できる文書について滅

失毀損、あるいは改ざんを施せば、裁判所が不利益に考慮する可能性があるため、証明妨害と

ならないように不用意に文書を破棄することは避けるべきである。

裁判例に現れた例では、当事者が文書を破棄したとして、当該文書の記載に係る相手方の主

張や当事者尋問における供述を真実と認めた事例として、本庄簡裁の判決及び東京地裁の判決

がある。

3) アメリカのディスカバリー対策

なお、この関連でアメリカ連邦民訴規則における e-Discovery のための証拠保存義務も、渉

外取引を行う企業にとっては極めて重要である。本来存在するはずの文書や電子データを破棄

したことが明らかになれば、民事上のみならず刑事上も司法妨害罪の対象となりかねないため、

注意が必要である。



(4) 裁判例

・本庄簡易裁判所平成 19年 6月 14 日判決・判タ 1254 号 199 頁

・東京地裁平成 6年 3月 30 日判決・判時 1523 号 106 頁・判タ 878 号 253 頁

166

第5章その他（※要修正、非公開）

5-1.1.1. 子会社の情報セキュリティ体制と親会社役員の責任

グループ経営をしている取締役・監査役が、子会社の情報セキュリティ体制に関して、何

らかの責任を負うことがあるか。

(1) 考え方

判例上、必ずしも明らかではないが、会社法の下では、一定の重要な子会社において情報セ

キュリティ体制が整備されているかについて、親会社の取締役・監査役は適切な注意を払う義

務があると解する余地があり、情報セキュリティ体制の欠陥により、子会社ひいては親会社に

損害が生じたときは、親会社の取締役・監査役は、親会社から任務懈怠責任を問われる場合が

あり得るものと解される。

(2) 説明

子会社の内部統制システムの不備によって子会社に損害が生じ、ひいては（子会社株式の価

値下落等により）親会社にも損害が生じた場合に、親会社の取締役がいかなる場合に責任を問

われるかは、判例上、必ずしも明らかでない。

子会社における内部統制システム体制の構築は、第一義的には、子会社の取締役の義務であ

る。しかし、子会社に損害が生じれば、親会社も子会社株式の価値下落等によって損害を被る

のであるし、また、親会社はその株主権（子会社役員の選解任等）を通じて子会社の経営にも

一定のコントロールを及ぼすことが可能であるから、子会社の内部統制システムを含めた業務

執行の適正さについて、親会社の取締役は何らの注意も払わなくてよいと解することには疑問

がある。この点、会社法の下では、大会社・委員会設置会社では、取締役が整備すべき内部統

制システムの一環として、企業集団内部統制（会社法第 348 条第 3項第 5号、第 4項、会社法

第 362 条第 4項第 6号、第 5項、第 416 条第 1項第 1号ホ、同施行規則第 98 条第 1項第 5号、

第 100 条第 1項第 5号、第 112 条第 2項第 5号）の整備が要求されている。また、日本監査役

協会平成 19 年 4 月 5 日制定の「内部統制システムに係る監査の実施基準59」第 12条において

も、監査役は、「重要な子会社において法令等遵守体制、損失危険管理体制、情報保存管理体

制、効率性確保体制に不備がある結果、会社に著しい損害が生じるリスク」について、監査役

は監視し検証すべきものとされているところである。

これらのことから、親会社の取締役及び監査役は、その善管注意義務（会社法第 330 条・民

法第 644 条）の一内容として、一定の重要な子会社については、情報セキュリティ体制を含め

59 別冊商事法務 307 号所収

167

た内部統制システムが適切に構築・運用されているかにつき監視・検証する義務があると解さ

れる場合があり得、それらの監視・検証を怠った結果、情報セキュリティ体制の欠陥によって

子会社ひいては親会社に損害が生じた場合、親会社の取締役・監査役が、親会社に対して任務

懈怠責任（会社法第 423 条第 1項）の責任を負うと解する余地があるものと思われる。


・会社法第 348 条第 3項第 5号、第 4項、会社法第 362 条第 4項第 6号、第 5項、第

416 条第 1項第 1号ホ

・会社法施行規則第 98 条第 1 項第 5 号、第 100 条第 1 項第 5 号、第 112 条第 2 項第

5号

（参考：日本監査役協会平成 19 年 4 月 5 日制定「内部統制システムに係る監査の実施基準」

第 12条）

(4) 裁判例


5-1.1.2. 誤った情報流出時の回収請求

電子メールの誤送信や郵送送付先の誤り等、送信者側の過失により情報漏えいした場合、

漏えい対策として、受信者に対して一定の要請（返却要請、削除要請、削除確認、現物確

認等）を行うが、このような要請を受信者が拒否したため漏えい対策がとれずに二次被害

が出た又はそのおそれがある場合、受信者に対して取り得る法的措置はあるか。

(1) 考え方

誤送信された情報が不正競争防止法上の営業秘密に該当するときは、受信者が、当該情報が

送信者の営業秘密であることを認識した上で、当該情報を自ら使用し又は第三者に開示した場

合又はそのおそれがある場合には、送信者は、受信者に対して、不正競争防止法に基づき差止

を請求し得るものと考えられる。また、この場合には、受信者の当該情報の使用又は開示行為

により損害を被った場合は、損害賠償を請求し得る。

さらに、受信者が誤送信された営業秘密情報の管理を開始するに至った後で、当該情報を秘

密として管理せずに、故意又は過失により第三者に情報を漏えいした場合には、事務管理にお

ける善管注意義務に違反するものとして、送信者は、受信者に対し、損害賠償請求ができると

解する余地がある。

なお、誤送付された書類などの情報記録媒体については、送信者は受信者に対して情報記録

媒体の返還を請求し得る。

168

(2) 説明

ア営業秘密侵害

電子メールの誤送信や郵送送付先の誤り等の送信者側の過失により情報漏えいが起きた場

合、受信者がその情報を保有する行為自体は違法性が認められない。このため、送信者には受

信者の保有する情報を削除するように請求することはできず、受信者の任意の協力が得られな

い限り、受信者が保有する誤送信された情報を削除することは困難である。

もっとも、営業秘密を保有する事業者（以下「保有者」という。）からその営業秘密を示さ

れた者が、不正の利益を得る目的又は損害を加える目的で、営業秘密を使用する又は第三者に

開示する行為は、不正競争行為となる（不正競争防止法第 2条第 1項第 7号）。「営業秘密を示

された」とは、営業秘密の開示を受けたことをいうと解されており、誤送信によって保有者か

ら営業秘密の開示を受けた場合も、保有者から営業秘密を示された場合に含まれるものと考え

られる。したがって、誤送信された情報が秘密管理性、非公知性、有用性の要件（2-2.5.2. 参

照）を満たしている場合には、受信者が情報を、不正の利益を得る目的又は損害を加える目的

で使用又開示する行為は、不正競争防止法第 2条第 1項第 7号の不正競争行為に該当し、送信

者は受信者に対して損害賠償請求や差止請求等の請求をすることができると考えることが可

能であろう。なお、誤送信された情報について秘密管理性や不正の利益を得る目的や損害を加

える目的が認められるか、又、多数の者に誤送信された場合には非公知性が失われないかが問

題となるが、この点については、以下のとおりに解することができよう。

まず、営業秘密が誤送信されていた場合に秘密管理性が失われないかという点については、

受信者が誤送信された情報が営業秘密であることを認識している場合には、なお、秘密管理性

は失われない場合があると考えることができよう。受信者が誤送信された情報が営業秘密であ

ることを認識している場合には、その情報を使用開示して受信者に損害を加えてはならないこ

とについて信義則上の保護義務が発生すると解する余地があるし、その情報を使用開示する行

為は不正競争行為（不正競争防止法第 2条第 1項第 7号）として損害賠償・差止等の対象にな

るのだから受信者は誤送信された情報について実質的には秘密保持義務を負っているとも考

えられよう。一方、情報が秘密として管理されていたことを受信者が認識していなかった場合

には、信義則上の保護義務が発生するとはいえないし、情報の使用開示は不正競争行為ではな

くなるため、秘密管理性が失われる場合があろう。

同様に、受信者の使用開示行為に不正の利益を得る目的や損害を加える目的が認められるか

という点についても、誤送信された情報が送信者の営業秘密であることを認識した上で情報を

使用又は開示する場合には、多くの場合において、受信者には不正の利益を得る目的や損害を

加える目的が存在すると認められるものと考えられよう。一方で、誤送信された情報が送信者

の営業秘密であることを受信者が認識できない場合には、不正の利益を得る目的や損害を加え

る目的も認められない可能性があろう。

そこで、企業としては、営業秘密が誤送信された場合に備えて、送信された情報が送信者の

169

営業秘密であることが認識できる状態にしておくことが重要であるものと考えられる。たとえ

ば、誤送信された情報に「秘密」という表示がある場合には、受信者は、その情報が秘密とし

て管理された営業秘密であることを認識することができるものと考えられるが、何の表示もな

い場合には、情報の性質上秘密であることが明らかな場合を除けば、受信者がその情報が営業

秘密であると認識することは困難である。したがって、営業秘密を第三者に送信する場合には、

誤送信された場合に備えて、予め「秘」の表示を付し、誤送信により情報を取得した受信者は

情報を速やかに削除するように申し入れる文言を付しておくことが有効と考えられる。その上

で、営業秘密が誤送信された事実が明らかになった段階で、受信者に対して速やかに削除要請

をするとともに、当該情報は送信者の営業秘密であるから受信者は当該情報を使用し又は第三

者に開示しないように申し入れる必要があろう。

次に、情報が誤送信されることで、非公知性が失われないかという点については、情報が多

数の者に漏えいしてしまった場合には、非公知性が失われる可能性が高いものと考えられる。

一方、受信者が少数の場合には、営業秘密の要件である非公知性も直ちには失われないと考え

ることができよう。

イ事務管理

誤送信によって受信者が第三者の営業秘密を保有し、管理するに至った場合には、受信者に

は事務管理（民法第 697 条）が成立するものと解する余地があろう。なお、どのような場合で

あれば、誤送信された情報を送信者のために情報を管理するに至ったとはいえるかは、ケース

バイケースにより判断せざるを得ないが、送信者から受信者に対し、誤送信された情報は送信

者の営業秘密であるから使用開示しないように要請があり、受信者がその要請を受諾した後で

あれば、少なくとも誤送信された情報を送信者のために管理するに至ったといえるものと考え

ることができよう。事務管理が成立する場合には、管理者は事務の性質に従い、最も本人の利

益に適合する方法によって、その事務の管理をしなければならず、管理者は、善良な管理者の

注意をもって、事務を処理する義務（善管注意義務）を負う（民法第 644 条、民法第 701 条）。

そこで、受信者が、誤送信された情報が営業秘密であると知って、あるいは過失でそれを知ら

ないで当該情報の管理を開始したにもかかわらず、その情報を善管注意義務にしたがって管理

せずに、故意又は過失により第三者に漏えいした場合には、送信者は受信者に対して善管注意

義務違反による損害賠償請求をなし得るものと考えることができよう。そこで、送信者として

は、受信者が受信したされた情報が送信者の営業秘密であることが認識できる状態にしておく

とともに、受信者に対して受信者は当該情報を使用し又は第三者に開示しないように申し入れ、

受信者の了解をとりつける必要があろう。

ウ情報記録媒体物の返還請求

誤配送された書類などの情報記録媒体については、送信者にその所有権がある場合には、送

信者は受信者に対して情報記録媒体の返還を請求する権利を有している。

170



・民法第 644 条、第 697 条、第 701 条

(4) 裁判例

特になし

5-1.1.3. 提供した秘密情報に基づいて委託先で生成された秘密情報の取扱い

業務委託に際して、秘密保持義務を負わせた上で委託先に提供された委託元の秘密情報

（以下「情報Ａ」という。）と、委託先が元々有している秘密情報（以下「情報Ｂ」とい

う。）を使用して新たな情報（以下「情報Ｃ」という。）が生成された場合、委託元は、情

報Ｃについて権利主張できるか。また、委託先が情報Ｃを使用することに対しては、委託

元はどのような法的対応ができるか。

(1) 考え方

委託元の情報Ａと委託先の情報Ｂを使用して委託先が生成した情報Ｃを委託元が使用でき

ることを業務委託契約で定めておけば、委託元は情報Ｃを使用する権利を有することができる。

委託元の情報Ａと委託先の情報Ｂを使用して生成された情報Ｃを、委託先が使用することに

ついては、情報Ｃを使用し開示すると、必ず情報Ａを使用し開示することになるという場合で

あれば、業務委託契約において、委託元の情報Ａの秘密保持義務を定め、かつ、使用目的を委

託業務遂行のためと限定しておけば、情報Ｃは委託業務目的以外には使用することができず、

かつ第三者に開示もできなくなる。もちろん、委託契約において、情報Ｃの使用目的を委託業

務の遂行のためと定めておけば、その使用目的に違反して情報Ｃを利用した場合に、委託元は

業務委託契約違反を理由に損害賠償請求や差止請求をなし得る。また、このように情報Ｃの使

用が委託業務の範囲を超える場合には、委託元は、不正競争防止法違反を理由に損害賠償請求

や使用差止請求をなし得るものと考えられる。

ただし、業務委託契約において、委託業務の遂行に際して新たに生成された情報すべてにつ

いて、委託元が権利を取得するように定めることや、使用の制限が委託元の秘密情報の漏えい

の防止に必要な範囲を超え、委託先の自由な研究開発活動を制限することになる場合には、委

託元の行為は独占禁止法に違反するおそれがある。

(2) 説明

情報Ｃに関する知的財産権その他の権利が、原始的に委託元と委託先のどちらに帰属するの

かは、権利の種類や生成された情報の内容、委託業務の性質等の事情によりケースバイケース

であると考えられる。しかし、少なくとも、業務委託契約において、新たに生成された情報Ｃ

を委託元が使用することができることを明確に定めておけば、委託元は情報Ｃを使用する権利

171

を取得することができる。また、特許法では、特許発明の生成過程に実質的に関与した者であ

れば共同発明者として特許を受ける権利を共有し、他の共有者の同意なく発明を実施できると

考えられている（特許法第 73条第 2項参照）。この考え方を類推すれば、委託元から提供され

た情報Ａ（及びそれに伴うノウハウなど）が情報Ｃの生成に不可欠である場合などであって、

委託元が情報の生成に実質的に関与していた考えることができる場合には、契約の定めがなく

とも、委託元はその情報を使用する権利があると考える余地があろう。

ただし、公正取引委員会の「知的財産の利用に関する独占禁止法上の指針」によれば、ライ

センサーがライセンシーに対し、ライセンシーが開発した改良技術について、ライセンサー又

はライセンサーの指定する事業者にその権利を帰属させる義務を課す行為は、原則として拘束

条件付取引（一般指定第 13 項）に該当するとしている（第 4‐5-(8)ア）。同指針は、「本指針

では、その態様や形式にかかわらず、実質的に技術の利用に係る制限行為に当たるものは、す

べてその対象としている。」とあり、業務委託契約における知的財産権の利用についても同指

針の考え方が適用されるものと考えられよう（第 1-2-(2)）。

次に、委託先が情報Ｃを使用することに関する、委託元の委託先に対する法的対応について

は、以下のように考えられる。まず、情報Ｃの内容から情報Ａの内容が明らかになる場合には、

情報Ｃの使用は、情報Ａの開示を必然的に伴うことになるので、委託元に対して秘密保持義務

違反を主張することができる。また、このような場合に、情報Ｃの使用が不正の利益を得る目

的や委託元に損害を加える目的でされた場合には、不正競争防止法第 2条第 1項第 7号の不正

競争行為にも該当する可能性もあろう。一方、情報Ｃの内容からは委託元の秘密情報の内容が

明らかになるとはいえない場合には、秘密保持義務違反や不正競争防止法違反の主張は困難で

あるが、業務委託契約において情報Ｃの使用目的を定めておくことで、委託先が情報Ｃを使用

する範囲を制限することができる。

「知的財産の利用に関する独占禁止法上の指針」でも、当該技術がノウハウとして保護・管

理される場合に、ノウハウの漏えい・流用の防止に必要な範囲でライセンシーが第三者と共同

して研究開発を行うことを制限する行為は、一般には公正競争阻害性が認められず、不公正な

取引方法に該当しないとされている（第 4‐5-(7)）。もっとも、ライセンサーの競争者や他の

ライセンシーにはライセンスをしない義務を課すなど改良技術のライセンス先を制限する場

合は、ライセンシーの研究開発意欲を損なうことにつながり、また、技術市場又は製品市場に

おけるライセンサーの地位を強化するものとなり得るので、公正競争阻害性を有する場合には、

拘束条件付取引（一般指定第 13 項）に該当するとされている（第 4‐5-(9)イ）。また、ライ

センス技術又はその競争技術に関し、ライセンシーが自ら又は第三者と共同して研究開発を行

うことを禁止するなど、ライセンシーの自由な研究開発活動を制限する行為は、一般に研究開

発をめぐる競争への影響を通じて将来の技術市場又は製品市場における競争を減殺するおそ

れがあり公正競争阻害性を有するとされている（第 4‐5-(7)）。上述のとおり、業務委託契約

における知的財産の利用についても、同指針の考え方が排除されるものではないと考えられる。

したがって、業務委託契約において、情報Ｃを委託先が使用することを制限する行為が、委

172

