2011年1月 7日 (金)

顧問先企業の不正公表と守秘義務

本日(1月6日)付けの日経ニュースによりますと、トヨタ自動車の元顧問弁護士(米国)が、トヨタ・リコール問題に関連して同社が情報を隠ぺいしていたと公表していた件で、米国の裁判所は、元顧問弁護士側に対して、約2億円の賠償命令、および持ち出し資料の返還命令を発した、と報じられております。(なお、裁判官の判断ではなく、裁判所から回付されていた調停事件における調停人の判断のようであります)調停人はトヨタ側の主張を全面的に認容したようでして、おそらく顧問弁護士が合理的な根拠に基づかずに情報隠ぺいの事実を公表したことに対しての判断かと思われます。

今回の事件とは直接関係ないかもしれませんが、たとえば(日本において)顧問弁護士や企業内弁護士など、自己の職務に関して企業の違法行為や不正を発見してしまった場合、当該弁護士は企業内においてどのように対応すべきなのか、つまり守秘義務との関係はどうなるのでしょうか。(弁護士法23条の「守秘義務」は、その職務に関して知った場合を規定しています。弁護士資格を有する社外監査役や社外取締役のケースでも、ひょっとすると社外役員として不正を知ってしまった場合に、それが弁護士としての「職務に関して」と解釈されることもあるかもしれません。)現職の場合も問題となりえますが、顧問契約解消後や企業内弁護士の退職後などにも問題となりそうであります。

まず社内で上司や経営トップに不正を報告し、その是正を求めることは、やってもよいというよりも、やらねばならない弁護士法上の義務だと思われます。これは弁護士服務基本規定51条に(組織内弁護士に対する規程ですが)明記されております。たとえば企業内弁護士が担当する職務について、社内で違法行為の存在を知った場合には、これを上司等に報告し、適切な対応を求めることが義務とされております。顧問弁護士の場合も、その顧問先企業の違法行為を知った場合には、その是正に努めなければならないものとされております。判例上でも、これは弁護士倫理の問題ではなく、法的義務であるとされております(東京地裁昭和62年10月15日判決・判例タイムス658号149頁)。使用人たる地位や顧問契約の存在など、かなり厳しい現実があるかもしれませんが、これは弁護士たる地位にある以上は心得ておかねばならないところです。厳密に考えますと、社員の不正を会社の上司に報告することは、会社自身の顧問弁護士にとってみれば「第三者への報告」にあたるのではないか・・・とも考えられますが、あまりそこまで踏み込んで考えることは不要かと思われます。

さて、次に社内や法律事務取扱のなかで、不正や違法行為を知ってしまった社内弁護士や顧問弁護士は、その不正を是正するために内部告発(公益通報)を行うことも考えられますが、その場合第三者に不正事実に関する情報を提供することは弁護士法23条の「守秘義務」違反にはならないのでしょうか?たとえば会計士さんの場合には、春日電機さんや日本風力開発さんの事例で問題となりましたように、監査法人の守秘義務が解除されるための法の定めが必要であります。このような明確な法の規定が存在しないままに、職務上知りえた不正(不正がおこなわれようとしている状況も含む)について、第三者に情報を提供する行為については刑法134条1項の秘密漏示罪に該当するのではないか、とも思われます。

しかし、弁護士としての職責を考えますと、刑事事件でもないかぎりは、社内の不正を発見した者は、その是正のために必要があると認められる限り、内部告発や公益通報に出ることも違法とはいえないのではないかと思われます。刑法134条1項も「正当な理由」ある場合には犯罪が成立しないことになっておりますし、また弁護士法23条には除外事由こそ明記されていないものの、そういった正当理由ある場合には守秘義務が解除される、ということが「解釈として」読み込まれるべきである、と一般には理解されているからであります(条解弁護士法 171頁)。
もちろん、不正や違法行為の該当性(法律解釈や事実認定など)に問題があれば、今回の米国トヨタ事例のように、むやみに公表することは控えなければなりませんが、たとえば社内調査や内部通報により、違法行為の存在が明らかなケースにおきましては、弁護士資格を有する社員や顧問弁護士にとって、これを知った場合に非常に悩ましいことになるのではないか、と思われます。

