情報セキュリティ関連法令の要求事項集

平成 21 年６月

経済産業省

- i -

【 目 次 】第 1 章 情報セキュリティと法令....................................................................................1 第 1節 情報セキュリティの意義 ......................................................................................... 1 第 2節 情報セキュリティと法制度との関係........................................................................ 2

第 2 章 機密性・完全性・可用性（CIA）と法的保護.................................................4 第 1節 機密性、完全性、可用性（CIA）のすべてに関するもの.......................................... 4

1. はじめに......................................................................................................................... 4 2. 管理責任類型－その 1：会社法関係............................................................................... 5 2-1.2.1. 会社法上の内部統制と情報セキュリティの関係 ........................ 5

2-1.2.2. 情報セキュリティの不備と会社役員の責任............................ 7

3. 管理責任類型－その 2：個人情報保護法関係 ................................................................. 9 2-1.3.1. 個人情報保護法上の安全管理措置義務と情報セキュリティの関係 .......... 9

2-1.3.2. 委託先の監督責任...............................................11

2-1.3.3. 安全管理措置義務の対象となる個人情報 .............................14

4. 加害行為規制類型......................................................................................................... 17 2-1.4.1. コンピュータウイルスの作成・送付.................................17

第 2節 機密性（C）に関するもの..................................................................................... 19 1. はじめに....................................................................................................................... 19 2. 営業秘密....................................................................................................................... 20 2-2.2.1. 情報の秘密管理 ................................................20

2-2.2.2. 営業秘密の保護要件遵守のために整備すべき内部規定等 .................22

2-2.2.3. 従業員・委託先が作成に関与した情報の営業秘密としての保護 ............25

3. 刑事法.......................................................................................................................... 26 2-2.3.1. 情報の不正入手 (1).............................................26

2-2.3.2. 情報の不正入手 (2).............................................29

4. その他.......................................................................................................................... 30 2-2.4.1. 他の知的財産権法規定による保護方法 ...............................30

2-2.4.2. 技術的な手段の回避.............................................32

第 3節 完全性（Ｉ） に関するもの.................................................................................. 34 1. はじめに....................................................................................................................... 34 2. 金融商品取引法の内部統制........................................................................................... 36 2-3.2.1. 情報セキュリティと金融商品取引法の内部統制報告制度の関係 ............36

3. 刑事法.......................................................................................................................... 37 2-3.3.1. 電子計算機使用詐欺罪における「虚偽の情報」 ........................37

2-3.3.2. 口座残高改ざん－スキミングの手口と対策............................38

- ii -

4. 完全性を補完する制度.................................................................................................. 41 2-3.4.1. 電子署名法....................................................41

第 4節 可用性（A）に関するもの .................................................................................... 42 1. はじめに....................................................................................................................... 42 2. 民事責任....................................................................................................................... 42 2-4.2.1. 情報媒体の財産的価値 ...........................................42

第 3 章 管理策を講じる上での要求事項......................................................................44 第 1節 はじめに................................................................................................................ 44 第 2節 労働法、労働者派遣法、従業員のプライバシー保護との関係－事前防止策 ........... 44

3-2.1.1. 従業員との関係での情報セキュリティ体制の確立 ......................44

3-2.1.2. 企業秘密に関する誓約書の要請 ....................................52

3-2.1.3. 私用メール等のモニタリング......................................54

3-2.1.4. 私用メールを禁止する規程........................................60

3-2.1.5. 私物 PC の持込禁止及び会社の情報を含む物品の持ち出し禁止 ............61

3-2.1.6. 退職後の従業員の競業避止義務、秘密保持義務 ........................62

3-2.1.7. 退職後の秘密情報漏えいを防止するための秘密保持契約 .................68

3-2.1.8. 退職後の従業員に競業避止義務を課す定めの効力 ......................69

3-2.1.9. 退職後の従業員が海外で行う競業行為に対する規制.....................72

3-2.1.10. 派遣労働者に対する誓約書の要請･教育訓練の実施.....................74

第 3節 労働法、労働者派遣法、従業員のプライバシー保護との関係－事後対応策 ........... 75 3-3.1.1. 私用メールを行ったことを理由とする解雇・懲戒処分...................75

3-3.1.2. 情報流出事故が発生した場合の対応（１）－従業員の調査協力、始末書の徴収、

教育訓練の実施 ........................................................78

3-3.1.3. 情報流出事故が発生した場合の対応（２）－従業員に対する解雇、懲戒処分、損

害賠償請求等..........................................................80

3-3.1.4. 競業避止義務違反を理由とする退職金減額･不支給......................82

第 4節 知的財産権法との関係........................................................................................... 84 3-4.1.1. リバースエンジニアリングにおける著作権法上の問題...................84

3-4.1.2. マルウエアに感染等したソフトウエアの解析に伴う複製 .................86

第 4 章 インシデント発生時の対応、訴訟手続、フォレンジック等......................88 4-1.1.1. IT 関連の損害賠償等に関する民事訴訟において証拠を保全・提出 ..........88