託元の情報Ａの漏えいの防止に必要な範囲を超え、委託先の自由な研究開発活動を制限するこ

とになる場合には、独占禁止法に違反するおそれがある（独占禁止法第 2条第 9項第 4号、同

法第 19 条）。ただし、業務委託契約は、委託元の規格に従って製造した製品を委託元に引き渡

す契約であって、成果物の権利が委託元に帰属することが本来的に予定されている契約である。

下請代金支払遅延等防止法（下請法）における「下請代金支払遅延等防止法に関する運用基準」

においても、「情報成果物作成委託に係る作成過程を通じて、情報成果物に関し、下請事業者

の知的財産権が発生する場合において、親事業者は、情報成果物を提供させるとともに、作成

の目的たる使用の範囲を超えて知的財産権を自らに譲渡・許諾させることを『下請事業者の給

付の内容』とすることがある。」（第 2-1-(3)）とされており、業務委託に際して委託先に生じ

た知的財産権を委託元が取得することが適法であることが前提とされている。したがって、委

託業務の課程で委託元の秘密情報を使用して新たに生成された情報の取り扱いについては、ラ

イセンス契約の場合と比較しても、委託元が強い管理をすることが許容される余地があるもの

と考えられよう。



・独占禁止法第 2条第 9項第 4号、同第 19 条、一般指定第 13項、知的財産の利用に

関する独占禁止法上の指針、下請代金支払遅延等防止法第 3条第 1項、下請代金支

払遅延等防止法に関する運用基準

(4) 裁判例

特になし

5-1.1.4. 大学との共同開発における情報管理

産学で行う共同開発において、企業側から大学に提供された秘密情報（紙、電子情報、化

体物、ノウハウ等）を大学側に守秘義務を契約書で課しているが、研究の自由との範囲で

どの程度まで守秘義務が及ぶのか。（守秘義務、順守調査、発表の事前同意、賠償等）

この場合、大学側で関与するのが留学生や競業他社からきている派遣学生（従業員身分を

保持している場合も含む）の参加制限（競業関係ある学生を排除する等の制限）はどう考

えられるのか。

(1) 考え方

大学と企業の間で締結される産学共同開発に係る契約（以下「当該契約」という）と企業間

で締結される共同開発に係る契約との間における法的性質については、本質的には大きく異な

るものではなく、法的な取扱いについても基本的には変わるところはないものと解される。

もっとも、当該契約における守秘義務に係る条項の規定振りによっては、大学側の守秘義務

173

履行の結果として、大学における研究教育活動に過度に影響を及ぼしうることも想定され、理

論的には憲法上の学問の自由、研究の自由（憲法第 23 条）との抵触も懸念されるところであ

る。

しかしながら、大学側が自らの任意の判断の下で、相手方企業との間で産学共同開発契約と

いう契約関係に入っていることを踏まえると、少なくとも、大学という組織としての体制及び

大学教職員による大学としての業務活動としては、基本的には当該契約の目的とする産学協同

開発の目的趣旨に沿った範囲で守秘義務の履行が要求されるものと解すべきと考えられる。具

体的にどの程度までの履行範囲が及ぶべきなのかは、個々の契約内容の解釈の問題として捉え

ることになろう。

一方、大学側に対する守秘義務の具体的な内容として、当該契約に関連する研究開発活動に

対して、大学における研究教育の一環として参加する学生についてのスクリーニング（選別）

や参加制限を求めることができるかという問題については、一般論としては困難であると考え

られるとともに、例外的な場合であっても学生と大学の間の在学契約の内容、大学の裁量権の

範囲等についても考慮した上で判断されることを要するのであって、極めて慎重に考えられる

べきであろう。

(2) 説明

大学と企業の間で締結される産学共同開発に係る契約（以下「当該契約」という）の法的性

質については、当該大学を設置する学校法人、国立大学法人と企業を契約当事者として、一定

の成果物を期待した研究開発行為を行うことを内容とした無名契約であると解され、基本的に

は企業間で締結される共同開発に係る契約と法的な取扱いについては変わるところはないも

のと解される。

したがって、当該契約または当該契約に付随して締結される秘密保持契約によって生じる守

秘義務については、大学側及び企業側のいずれも契約で定められた範囲で遵守すべきことを原

則とし、いずれの当事者がそれに違反する場合についても、債務不履行に伴う法的責任が生じ

ると共に、加えて不正競争防止法上の「営業秘密」に係る一定の行為（不正競争防止法第 2

条 1項 4号－9号）である場合については、不正競争防止法を根拠とする差止請求権も行使し

うるものと解される。

もっとも、当該契約における守秘義務に係る条項が極めて包括的な規定となっている場合、

大学側に対して、その履行を求めることによって、結果的に大学における研究教育活動に過度

に影響を及ぼす恐れがある。また、理論的には憲法上の学問の自由（憲法第 23 条）との抵触

も問題となりうる可能性も考えられる。

公表されている裁判例において、この問題について具体的な判断を示した事例はみられない。

しかしながら、産学共同開発契約として、大学側が自らの任意の判断の下で、相手方企業との

間で一定の契約関係に入っていることを前提として、そこで契約上の守秘義務が規定されてい

ることに鑑みると、大学という組織としての体制及び大学教職員による業務活動に際しては、

174

当該契約の目的とする産学協同開発の趣旨に沿った範囲での守秘義務の履行が要求されるも

のと解すべきと考えられる。

他方、大学における研究教育活動の成果については、広く社会に提供することにより、社会

の発展に寄与することが要請されており（学校教育法 83 条 2 項）、知的財産基本法 7条 1項で

も、大学等の責務として、その活動が知的財産創造に資するものであることにかんがみて、成

果の普及についても自主的かつ積極的に努めることが期されていることから、特に研究成果の

社会への公表という文脈においては、憲法上も研究発表の自由として認識されており（この点

について、芦部信喜・憲法学Ⅲ209－212 頁）、当該契約における守秘義務の解釈は、慎重に

解されることを要すべきものと考えられる。（すなわち、端的には、当該契約を遵守すること

によって相手方企業を介して移転され事業活動の形で大学の研究活動の成果が社会へ提供さ

れるルートと大学自らが研究成果を迅速かつ低コストで社会に対して公表・提供するルートと

いずれが社会の発展に寄与するのかという問題にかかわってくるであろう。この点、知的財産

基本法第 13 条で、研究成果の移転の円滑な促進が行われるような施策を国の責務としており、

ガイドライン策定等々の政策的対応は別途考えられよう。）

最終的には、大学側が具体的にどの程度までの守秘義務を負うのか、逆に企業側がどのよう

な行為まで履行を求めることができるのかは、個々の契約解釈の問題として捉えざるを得ない

であろう。

一方、大学側が負うべき守秘義務の具体的内容として、当該契約に関連する研究開発活動に

際して、一定の学生が大学における研究教育の一環として参加することについて制限すること

や特定の属性の学生を排除するというスクリーニングを行うことを大学側に求めることがで

きるかという問題については、極めて慎重に考えるべきであろう。

端的には、大学側に対する守秘義務の内容として、大学側によって当該契約に関連する研究

活動であることだけを理由として、一定の学生（例えば、企業からの派遣学生や留学生等）の

参加制限をさせることやスクリーニングを行うことを求めることについては、否定的に解せざ

るを得ないだろう。まず、学生の在学関係については、判例学説上は在学契約関係として捉え

られており（兼子仁・教育法（新版）（法律学全集 16－Ⅰ）400－411 頁は特殊法としての教

育法上の契約関係とする）、判例上は在学契約という私法上の無名契約（例えば、最高裁平成

18 年 11 月 27 日判決・民集 60 巻 9 号 3437 頁、3597 頁、3732 頁、大阪高裁平成 16 年 9 月 10

日判決・判時 1882 号 56 頁、等）と解されているところ、当該契約の当事者たる相手方企業と

個々の学生の間には基本的には何らの契約関係も存在していない。したがって、原則論として

は、たとえ産学共同研究契約の相手方たる企業であっても、当該企業に対して何らの直接的な

権利義務関係がない学生に対して、在学する大学において研究活動を行うことや教育を受ける

ことを排除する権原は何ら認められないであろう。（そのようなことを学生に対して要求する

ことは、むしろ学生に対する債権侵害を構成しうることすらあろう。）

もっとも、在学関係において、大学は学生に対して包括的権能としての一定の裁量権を有し

ていることは、裁判例上も認められており(「大学は、国公立であると私立であるとを問わず、

175

学生の教育と学術の研究を目的とする公共的な施設であり、法律に格別の規定がない場合でも、

その設置目的を達成するために必要な事項を学則等により一方的に制定し、これによって在学

する学生を規律する包括的権能を有するものと解すべきである。特に私立学校においては、建

学の精神に基づく独自の伝統ないし校風と教育方針とによって社会的存在意義が認められ、学

生もそのような伝統ないし校風と教育方針のもとで教育を受けることを希望して当該大学に

入学するものと考えられるのであるから、右の伝統ないし校風と教育方針を学則等において具

体化し、これを実践することが当然認められるべきであり、学生としてもまた、当該大学にお

いて教育を受けるかぎり、かかる規律に服することを義務づけられるものといわなければなら

ない。もとより、学校当局の有する右の包括的権能は無制限なものではありえず、在学関係設

定の目的と関連し、かつ、その内容が社会通念に照らして合理的と認められる範囲においての

み是認されるものであるが、具体的に学生のいかなる行動についていかなる程度、方法の規制

を加えることが適切であるとするかは、それが教育上の措置に関するものであるだけに、必ず

しも画一的に決することはできず、各学校の伝統ないし校風や教育方針によってもおのずから

異なることを認めざるをえないのである。」（最高裁昭和 49 年 7 月 19 日判決・民集 28 巻 5 号

790 頁・昭和女子大学退学処分事件））、大学の自治の下で、大学はその施設と学生の管理につ

いてもある程度で認められ、自主的な秩序維持機能があることについても裁判例上も認められ

ている（最高裁昭和 38 年 5 月 22 日判決・刑集 17巻 4号 370 頁・東大ポポロ事件）ことから、

大学の裁量権や自治を根拠として、産学協同開発に係る研究活動について、一定の学生の参加

制限をさせることやスクリーニングを行うことを正当化しうるのか否かという問題は生じよ

う。しかしながら、裁量権については、上記判例も述べているように「在学関係設定の目的と

関連し、かつ、その内容が社会通念に照らして合理的と認められる範囲においてのみ」認めら

れるものであって、大学と特定の企業が産学協同開発を進めているという一事をもって、学生

の研究活動への参加やスクリーニングが全面的かつ直ちに正当化しうるとは考えにくいと思

われる。また、学生が（何らかの違法行為を行う目的も有することなく）単に大学における研

究活動に真摯に取り組もうとしているという前提の下では、大学の自治（この点について、例

えば、芦部・前掲・220－232 頁）の下での学生管理という観点から学生の研究活動への参加

やスクリーニングを行うということは一層認めにくいように考えられる。このような権原を根

拠とした権利行使については、大学の裁量による判断が尊重されるものの、社会通念上合理的

と認められる範囲を逸脱した場合には違法との判断を免れないという立場を一般論として示

す裁判例(東京地裁平成 18 年 4月 26 日判決・判タ 1244 号 195 頁・サークルボックス明渡請求

事件)もあり、大学側による学生に対する権利行使についても、極めて慎重になされることを

要するものと考えられる。

このようなことから、大学側に対する守秘義務の具体的な内容として、相手方企業が、当該

契約に関連する研究開発活動に対して、大学における研究教育の一環として参加する学生につ

いてのスクリーニング（選別）や参加制限を求めることができるかという問題については、一

般論としては困難であるように考えられる。もっとも、特段の場合については、大学側が一定

176

の対応を採るべきことが肯定されることもあろう。（ただし、この場合、あくまでも大学側の

任意の権利行使に留まるのか、当該契約上の守秘義務の一環として捉えることができるもので

あるのかという問題は残る。）


・憲法 23 条

・学校教育法 83条 2項

・不正競争防止法 2条 1項 4号－9号

・知的財産基本法 7条 1項、13条

(4) 裁判例

本設問に直接関連するものはなし。

関連するものとしては、本文中に掲げたもの

5-1.1.5. 開発業務を担当する派遣社員が派遣先の情報資産を利用し行った発明等の取扱い

開発行為を担当する派遣社員が派遣先の情報資産（特許及びノウハウを含む知財権）等を

使って新たな発明又は考案をした場合、従業員と同様に社内の「職務発明」規程に準じて

措置してもよいか。

(1) 考え方

派遣社員が派遣先の情報資産、さらには有体資産、例えば、その他研究設備、試料、資材等々

を用いて新たな発明（考案）を創作した場合、当該発明（考案）が、派遣先を使用者とした、

特許法第 35 条に定義される「職務発明」に該当すると評価される限りは、当該発明について

の特許を受ける権利及び特許権の帰属の取扱いを巡っては、原則として、派遣先会社の「職務

発明」規程に準じて派遣先従業員と同様に取り扱いうるといえる。ただし、派遣会社と派遣先

会社との間で、この点の取扱い（派遣先において派遣社員が行った発明等の帰属）について契

約上特段の定めが存する場合の取扱い、特許法 35 条に定められる相当対価請求権の行使及び

相当の対価算定方法（特許を受ける権利を派遣先会社に承継した場合に派遣社員が）を巡って

は、議論の生じうるところである。

(2) 説明

特許法上は、発明者主義の原則に基づき、特許を受ける権利及び特許権の帰属が決定される

ことを原則とするが、「職務発明」に該当する場合に限って、使用者への法定通常実施権及び

特許を受ける権利についての勤務規則等による予約承継、使用者等による承継の場合における

従業者等に対する相当の対価請求権の付与、といった権利帰属に関わる特段の取扱いが認めら

れることになる。

177

「職務発明」の定義については、特許法第 35 条 1 項に規定されているところ、当該発明に

ついて、1）従業員等がその性質上当該使用者等の業務範囲に属すること、2)発明をするに至

った行為が使用者等における従業者等の現在又は過去の職務に属すること、を要件としており、

前提として従業員等と使用者等との間に雇用関係が存在していることを要求しているものと

解される。ただし、ここでの従業者等と使用者等との関係については、労働法における雇用関

係と一致する必要はないと解されている。（中山信弘編・注解特許法（第三版）（上）337 頁

（中山信弘執筆））解釈論としては、現に発明行為をした従業者等に対して、本規定上の「使

用者等」の解釈として、いかなる主体が含まれるのかという問題となろう。

したがって、出向社員の場合についても、当該発明を行った従業員に対して給与を支払って

いるという事実は、職務発明の定義における使用者等であるか否かを判断する上では、大きな

メルクマールにはなるとしても、それだけで決定することは適切ではないと考えられる。（中

山・前掲・337 頁）（ただし、学説上は、吉藤幸朔（熊谷健一補訂）・特許法概説（第 13

版）230 頁は、一般的には給与の支払関係を中心に使用者等であるか否かを決すべきという立

場を採る。）

すなわち、基本的な考え方としては、発明奨励を念頭に置いて、物的・資金的提供者と技術

思想の提供者間での利益調整の在り方を考えるという解釈姿勢（中山・前掲・337 頁）から考

え、派遣社員、出向社員の場合、基本的には当該発明がなされるに際して、中心的な金銭的援

助を行った者を使用者と解すことが妥当であろう。（（中山・前掲・338 頁）具体的な判断要素

としては、従業者の給与支給者、研究施設・補助者等の提供、命令指揮系統等が考えられる。

したがって、派遣先会社が、派遣社員が当該発明を創作するに当たって、実質的な研究開発

環境の提供や命令指揮及び指示、研究用資材提供をもっぱら行っていたと評価される場合にお

いては、派遣社員を「従業者等」と位置付けた場合における特許法 35 条における「使用者等」

とは、派遣会社ではなく派遣先会社となりうるのであって、特許法 35 条に規定される取扱い

が適用されうることになろう。

しかしながら、派遣会社と派遣先会社との間で、派遣先において派遣社員が行った発明等の

帰属について契約上特段の定めが存する場合については、当該契約の効果として派遣先会社は

使用者等になり得ないのかという問題は残る。この点、未だ判例上も明らかにはなっていない

ところであり、議論の余地は残るところである。とはいえ、特許法 35 条により実現される職

務発明制度とは、そもそも発明奨励の観点から、従業者と使用者間で権利及び利益の分配を最

も効率的かつバランスよく行うことを意図して、発明者主義の原則に対する例外として構成さ

れた仕組みであることに鑑みると、少なくとも職務発明該当性についての規定については強行

規定としての性質が強いものとして捉えて、契約による使用者等の変更を肯定することは原則

的には認められるできものではないと解される。また、特許を受ける権利を派遣先会社に承継

した場合における派遣社員による相当対価請求権の行使及び相当の対価算定方法については、

未だ事例としてはみられないことから、とりわけ具体的な対価算定において派遣会社の介在を

どのように評価すべきなのか、今後の課題として残るであろう。

178



(4) 裁判例