1月 7, 2011 企業秘密漏洩のリスクマネジメント | | コメント (3) | トラックバック (0)

2009年1月 7日 (水)

情報処理推進機構(IPA)のクライシス・マネジメント

IPA(独立行政法人 情報処理推進機構)職員の方のPCソフトがウイルスに感染してしまい、16,000件に及ぶファイルが流出してしまったそうであります。第一報では詳細な内容は判明しておりませんでしたが、役員さん方による記者会見により、(当該職員の方が)ファイル交換ソフトを利用して児童わいせつ画像をダウンロードしておられたことが判明したようで、ファイル交換ソフトを入手していた動機は「やっぱりなぁ」と思われた方も多いのではないでしょうか。(詳細を報じるITメディアニュースはこちら)

個人や法人に対して、普段から情報セキュリティの重要性を広報されているIPAさんとしては、なんとも格好の悪い事態であります。顕在化したリスクとしては、「普段からウィニーに注意してください」と言いながら、自分の会社の職員がこんなことになってしまって、だらしがない・・・、といった倫理的な非難を浴びること・・・・・で済むのであれば御の字だと思います。私などはIT素人なものですから、倫理的なことよりも、そもそもここの職員さんがファイル交換ソフトを使うとしても、(どういった立場のお仕事だったかは存じ上げませんが)その「恐ろしさ」を十二分に知っているはずだから、かならず自衛策を講じているはず・・・、にもかかわらず簡単に流出騒ぎを起こしているということは、しょせん、組織的にも、たいした技術は持っていないのでは?と邪推してしまうことが第一印象であります。たとえばIPAのサイトでは、ファイル交換ソフトによる情報流出を防止するための技術的な対策がリリースされておりますが、私からすると、当該職員さんは、こういった対策を当然に講じていたにもかかわらず、PCをウイルス感染させてしまい、さらに感染していることに気付かずに情報を流出させてしまった(しかも流出していることすらわからない)と思います。ということは、推奨されている対策というものが何ら無意味なものではないか?と考えてしまうのであります。(これは全社的リスクだと思います)私のようなITオンチの一般人からこういった「邪推」をされてしまうところにもっとも大きなリスクがあるのではないでしょうか。

IPAとしては、再発防止策として「私物PCでファイル交換ソフトを使用することを禁止する」ということだそうですが、これは倫理的な非難のレベルのリスクには対応可能でありますが、「そもそもなにもわかっていない組織なのでは?」といった技術面での信用毀損のクライシスには対応していないものと思います。むしろ、IPA自らリリースされているような対策を必ず毎日チェックすることを規定化するとか、もう少し今回の職員さんのセキュリティチェックの状況を公表して、組織の技術的な対策が間違っていないことを広報するとか、そのあたりのマネジメントも必要ではないかと思いますが、いかがでしょうか。

1月 7, 2009 企業秘密漏洩のリスクマネジメント | | コメント (9) | トラックバック (0)

2006年2月10日 (金)

企業秘密漏洩のリスクマネジメント(その2)

(10日午前 追記あります)

元モーニング娘。の加護チャンが深夜レストランでの喫煙シーンを撮影され、プロダクションは本人の番組降板を含む謹慎処分を決定し、「管理不行届を猛省している。今後このようなことのないよう、十分管理監督いたします」と発表しました。さて、本人を管理監督する、とはいったいどういったことを今後加護チャンになさるのであろうか?

