【情報セキュリティチーム】内部不正をした従業員等へは何をすればよいですか？

内部不正発覚後に企業が取るべき対応

内部不正が発覚し、調査が終了した後に、企業が内部不正者に対してとる対応には、懲戒処分、警察への被害相談、刑事告訴・告発、損害賠償を請求するための民事訴訟の提起があります。もっとも損害が軽微だった、証拠が集まらなかった、内部不正者の特定が確実でなかった、といったこともあるので、懲戒処分や起訴をしない場合も考えられます。

情報処理推進機構（ＩＰＡ）が、2016年に調査した内部不正に対する情報セキュリテイインシデント実態調査では、内部不正発覚後に内部不正者を懲戒処分しなかったあるいは起訴しなかったという割合が３０％を超えております。

（１）懲戒処分

企業には企業秩序を構築、維持する必要があるため、これを破壊された場合には、企業秩序を回復する必要があり、不祥事を起こした従業員に対する制裁としての懲戒処分を行うことができます。ただし、懲戒処分の権限を濫用することは認められず、懲戒事由の該当性、（客観的に合理的な理由）と処分の相当性（社会通念上の相当性）を満たさねばなりません。

懲戒事由の該当性は、就業規則上、懲戒事由に関する規定があり、内部不正者の行為が懲戒事由に該当している必要があります。処分の相当性は、内部不正行為に応じた相当な処分でなければならず、重すぎてはならないことを意味します。わかりやすい例としましては、特許申請前の重要な営業秘密を競業他社に売却した従業員と、重要な情報が全く保存されてないパソコンを酔っぱらって紛失してしまった従業員を同じ処分にするのは不均衡だといえるでしょう。そのため過去の事例と比較するなどして、より重大性の高い内部不正行為かどうかを検討して処分内容を決定します。

懲戒処分の種類には、けん責、減給、出勤停止、降格、諭旨解雇、懲戒解雇としている企業が多いようですが、法律で決まっているわけではありません。また、懲戒処分をするには、弁解の機会を付与したり、懲戒委員会や懲罰委員会を設けることなどを規定して手続きの相当性を確保するのが望ましいでしょう。

懲戒処分を決定する場合の考慮事情として、内部不正行為によって、生じた結果、従業員の態様、動機、行為前や行為後の事情、過去の処分歴、過去事例との比較などがあります。

（２）民事責任

次に民事責任の追及を検討します。企業は、内部不正者に対して、不法行為あるいは労働契約の債務不履行に基づく損害賠償請求をすることができます。

（３）刑事責任

最後に、刑事責任を追及することが考えられます。内部不正者に対しては、情報の種類によって、個人情報保護法の個人情報データーベース等不正提供罪、不正競争防止法違反などを問える可能性があります。

（４）競合他社への責任追及

内部不正者によって、競合他社に営業秘密が渡されたのであれば、この競業他社に対して、営業秘密情報を使用、あるいは開示をしないように差し止めることを早急に実施する必要があります。

また、不正競争防止法違反は、両罰規定という企業の代表者や従業員などが違反行為をした場合に直接の実行行為者の他に、その企業をも罰する規定があります。競業他社が、営業秘密を保有する企業の従業員の転職を受入れることと引き換えに、この企業の営業秘密情報を持ち出してくるように依頼することで、従業員と一緒に営業秘密も取得することができてしまうため、これを防止する必要があります。

包装機械の自動化及び機械の設計・製作等を営む企業の従業員2名が、競業する企業から、機械の設計図面のファイルデータが保存されたハードデスクを借りて自身のパソコンに複製して取得するなどしたとして、不正競争防止法違反の罪に問われた事件がありました。

横浜地裁はこの従業員2名に対して、それぞれ懲役1年6か月、執行猶予3年、罰金80万円と懲役1年2ヶ月執行猶予3年、罰金60万円、この従業員が所属していた企業に対して

罰金1400万円の刑を言い渡しました。競業他社が組織ぐるみで内部犯行を実行したのであれば、責任追及をするのは当然の権利と言えます。

 

 

 

 

「経営者のための情報セキュリティℚ＆Ａ45」弁護士・元警察庁技官　北條孝佳著　参照　。