当該設例に直接関係するものはなし。

関連するものとして、

・東京高裁昭和 44 年 5 月 6 日判決・判タ 237 号 305 頁（従業員の発明考案は個人名

義で特許・登録をさせていた事実があった場合について、職務発明該当性を否定し、

権利移転についての黙示の契約の成立も否定した事例。）

5-1.1.6. 秘密情報担当の従業員の身元調査

重要情報を取り扱わせるべき従業員を対象とした身元調査を行なうことはできるか。

(1) 考え方

基本的に本人同意が必要である。個人情報保護法との関係では、直接的に問題にはならない

が、第三者機関である調査機関に調査を依頼することを前提とすると、個人データの第三者提

供の問題となり、同意が必要となる。

(2) 説明

試用期間中については、身元調査補充期間であるとする判例があるが、現在では個人情報保

護法との関係で本人の同意を欠く身元調査は困難である。

秘密裏の身元調査に関して、個人情報の取得に該当するため、個人情報保護法に適合してい

なければならない。個人情報保護法は、利用目的の特定と利用目的の本人への通知を義務付け

ているため、個人情報保護法が適用される個人情報取扱事業者に該当すれば、秘密裏の調査は

行うことができないことになる（個人情報保護法第 15条・第 18条参照）。

ところで、個人情報保護法において「個人データ」とは「個人情報データベース等」を構成

する個人情報をいうとされるが、「個人情報データベース等」には、従業員の雇用管理用のデ

ータベース等が含まれるとされ、また、ペーパーベースのいわゆるマニュアル処理情報であっ

ても、個人情報を一定の規則（氏名の 50 音順、生年月日順、管理番号順、住所別、勤務部署

別等）に従って整理し、特定の個人を容易に検索できるように体系的に構成した情報の集合体

であって、その規則性をあらわすための目次、索引、符号等が付されているものであれば、「個

人データベース等」に含まれるとされるので、労働者の前職の雇用情報等は、同法の「個人デ

ータ」に該当する可能性が高いといえる（個人情報保護法第 2 条、施行令第 1 条等参照）。こ

のように考えると、一般に労働者の身元調査は、第三者機関である調査機関に依頼することが

多いであろうから、その場合、個人データの第三者提供となり、個人情報保護法第 23 条 1 項

179

により本人同意が必要となろう。たとえ個人情報取扱事業者に該当せず、個人情報保護法が適

用されない場合であっても、判例によれば、氏名・住所・電話番号等の個人情報を本人の同意

なく第三者に提供すればプライバシー侵害となるとされているため、本人の同意なく第三者機

関である調査機関に個人情報を提供すれば、プライバシー侵害として損害賠償を請求される可

能性がある。

このような法的制約の下で、採用段階において、前職を秘匿するなどにより産業スパイ的な

行為を企図する者等を排除するためには、どのような方策が考えられるかが問題となる。

第 1 に考えられるのは、労働基準法第 22 条の「退職時の証明」の提出を求職者に求めるこ

とである。すなわち、それを採用の条件とするのである。その際、同条記載の事項のうち、採

用後の職務に関連して必要な情報について証明を求めるようにすべきである。また、証明書に

は企業名が記載されるので、このことにより求職者が前職自体を秘匿するという行為を回避す

ることができよう。さらに、例えば、前職の退社の理由が解雇である場合には，仮に証明書に

詳しい経緯が記載されていなくても、求職者に説明を求めることは可能である。

第 2 に考えられるのは、採用にあたって、前職における競業避止義務および守秘義務の有無

についての申告を求職者に求めることである。最高裁は、「使用者が……必要かつ合理的な範

囲内で申告を求めた場合必要かつ合理的な範囲内には、労働者は、信義則上、真実を告知すべ

き義務を負う」ことを肯定している（最高裁第一小法廷平成 3年 9月 19 日判決・労働判例 615

号 16 頁）。このように最高裁は、労働者が真実告知義務を負うことを明確にしているのである。

したがって、前職との関係で競業避止義務や守秘義務を負っているか否かの申告を求めたにも

関わらず秘匿した労働者は、職務遂行に係る重大な事実を秘匿したことになり、かかる行為は、

真実告知義務違反となる。このような者に対する懲戒解雇または解雇は基本的に適法とされよ

う。

第 3 に考えられるのは、採用の際、前職についての申告が事実であるかについて第三者機関

による調査に応募者本人が同意することを採用の条件とすることである。この同意によって、

個人情報保護法との抵触を回避することができる。ただし、その際留意すべきことは、調査事

項を職務の遂行に密接に関連するものに限定することである。そこに職務に関係しないプライ

バシー情報などが入ることなどないよう注意することが必要である。


・個人情報保護法第 2条・第 15条・第 18条・第 23条

・個人情報保護法施行令第 1条


・労働基準法第 22 条

(4) 裁判例

・最高裁大法廷昭和 48 年 12 月 12 日判決・民集 27巻 11 号 1536 頁

180

・最高裁第二小法廷平成 15年 9月 12 日判決・民集 57 巻 8号 973 頁

・最高裁第一小法廷平成 3年 9月 19 日判決・労働判例 615 号 16 頁

5-1.1.7. 委託先企業の従業員に対する誓約書の要請、教育訓練の実施

秘密情報流出防止の目的で、委託先企業従業員に元請企業が直接教育を実施する、及び誓

約書を取得することができるか。

(1) 考え方

元請企業は、委託先従業員に対して指揮命令権はなく、委託先企業を通さずに、直接教育を

実施したり、誓約書を取得したりすることはできない。

(2) 説明

委託先企業従業員と元請企業との間には、労働契約も存在しなければ、労働者派遣における

派遣先企業と派遣労働者間にあるような指揮命令関係も存在しないため、直接教育訓練をした

り誓約書を提出させたりすることはできない。


・昭和 61 年労告 37 号「労働者派遣事業と請負により行われる事業との区分に関する

基準を定める告示」

(4) 裁判例

特になし

5-1.1.8. データ処理誤りにより、重要な虚偽記載がある財務諸表を含む有価証券報告書を提

出した場合の代表取締役の責任

データ又はプログラムのアクセス権が不適切であったためデータ処理に誤りが生じたが、

経営者がその事実を認識できず、結果、重要な虚偽記載を含む財務諸表を作成し、有価証

券報告書として提出した場合の代表取締役の責任。

(1) 考え方

データ処理誤りの結果、財務諸表に重要な虚偽記載があるかどうかが問題となると思われる。

(2) 説明

財務諸表の作成に係るデータ又はプログラムのアクセス権が不適切であると、故意又は過失

により、財務諸表の作成に係るデータの改ざん、データの処理誤り等が生じる可能性がある。

データ処理誤り等により重要な虚偽記載を含む財務諸表が作成され、有価証券報告書として提

181

出した場合は、金融商品取引法第 197 条第 1項第 1号の「重要な事項につき虚偽の記載」があ

った場合として、10 年以下の懲役若しくは 1000 万円以下の罰金に処し、又はその両方が経営

者に課される可能性がある。

また、金融商品取引法第 207 条第 1項第 1号の規定により法人に対して 7億円以下の罰金が

課される可能性がある。

さらに、法人に与えた損害について会社法第 423 条による損害賠償責任が、また、重要な虚

偽記載のある財務諸表を信じて取引をしたために損害を受けた第三者に対しても、重大な過失

があった場合には会社法第 429 条による損害賠償責任がありえる。


・金融商品取引法第 197 条

・金融商品取引法第 207 条

・会社法第 423 条

・会社法第 429 条

(4) 裁判例

特になし

5-1.1.9. 誤った情報と不法行為責任の成否：情報の対象者に対する責任

誤った情報の提供者は、その情報が対象としている者に対して責任を負うか。

(1) 考え方

注意義務の違反があれば責任を負う。

(2) 説明

誤った情報が流布されたために、情報の対象者（いわば本人）が不利益を被る場合がある。

たとえば、信用情報機関において、ある人・企業について不履行の履歴がないにもかかわらず

履歴ありという情報が登録されると、その人・企業は、金融機関や金融業者から与信を受けら

れなくなるという不利益を被る。このような場合には、誤った情報が登録されたことについて

過失（注意義務違反）の認められる者に、不法行為責任が成立することになる。


・民法 709 条

(4) 裁判例

・大阪地裁平成 2年 5月 21 日判決（判例時報 1359 号 88 頁）

182

・大阪地裁平成 2年 7月 23 日判決（判例時報 1362 号 97 頁）

5-1.1.10. 誤った情報と契約責任の成否

情報提供に関する契約が締結され、それにもとづいて情報提供義務を負っていた者が誤っ

た情報を提供した場合、債務不履行責任を負担することになるか

(1) 考え方

注意義務違反（過失）があれば責任を負う。

(2) 説明

たとえば、気象情報をコンビニの店舗や野球場の売店に提供したところ、予報が外れ、想定

と異なる気象条件が実現すると、そのことは売上に直結する。この場合、気象情報会社は売上

の落ち込みについて、損害賠償しなければならないか。

やや類似した問題として、格付会社が投資適格の格付を出したところ、その証券の発行会社

がデフォルトに陥ったという事案が考えられる。投資家と格付機関との間には契約関係は存在

しないので、これは不法行為責任の問題となるが、米国では、このような場合の格付会社の責

任について、「表現の自由」を根拠として責任を否定するのが判例である。気象情報などにつ

いても「表現の自由」による免責を認めるのかは、明らかではない。しかし、書籍の記述が誤

っていた場合に、読者が出版社の責任を追及した事案では、表現活動の萎縮効果を根拠に責任

を否定しているので、同様に考える可能性がある。

しかし、日本の場合には、契約の性質決定として、請負か委任かを考え、委任契約であれば、

善管注意義務の問題とされると予想される。善管注意義務を問うまでもなく、そのような情報

生産活動を萎縮させることが社会的に望ましくない、といった判断は、日本の裁判所は、少な

くとも明示的には行わないであろう。


・民法 415 条

(4) 裁判例

特になし

5-1.1.11. 誤った情報と損害賠償の範囲（契約責任／不法行為責任）

情報提供に関する契約が締結され、それにもとづいて情報提供義務を負っていた者が誤っ

た情報を提供した場合、仮に債務不履行の存在は認められるとしたら、どのような範囲の

損害について賠償責任を負担するか

183

(1) 考え方

少なくとも情報提供者にとって予見可能な損害については、賠償責任が成立する。

(2) 説明

債務不履行・不法行為等による損害賠償の範囲は、「通常生ずべき損害」および「特別の事

情によって生じた損害であって…、当事者がその事情を予見し、又は予見することができた」

ものであるが（民法 416 条。不法行為責任についてもこの条文が準用される）、この規定を具

体的な事案に適用する場合の問題である。

たとえば、気象情報をコンビニの店舗や野球場の売店に提供したところ、予報が外れ、想定

と異なる気象条件が実現すると、そのことは売上に直結する。この場合に、気象情報会社には

善管注意義務の違反があり、契約を委任と性質決定したとしても責任が成立すると仮定する。

契約の時点で、誤った予報を出せば売上が落ち込むということは気象情報会社にとって「予見

することができた」とも言え、少なくとも特別損害には含まれると考えられる。場合によって

は、「通常生ずべき損害」に当たると裁判所が判断する可能性もあるであろう。


・民法第 416 条、（民法第 709 条）

(4) 裁判例

特になし

5-1.1.12. 誤った情報と不法行為責任の成否：情報の受領者に対する責任

誤った情報の提供者は、情報の受け手に対して責任を負うか。

(1) 考え方

責任を負う可能性はある。

(2) 説明

情報の提供者と受け手との間に直接の契約関係がない場合には、民法第 709 条の問題になる。

裁判例として、信用照会に応じた銀行が、手形不渡りの事実を知りながら告げなかったという

事案で、そもそもの依頼者（照会をかけた銀行の顧客）である手形業者に対して責任を負わな

いとしたものがある（下記）。ただし、判決の銀行が顧客（不渡りを出していた者）に対して

守秘義務を負っていることを理由としている。

情報が製造物に組み込まれている場合には、製造物責任の問題になり得る。ただし、純粋経

済損失は損害賠償の対象にならないので、問題になる事例は少ないであろう（電子体温計が故

障していたために病気の手当てを誤った場合などは責任が成立すると思われる）。

184


・民法第 709 条、製造物責任法第 3条

(4) 裁判例

・大阪地裁平成 4年 6月 25 日判決・判時 1472 号 94 頁

5-1.1.13. 個人情報の「取得」の要件

「個人情報」の「取得」というためには、個人情報取扱事業者が、その「個人情報」を認

識している必要があるか。

(1) 考え方

「取得」とは、自らの意思により収集するだけではなく、一方的に送りつけられたり、又は

機械的、自動的に自ら管理するサーバに格納されたりしているような場合も含む。個人情報取

扱事業者の管理下に個人情報があるかないかという、その事実を基礎に客観的に判断するとい

う考え方を採用している。要するに、その事業者内にあれば、その事業者がその個人情報の存

在を認識しているか否か、認識する可能性があったか否かに関わらず、法の適用がある。

ただし、個人情報取扱事業者（委託先）が個人データを委託によって取得する場合において

は、個人データを取り扱うことについての認識の有無が問われる。要するに、委託先が個人デ

ータの取扱であることを認識することができない場合においては、法の適用はない。その場合

は、もっぱら委託先の監督義務を負う個人情報取扱事業者（委託元）の責任が問われることと

なる。

(2) 説明

従前、「収集」という語が一般的に用いられてきたところ、法案起草時に、あえて「取得」

に変更したのは、事業者の認識の有無を問わないという上述の点を明確にするという趣旨があ

ったとされている。

一方、同じ「取得」でありながら、委託による「取得」については、個人情報取扱事業者が

「個人データ」を取得していることについての認識を問うという運用がみられる。例えば、配

送業務を委託された宅配事業者が、中にあった「個人データ」とともに荷物を紛失してしまっ

たという事例において、主務大臣は、戸籍データという重要な個人データについて宅配サービ

スを安易に用いたことを委託元の安全管理義務違反として問題にしたが、委託先である宅配事

業者においては、法の適用はないとされた。宅配事業者は、荷物の中身が個人データであるこ

とを認識しえなかったということがその理由である。要するに委託による取得については、当

該事業者の認識又は認識可能性を問う運用上の先例が示されているのである。

委託元は、委託先に対して、個人データが含まれる業務であるか否かをあらかじめ伝え、応

分の管理を要請することが委託先の監督義務の 1 つとして求められているということであろ

185

う。


・個人情報の保護に関する法律第 20条（安全管理措置）、第 22条（委託先の監督）

・経済産業分野の個人情報保護ガイドライン 4. 委託先の監督（法第 22 条関連）

(4) 裁判例

特になし

5-1.1.14. 名誉毀損罪と表現の自由

①ホームページで他人の不正行為を指摘したら、逆に名誉毀損罪で告訴された。処罰され

るのか。

②ホームページで、わが社が言われなき中傷を受けたため、相手を名誉毀損で告訴した。

(1) 考え方

名誉とは、人（法人も含む）に対する社会的評価である。公然と、具体的な事実をあげて、

その人の社会的評価を傷つければ、名誉毀損として、民事責任（損害賠償など）や刑事責任（懲

役刑・禁錮刑・罰金刑）が問われる。しかし、その行為が、①公共の利害（社会全体の利益）

に関することで、②もっぱら公益を図る目的（復讐の目的などは不可）があり、③真実である

ことの証明ができれば、法的な責任は問われない。ただし、真実であることの証明に失敗して

も、確実な資料・根拠に基づいて真実であると誤信した場合は、名誉毀損の故意がないことに

なり、名誉毀損罪は成立しない。具体的な事件においては、「確実な資料・根拠」がいったい

何なのかについて問題となる。なお、最近、ネットにおける名誉毀損事件において、東京地方

裁判所が、従来の基準を変更し、「真実でないと知りながら発信した場合か、インターネット

個人利用者に要求される水準の事実確認を行わずに発信した場合に、名誉毀損罪が成立する」

とする新しい判断基準を示した点が注目される（東京地裁平成 20 年 2 月 29 日判決）。

(2) 説明

① 最近ネット空間でよくトラブルになるケースが、論争や議論の過程での名誉毀損や誹謗中

傷である。

ネット空間での発言は基本的に匿名であり、情報発信が容易な反面、発信段階で他者による

チェックがかからない。しかも、そこでのコミュニケーションが、基本的に文字だけのコミュ

ニケーションであることから稚拙な表現に起因した誤解も生じやすい。発言は瞬時にきわめて

広範囲の者に認識される可能性があるなど、現実社会における通常の論争とかなり異なった性

質をもっている。このようなネット空間での意見のやり取りに、名誉毀損罪が直ちに適用され

るのかは一つの問題である。ただし、ネットでの名誉毀損といっても、ホームページなどで一

186

方的に相手を誹謗中傷するケースと、論争がエスカレートし結果的に誹謗中傷にいたるケース

とがある。前者は、現実社会と変わらぬ名誉侵害であり、すでに多くの有罪例があるが、後者

には、ネット社会に特有の状況があるのではないか。

刑法上、名誉毀損罪（230 条）が成立するためには、(a)公然と、(b)事実を摘示して、(c)