4-1.1.2. 民事訴訟における電子データの成立の真正の立証の要否 .................91

4-1.1.3. 営業秘密の使用の立証方法........................................92

4-1.1.4. 営業秘密漏えいの証拠を確保する方法 ...............................93

4-1.1.5. 民事訴訟において訴訟の当事者から情報の提供を求められる場合 ..........95

4-1.1.6. 民事訴訟における営業秘密、プライバシー情報の非公開の可否 ............98

- iii -

4-1.1.7. 自社に不利な証拠となり得る社内文書の破棄について..................100

第 5 章 付録 JIS Q 27001：2006 （附属書 A)との対応関係.......................... i

【 凡例 】

種別 略語 正式名称

公的

刊行物

高民 (刑) 高等裁判所民事 (刑事) 判例集

裁判集民 (刑) 最高裁判所裁判集民事 (刑事) 裁判所の部内資料

知的裁集 (知財集) 知的財産権関係民事・行政裁判例集（法曹会）

無体例集 (無体集) 無体財産権関係民事・行政裁判例集（法曹会）

労裁集 労働関係民事事件裁判集（法曹会）

労民 労働関係民事裁判例集（法曹会）

労刑決 労働関係刑事事件判決集（法曹会）

私的

刊行物

判時 判例時報（判例時報社）

判タ 判例タイムズ（判例タイムズ社）

判自 判例地方自治（ぎょうせい）

労判 労働判例（産業労働調査所）

その他 経済産業分野の個人情報

保護ガイドライン

個人情報の保護に関する法律についての経済産業分野を対

象とするガイドライン（厚生労働省・経済産業省告示第 1

号平成 20 年 2 月 29 日）

基発 厚生労働省労働基準局長から各都道府県労働局長宛の通達

前文

情報技術（IT）の急速な発達と普及に伴い、企業において、IT は必要不可欠なインフラとなっ

ており、円滑な企業活動の遂行のためには適切な情報セキュリティ対策が必要になっている。

また、近年、個人情報保護法や金融商品取引法の施行等に伴い、企業は、法令により要求され

る情報セキュリティ対策の実施に一層注力するようになってきている。企業では、情報セキュリ

ティ対策は IT 担当部署によって推進されることが多いが、IT 担当部署は、こうした法令を遵守

するための担当部署と連携した対応が求められるようになってきている。一方、IT 担当部署が、

情報セキュリティ対策を実施していくにあたり、企業の情報資産の保護等とは別の目的の法令と

の関係も注意する必要がある。例えば、情報セキュリティ対策を従業員が確実に実施することを

保証するための措置を推進しようとするときには、従業員の勤労条件について一定の基準を定め

た労働基準法等を遵守しなければならないことに IT 担当部署は気付かなければならない。適切な

方法をとらない場合には、実効ある情報セキュリティ対策を取り得なくなる可能性もある。法令

を遵守できていない場合には、企業にとっては大きなリスクとなるものであり、こうした課題を

明らかにしてほしいという要請が高まりつつある。「グローバル情報セキュリティ戦略」（平成 18

年 5 月）や「情報セキュリティ基本問題委員会中間とりまとめ～企業における戦略的な情報セキ

ュリティガバナンスの確立に向けて～」（平成 20 年 6 月）においても情報セキュリティ関連法

律上の要求事項の整理の必要性について提言されている。

こうした企業の情報セキュリティに関する法令遵守上の課題を解消し、企業において効率的・

効果的な情報セキュリティ対策・法令遵守を後押しすることを目的に、産業構造審議会情報セキ

ュリティ基本問題委員会で決定された取組方針について具体的な検討を行う情報セキュリティガ

バナンス研究会の下に岡村久道弁護士を座長としたワーキンググループを設置し、平成 19 年11

月より、企業が情報セキュリティ対策を進める上で、有用となるいくつかの法的論点について検

討を行い、それぞれの基本的な考えと解説についてまとめた。もとより、個別具体的な事例にお

いて現行法がどのように適用されるのかはそれぞれの状況を勘案の上、判断されるべきものであ

ることは言うまでもないが、この要求事項集が企業実務上の一つの参考となることにより、効率

的・効果的な情報セキュリティ対策・法令遵守の促進への一助になることを期待している。読み

手としては、企業において実際にセキュリティ対策を行う管理部門と法令対応を行う法務部門を

想定し、現場で広く使って頂けるよう可能な限り平易な表現を心がけた。

なお、本要求事項集は、これまでの検討結果について、より企業から強く求められている論点

を中心にまとめたものであり、今後も継続的に必要な論点の検討を行うことによって、改訂・拡

充等を行っていく予定である。

- 1 -

第1章 情報セキュリティと法令

第1節 情報セキュリティの意義

情 報セキ ュリティ （ Information Security） とは、 一般に「 情報の ①機密 性

（Confidentiality）、②完全性（Integrity）及び③可用性（Availability）の 3 要素を維持

