個人情報保護・情報漏洩

社員が勤務先の社内情報を不正に取り出し、外部に漏らしていました。このような場合に会社側が採るべき対策について相談したいです。 （背景）Cさんは、大手企業の人事部に所属する社員で、セキュリティを厳重に管理する社内システムから、勤務先の社内情報が不正に取り出され、外部に漏らされていたことが判明したとの連絡を受けました。漏れた情報には、人事情報や個人情報が含まれています。

まず、不正に取り出された社内情報は個人情報保護法に抵触している可能性があります。個人情報保護法は、個人情報を適切に取り扱うための法律であり、個人情報を取り扱う事業者に対し、適切な情報保護措置の実施や情報取り扱いに関するルールを定めています。



この法律に基づいて、会社が取るべき対策は以下のようになります。



まず、会社は、不正に取り出された情報が具体的にどのようなものかを確認し、被害の範囲を評価する必要があります。具体的には、何人分の個人情報が含まれているか、外部に漏れた情報によって、どのような被害が発生しているかを調査することが重要です。



また、外部に漏れた情報の回収や再発防止策を検討する必要があります。具体的には、社内システムのセキュリティ強化や社員の教育・啓発、そして適切な情報漏洩防止策の実施が必要となります。さらに、漏えいした情報の回収についても検討が必要です。例えば、情報漏洩の被害者に対して、事前に通知し、個人情報の削除を依頼することが必要になるでしょう。



また、不正行為を犯した社員に対する処分についても検討が必要です。具体的には、労働法に基づいて、個別の事情に応じた処分を検討することが必要です。労働法では、不正行為が解雇事由となる場合もありますが、解雇にあたっては、相当性や公正性の確保が必要です。また、不正行為が疑われる場合でも、懲戒処分をする前に、まず聴聞会を行うことが望ましいです。



さらに、不正行為を防止するために、社員の育成や啓蒙も必要です。不正な行為を行う社員がいない、コンプライアンス意識の高い組織を構築するために、社員に対する適切な教育・啓発を行うことが重要です。具体的には、個人情報保護法の基礎知識や、不正行為が招くリスクや影響についての啓発を行うことが望ましいでしょう。



最後に、不正行為によって生じた被害について、被害者に対する損害賠償などについても検討が必要です。例えば、漏えいした情報によって、個人情報が不正に利用され、被害者に損害が発生した場合、会社が賠償責任を負うことがあります。こうした損害賠償については、労働契約などに基づいて明確なルールを定め、適切に処理することが重要です。



以上が、会社が不正行為に対して取るべき対策についてです。こうした対策を実施することによって、会社は、不正行為に対する厳しい姿勢を示し、社員の育成や啓蒙を通じて、コンプライアンス意識が高い組織を構築することができるでしょう。