人の名誉を、(d)毀損したことが必要だ。(a)と(b)の要件についてはネットでも問題がない。

(c)と(d)の要件については、ネット特有の問題がある。

② ネット社会、特にフォーラムなどでは、ハンドル名を使用した情報発信が一般的である。

名誉毀損とは、人に対する社会的評価を低下させることだが、本名でないハンドル名について

名誉毀損が成立するかは一つの問題である。

現実社会で、芸名やペンネームなどを挙げて誹謗中傷を行った場合に名誉毀損罪が成立する

ことについては問題はない。ハンドル名は、これらと異なり、現実社会における「その人」に

直結していないという点で一般的に名誉毀損を認めることには問題はあるが、ハンドル名を現

実社会にも持ち込んで、その名称で活動しているケースや、ネット社会でそのハンドル名が認

知され、そこでの人間関係が形成されているようなケースもある。ハンドル名を対象にした誹

謗中傷によって、フォーラム内での将来の発言の信用度が低下させられ、ハンドル名の使用そ

のものが不利益を受ける場合もある。このような場合には、ハンドル名だからといって、それ

だけで名誉毀損を否定する理由にはならない。

③ 最近、ある企業がカルト団体と関係があるかのような書き込みをホームページで行って、

企業の名誉を傷つけたとして、名誉毀損罪に問われた会社員に対して、東京地方裁判所が無罪

を言いわたした。裁判では、真実であることの証明がなされたかどうかが争点になったが、判

決は、「ネットでは利用者が互いに反論できる上、情報の信頼性が低いため、従来の基準は当

てはまらない」と指摘した上で、「真実でないと知りながら発信した場合か、インターネット

個人利用者に要求される水準の事実確認を行わずに発信した場合に、名誉毀損罪が成立する」

との新たな基準を示した。そして、被告人が企業の登記簿や雑誌の記事などの情報収集を行っ

ていたことを指摘して「インターネットの個人利用者として要求される水準の事実確認は行っ

ていた」と判断し、無罪としたのであった。従来の基準ならば、有罪となっていただろうが、

このような結論の背景には、言論による名誉侵害は言論で回復可能な場合があり、両者がイン

ターネットという対等なメディアを利用できるならば、被害者はまず言論での名誉回復を図る

べきだという発想がある。このような考え方を「対抗言論」というが、今後、このような考え

方がネットにおける表現についての一般原則となるかについてはなお裁判例の積み重ねが必

要である。


・刑法第 230 条（名誉毀損）

・刑法第 230 条の 2（公共の利害に関する場合の特例）

187

(4) 裁判例

・最高裁昭和 44年 6月 25 日判決（最高裁判所刑事判例集 23巻 7号 975 頁）

・東京地裁平成 20 年 2 月 29 日判決（公刊物未登載）

5-1.1.15. ソフトウエア開発者の責任

ソフトウエアを違法に使用した者がいた場合、そのソフトウエアを開発した者の刑事責任

はどうなるか。

(1) 考え方

不特定多数の者によって違法行為が行われることを知りながら、ソフトウエアを開発し、不

特定多数の者に対して提供することは、違法行為に対して結果的に手を貸すことになるとして、

幇助犯（刑法第 62条）として処罰される可能性がある。

(2) 説明

①コンピュータ技術は、（コンピュータウイルスの例を挙げるまでもなく）その汎用性の高さ

から、いつ犯罪の手段に転用されるかわからない。そこで、ソフトウエア開発にあたって、未

必的にせよ、開発したプログラムが犯罪に悪用されることを認識して、不特定多数のユーザに

提供した場合に、共犯（幇助犯）としての刑事責任を問われるのか。

この問題は、客観的には日常の適法な行為ではあるが、主観的に犯罪への利用可能性を認識

している場合に、その行為全体が犯罪性を帯びるのか、という形で一般化することができる。

②以上の点が実際に問題となっているのが、Winny 事件である。すなわち、ファイル交換ソフ

トである Winny を開発し、インターネットを通じて不特定多数のユーザに提供した被告人は、

Winny が著作権法違反の犯罪行為に悪用されることを未必的に認識していたならば（故意がな

ければ無罪である）、著作権法違反の幇助犯となるのだろうか。京都地方裁判所は、この点を

肯定し、被告人を有罪とした（後掲参照）。以下、若干長くなるが、重要な判決であるので、

判旨を紹介する。

Winny によって正犯者らの犯行が有形的に容易になったほか、匿名性により精神的

にも犯行が容易になったという客観的事実が認められる。しかし、Winny は P2P 技

術の 1つとして有意義であって、その技術自体は価値中立的である。価値中立的な

技術の提供一般が犯罪行為となりかねないような、無限定な幇助犯の成立範囲の拡

大は妥当でない。結局、そのような技術の外部への提供行為じたいが幇助行為とし

て違法性を有するかどうかは、その技術の社会における現実の利用状況やそれに対

する認識、提供する際の主観的態様による。

「インターネット上において Winny 等のファイル共有ソフトを利用してやりとり

188

がなされるファイルのうちかなりの部分が著作権の対象となるもので、Winny を含

むファイル共有ソフトが著作権を侵害する態様で広く利用されており、Winny が社

会においても著作権侵害をしても安全なソフトとして取りざたされ、効率もよく便

利な機能が備わっていたこともあって広く利用されていたという現実の利用状況

の下、被告人は、そのようなファイル共有ソフト、とりわけ Winny の現実の利用状

況等を認識し、新しいビジネスモデルが生まれることも期待して、Winny が上記の

ような態様で利用されることを認容しながら」、Winny を「自己の開設したホーム

ページ上に公開し、不特定多数の者が入手できるようにしたことが認められ」、こ

れによって正犯者らが、「それぞれ Winny が匿名性に優れたファイル共有ソフトで

あると認識したことを一つの契機としつつ、公衆送信権侵害の各実行行為に及んだ

ことが認められるのであるから、被告人がそれらのソフトを公開して不特定多数の

者が入手できるように提供した行為は、幇助犯を構成する」。

学説としては、客観的に中立的な行為の場合、主観的には未必の故意では幇助の故意として

は不十分であり、確定的故意が必要であるとする見解が主張されている（後掲）。

なお、Winny 事件については、現在、大阪高裁に係属中であり、その判断が注目される。


・刑法第 62条（幇助）第 1項「正犯を幇助した者は、従犯とする。」

(4) 裁判例

・京都地裁平成 18 年 12 月 23 日判決・判タ 1229 号 105 頁（判例批評については、岡

村久道、NBL-No.848、41 頁以下）

・園田寿「Winny の開発・提供に関する刑法的考察」刑事法ジャーナル 2007 年 Vol.8

（2007 年 7 月 1 日）54頁以下。

5-1.1.16. IT 機器の利用状況の調査（モニタリング）を行うためには、何が必要か（事前防

止策）

IT 機器のモニタリングに関する規程の必要性とその内容

(1) 考え方

従業員のPCのモニタリングに関する規程の整備が必要である。労働基準法第89条10号は、

当該事業場の従業員のすべてに適用される定めをする場合においては、これに関する事項を就

業規則に定めなければならないと規定している。したがって、このような規程は就業規則の一

部にしておく必要がある（労働基準法第 89条 10 号）

また、モニタリングの結果に懲戒処分を予定するのであれば、就業規則上に懲戒に関する規

定があることが必須である。また、事業用システムの利用禁止規程が整備されていないときに

189

は、従業員の行為に対して懲戒処分を科すことができないこともある。これに関する規程を作

成し、それを就業規則の一部としておく必要がある。利用規程に関しても就業規則所定の手続

が取られるべきである。具体的には、従業員の過半数で組織する労働組合がある場合において

はその労働組合、それがない場合には従業員の過半数を代表する者の意見を聴取し、この意見

を添付し労働基準監督署に届け出る必要がある。

利用規程に関しては、モニタリングを何のために行う必要があり、どのように実施するのか

等を明確にしておく必要がある。

(2) 説明

1) 規程の整備

労働者（従業員）に何らかの義務を課すのであれば、就業規則上に規定する必要がある。た

だし、内容に合理性があり労働者に周知したものでなければ労働者に対する義務付けは無効に

なるので注意する必要がある（労働契約法第 7条）。

また、モニタリングの結果に懲戒処分を予定する場合、判例上、従業員に対する懲戒処分は、

就業規則の規定に基づかなければならないとされているので、懲戒を行うためには、あらかじ

め就業規則に懲戒の種別及び事由を定め、かつ、この就業規則を従業員に周知しておくことが

絶対的条件となる。

そこで、問題となるのは、一般的な就業規則の規定のみで十分かという問題である。すなわ

ち、PC の利用規程が整備されていないような場合に、この就業規則の抽象的な規定に基づい

て従業員を懲戒処分とすることができるかという問題である。裁判例によれば、PC 利用規程

が整備されていないために、従業員の PC 上の行為を懲戒処分にすることができないとするも

のもあり、懲戒処分の対象にするためには、原則的に PC 利用規程の整備が必要であるといえ

る。

2) 規程内容

現実に即した、PC 利用規程が整備されるべきである。そして、利用規程に則った運用が現

実に行えるような具体的内容を有する規定がなされることが重要である。

｢私用メール一切禁止｣とだけ謳った規定では、十分機能しないことに注意すべきである。そ

の理由として、どこからが私用メールとなるかを明確にすることが困難だからである。例えば、

業務上のメールにも私的な部分含まれることはあるし、業務上の関係でも私的な内容のメール

がなされることもある。業務に関係のない知人からのメールに返信することもある。このよう

な場合のすべてに義務違反を問うのは非現実的であろう。この点に関し、裁判例の中にも、就

業規則上に私用メールの禁止が規定されていても、すべての私用メールの義務違反が問えるも

のではなく職務に支障が生じた場合に初めて就業規則違反を問えるとしたものがある。

そこで、禁止事項を列挙するよりも、何のためにモニタリングを行うのか、そして、その方

法、および、そこから得られたデータの利用等に関しはっきりされることが、より実効的であ

190

るといえる。

3) 規程の一例

この問題に関連する裁判例および経済産業分野の個人情報保護ガイドラインなどを参考に、

以下にその一例を示したい。

タイトル：業務用 PC のモニタリングの実施について

① 必要性と目的：セキュリティの確保（企業情報漏洩防止、危険なサイト・不適切なサイト

へのアクセス防止、権限のない企業情報へのアクセスの防止・・・）、職務遂行上の支障

の防止（従業員の私的利用による職務懈怠（怠慢）および職務の停滞の防止・・・）・・・

② 方法：従業員が会社貸与の PC 上で行ったすべての交信・通信および情報アクセス行為を

記録し保存する。保存期間は○○である。

③ ①の支障が現実に生じている、あるいは、生じるおそれがある場合に、②で保存した記録

を調査することがある。

④ モニタリングは、○○部○○課が担当し、責任者は○○である。

⑤ モニタリングの実施状況については、適正に行われているか（モニタリングを権限のない

者が行うことがないか、また、権限者が恣意的に調査を行われてないか等）監査・確認を

定期的に行うこととする。④の担当者の取扱規定および監査・確認に関する規程は別途設

けることとする。

⑥ ②で得られた情報は、①の目的の範囲内においてのみ利用する。

⑦ ③の調査の結果により、その行為が就業規則所定の懲戒事由に該当する場合には、懲戒の

ための手続（労働協約などに規定されていることが多い）を経た上で、懲戒処分に付する

ことがある。

⑧ 以上は、労働組合と協議の上で実施する。また、当規定に変更の必要がある場合、労働組

合と協議の上変更を行い、従業員全体に周知することとする。

①の必要性と目的に関しては、何を阻止するためにモニタリングを行う必要があるのか、具

体的に検討し、詳細に明確にすることが重要である。②の方法に関して、すべての監視・調査

にいえることだが、裁判例も述べるように、使用者の監視が従業員のプライバシーや人格権を

侵害する可能性がある。必要性の程度に応じた方法が取られるべきで、従業員の人格を過度に

圧迫するような方法が取られないように注意する必要がある。③に関して、検索ソフト等によ

り定期的に調査を行っているような場合にはその旨を明記する。⑤に関して、この調査過程に

おいてプライバシー侵害やルハラスメント等の人格権侵害が生じるおそれがあるので、このよ

うな問題が生じないように注意を喚起した規程を別途作成する必要がある。この点を疎かにす

ると、後で問題が生じたときに、この点に関して会社が責任を問われることになる（いずれに

しても使用者責任は問われることになろうが、より重い責任をとわれることになろう）。⑥に

関しては、この結果を考課に反映させるなどの目的外利用がなされないように十分注意する必

191

要がある。

重要なのは、以上のような規程がいわゆる「絵に描いた餅」になることなく、現実的にこれ

に則りきちんと運用することである。



・労働基準法第 89 条第 9号・第 10 号

・個人情報保護法第 15 条･第 18 条

・「雇用管理に関する個人情報の適正な取扱を確保するために事業者が講ずべき措

置に関する指針」第三の一

・経済産業分野の個人情報保護ガイドライン 2-2-3-3

(4) 裁判例



・最高裁第三小法廷平成 7年 9月 5 日判決・労判 680 号 28 頁

・徳島地裁昭和 61 年 11 月 17 日決定・労判 488 号 46 頁

・東京地裁昭和 47 年 3 月 31 日判決・労民 23巻 2号 155 頁

・岡山地裁平成 3年 12 月 1日判決・労判 606 号 50 頁

・東京地裁平成 14 年 2 月 26 日判決・労判 825 号 50 頁

・東京高裁平成 17 年 3 月 23 日判決・労判 893 号 42 頁


・福岡地裁久留米支部平成 16年 12 月 17 日判決・労判 888 号 57 頁