すること」として定義されている1。各々の頭文字を取って「CIA」と略称されることもあ

る。

このような「CIA」の概念を用いた定義は、1992 年の OECD2「情報システムセキュ

リティガイドラインに関する理事会による勧告及び付属文書」によって初めて国際的な公

式舞台に登場し、OECD「暗号政策ガイドラインに関する理事会勧告」（1997 年 3 月採

択）にも採用された。さらに、国際規格 ISO/IEC 27001:2005・同 27002:2005、

これを日本工業規格化した JIS Q 27001: 2006・同 27002:2006 にも、ほぼ同様

の定義が採用されている。したがって、「CIA」の概念による定義は、現在における国際標

準かつ日本国内標準であるということができる。なお、「サイバー犯罪に関する条約」も序

文において「コンピュータシステム、ネットワーク及びコンピュータデータの濫用行為並

びにそれらの機密性、完全性及び可用性に向けられた行為を抑止するために本条約が必要

であることを確信する」として「CIA」の概念に言及している。

機密性とは、アクセスを認められた者だけが情報にアクセスできるようにすることをい

う。したがって、情報の不正流出が、機密性が損なわれた場合の典型例である。

完全性とは、情報及び処理方法が完全かつ確実であることを保護することをいう。した

がって、情報の不正改ざんが、完全性が損なわれた場合の典型例である。

可用性とは、認められた者が必要に応じてアクセス・利用し得ることをいう。したがっ

て、システム障害による利用不能が、可用性が損なわれた場合の典型例である。

「セキュリティ」という言葉は、「安全」「安心」という言葉に邦訳されることが一般的

であるが、以上のとおり、情報セキュリティの場合には、その内容が、より具体的な意味

で用いられているものといえよう。

次に、「CIA」の対象は、OECD の前記各勧告では「情報システム」に限定されており、

紙等の伝統的な物理媒体に載った情報を含まなかった。1992 年の勧告が採択された時期

には、情報システムが世界的に普及時期を迎えて重要な役割を果たすようになっており、

1情報セキュリティの定義については、これらの 3 要素に加えて、否認防止（Non-repudiation）、責任追跡性

（Accountability）、真正性（Authenticity）、信頼性（Reliability）をあげる見解もある（国際規格 ISO/IEC 13335-1:2004など）。2

経済協力開発機構

- 2 -

情報システムヘの依存が高まり始めていたことを背景としている。

これに対し、前記国際規格・国内規格では「情報」全般へと拡張され、文字どおり「情

報セキュリティ」と呼ばれるに至っている。情報システムの普及を契機に、ひとたびセキ

ュリティの重要性が自覚されるに至ると、載せられた媒体が情報システムに関するものか、

それとも伝統的な紙媒体等かという点で、情報としての重要性という点では本質的に変わ

りがないことが改めて認識されるに至ったことを背景とする。

その一方、2002 年の改訂 OECD 情報セキュリティガイドライン、国連総会決議

57/239（2003 年 1 月 31 日採択）3のように、近時は情報システムとともに情報ネッ

トワークの分野にも重点が置かれる傾向にある。

第2節 情報セキュリティと法制度との関係

もともと情報セキュリティは法制度の領域から生成・発展した概念ではない。このよう

な事情もあるため、我が国においても、情報セキュリティを包括的に保護することを目的

とする法律は存在していない。それどころか、現時点では情報セキュリティという言葉を

用いた法律そのものが存在していない。

しかし、高度情報通信ネットワーク社会形成基本法（IT 基本法）は第 2 条・第 22 条に

おいて高度情報通信ネットワークの「安全」「安心」に言及しており、これらは情報ネット

ワークを中心とするセキュリティを意味するものと考えられている。このため、情報セキ

ュリティに関する事実上の基本法としての役割を営むものということができるが、それは

理念を規定するものにとどまり、具体的な権利・義務等を定めるものではない。

これに対し、個々の法規定中には、部分的にではあるが、情報セキュリティを保護する

機能を営むものが存在している。その具体例として、昭和 62 年改正によって刑法に新設

されたコンピュータ犯罪処罰規定をはじめとして、不正競争防止法中の営業秘密の保護に

関する規定、不正アクセス禁止法、個人情報保護法中の個人データ安全管理措置義務に関

する規定などを挙げることができる。

情報を管理する事業者の立場から、これら個々の法規定を見れば、情報を管理する事業

者に対して管理責任を課す類型の規定（例：前記個人情報保護法規定）と情報セキュリテ

ィを侵害する不正行為者に対して法的責任を問う類型の規定（例：前記刑法規定）に大別

することができる。

後者のような不正行為者に対する責任追及が、前者と比べて優先されるべきことは当然

であろう。しかし、情報セキュリティに対するすべての脅威が不正行為に起因するものと

は限らない。不正行為に起因する場合であっても、刑事責任については、一般に故意の場 3 Creation of a global culture of cybersecurity