一昨日、エントリーいたしましたみずほ銀行元課長の企業情報漏洩の件での逮捕を受け、みずほ銀行は同様の文章で今後の内部管理体制の強化を誓約しております。コメントをいただいたケロタさんのおっしゃるとおり、この方は前職(つまり犯行時)こそ営業店に勤務されていたものの、現在の職務が本店の内部監査室(組織図によりますと)調査役(ひょっとすると、本当に機密漏洩などを監視する部署かもしれません)、ということでありまして、みずほ銀行においては、そのショックは計り知れないものではないでしょうか。みずほ銀行の内部管理体制への取り組みなどを読んでおりましても、おそらく金融機関としての日本で最も高い水準にある内部監査体制を保持しているものと思われますし、そういった体制をもってしても、営業店舗における顧客との癒着、犯罪への加担、コンプライアンス体制への意識の希薄化といったものは回避できないところがあることを物語っているようです。そういったことを考えますと、さきほどの加護チャンと同様、これ以上に内部管理体制を強化するって、いったいどういうことをされるのか、具体的に教えていただきたいところであります。

ろじゃあさんがコメントくださったように、どうもきょうあたりの報道によると、行内にいても、先が知れてるということで、このフロント企業の代表者といっしょに事業を始めたかったようでして、行内における人間関係あたりが、内部管理体制などとは別次元で犯行の動機になっていた可能性もあるようです。(あくまでも報道内容が真実ならば・・・ということですが)ただ、それであってもいきなり顧客1200名分の情報を700枚のコピー用紙にプリントアウトして、社外に持ち出すという行動は、かなり異常と思われますが、どうなんでしょうか。金融機関の営業店舗であれば、誰でもこういった情報はアクセス可能であり、また紙ベースもしくは電磁的方法による複製作業といったものが日常茶飯に行われているとしたら、もはや対処の方法もなく、たまたまフライデーされた加護チャンの喫煙のように、見つかったのは運が悪かっただけで、どこでも流出している、といった状況になってしまってるんじゃないでしょうか。よくよく自分の仕事を振り返ってみますと、コンプライアンス委員会の委員などの提案でも、こういった事態が発生して、「さらなる内部管理体制の向上策」の考案といったものは、実は経営陣の監視義務違反にならないような方策、つまり「後ろ向きのコンプライアンス」であって、本当に会社のレピュテーションを低下させないことを目標とした「前向きのコンプライアンス」を目指しているのか、自信がなくなるときがあります。

そういった面においては、胡桃さんがコメントでご紹介いただいているような、先進技術を利用した犯罪抑止効果のある機械に頼りたくなる気持もわかります。また、アクセスに際しての情報共有化を進めて、コピーはかならず複数人によって行うような業務執行体制をとることなども検討されるところです。しかしながら、こういった運動を行内で進めるとなると、本当に社内における行員のストレス悪化につながる危険性もあるんでしょうね。一昨日のエントリーでは、私は行員の「犯罪発覚の容易性に関する認識」が抑止効果を持つのではないか、とも述べましたが、実は今回の件では、どうもフロント企業の役員ということは知らなかったようでして、純粋に企業情報を持ち出して、今後の事業に役立てようと考えていたようです。競争相手への企業情報の譲渡につきましても、業務上横領だけでなく、不正競争防止法の改正などによりまして、ずいぶんと罰則が強化されておりますので、その目的如何にかかわりなく、情報漏洩に対しては企業がキビシイ態度で臨むことを行員に周知徹底する以外には防ぎきれないのではないでしょうか。(そういった意味では、fujiさんがコメントされているように、厳罰化によって防止しなければいけない部分もあるかもしれませんね)あとは高額の予算導入による営業店舗のシステム変更以外にはありえないように思えます。こういった犯行をやろうと思えばできるけれども、おそらくすぐに発覚するであろうから、やっぱりやらない、と思えるようなシステム、そういったものが各企業の業務プロセスを見直すなかで、ひらめくかどうか、情報保護の安定性そのものが商売道具である金融機関にとっての大きな課題だと思います。

(2月10日午前 追記)