・福岡高裁平成 17 年 9 月 14 日判決・労判 903 号 68 頁


・東京地裁平成 16 年 8月 26 日判決・労判 881 号 56 頁

・札幌地裁平成 17 年 5 月 26 日判決・労判 929 号 66 頁


5-1.1.17. 不正な目的で用いられることが明らかなソフトウエア（コンピュータウイルス、

スパイウエア等）を構成するプログラム

コンピュータウイルスやスパイウエア60などのような不正な目的で用いられることが明ら

かなソフトウエアについても、それを構成するプログラムは著作権法上保護されるのか。

60 利用者の個人情報やアクセス履歴などの情報を詐取し、利用者以外のものに自動的に送信

するソフトウェア。

192

(1) 考え方

現行著作権法の下では著作物性を充足する限りは著作権、著作者人格権によって保護されう

ると考えられる。ただし、その権利行使が常に認められるとは限らない

(2) 説明

現行著作権法では、著作権法第 2条 1項 1 号に規定される著作物たる要件（著作物性と呼ば

れ、思想又は感情の創作的表現、文芸・学術・美術・音楽の範囲に属する、の 2要件）を充足

する限り、著作権法第 2条 1項 2 号に規定される著作者に著作権及び著作者人格権を付与する

ものとしている。（著作権法第 17 条）ただし、法令、判決等の限られた著作物については例外

的に権利の目的とならないとされている。（著作権法第 13 条）

したがって、コンピュータウイルスやスパイウエアなどのような不正な目的で用いられるこ

とが明らかなプログラム著作物であっても、著作物性を充足する限り、著作権及び著作者人格

権が発生し、著作権法上は保護されうる。

この点、公序良俗を害する発明については、たとえ特許要件を充足する場合であっても、特

許法による保護を否定する（特許法 32 条）とは異なるといえる。（立法論としては、著作権法

上もこのような規定を設けるか否かという議論は考えられなくもないであろう。）


・著作権法第 2条 1項 1号

・著作権法第 2条 1項 2号

・著作権法第 13条

・著作権法第 17条

(4) 裁判例

特になし

5-1.1.18. インシデントが発生した場合の報告等

自社の情報システムに、以下のような情報セキュリティ上の問題事象（以下「インシデン

ト」という。）が発生してしまった場合、当該情報システムの復旧その他の直接的な技術上

の対応以外に、どのような対応を行うべきか。

〈参考：インシデントの例〉

① 自社のウェブサイトが第三者に改ざんされ、ウェブサイトの利用者に不正なプログラム

をダウンロードさせる機能や、不正なプログラムを配付するサイトへのリンクを埋め込

まれてしまった。

② 自社の情報システムの管理が不十分であったために、不正なプログラムを埋め込まれて

193

しまい、他社へのサービス妨害攻撃等に利用されてしまった。

③ 第三者が、自社の名を語って、顧客に ID、パスワードその他のユーザ情報を入力させ

る偽のウェブサイト（フィッシングサイト）を立ち上げていることが判明した。

④ 社員がメールに添付された不正なプログラムを起動させてしまったりたり、ウェブ上で

ダウンロードした不正なプログラムを起動させてしまったりしたために、社内のシステ

ムに不正なプログラムが拡散し、自社が管理していた様々な情報が特定のサイトに送信

されてしまった。

⑤ 特定のサイトから大量の情報を頻繁に送りつけられるサービス妨害攻撃を受け、ウェブ

を利用したサービスの機能が低下してしまった。

(1) 考え方

自社の情報システムにおいてインシデントが発生した場合、情報の流出や顧客等における被

害の拡大を最小限に抑えるための、迅速な技術的な対策の実施が必要であることは言うまでも

ない。

このような場合において、問題が発生しているシステムによって提供されているサービスの

一時停止や、被害発生の抑止のために第三者機関に協力を依頼するため情報提供に関する権限

があらかじめ現場に委譲されていないと、サービスを停止することができないがために情報の

流出等の被害の拡大を止めることができなかったり、権限を逸脱してサービスの停止を行わざ

るを得なかったために統制ルール違反のリスクを生じさせたりという問題を惹起する可能性

がある。情報システムを利用した営業活動が重要なウェイトを占める企業等においては、イン

シデント発生時における対応のルール（意思決定に関する適切な権限委譲等）が行われていな

いこと自体、適切な内部統制システムの構築が行われていないとされる原因になり得る可能性

があると考えられる。

また、自らの管理上の問題によって被害を発生させた顧客や他社に対する連絡や情報開示が

迅速に行われない場合には、他者の被害が発生・拡大する可能性を承知しながら、放置した責

任を問われる可能性も否定できないと考えられる。

さらには、被害の抑止を行うことができた場合であっても、さらなる被害の拡大及び再発を

防止する観点から、社会全体でリスクを正しく認識し、有効な対策の検討に資するため、関係

機関への届出等が推奨される。

(2) 説明

1) インシデントへの対応のためのサービス（業務）停止の判断

自社の情報システムが第三者からの攻撃（社員がメールに添付された不正なプログラムや自

らがウェブサイト上からダウンロードしてきた不正なプログラムを実行させてしまった場合

を含む。）を受け、不正なプログラムの配布やサービス妨害攻撃等、顧客や第三者に被害を発

生させる攻撃に加担させられてしまったり、顧客情報等の内部情報を窃取されたりする被害の

194

発生は、もはや珍しいことではなく、そのような被害にあっていること自体に気がつかない場

合も少なくない。

このような攻撃を受けないようにするためのソフトウエアのアップデートや、攻撃をいち

早く検知し必要な技術的対応を実施するという、日頃からの対策の実践が推奨されることはい

うまでもないが、実際に問題が発生した場合には、対策の実施のために、インターネットを利

用して提供しているサービスを一定期間停止したり、営業に関する情報の一部が消失してしま

ったりすることを覚悟しなければならないことが想定される。

このようなインシデントによる被害の拡大防止と営業上の損失の発生する可能性を天秤に

かけなければならないような判断を、事前に定めた意思決定ルールがない状態で、システム運

用の現場限りで行うことは、意思決定に関する統制ルール上問題があるといわざるを得ず、一

方で、インシデント発生の都度、経営層（場合によっては、流出する可能性がある情報の内容

によって、それぞれの問題に関する権限を与えられている各委員会（個人情報保護対策委員会

等）若しくは関係するすべての委員会）の判断を仰いだ上でなければ対応を行うことができな

いとなると、みすみす流出する情報の範囲の拡大を招いてしまう結果になりかねない。

2) 被害拡大抑止のための第三者への情報提供

また、発生したインシデントへの対応に関し、第三者機関の協力を得て、被害の拡大抑止を

行うことができる可能性があるが、このような協力を依頼する場合には、自社で発生している

インシデントに関する情報を第三者機関に提供しなければならないところ、そのような情報を

社外に提供する権限がシステム運用等の現場に与えられていない場合には、協力を得ることを

断念するか、上述のような権限ある者の了解を得る手続きが必要となり、迅速な被害拡大抑止

対応を行うことができないこととなる可能性がある。

さらに、社会全体で情報セキュリティ対策の向上を図っていくためには、インシデント等に

関する情報を広く収集し、発生状況等の分析を行うことにより、脅威の適切な把握、有効な被

害の拡大防止および再発防止策の検討を行う必要があるが、インシデントに関する情報の社外

への提供を一律に禁止する取扱いは、情報セキュリティ上の脅威の状況の把握を困難にさせて

しまう要因になる可能性があることから、そのような活動に対する配慮が求められる。

【インシデント対応に関して第三者機関の協力が得られる場合、届出が推奨されている場合の

例】

たとえば、経済産業省からの委託を受けてインシデント対応支援の活動を行っている

JPCERT コーディネーションセンターに対しては、攻撃元への働きかけ等自社のみでは解決で

きないインシデント対応に関する調整を依頼することができる。たとえば、自社のウェブサイ

トに不正なプログラムを配付するサイトへのリンクを埋め込まれてしまった場合や、第三者が

自社ブランドのフィッシングサイトを立ち上げていることが判明した場合の、当該サイト（IP

195

アドレス61）の閉鎖等（ただし、ドメインネームの停止については、権利性のある問題である

ことから、ドメインネームの登録機関を交えた調整が必要となり、解決に時間を要する場合が

多い。）に関する調査や、特定のサイトからの不正アクセスやサービス妨害を受けている場合

の当該攻撃元に対する攻撃の停止等に関する調査を依頼することができる。また、インシデン

トの発生状況を適切に把握し、その脅威度に応じて協力依頼の内容や範囲の拡大を検討する必

要があることから、インシデントへの対応を自社で行うことができる場合であっても、発生の

事実、状況について報告することにより、社会全体における被害の拡大、拡散防止に貢献する

ことができる。

また、システム管理者、ネットワークサービス事業者及びソフトウエア・ハードウエア供給

者等については、コンピュータウイルスまたは不正アクセスによる被害の拡大及び再発防止の

観点から、コンピュータウイルスの発見若しくは感染、または不正アクセスの被害に関し、関

係する情報を、独立行政法人情報処理推進機構（IPA）に届け出ることとされている（通商産

業省告示「コンピュータウイルス対策基準」及び「コンピュータ不正アクセス対策基準」）。

3) 自社のシステムが「踏み台」になってしまった場合や、自社ブランドのフィッシングサイ

トが発生した場合の、情報提供等の必要性

自社のウェブサイトその他の情報システムが第三者によって改ざんされる等により、他者へ

の攻撃に加担する形になってしまったこと、または、自社ブランドのフィッシングサイトが立

ち上がっていることを認識しつつ、①自社のシステムが行っている他者への攻撃を停止するた

めの措置を講じなかったり、②自社のウェブサイトにおいて不正プログラムがダウンロード可

能になっていたことについての情報開示（利用者への注意喚起）を行わなかったり、③自社の

サービスのユーザに対し、自社を語る偽のウェブサイトの存在及びそのサイトへの自社名義に

よる誘導メールの送信が行われていることについての注意喚起を行わなかったりした場合に

おいて、攻撃先や利用者に上記に起因する損害が発生した場合には、その損害に対する責任（の

一部）を問われる可能性が否定できない。

自社システムが踏み台になって他者への攻撃を行っていることが確認された場合には、直ち

に技術的な対策により攻撃を停止するとともに、不正なプログラムを埋め込まれる原因となっ

た脆弱性等の問題箇所を修正（再発防止）し、攻撃先が判明している場合には、攻撃に起因す

る問題が発生していないかどうかの確認を求めるための連絡を行う必要があるものと考えら

れる（攻撃先に直接連絡をすることが躊躇される場合には、上述の JPCERT コーディネーショ

ンセンターを経由して連絡をすることも可能である。）。

自社のウェブサイトに不正なプログラムをダウンロードさせる機能を埋め込まれていたこ

とを確認した場合には、不正なプログラムの除去及び不正なプログラムを埋め込まれる原因に

なった脆弱性等の問題箇所を修正の上、不正なプログラムがダウンロード可能になっていた期

61 TCP/IP ネットワーク上で通信相手(ホスト)を識別するための番号。

196

間、ダウンロード機能が埋め込まれていたアイコン等の状況を公開し、当該ウェブサイトから

不正なプログラムをダウンロードしたことにより、自らのコンピュータに情報漏えい等の問題

を抱え込んでいる（本人は気づいていない場合が多い）可能性のある利用者に注意喚起を行う

べきであろう。

自社ブランドのフィッシングサイトを立ち上げられたサービス提供事業者については、上記

①及び②の場合とは異なり、自らの管理上の過失により問題を発生させているわけではないた

め、①及び②のような連絡・注意喚起義務が発生するとは直ちにいえないものと考えられるが、

当該フィッシングサイトにおいて入手された ID やパスワードは自社サービスの不正利用に使

用される可能性が高いと考えられるので（その他の目的で利用されることも少なくないと考え

られるが。）、自らの顧客の利益のために、注意喚起等を行うことが望ましいと考えられる。


・通商産業省告示「コンピュータウイルス対策基準」

・通商産業省告示「コンピュータ不正アクセス対策基準」

（その他の法令については、追って補填します。）

(4) 裁判例

特になし

5-1.1.19. ソフトウエア等の脆弱性への対応 1

自社が提供しているソフトウエア製品や情報システムに情報セキュリティ上の問題箇所

（以下「脆弱性」という。）が発見された場合、どのような対応を行うべきか。

ソフトウエア製品の利用者が製品の脆弱性に関して留意すべきことは何か。

（〈注〉ウェブサイトの脆弱性の問題に関する情報開示については、インシデント報告の項に

一部記載）

(1) 考え方

ソフトウエア製品の提供者は、設定を正しく行う等の日頃の適切な運用を行えば、安心して

使えるというレベルで製品を提供すべきであり、提供したソフトウエアに関し、提供後に脆弱

性が発見された場合には、サポートの約定の趣旨に従い対策（修正プログラム等）の適切な提

供を行わなければならない。この場合の提供は、対策の適用に利用者側の一定の行為（修正プ

ログラムのダウンロード等）を必要とする場合には、脆弱性の存在及びその脅威の内容等に関

する注意喚起情報と合わせて提供されるべきである。

脆弱性を発見した者による情報開示が修正プログラムの提供に先んじて行われる場合には、

製品の利用者が攻撃のリスクにさらされることとなり、また、複数の製品開発者が提供する製

品に影響するものである場合には、一の製品開発者による脆弱性情報及び修正プログラムの提

197

供が他の製品開発者の製品の利用者を攻撃のリスクにさらすことになることから、脆弱性情報