- 3 -

合に限定されており、単なる過失による場合等は対象外となる。したがって、すべての不

正行為が現行法上処罰の対象となるとは限らない。また、民事責任についても、従業員が

個人情報を大量漏えいしたような場合には、漏えい被害者との関係では、むしろ事業者は

加害者側として被害者等から責任を追及されるべき立場に立つ。そのため、情報を管理す

る事業者にとって、進んで情報セキュリティ管理策を講じるべき必要性が増加している。

特に、前者の類型に該当する場合には、これを事業者が遵守しなければ違法となる場合が

あることに注意すべきである。

さらに、このようにして事業者が管理策を講じる際にも、遵守すべき法令上の要求事項

が存在している。これに関連するものとして労働契約法等がある。また、訴訟手続、フォ

レンジックに関しても、法令との関係に留意する必要がある。

- 4 -

第2章 機密性・完全性・可用性（CIA）と法的保護

第1節 機密性、完全性、可用性（CIA）のすべてに関するもの

1. はじめに

ここでは、CIA の 3 要素のいずれにも関連する法令について論じる。これらの法令の中

には情報を管理する事業者に管理責任を課す類型のものと不正行為者に法的責任を問う類

型のものがある。

まず、管理責任を課す類型についてであるが、会社法上の内部統制システムの基本方針

決定義務（会社法第 348 条第 3 項第 4 号、第 362 条第 4 項、第 416 条第 1 項第 1 号

ホ）の一内容として情報セキュリティへの対応が求められることになる（2-1.2.1. ）。情

報セキュリティへの対応が不十分なため情報漏えいが起きたような場合には、会社の役員

に責任が生じることがある（2-1.2.2. ）。

また、金融商品取引法においても財務報告に係る内部統制報告書の作成、監査が求めら

れており（金融商品取引法第 24 条の 4 の 4、第 193 条の 2）、この前提として情報セキ

ュリティへの対応が求められることとなる4。さらに、行政法の分野では個人情報保護法上

の安全管理措置（個人情報保護法第 20 条、第 21 条、第 22 条）として情報セキュリテ

ィへの対応が求められることになる5（2-1.3.1. ）。同法の安全管理措置においては個人

情報の委託先に対する管理も行う必要がある旨定められている（2-1.3.2. ）。

次に、加害行為を規制する法令であるが、民法上は、不法行為責任・契約責任に基づき、

損害賠償・差止めを求め得ることとなる。一方、刑事法上は、まずは伝統的な刑法規定を

適用して保護を図ることになる。例えば、物理的な情報システムやそれを管理する者に対

して攻撃が加えられる場合には器物損壊罪や業務妨害罪の適用が検討されよう。

次に、これら伝統的な処罰規定で対応できない事態が増加したことに即して、いわゆる

コンピュータ犯罪に対応する構成要件が新設されている（電磁的記録不正作出・同供用罪

（刑法第 161 条の 2）、電子計算機損壊等業務妨害罪（同第 234 条）、電子計算機使用詐

欺罪（同第 246 条の 2）など）。さらに、コンピュータウイルスによって企業活動が妨害

された場合には、企業側は一定の措置をとり得る（2-1.4.1. ）。

4金融商品取引法の内部統制は専ら完全性に関連するものであるから、完全性のところで論じることとする。

5個人情報保護法は、個人情報の流出のほかに、滅失、毀損についても対象としており、CIA のいずれにも関係するこ

ととなる。

- 5 -

2. 管理責任類型－その 1：会社法関係

2-1.2.1. 会社法上の内部統制と情報セキュリティの関係

内部統制と情報セキュリティの関係はどのようなものか。

(1) 考え方

会社における情報セキュリティに関する体制は、その会社の内部統制の一部といえる。

取締役の内部統制構築義務には、適切な情報セキュリティを講じる義務が含まれ得る。

具体的にいかなる体制を構築すべきかは、一義的に定まるものではなく、各会社が営む

事業の規模や特性等に応じて、その必要性、効果、実施のためのコスト等様々な事情を勘

案の上、各会社において決定されるべきである。また、取締役会は、情報セキュリティ体

制の細目までを決める必要はなく、その基本方針を決定するだけでもよい。

(2) 説明

1) 内部統制の概念と情報セキュリティ

後掲の各裁判例によれば、内部統制とは「会社が営む事業の規模、特性等に応じたリス

ク管理体制」と定義される。取締役には、会社に対する善管注意義務（会社法第 330 条、

民法第 644 条）に基づいて、このような内部統制に関する基本方針を取締役会で決定し、

決定した基本方針に従った内部統制を構築する義務がある。この「リスク」の中には、情

報セキュリティに関するリスクが含まれ得るため、リスク管理体制の構築には、情報セキ

ュリティを確保する体制の構築が含まれ得る。情報セキュリティを確保する体制は、内部

統制に含まれ得るといえる。

2) 会社法の内部統制

会社法は、大会社と委員会設置会社について、内部統制システムの構築の基本方針を取

締役会で決定すべきことを明文の義務としている（会社法第 348 条第 3 項第 4 号、第

362 条第 4 項第 6 号、第 416 条第 1 項第 1 号ホ）。これらの規定は、善管注意義務か

ら要求される内部統制システム構築の基本方針決定義務を念のために明文にしたものであ