朝日新聞ニュースとして、秘密漏洩罪の罰則強化に関する個人情報保護法改正案原案が作成された旨の報道がありました。今国会に提出されるかどうかは、今後慎重に判断する、とのことです。この罰則強化の流れというのは、私の上記意見と同じ趣旨かと思われますが、今朝、コンプライアンスプロフェッショナルさんより、詳細なコメントを頂戴しておりますので、対応策のひとつとして検討してみたいと思います。相手が「フロント企業」ということですと、コンプライアンスプロフェッショナルさんのように、いくつかの対応パターンもあるかもしれません。企業としましては、社員個々の不祥事といったものは「常にありうる」と認識したうえで、リスクを最低限度に抑える手法も検討すべきでしょう。ただ、私も経験がありますが、各企業で発生しうる不祥事リスクを洗い出せと指示しても、簡単に洗い出して、対応策を創造するのはムズカシイです。どうしても日々の業務に追われて、後回しになってしまいがちです。担当者が頑張ろうしても、現場がなかなか協力してくれないこともあります。こういったところにも、企業トップもしくは担当取締役の熱意の有無が影響する、というのが実感ですね。

2月 10, 2006 企業秘密漏洩のリスクマネジメント | | コメント (5) | トラックバック (0)

2006年2月 8日 (水)

企業秘密漏洩のリスクマネジメント

銀行では起こりえないであろう、と言われていた「行員による裏組織への顧客情報漏洩」が実際に起こってしまったようです。みずほ銀行元課長(51歳)による顧客情報漏洩

昨年2月から3月にかけて、ということですから個人情報保護法施行前の事件ですが、どうしてこのようなことが起こったのか。昨日逮捕された宝塚市長の贈収賄事件と同じく、親しくしていた友人が別件で逮捕されたことをきっかけに問題が発覚した、ということですから、組織の内部管理体制といったものは機能しえなかった、というほかはありません。内部統制システム構築、といいましても、こういった事件の発生を食い止める有効な手段というものはすぐには思いつきません。しかしながら、今後みずほ銀行に及ぶ顧客への対応(クライシスマネジメント)や金融庁による業務改善命令による営業損失などを考えますと、明確な改善方法を検討する必要性もありそうです。

通常、営業秘密漏洩リスクといったものは、漏洩防止規定の策定→「秘密」認識の全社的共有→秘密取扱部署、統括者の特定→秘密認定、保管手順の遵守→物理的セキュリティの確保→運用のモニタリングといったPDCAサイクルを用いるところが多いと思います。

そこで、このみずほ銀行のケースで考えてみますと、秘密(顧客の取引履歴や個人情報)へのアクセス権者であったかどうかがまず問題になりそうです。「本店調査役」だった容疑者の肩書きが、いわゆる内部調査担当だったものかどうかは不明ですが、本来顧客情報にアクセスできる立場であったとすれば、なんら防止策としては機能しえなかったことになります。つぎに、物理的セキュリティにつきましても、持ち出された企業秘密が暗号化されている場合には、容易に譲渡することができないことになりますが、果たしてこのケースではどういったセキュリティが施されていたかは不明であります。ただ、一方におきまして、業務の効率性や予算を考えますと、ただ厳重にすればいい、という問題でもありません。

企業による防衛策といった面とは別に、やはりアクセス権者による漏洩の危険も考えた場合、社員ひとりひとりが「漏洩発覚の可能性とペナルティの厳格化」について認識していただくような啓蒙活動も必要になってくるのではないでしょうか。たとえば、仕事上、プライベート上の付き合いのある友人知人からの頼みごとであっても、今回のように事件が発覚する可能性はあるわけでして、また発覚した際のペナルティが割に合わないものであることまで、十分認識してもらうしか方法がないように思います。社内とは異なり、社外の知人と共謀したうえでの犯行といったものは、内部通報制度によってもなかなか発覚しにくいところが、マネジメントの難しいところです。

2月 8, 2006 企業秘密漏洩のリスクマネジメント | | コメント (7) | トラックバック (0)