の発見から修正プログラム等の対策の提供までの関係者の行動指針を定めた経済産業省告示

「ソフトウエア等脆弱性関連情報取扱基準」に基づく、脆弱性関連情報のハンドリングの枠組

み（独立行政法人情報処理推進機構による脆弱性関連情報の届出の受付、JPCERT コーディネ

ーションセンターによる製品開発者に対する脆弱性関連情報の公開に関する調整、ソフトウエ

ア等の脆弱性に関する情報を公開するポータルサイト（JVN：Japan Vulnerability Notes）に

よる脆弱性情報の公開等）が構築されており、ソフトウエア製品等の提供者には、これらの基

準及び枠組みに沿った脆弱性情報及び対策方法の公開が推奨される。

製品の利用者においても、インシデントの発生が脆弱性を狙う攻撃に起因する場合が多いこ

とを認識し、製品の選択に当っては、脆弱性が発見された場合の製品開発者の対応が適切に行

われるかどうか（脆弱性に関する情報の開示や修正プログラム等の対策の提供方法、製品開発

者が脆弱性情報に関する調整機関である JPCERT コーディネーションセンターに情報を受け取

る窓口の登録を行っているかどうか等）をあらかじめ確認することが重要であるといえる。

(2) 説明

1) 脆弱性に対する対策の提供の必要性

ソフトウエア製品については、通常の利用においてセキュリティに問題が生じず、設定を正

しく行う等の日頃の適切な運用を行えば、安心して使えるというレベルで提供することが、法

律上、債務の本旨に従った履行（民法 415 条）として求められる場合がある。

提供したソフトウエアにおいて、設計上の問題、プログラミング上の問題を問わず、社会通

念上、安心して使えるレベルにいたらない箇所が生じていている場合には、その点に対してサ

ポートの約定の趣旨に従い（提供の際の契約で製品提供者側の責任を免除する場合については、

消費者契約法の適用がある場合には、責任の全部免除が認められない場合がある。）、対策の提

供（修正プログラムの提供等）を行う必要がある。仮に、サポートを提供しない旨を積極的に

うたっている場合であっても、自社製品の利用によって問題が発生する可能性（脆弱性の存在

及びその内容）に関する情報については、公開の責任があるものと考えられる。

また、製造物責任法上の論点として、現時点において、ソフトウエアそれ自体については製

造物責任が問われないと一般に解釈されているが、電気機器や電子部品その他の工業製品等に

ソフトウエアが組み込まれているものは、製造物であるので製造物責任法による製品の欠陥を

根拠とした責任を負う可能性がある。

汎用のソフトウエア製品については、脆弱性に関する対策の提供がネットワークを通じて自

動的に行われる仕組みを組み込んで提供されているものもあるものの、製品提供者が用意した

修正プログラムを、利用者側においてダウンロードし、インストールして修正を行うというよ

うな積極的な行為が必要とされるものが少なくなく、そのような製品については、製品提供者

側において修正プログラムを用意するだけでなく、脆弱性が存在すること及び修正プログラム

の適用が必要であることについて、適切な情報開示と注意の喚起を行うことが必要となる。

198

家電製品のようにネットワーク経由で修正プログラムを提供することが必ずしも容易では

ないものや、制御系のコントロールシステムのように修正プログラムの適用のためにシステム

をいったん停止させることが困難であるものについては、修正プログラム等の対策の提供のあ

り方についても、検討を行う必要がある。

2) 修正プログラム等の対策の提供のタイミング

脆弱性を発見した者による情報開示が修正プログラムの提供に先んじて行われる場合には、

製品の利用者が攻撃のリスクにさらされることとなり、また、複数の製品開発者が提供する製

品に影響するものである場合には、一の製品開発者による脆弱性情報及び修正プログラムの提

供が他の製品開発者の製品の利用者を攻撃のリスクにさらすことになることから、脆弱性に関

する情報の開示と対策方法の提供は同時に行われるべきであり、複数の製品開発者の製品に影

響がある脆弱性については、各製品開発者が同時に脆弱性情報及び対策方法の公開を行うこと

が望ましい。

そのような観点から、脆弱性情報の発見から修正プログラム等の対策の提供までの関係者の

行動指針を定めた経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」に基づく、脆弱

性関連情報のハンドリングの枠組み（独立行政法人情報処理推進機構による脆弱性関連情報の

届出の受付、一般社団法人 JPCERT コーディネーションセンターによる製品開発者に対する脆

弱性関連情報の公開に関する調整、ソフトウエア等の脆弱性に関する情報を公開するポータル

サイト（JVN）による脆弱性情報の公開等。関係団体（独立行政法人情報処理推進機構、一般

社団法人 JPCERT コーディネーションセンター、社団法人電子情報技術産業協会、社団法人情

報サービス産業協会、社団法人日本コンピュータソフトウェア協会及び特定非営利活動法人

日本ネットワークセキュリティ協会）によるガイドライン「情報セキュリティ早期警戒パート

ナーシップガイドライン」に従って運用されている。）が構築されており、ソフトウエア製品

等の提供者には、これらの基準及び枠組みに沿った脆弱性情報及び対策方法の公開が推奨され

ている。

なお、ソフトウエア等の脆弱性に起因して生じた損害に関する紛争の終局的解決は裁判所の

判断によることとなり、上述のソフトウエア等脆弱性関連情報取扱基準及び関係ガイドライン

等に則って真摯に対策をとっていることが直ちに訴訟上の免責を導くものではないが、責任の

基礎としての過失の判断においては、事故当時において一般的に求められる行為の水準が決め

手となることから、自社製品の脆弱性に起因して発生する損害の範囲の縮減のために製品開発

者として取るべき行動指針に従った対応を行ったという事実は、裁判所による過失の判断に影

響を与え、有責のリスクを軽減する材料として働くことが期待されている。

3) 製品の利用者による対応

製品開発者が脆弱性に関する情報を適切に開示し、修正プログラム等の対策方法を合理的な

方法により提供したにもかかわらず、利用者がそれらの情報に基づいた適切な対応（修正プロ

199

グラムの適用等）を行わなかったために、インシデント及び損害が発生した場合には、その責

任は利用者側の負担となると考えられる。

ウェブサイト上でサービスを提供している事業者が、ウェブサイトの構築のために利用して

いるソフトウエア製品について、製品開発者から脆弱性情報及び修正プログラムの提供が適切

に行われているにもかかわらず、当該脆弱性の修正を行わないままサービスの提供を継続し、

結果的にウェブ上のサービスの利用者に損害を発生させた場合には、その損害は、脆弱性のあ

るソフトウエア製品の提供者ではなく、ウェブサイトによるサービスを提供している事業者の

責に帰すべき問題として捉えられることになると考えられる。

責任を製品開発者に転嫁できるか否かにかかわらず、自社のウェブサイトの脆弱性により利

用者に損害を発生させることは、事業の信頼性に大きな影響を与えることになると考えられる

ので、ソフトウエア製品の選択にあたっては、脆弱性に関する情報及び対策方法が適切に発信

される製品であるかどうか（脆弱性に関する情報の開示や修正プログラム等の対策の提供方法、

製品開発者が脆弱性情報に関する調整機関である JPCERT コーディネーションセンターに情報

を受け取る窓口の登録を行っているかどうか等）をあらかじめ確認することが重要であるとい

える。


・債務不履行責任（民法第 415 条）、不法行為責任（民法第 709 条）、瑕疵担保責任（同

法第 570 条、第 566 条等）

・経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」

（注）本稿でいう「ソフトウエア等の脆弱性」とは、(1)不具合であること－プロ

グラム等が意図した（正しい）結果をもたらさない状態であること、(2)セキュリ

ティに関すること－少なくとも、その「不具合」が、電子計算機の運用に関する機

密性、保全性、可用性に関連するものであること、(3) (1)の不具合が、外部から

の攻撃を誘引するものであること、(4) (2)および(3)に関連する(1)を引き起こす

要因または事項であることの 4つ観点を備えたものとして考える。（参照：「情報シ

ステム等の脆弱性情報の取扱いにおける法律面の調査報告書」（2004 年 6月）独

立行政法人情報処理推進機構）

(4) 裁判例

特になし

5-1.1.20. ソフトウエア等の脆弱性への対応 2

自らが利用している他社のソフトウエア製品等に脆弱性が存在することを発見した場合、

どのような対応を行うべきか。当該ソフトウエア製品のライセンス契約の条項にリバース

200

エンジニアリングの禁止に関する条項が含まれている場合に、考慮すべき問題はあるか。

(1) 考え方

汎用のソフトウエア製品等に脆弱性を発見した場合には、経済産業省告示に従い、関連情報

を独立行政法人情報処理推進機構（IPA）に届け出ることが推奨される。

利用しようとするソフトウエア等に脆弱性が存しないかどうかを検証する行為や研究目的

で行う脆弱性の有無の確認行為については、その手法としてリバースエンジニアリングの手法

を用いることがあり、ソフトウエアのライセンス契約においてリバースエンジニアリングを禁

止する条項がおかれている場合には、そのような手法を用いて脆弱性を発見したことに関し、

債務不履行責任が発生するか否かが問題となり得る。本来作りこまれるべきではない脆弱性が

数多く発見され、それが情報セキュリティインシデント発生の原因になっていることに鑑みれ

ば、利用者による汎用ソフトウエアの脆弱性の有無の検証や研究者による研究は、リバースエ

ンジニアリングの禁止条項の適用を受けないことが、解釈上明確されることが期待される。

(2) 説明

情報システムの構築または運用をしている過程において、利用している他社が開発したソフ

トウエアに脆弱性が存在することを発見する場合があり得る。

そのような場合には、経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」が定める

「ソフトウエア等の脆弱性を発見した者は、発見した脆弱性関連情報を経済産業大臣が別に指

定する受付機関（IPA が指定されている。）に届け出ること。ただし、当該製品開発者に対し

同じ内容を届け出ることを妨げない。」の規定に従い、IPA に関連情報を届け出ることが推奨

されているといえる。

ただし、この告示は、「ソフトウエア又はそれを組み込んだハードウエアであって、汎用性

を有する製品」を対象とするものであるので、開発委託契約等により自社のためのみに開発さ

れたものであって、他に利用する者が存しないソフトウエアに関しては、開発者との間の契約

の条項等に従い、修補を求める等の対応を行うことになる。

なお、利用しようとするソフトウエア等に脆弱性が存しないかどうかを検証する行為や研究

目的で行う脆弱性の有無の確認行為については、その手法としてリバースエンジニアリングの

手法を用いることがあり、ソフトウエアのライセンス契約においてリバースエンジニアリング

を禁止する条項がおかれている場合に、当該条項の適法性が問題となる。脆弱性の発見、検証

の目的で行われるリバースエンジニアリングについては、ライセンス契約に禁止条項があった

としても、債務不履行責任については違法性がない、または違約金等の請求自体が権利濫用に

該当する可能性があると解釈される余地があるが、法的な解釈としては未確定な状態である

（前掲報告書）とされており、ソフトウエア等の脆弱性に起因するインシデントが深刻な問題

になっている昨今、脆弱性の問題の研究を推進する上で、この問題の明確な整理が期待される。

201


・経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」

(4) 裁判例

特になし

i

付録Ⅰ：JIS Q 27001：2006 （附属書 A)との対応関係

項目 JIS Q 27001 付属書 Aにおける対応箇所

機密性・完全性・可用性（CIA）と法的保護

機密性、完全性、可用性（CIA）のすべてに関するもの

管理責任類型－その 1：会社法関係

2-1.2.1. 会社法上の内部統制と情報セキュリティの関係 A.5.1.1 情報セキュリティ基本方針文書

A.6.1.1 情報セキュリティに対する経営陣の責任

A.6.1.2 情報セキュリティの調整

A.15.1.1 適用法令の識別

2-1.2.2. 情報セキュリティの不備と会社役員の責任 A.6.1.1 情報セキュリティに対する経営陣の責任


A.12.5.4 情報の漏えい


管理責任類型－その 2：個人情報保護法関係

2-1.3.1. 個人情報保護法上の安全管理措置義務と情報セキュリ

ティの関係

A.15.1.4 個人データ及び個人情報の保護

2-1.3.2. 委託先の監督責任 A.12.5.4 情報の漏えい

A.6.1.5 秘密保持契約


2-1.3.3. 安全管理措置義務の対象となる個人情報 A.15.1.1 適用法令の識別

加害行為規制類型

ii

2-1.4.1. コンピュータウイルスの作成・送付 A.6.1.6 関係当局との連絡

A.10.4.1 悪意のあるコードに対する管理策

秘密性（C）に関するもの

営業秘密

2-2.2.1. 情報の秘密管理 A.6.1.5 秘密保持契約

A.7.1.1 資産目録

A.7.2.1 分類の指針

A.7.2.2 情報のラベル付け及び取扱

A.11 アクセス制御



2-2.2.2. 営業秘密の保護要件遵守のために整備すべき内部規定

等





2-2.2.3. 従業員・委託先が作成に関与した情報の営業秘密として

の保護


A.7.1.1 資産目録



A.6.2.1 外部組織に関係したリスクの識別

刑事法【P】

2-2.3.1. 情報の不正入手 (1) A.11 アクセス制御


iii

2-2.3.2. 情報の不正入手 (2) A.11 アクセス制御


その他

2-2.4.1. 他の知的財産権法規定による保護方法 A.15.1.1 適用法令の識別

A.15.1.2 知的財産権(IPR)