る。決定すべき内部統制は、類型に分けて列挙されている。その中には、①法令等遵守体

制、②損失危険管理体制、③情報保存管理体制、④効率性確保体制、⑤企業集団内部統制

が含まれる（前記引用の会社法各条及び会社法施行規則第 98 条第 1 項、第 2 項、第 100

条第 1 項、第 112 条第 1 項、第 2 項）。情報セキュリティに関するリスクが、会社に重

大な損失をもたらす危険のある場合には、②の損失危険管理体制（損失の危険の管理に関

- 6 -

する規程その他の体制をいう）に含まれる。

また、情報の保存と管理に関するセキュリティは③の情報保存管理体制（取締役の職務

の執行に係る情報の保存及び管理に関する体制をいう）の問題ともなり得るほか、法令が

情報の安全管理を要求しているような場合には、①の法令等遵守体制（取締役及び使用人

の職務の執行が法令及び定款に適合することを確保するための体制をいう）の問題にもな

ることがある。

3) 取締役会が決定すべき事項

会社法は、「業務の適正を確保するための体制の整備」について取締役会が決すべきもの

としているが、当該体制の具体的な在り方は、一義的に定まるものではなく、各会社が営

む事業の規模や特性等に応じて、その必要性、効果、実施のためのコスト等様々な事情を

勘案の上、各会社において決定されるべき事項である。

また、取締役会が決めるのは「目標の設定、目標達成のために必要な内部組織及び権限、

内部組織間の連絡方法、是正すべき事実が生じた場合の是正方法等に関する重要な事項（要

綱・大綱）6」でよいと解されている。

情報セキュリティに関していえば、「情報セキュリティ規程」「個人情報保護規程」等の

規定の整備や、情報セキュリティを含めたリスク管理を担当する部署の構築等が考えられ

る7。

4) 金融商品取引法の内部統制

金融商品取引法は、上場会社等について、財務報告に係る内部統制の有効性の評価に関

する報告書（内部統制報告書）の作成及び開示を義務付けている。（詳細については、

2-3.2.1 を参照）

(3) 関連法令（政省令・基準）

会社法第 348 条第 3 項第 4 号・第 4 項、第 362 条第 4 項第 6 号・第 5 項、第 416

条第 1 項第 1 号ホ

会社法施行規則第 98 条第 1 項・第 2 項、第 100 条第 1 項、第 112 条第 1 項・第 2

項

金融商品取引法第 24 条の 4 の 4、第 25 条第 1 項第 6 号、第 193 条の 2 第 2 項

6相澤哲ほか『論点解説新・会社法』335 頁

7事業報告での開示例として、資料版商事法務 284 号 153-162 頁

- 7 -

(4) 裁判例

内部統制システムの整備義務に関して、

大阪地裁平成 12 年 9 月 20 日判決・判時 1721 号 3 頁・判タ 1047 号 86 頁

金沢地裁平成 15 年 10 月 6 日判決・判時 1898 号 145 頁・労判 867 号 61 頁

名古屋高裁金沢支部平成 17 年 5 月 18 日判決・判時 1898 号 130 頁・労判 905 号

52 頁

東京地裁平成 16 年 12 月 16 日判決・判時 1888 号 3 頁・判タ 1174 号 150 頁

東京高裁平成 20 年 5 月 21 日判決・資料版商事法務 291 号 116 頁

大阪地裁平成 16 年 12 月 22 日判決・判時 1892 号 108 頁・判タ 1172 号 271 頁

大阪高裁平成 18 年 6 月 9 日判決・判時 1979 号 115 頁・判タ 1214 号 115 頁

2-1.2.2. 情報セキュリティの不備と会社役員の責任

情報セキュリティに関する体制が不備であるため、情報の漏えい、改ざん又は滅失（消失）

若しくは毀損（破壊）によって会社又は第三者に損害が生じた場合、会社の役員（取締役・

監査役等）は、どのような責任を問われ得るか。

(1) 考え方

取締役会が決定した情報セキュリティ体制が、当該会社の規模や業務内容にかんがみて

適切でなかったため、情報の漏えい等により会社に損害が生じた場合、体制の決定に関与

した取締役は、会社に対して、任務懈怠（けたい）に基づく損害賠償責任（会社法第 423

条第 1 項）を問われ得る。また、決定された情報セキュリティ体制自体は適切なものであ

ったとしても、その体制が実際には定められたとおりに運用されておらず、取締役（・監

査役）がそれを知り、又は注意すれば知ることができたにも関わらず、長期間放置してい

るような場合も同様である8。

個人情報の漏えい等によって第三者が損害を被ったような場合、取締役・監査役に任務

懈怠につき悪意・重過失があるときは、第三者に対しても損害賠償責任を負う。

(2) 説明

前述のように、取締役は、内部統制システムの構築義務の一環として、情報セキュリテ

ィ体制を構築する義務を負うと解される。

8相澤哲ほか『論点解説新・会社法』335 頁

- 8 -

取締役会で決議された内部統制システムが、当該会社の規模や業務内容に鑑みて、株式

会社の業務の適正を確保するために不十分であった場合には、その体制の決定に関与した

取締役は、善管注意義務（会社法第 330 条・民法第 644 条）違反に基づく任務懈怠（け

たい）責任（会社法第 423 条 1 項）を問われ得る9。

また、内部統制システムは適切なものであったが、その内部統制システムが実際には遵