2-2.4.2. 技術的保護手段の回避 A.15.1.2 知的財産権(IPR)

完全性（Ｉ）に関するもの

金融商品取引法の内部統制

2-3.2.1. 情報セキュリティと金融商品取引法の内部統制報告制

度の関係

A.6.1.1 情報セキュリティに対する経営陣の責任


A.12.2.1 入力データの妥当性確認

A.12.2.2 内部処理の管理

A.12.2.3 メッセージの完全性

A.12.2.4 出力データの妥当性確認


刑事法

2-3.3.1. 電子計算機使用詐欺罪における「虚偽の情報」 A.6.1.6 関係当局との連絡

A.15.1.3 組織の記録の保護

2-3.3.2. 口座残高改ざん－スキミングの手口と対策 A.6.1.6 関係当局との連絡

A.12.6.1 技術的ぜい弱性の管理

完全性を補完する制度

2-3.4.1. 電子署名法 A.12.3 暗号による管理策

iv

可用性（A）に関するもの

民事責任

2-4.2.1. 情報媒体の財産的価値 A.7.1.1 資産目録




管理策を講じる上での要求事項

労働法、労働者派遣法、従業員のプライバシー保護との関係－事前防

止策

3-2.1.1. 従業員との関係での情報セキュリティ体制の確立 A.8.1.1 役割及び責任

A.8.1.2 選考

A.8.1.3 雇用条件

A.8.2.1 経営陣の責任

A.8.3.1 雇用の終了又は変更に関する責任

3-2.1.2. 企業秘密に関する誓約書の要請 A.6.1.5 秘密保持契約



A.8.2.3 懲戒手続


3-2.1.3. 私用メール等のモニタリング A.8.1.3 雇用条件




v

3-2.1.4. 私用メールを禁止する規程 A.12.5.4 情報の漏えい

A.13.2.3 証拠の収集


3-2.1.5. 私物 PC の持込禁止及び会社の情報を含む物品の持ち出し

禁止



A.9.2.1 装置の設置及び保護

3-2.1.6. 退職後の従業員の競業避止義務、秘密保持義務 A.6.1.5 秘密保持契約



A.8.3.2 資産の返却

A.8.3.3 アクセス権の削除



3-2.1.7. 退職後の秘密情報漏えいを防止するための秘密保持契約 A.6.1.5 秘密保持契約






3-2.1.8. 退職後の従業員に競業避止義務を課す定めの効力 A.8.1.3 雇用条件

3-2.1.9. 退職後の従業員が海外で行う競業行為に対する規制 A.8.1.3 雇用条件

3-2.1.10. 派遣労働者に対する誓約書の要請･教育訓練の実施 A.6.1.5 秘密保持契約


vi


A.8.2.2 情報セキュリティの意識向上、教育及び訓練




労働法、労働者派遣法、従業員のプライバシー保護との関係－事後対

応策

3-3.1.1. 私用メールを行ったことを理由とする解雇・懲戒処分 A.12.5.4 情報の漏えい



3-3.1.2. 情報流出事故が発生した場合の対応（1）－従業員の調査協

力、始末書の徴収、教育訓練の実施



A.8.2.2 情報セキュリティの意識向上、教育及び訓練


3-3.1.3 情報流出事故が発生した場合の対応（2）－従業員に対する

解雇、懲戒処分、損害賠償請求等



3-3.1.4. 競業避止義務違反を理由とする退職金減額･不支給 A.8.1.3 雇用条件






知的財産権法との関係

vii

3-4.1.1. リバースエンジニアリングにおける著作権法上の問題 A.15.1.1 適用法令の識別


3-4.1.2. マルウエアに感染等したソフトウエアの解析に伴う複製 A.15.1.1 適用法令の識別


インシデント発生時の対応、訴訟手続、フォレンジクス等

4-1.1.1. IT 関連の損害賠償等に関する民事訴訟において証拠を保全・

提出

A.10.5.1 情報のバックアップ


4-1.1.2. 民事訴訟における電子データの成立の真正の立証の要否 A.10.5.1 情報のバックアップ


4-1.1.3. 営業秘密の使用の立証方法 A.15.1.1 適用法令の識別

4-1.1.4. 営業秘密漏えいの証拠を確保する方法 A.10.10 監視




4-1.1.5. 民事訴訟において訴訟の当事者から情報の提供を求められる

場合



4-1.1.6. 民事訴訟における営業秘密、プライバシー情報の非公開の可

否



4-1.1.7. 自社に不利な証拠となり得る社内文書の破棄について A.10.5.1 情報のバックアップ


i

付録Ⅱ：業務別 INDEX（仮称）

ここでは、企業の部門・及び業務別に、報告書の関連項目を示した。

(1) 未然防止対策・体制構築編

部門業務関連項目

経営層内部統制 2-1.2.1.会社法上の内部統制と情報セキュリティの関係

2-1.2.2.情報セキュリティの不備と会社役員の責任

2-3.2.1.情報セキュリティと金融商品取引法の内部統制報告制度の関係

個人情報 2-1.3.1.個人情報保護法上の安全管理措置義務と情報セキュリティ

2-1.3.2.安全管理措置義務の対象となる個人情報

間接

部門

法務・総務法制度 2-3.3.4.「個人情報の保護に関する法律についての経済産業分野を対象とするガ

イドライン」の改正点

2-3.3.1.個人情報保護法第 19 条

2-3.3.2.個人情報保護法第 26 条

2-3.6.1.電子署名法

2-4.4.1.電子公告を行うに当たっての情報セキュリティ上の留意事項

個人情報 2-1.3.1.個人情報保護法上の安全管理措置義務と情報セキュリティ


2-2.3.1.プライバシー権の定義

文書管理 2-2.5.1.改正不正競争防止法

2-2-5.2.情報の秘密管理

2-2-5.3.営業秘密の保護要件遵守のために整備すべき内部規定等

2-2.5.4.従業員・委託先が作成に関与した情報の営業秘密としての保護

2-3.6.1.電子署名法

委託先

管理

2-1.3.3.委託先の監督責任

3-2.1.11. 構内で業務する委託先社員（請負契約）からの誓約書の取得

3-2.1.12.委託先従業員に対する情報セキュリティルールの徹底

3-2.1.13.委託先への情報セキュリティ実施状況の調査・監査

財務・会計 2-3.2.1.情報セキュリティと金融商品取引法の内部統制報告制度の関係

人事規定整備 2-2.5.3.営業秘密の保護要件遵守のために整備すべき内部規定等

3-2.1.1.従業員との関係での情報セキュリティ体制の確立

3-2.1.3.私用メール等のモニタリング

3-2.1.4.私用メールを禁止する規程

3-2.1.5.私物 PC の持込禁止及び会社の情報を含む物品の持ち出し禁止

3-2.1.6.退職後の従業員の競業避止義務、秘密保持義務

3-2.1.9.退職後の従業員が海外で行う競業行為に対する規制

従業員

情報管理

2-1.3.1.個人情報保護法上の安全管理措置義務と情報セキュリティ


2-2.3.1.プライバシー権の定義


契約関係 3-2.1.2.企業秘密に関する誓約書の要請

3-2.1.7.退職後の秘密情報漏えいを防止するための秘密保持契約

3-2.1.8.退職後の従業員に競業避止義務を課す定めの効力

3-2.1.10.派遣労働者に対する誓約書の要請･教育訓練の実施

情報

システム

技術的

問題

2-1.4.1.コンピュータウイルスの作成・送付

2-2.4.1.クレジットカード情報の保護強化

2-2.6.1.情報の不正入手(1)

2-2.6.2.情報の不正入手(2)

3-2.1.3.私用メール等のモニタリング

3-2.1.4.私用メール等を禁止する規定

ii

3-2.1.5.私物 PC の持込禁止及び会社の情報を含む物品の持ち出し禁止

その他 2-4.4.1.電子公告を行うに当たっての情報セキュリティ上の留意事項

直接

部門

営業顧客情報

管理

2-1.3.1.個人情報保護法上の安全管理措置義務と情報セキュリティ

2-2.4.1.クレジットカード情報の保護強化

2-1.3.5 消費生活用製品安全法と情報セキュリティの関係

営業情報

管理

2-2.5.1.改正不正競争防止法



事業部門営業情報

管理

2-2.5.1.改正不正競争防止法



3-4.1.1.秘密情報等の流出防止のための監視カメラ設置等の要求

3-4.1.2.秘密性の高い技術情報を委託業務のために開示する際に情報セキュリ

ティ策を要求することの可否

委託先

管理

2-1.3.3.委託先の監督責任

3-2.1.12.委託先従業員に対する情報セキュリティルールの徹底

3-2.1.13.委託先への情報セキュリティ実施状況の調査・監査

IT サービ

ス提供

2-3.6.2.申込みフォームにおける入力ミスと電子消費者契約法(IT サービス事業

部門)

製品・開発 2-2.7.1.他の知的財産権法規定による保護方法

2-2.7.2.技術的な手段の回避

2-2.7.3.不正競争防止法上の技術的管理手段の回避

(2) 事後対策編(インシデント対応編)

業務担当カテゴリ関連項目

経営層役員対応 2-1.2.2.情報セキュリティの不備と会社役員の責任

2-2.2.1.グループ関係会社の個人情報の共同利用における会社間の責任

間接

部門

法務・総務訴訟対応 4-2.1.1.IT 関連の損害賠償等に関する民事訴訟において証拠を保全・提出

4-2.1.2.民事訴訟における電子データの成立の真正の立証の要否

4-2.1.3.営業秘密の使用の立証方法

4-2.1.4.営業秘密漏えいの証拠を確保する方法

4-2.1.5.民事訴訟において訴訟の当事者から情報の提供を求められる場合

4-2.1.6.民事訴訟における営業秘密、プライバシー情報の非公開の可否

4-2.1.7.自社に不利な証拠となり得る社内文書の破棄について

その他 2-1.2.1.会社法上の内部統制と情報セキュリティの関係

2-3.4.2.電子化されたシステムの事故と過失

2-3.5.1.不正電磁記録の作成・行使

2-3.5.2.電子計算機使用詐欺罪における「虚偽の情報」

2-3.5.3.口座残高改ざん－スキミングの手口と対策

2-4.2.1.情報媒体の財産的価値

2-4.3.1.可用性と業務妨害罪

人事従業員へ

の対応

3-3.1.1. 私用メールを行ったことを理由とする解雇・懲戒処分

3-3.1.2. 情報流出事故が発生した場合の対応（１）－従業員の調査協力、始末

書の徴収、教育訓練の実施

3-3.1.3. 情報流出事故が発生した場合の対応～私物 PC の調査～

3-3.1.4. 情報流出事故が発生した場合の対応（２）－従業員に対する解雇、懲

戒処分、損害賠償請求等

3-3.1.5. 従業員による秘密情報漏えいと内部告発

3-3.1.6. 従業員による秘密情報漏えいと公益通報者保護法

3-3.1.7. 競業避止義務違反を理由とする退職金減額･不支給

3-3.1.8. 競業避止契約を行った退職社員の退職後の動向調査

3-3.1.9. 競業避止契約を締結した退職社員の転職先への事実問合せ

3-3.1.10.派遣労働者が情報セキュリティルールに違反した場合の契約解除及び

iii

賠償請求

情報シス

テム

調査 3-3.1.3. 情報流出事故が発生した場合の対応～私物 PC の調査～

訴訟対応 4-2.1.1.IT 関連の損害賠償等に関する民事訴訟において証拠を保全・提出

4-2.1.2.民事訴訟における電子データの成立の真正の立証の要否

4-2.1.3.営業秘密の使用の立証方法

4-2.1.4.営業秘密漏えいの証拠を確保する方法

4-2.1.5.民事訴訟において訴訟の当事者から情報の提供を求められる場合

4-2.1.6.民事訴訟における営業秘密、プライバシー情報の非公開の可否

4-2.1.7.自社に不利な証拠となり得る社内文書の破棄について

その他 2-4.3.1.可用性と業務妨害罪

直接

部門

営業顧客情報

管理


2.2.2.2.安全性に関わる不具合が発見された商品に関するユーザ名簿の収集

事業部門顧客情報

管理


製品不備

への対応

2-3.4.1.情報システムと製造物責任法

2-3.4.2.電子化されたシステムの事故と過失

委託先

管理

3-3.1.11.情報セキュリティを実施していないことを理由にした委託先の取引停

止・解除

3-3.1.12.委託先で情報セキュリティ・インシデントが生じた場合の措置

その他業種依存 2-3.5.3.口座残高改ざん－スキミングの手口と対策

2-3.5.4.支払用カード電磁的記録に関する罪

iv

付録Ⅲ：用語集

ここでは、本報告書内で用いられている専門的な IT用語及び法令用語について解説する。

なお、1箇所のみ用いられている用語については、本文中及び脚注において説明を付記した。

No. 用語説明関連

項目頁

1 CIA情報セキュリティの三要素である機密性(Confidentiality)、完全性

(Integrity)、可用性(Availability)の総称。1, 4

2 DDoS 攻撃

Distributed Denial of Service(分散サービス妨害)攻撃の略称。インタ

ーネットプロトコルの特性を悪用して、複数の攻撃元からネットワークに

接続されたコンピュータに過剰な負荷をかけ、サービスを提供できなくす

るような攻撃。

13 77

3 e-Discovery電子証拠開示。訴訟対応のために電子データを適切に保全し、開示するこ

と。39 29, 166

4 IPA独立行政法人情報処理推進機構(英語名：Information-technology

Promotion Agency)の略称。196, 201

5

TPM：

Technological

Protection

Measures

Technological Protection Measures の略称。「著作権に関する世界知的所

有機関条約(WIPO Copyright Treaty，WCT)」第 11 条において、「著作者に

より許諾されておらず法によっても許容されていない行為をその著作物

について制限する、効果的な技術的手段であって、この条約又はベルヌ条

約に基づく権利の行使に関して著作者が利用するもの」と定義されてい

る。

8

19

20

25

54, 56

6 Winnyインターネットを利用して、不特定多数のユーザ間でファイルを交換でき

るソフトウエアであるファイル交換ソフトの一種。121, 122, 188

7 悪意当該事実について知っていること。(⇔35 善意) 35 8, 9, 23

8アクセスコン

トロール

コンテンツへのアクセスを制限する手段。

(詳細については、本文中 2-2.7.3. 不正競争防止法上の技術的管理手段の

回避（57 頁）参照)