守されておらず、取締役（・監査役）がそれを知り、又は注意すれば知ることができたに

も関わらず、それを長期間放置しているような場合にも、善管注意義務違反に基づく任務

懈怠責任を問われ得る10。情報セキュリティ体制の構築又はその運用に欠陥があり、情報

の漏えい等によって会社に損害が生じたときは、取締役（・監査役）は、以上の理由に基

づき、責任を負うことがあり得る。

また、取締役（・監査役）が職務を行うについて悪意又は重過失があったときは、それ

により第三者に生じた損害についても賠償責任を負う（会社法第 429 条第 1 項）。したが

って、取締役（・監査役）が、悪意・重過失により、適切な情報セキュリティ体制を構築

せず、又は体制が適切に運用されていないのにこれを是正するのを怠った場合に、個人情

報の漏えい等によって第三者が損害を被ったときは、取締役（・監査役）は、当該第三者

に対しても責任を問われ得る。

(3) 関連法令（政省令・基準）

会社法第 330 条、第 423 条第 1 項、第 429 条第 1 項

民法第 644 条

(4) 裁判例

特になし

9相澤哲ほか『論点解説新・会社法』335 頁、及び大阪地裁平成 12 年 9 月 20 日判決

10 相澤ほか・同

- 9 -

3. 管理責任類型－その 2：個人情報保護法関係

2-1.3.1. 個人情報保護法上の安全管理措置義務と情報セキュリティの関係

企業における「情報セキュリティ対策」と個人情報保護法への対応との違いはどこにあるか。

(1) 考え方

「情報セキュリティ（対策）」とは、情報の機密性、完全性、及び可用性の 3 要素を維

持すること、そのための対策をいう。それに対して、個人情報保護法への対応とは、「個人

情報取扱事業者」（個人情報保護法第 2 条第 3 項）が「個人情報」（同法第 2 条第 1 項）

等を同法の定める義務を遵守し取り扱うこと、そのための対応をいう。

保護の対象となる情報は、情報セキュリティ対策においては「情報」一般であるのに対

して、個人情報保護法における後述の安全管理措置義務関連の規定は、「個人データ」（同

法第 2 条 4 項）に限定される。「個人データ」以外の情報については、もっぱら情報セキ

ュリティ対策として各企業の自主的対応に委ねられる（ただし、その他の法令上の義務並

びに契約があればそれらを遵守すること、及び、他人の権利利益を侵害しないことが求め

られる）。

また、保護の主体は、情報セキュリティ対策においては、「事業者」一般が念頭に置かれ

ており、限定がないのに対して、同法への対応が法的に義務付けられるのは、「個人情報取

扱事業者」に限定される。

情報セキュリティ対策は、原則として、事業者が資産一般の安全性の確保、他人の権利

利益の侵害の防止という観点から自分のこととして行われることが通常である。しかし、

個人情報保護法で求められる安全管理措置義務関連の規定への対応は、「安全管理措置」（同

法第 20 条）、「従業者の監督」（同法第 21 条）、及び「委託先の監督」（同法第 22 条）と

いった、「個人情報取扱事業者」が「個人データ」を取り扱う場合に最低限守るべき規範に

ついて、法的義務として行われるものである。

なお、個人情報保護法では、安全管理措置義務関連の規定のほか、個人情報取扱事業者

は、利用目的の達成に必要な範囲内において、その取り扱う個人データを正確かつ最新の

内容に保つよう努めなければならず（同法第 19 条）、さらに、それが「保有個人データ」

（同法第 2 条 5 項）に該当する場合には、その内容が事実でない場合には、利用目的の達

成に必要な範囲内において、本人からの訂正等の求めに応じなければならない（同法第 26

条 1 項）。

- 10 -

(2) 説明

企業における情報セキュリティ対策は、経営管理の視点から、事業活動を円滑に行うこ

ととの関係に留意しながら、自社の保有する情報資産の安全性を確保するために行われる。

近年は、情報セキュリティ・マネジメントシステムを構築し運用するという対策を講じる

ところが増えてきている。

情報セキュリティ対策における対象情報の特定、及びその保護のレベルの設定は、本来

経営者がその責任の中で決定していくべきものである。しかし、近年、情報に関する各種

法令が整備されていくとともに、法的義務を遵守すること、他人の権利利益を侵害しない

こと、又は、情報を法的に保護していくために必要な対応を行うことといった観点から企

業における情報管理においては、法令遵守（コンプライアンス）が求められることが増え

てきている。個人情報保護法も、またそうした法規制の一つである。

「個人データ」の安全管理（情報セキュリティ対策）は、「個人情報取扱事業者」におい

ては、法的義務であるため、経営の自由として経営者の裁量に属する事柄ではなく、その

義務の内容を理解し、事業活動の前提として法の求める対応を十分に尽くしておかなくて

はならないことになる。

なお、個人情報保護法では、情報セキュリティ対策（安全管理）のほかに、原則として

特定された利用目的の範囲内で取り扱うこと（同法第 16 条）、本人からの苦情について適

切かつ迅速に処理するよう努めること（同法第 31 条）が義務付けられている。また、個

人データを正確かつ最新の内容に保つよう努めなければならず（同法第 19 条）、特に「保