19 54, 55-58

9委員会設置会

社

通常の株式会社では監査役を置いているが、監査役の代わりに「指名委員

会」、「監査委員会」、「報酬委員会」の 3つの委員会を設置している株式会

社を委員会設置会社と呼ぶ。また、委員会設置会社では、経営を監督する

取締役とは別に業務執行を担当する役員が執行役として置かれる。

(会社法第 2条 12 号)

6, 167

10 委託先事業者

(委託先)業務を受託している事業者。(⇔11 委託元事業者) 11

4, 10, 13-16, 19, 20,

22, 26, 29, 40, 42,

48, 110-115, 122,

124, 136, 141-144,

171,172,181,185, 186

11委託元事業者

(委託元)業務を委託している事業者。(⇔10 委託先事業者) 10

13-16, 48, 110-116,

122, 124, 140-144,

171-173, 185

12インカメラ手

続

裁判官室(camera)における非公開の審理手続き。

(民事訴訟法第 223 条第 6項)160, 165

13

インシデント

(コンピュータ

セキュリティ

インシデント)

情報情報システムの運用におけるセキュリティ上の問題として捉えられ

る事象であり、その例として、情報流出、フィッシングサイト、不正侵入、

マルウェア感染、Web 改ざん、DoS(DDoS)攻撃などがある。

2

27, 28, 30, 33, 85,

86, 117, 118, 125,

126, 139, 143, 154,

193-201

14 営業秘密

秘密として管理されている非公知かつ有用な情報

(不正競争防止法第 2条第 6項)

(詳細については、本文中 2-2.5.1. 改正不正競争防止法（40 頁）を参照)

2, 26, 32, 40-48, 50,

52, 53, 102,104-105,

110, 116, 135, 144,

145, 154, 158-160,

v

163, 164, 168-170,

174

15 親事業者

下請代金支払遅延等防止法で定める「親事業者」

(⇔26 下請事業者)

公正取引委員会(下請代金支払遅延等防止法)：

http://www.jftc.go.jp/sitauke/act.html

公正取引委員会(親事業者・下請事業者の定義の概要図)：

http://www.jftc.go.jp/sitauke/gaiyo.html

26 146, 147, 173

16 買いたたき

独占禁止法第 4条第 1項第 5号で定められた親事業者の禁止事項の 1つ。

類似品等の価格又は市価に比べて著しく低い下請代金を不当に定めるこ

と。(独占禁止法第 4条第 1項第 5号)

(下請法運用基準「違反行為事例 5－5」)

147

17 監視カメラ防犯や管理目的で、特定の場所に常設し、映像を表示・記録するための映

像撮影機器。144-147, 160

18 技術情報企業が所有する技術に関する情報。48, 107, 144, 145,

147, 148, 158

19技術的制限

手段

不正競争防止法において定義されているコンテンツの視聴等の行為に制

限を課する手段。アクセスコントロールとコピーコントロールの双方を含

む。(不正競争防止法第 2条 7項)

(詳細については、本文中 2-2.7.2. 技術的な手段の回避（54 頁）及び

2-2.7.3. 不正競争防止法上の技術的管理手段の回避（57 頁）参照)

5

8

25

32, 54, 55-58

20技術的保護

手段

著作権法において定義されている著作権等を侵害する行為の防止又は抑

止をする手段。コピーコントロールのみを含む。(著作権法第 2 条 1 項 20

号)

(詳細については、本文中 2-2.7.2. 参照)

5

2532, 54-56, 58

21 継続的な取引委託者と受託者の間で継続的な取引がある状態。 148, 149

22 公序良俗公の秩序(社会の一般的秩序)又は善良の風俗(社会の一般的道徳観念や社

会通念)。

101, 104, 105, 108,

145, 148, 193

23

公正な競争を

阻害するおそ

れ(公正競争阻

害性)

公正な競争秩序に悪影響を及ぼすおそれのあることを指す。なお、「公正

な競争」とは次のような状態をいう。

① 事業者相互間の自由な競争が妨げられていないこと及び事業者がその

競争に参加することが妨げられていないこと(自由な競争の確保)。

② 自由な競争が価格・品質・サービスを中心としたもの(能率競争)であ

ることにより、自由な競争が秩序づけられていること(競争手段の公正さ

の確保)。

③ 取引主体が取引の諾否及び取引条件について自由かつ自主的に判断す

ることによって取引が行われているという、自由な競争の基盤が保持され

ていること(自由競争基盤の確保)。

独占禁止法研究会報告書(昭和 57 年 7月)：

http://www8.cao.go.jp/chosei/dokkin/kaisaijokyo/mtng_11th/mtng_11

-4.pdf

146, 149, 172

24拘束条件付取

引

「不公正な取引方法」(47 参照)の 1つ。排他条件付取引(「不公正な取引」

一般指定第 11 項)や再販売価格維持行為のほか、相手方とその取引の相手

方との取引その他相手方の事業活動を不当に拘束する条件をつけて、当該

相手方と取引すること(一般指定 12 項)。

公正取引委員会(不公正な取引方法一般指定第 12 項)：

http://www.jftc.go.jp/dk/fukousei.html

47172

25コピーコント

ロール

コンテンツの無断複製を技術的に防ぐ手段。

(詳細については、本文中 2-2.7.2. 技術的な手段の回避（54 頁）参照)

5

19

20

54, 56-58

26 下請事業者

下請代金支払遅延等防止法で定める「下請事業者」(⇔15 親事業者)

公正取引委員会(下請代金支払遅延等防止法)：

http://www.jftc.go.jp/sitauke/act.html

公正取引委員会(親事業者・下請事業者の定義の概要図)：

http://www.jftc.go.jp/sitauke/gaiyo.html

15 144, 146, 147, 173

vi

27 下請代金

親事業者が製造委託等をした場合に下請事業者の給付(役務提供委託をし

た場合にあっては、役務の提供。)に対し支払うべき代金。

(下請代金支払遅延等防止法第 2条 10 項)

147, 173

28 事務管理法律上の義務がない者が、他人のために事務の管理(処理)を行うこと。

(民法 697 条)168, 170

29 使用者責任

ある事業のために他人(被用者)を使用する者(使用者)が、被用者がその事

業の執行について第三者に加えた損害を賠償する責任。ただし、使用者が

被用者の選任及びその事業の監督について相当の注意をしたとき、又は相

当の注意をしても損害が生ずべきであったときは、免責される。

(民法 715 条 1 項)

140, 191

30情報セキュリ

ティ対策

情報セキュリティを確保するために必要となる物理的対策・管理策などの

措置。

9, 10, 61, 116, 144,

145, 147, 148, 150,

151, 195

31 情報漏えい

企業(組織)等が、社会通念上、あるいは企業(組織)自体の要求により機密

にすべき情報について、それが、第三者が知りうる状態になっているとい

う場合の概念であり、企業(組織)等が、過失によって、安全管理手段を施

すのを怠った場合を含む。

4, 11, 14, 16, 28, 30,

99, 100, 102,

116-119, 123, 126,

127, 130, 132, 145,

154, 159, 160, 168,

169, 197

32 信義則

「信義誠実の原則」の略称。権利の行使や義務の履行は当事者間の審議に

従い、誠実に行わなければならないという法原則。

(民法第 1条 2項、民事訴訟法 2条)

89, 123, 140, 169,

180

33 スキミングクレジットカードのデータを不正に読み取り、偽造クレジットカードなど

を作成し、不正利用する犯罪行為。60, 69, 70

34スタンドアロ

ーンコンピュータを他の端末やネットワークに接続しない状態。 50, 51

35 善意当該事実について知らないこと。(⇔7悪意) 7 79, 80

36 善管注意義務受任者が善良な管理者の注意を持って、委任事務を処理する義務。

6, 8, 14, 144, 148,

167, 168, 170, 183,

184

37 大会社

以下のいずれかに該当する株式会社。

①資本金として計上した額が 5億円以上

②負債の額の合計額が 200 億円以上

(会社法第 2条第 6号)

6, 80, 167

38単独の取引拒

絶

不当に事業者が単独で特定の事業者との取引を拒絶したり，第三者に特定

の事業者との取引を拒絶させる行為。「不公正な取引方法」(47 参照)の一

般指定第 2項の「その他の取引拒絶」に該当する。

公正取引委員会(不公正な取引方法一般指定第 2項)：


47 148

39

ディスカバリ

ー

( 証拠開示手

続)

民事訴訟対応において、当事者が、証拠を保全し開示すること。 3 29, 166

40

デューディリ

ジェンス(デュ

ーディリ)

M&A や投資において事前に相手方や対象の価値に関する調査を行うこと。 16, 19

41当事者尋問等

の公開停止

例外的に非公開審理の可能性を認め、裁判の公開と秘密保護とを両立させ

る方策。

(特許法 107 条の 7，不正競争防止法第 13 条など)

(詳細については、本文中 4-2.1.6. (2)4)当事者尋問の公開停止（163 頁）

を参照)

40, 163-165

42 秘密情報事前又は事後に、開示者が適宜の方法で秘密である旨を表示した情報。

26, 40, 42, 43,

44-48, 53, 89,

91, 98, 99, 103-105,

108-111, 116,

vii

126-128, 130,

132, 133, 144-148,

150, 160,168,

171-173, 179, 181,

43 秘密保持命令

営業秘密の保有者が相手方の一定範囲の者に自己の営業秘密を開示する

代わりに，営業秘密を開示された者ができる営業秘密の使用，開示範囲を

一定範囲に限定させる制度。

(特許法 105 条の 4、不正競争防止法第 10 条など)

(詳細については、本文中 4-2.1.6. (2)-4)秘密保持命令（163 頁）を参照)

14 40, 159, 163, 164

44 費用負担費用を負担すること。81, 144, 145, 147,

148, 150

45 フィッシング

市民の個人情報を所有している組織名を不正に名乗り、受取人に安心感を

抱かせる事で、氏名、住所、生年月日、口座番号、クレジットカード番号

などの個人情報を騙し盗ろうとする行為。電子メールの差出人を偽るフィ

ッシングメールや、情報を入力させるための偽のウェブサイトであるフィ

ッシングサイトへの誘導などの手口がある。

194-197

46

フォレンジッ

ク(デジタルフ

ォレンジック、

コンピュータ

フォレンジッ

ク)

インシデントレスポンスや法的紛争・訴訟に対し、電磁的記録の証拠保全

及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての

分析・情報収集等を行う一連の科学的調査手法・技術。

154, 156, 160

47不公正な取引

方法

独占禁止法第 2条第 9項各号のいずれかに該当する行為であって、公正な

競争を阻害するおそれがあるもののうち、公正取引委員会が指定するも

の。すべての事業者について適用される「一般指定」と、特定の事業分野

にだけ適用される「特殊指定」とがある。一般指定では、以下の 16 の行

為類型が不公正な取引方法として公正取引委員会告示で指定されている。

①共同の取引拒絶、②その他の取引拒絶(63 番参照)、③差別対価、④取引

条件等の差別取扱い、⑤事業者団体における差別取扱い等、⑥不当廉売、

⑦不当高価購入、⑧ぎまん的顧客誘引、⑨不当な利益による顧客誘引、⑩

抱き合わせ販売等、⑪排他条件付取引、⑫拘束条件付取引(55 番参照)、⑬

優越的地位の濫用、⑭競争者に対する取引妨害、⑮競争会社に対する内部

干渉

(独占禁止法第 2条第 9項)

公正取引委員会(不公正な取引方法)：


24

38148, 172

48 文書提出命令

当事者又は当事者以外の者が所持する文書を証拠とするために、文書の所

持者に対して、裁判所がその提出を命ずるよう申し立てること。

(民事訴訟法 220 条)

159, 161, 163-165

49 マルウエアウィルスやスパイウエアなど悪意のあるプログラムの総称。 152

50 優越的地位

当該納入業者にとって当該小売業者との取引の継続が困難になることが

事業経営上大きな支障をきたすため、当該小売業者の要請が自己にとって

著しく不利益なものであっても、これを受け入れざるを得ないような場

合。

(詳細については、本文中 3-4.1.2. (2)-3)優越的地位とは？（148 頁）を

参照)

14, 15, 145, 149

51リバースエン

ジニアリング

ソフトウエアやハードウエアなどを分解、あるいは解析し、その仕組みや

仕様、目的、構成部品、要素技術などを明らかにすること。150-152, 201

i

情報セキュリティ関連法律上の要求事項検討 WG 委員名簿

委員就任中の最新後所属 H19 年度 H20 年度 H21 年度 H22 年度

(主査)

岡村久道弁護士、英知法律事務所○ ○ ○ ○

(副主査)

鈴木満桐蔭横浜大学法科大学院教授○ ○ ○ ○

(委員,50音順)

安藤広人弁護士、英知法律事務所○

上野達弘立教大学法学部准教授、国際ビジネス法学

科長○

大崎唯一パナソニック株式会社情報セキュリティ本

部参事○ ○ ○

大水眞己富士通株式会社法務本部ビジネス法務部 ○

岡本守弘富士通株式会社法務本部ビジネス法務部

担当課長○ ○

川田琢之筑波大学大学院ビジネス科学研究科准教

授○ ○ ○

小塚荘一郎学習院大学法学部教授 ○ ○ ○ ○

坂上直樹元パナソニック株式会社法務本部法務企画

グループ調査・渉外担当参事○

新保史生慶應義塾大学総合政策学部准教授兼政策・

メディア研究科委員○ ○ ○ ○

佐藤力哉弁護士、TMI 総合法律事務所 ○

鈴木正朝新潟大学大学院実務法学研究科教授 ○ ○ ○ ○

砂押以久子立教大学兼任講師 ○ ○ ○ ○

園田寿甲南大学法科大学院教授 ○ ○ ○ ○

田中亘東京大学社会科学研究所准教授 ○ ○ ○ ○

波田野晴朗弁護士、TMI 総合法律事務所 ○ ○ ○

早貸淳子情報セキュリティ大学院大学セキュアシス

テム研究所客員研究員○ ○ ○ ○

平嶋竜太筑波大学大学院ビジネス科学研究科准教授 ○ ○ ○

町村泰貴北海道大学大学院法学研究科教授 ○ ○ ○ ○

松沢栄一富士通株式会社法務本部ビジネス法務部シ

ニアディレクタ○

丸山満彦公認会計士、デロイトトーマツリスクサー

ビス株式会社取締役○ ○ ○ ○

宮川美津子弁護士、TMI 総合法律事務所 ○ ○ ○ ○

森亮二弁護士、英知法律事務所 ○ ○ ○

山口厚東京大学大学院法学政治学研究科教授 ○

(オブザーバ)

経済産業省商務情報政策局情報セキュリティ政策室

独立行政法人情報処理推進機構（IPA）セキュリティセンター

(事務局)

株式会社三菱総合研究所

社団法人商事法務研究会（平成 19年度）

Documents

情報セキュリティ関連法令の要求事項集...iv 第5節知的財産権法との関係 149 3-5.1.1. リバースエンジニアリングにおける著作権法上の問題