有個人データ」については、その内容が事実でない場合、利用目的の達成に必要な範囲内

において、本人からの訂正等の求めに応じる義務もある（同法第 26 条 1 項）。正確性の

確保及び訂正に応じる義務は、情報セキュリティ対策における情報の完全性に関係する規

定であるということができる。

(3) 関連法令（政省令・基準）

個人情報の保護に関する法律第 2 条（定義）、第 16 条（利用目的による制限）、第 19

条（正確性の確保）、第 20 条（安全管理措置）、第 21 条（従業者の監督）、第 22 条（委

託先の監督）、第 26 条（訂正等）

経済産業分野の個人情報保護ガイドライン（法第 2 条関連、法第 20 条関連～法第 22

条関連）

(4) 裁判例

情報セキュリティと個人情報に関わる民事責任に関して、

- 11 -

京都地裁平成 13 年 2 月 23 日判決・判自 265 号 17 頁（宇治市住民基本台帳データ

大量漏えい事件判決）

大阪高裁平成 13 年 12 月 25 日判決・判自 265 号 11 頁、最高裁平成 14 年 7 月 11

日決定・判自 265 号 10 頁

札幌地裁平成 17 年 4 月 28 日判決・判自 268 号 28 頁（北海道警捜査情報漏えい事

件判決）

札幌高裁平成 17 年 11 月 11 日判決

大阪地裁平成 18 年 5 月 19 日判決・判時 1948 号 122 頁・判タ 1230 号 227 頁

東京地裁平成 19 年 2 月 8 日判決・判時 1964 号 113 頁・判タ 1262 号 270 頁

東京高裁平成 19 年 8 月 28 日判決・判タ 1264 号 299 頁

2-1.3.2. 委託先の監督責任

個人データの取扱いの全部又は一部を委託するにあたって、個人情報保護法は委託元に監督

責任を課しているが、具体的にはどのような責任が生ずるのか。また、監督責任を果たすた

めに何をしなければならないのか。

(1) 考え方

個人情報保護法は、個人情報取扱事業者による個人データの第三者提供を制限している

が、委託元である当該事業者の責任の下で、その取扱いを委託する場合、委託先はその制

限の対象となる場合の「第三者」に該当しないこととしている（同法第 23 条第 4 項第 1

号）。しかし、委託先が個人データを取り扱うにあたっては、同法が定める安全管理措置

を遵守させるよう必要かつ適切な監督を行うことが委託元に義務付けられている（同法第

22 条）。

(2) 説明

1) 委託先を監督する責任の内容

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合、個人情報

保護法第 20 条に基づく安全管理措置義務が尽くされるよう、委託先に対し必要かつ適切

な監督をしなければならない（個人情報保護法第 22 条）。

委託先の監督責任の内容は、委託業務の内容に対して必要のない個人データを提供しな

いことをはじめとして、取扱いを委託する個人データの内容を踏まえ、本人の個人データ

が漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事

- 12 -

業の性質及び個人データの取扱状況等に起因するリスクに応じた、必要かつ適切な措置を

講じることである。

「必要かつ適切な監督」の内容としては、①委託先を適切に選定すること、②委託先と

の間で必要な契約を締結すること、③委託先における委託された個人データの取扱状況を

把握することなどが考えられる（経済産業分野の個人情報保護ガイドライン 2-2-3-4.委

託先の監督）。

2) 委託先の選定

委託先を適切に選定するためには、委託先の個人情報保護水準が委託する当該業務内容

に応じて、個人情報保護法が定める安全管理措置義務として適切な水準にあることを合理

的に確認することが必要であり、継続的に適切な選定を実施するために委託先の評価を適

宜実施することも求められる。

3) 委託契約

委託契約には、当該個人データの取扱いに関する必要かつ適切な安全管理措置として、

委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取

扱状況を合理的に把握することを盛り込むことが求められる。なお、本人からの損害賠償

請求に係る責務を、安全管理措置に係る責任分担を無視して一方的に委託先に課すなど、

優越的地位にある者が委託元の場合、委託先に不当な負担を課すことがあってはならない。

個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項としては、①

委託元及び委託先の責任の明確化、②個人データの安全管理に関する事項（個人データの

漏えい防止・盗用禁止に関する事項、委託契約範囲外の加工・利用の禁止、委託契約範囲

外の複写・複製の禁止、委託契約期間、委託契約終了後の個人データの返還・消去・廃棄

に関する事項）、③再委託に関する事項（再委託を行うに当たっての委託元への文書による

報告）、④個人データの取扱状況に関する委託元への報告の内容及び頻度、⑤契約内容が遵

守されていることの確認（例えば、情報セキュリティ監査なども含まれる。）、⑥契約内容

が遵守されなかった場合の措置、⑦セキュリティ事件・事故が発生した場合の報告・連絡

に関する事項、が挙げられる。

4) 個人データの取扱状況の把握

委託先における委託された個人データの取扱状況を把握するためには、委託契約で盛り

込んだ内容の実施の程度を相互に確認することが望ましい。

また、委託元が委託先について「必要かつ適切な監督」を行っていない場合で、委託先が

再委託をした際に、再委託先が適切といえない取扱いを行ったことにより、何らかの問題

- 13 -

が生じた時は、元の委託元がその責めを負うことがあり得るため、再委託する場合は注意

を要する。

5) 委託と共同利用の違い

個人データを特定の委託先に提供する場合について、個人情報取扱事業者によっては、

個人情報保護法の解釈上、個人データの取扱いの委託ではなく、個人データの共同利用（同

法第 23 条第４項第 3 号）にあたると誤解していることがある。委託先への提供は委託先

の監督責任が発生する一方で、共同利用は、共同して利用する個人データの管理について

責任を有する者を指定する必要はあるものの、同法において共同利用先の監督責任を負う

ものではない。

この点につき、共同利用か委託かは、個人データの取扱いの形態によって判断されるも

のであって、共同利用者の範囲に委託先事業者が含まれる場合であっても、委託先との関

係は、共同利用となるわけではなく、委託先の監督義務を免れるわけでもない。よって、

共同利用者の範囲に含まれる事業者に個人データの取扱いを委託し、個人データを提供し

ているからといって、委託元がこれを共同利用とみなすこととしたとしても、そもそも委

託先の監督責任が問われることとなる。

6) 委託先の監督責任をとりまく課題

委託先の監督責任については、①個人情報取扱事業者に該当しない事業者に個人データ

の取扱いを委託する際に安全管理措置を遵守するための留意事項、②委託先への検索性・

体系性がない個人情報の取扱いの委託、③安全管理措置の実施と法令遵守の問題などがあ

る。

①の問題は、個人情報データベース等を構成する個人情報によって識別される特定の個

人の数が 5,000 人を超えない事業者は、個人情報取扱事業者に該当しない。そのため、

このような事業者に委託する場合、当該委託先は安全管理措置義務を直接には負わないが、

委託元は委託先において個人情報の漏えい等が発生することにより監督責任及び個人情報

取扱事業者自身の安全管理措置義務違反を問われることから、委託先において個人情報が

安全に管理されるよう契約の定めによって義務を課す必要がある。

②の問題は、個人データ（個人情報データベース等を構成する個人情報）は、データベ

ースから出力されるなどして 1 件の個人情報として取り扱われる場合であっても、委託元

である個人情報取扱事業者にとっては「個人データ」であることには変わりがない。しか

し、委託先に当該個人データを検索性・体系性がない情報として提供した場合、委託先に

とっては「個人情報」を取得したに過ぎないことから、同一の個人情報でありながら委託

先においては個人データには該当しない。この場合、委託先は当該「個人情報」に係る安

- 14 -

全管理措置義務を直接には負わないものと解されるが、委託業務の内容に対して必要のな

い個人データを提供しないという委託先の監督責任の趣旨からも、委託先には委託にあた

って必要最低限の個人データを提供することが望ましく、また、委託元自身に安全管理措

置義務が課せられており、委託した個人データに関しても委託先への監督を通して安全管

理措置を担保するという法の趣旨からも、委託先にとっては個人データに該当しない個人

情報についても適切に管理されるよう委託先に求めることが必要となる。

③の問題については、安全管理措置の実施に必要な措置を講ずることが、法令遵守のた

めの対応でありながら他の法令に適合しない対応にならぬよう注意すべきである。具体的

には、本人からの損害賠償請求に係る責務を安全管理措置に係る責任分担を無視して一方

的に受託者に課すなど、優越的地位にある者が委託元の場合、委託先に不当な負担を課す

こと（経済産業分野の個人情報保護ガイドライン 2-2-3-4.委託先の監督）、派遣労働者な

ど雇用関係にない者との間で個人情報の取扱に係る契約を直接結ぶことや、誓約書におい

て損害賠償額の予定や違約金を定めるなど労働基準法第 16 条に違反する場合等が挙げら

れる。

(3) 関連法令（政省令・基準）

個人情報の保護に関する法律（平成 15 年 5 月 30 日法律第 57 号）

個人情報の保護に関する法律施行令（平成 15 年 12 月 10 日政令第 507 号）

経済産業分野の個人情報保護ガイドライン

(4) 裁判例

特になし

2-1.3.3. 安全管理措置義務の対象となる個人情報

日本の個人情報保護制度では、個人情報を取り扱う主体ごとに安全管理措置の対象となる個

人情報の範囲は異なるか。

(1) 考え方

法令が定める安全管理措置義務の対象となる個人情報の範囲は個人情報を取り扱う主体

ごとに異なる。具体的には、個人情報取扱事業者は「個人データ」、国及び独立行政法人

等は「保有個人情報」が対象となる。また、地方自治体の場合、「個人情報」から「保有

個人情報に該当する情報」に至るまで実施機関ごとに異なる。

- 15 -

(2) 説明

個人情報保護制度においては、個人情報を取り扱う主体ごとに適用される法令が異なる。

民間部門の個人情報取扱事業者には「個人情報保護法」、国の行政機関は「行政機関個

人情報保護法」、独立行政法人等には「独立行政法人等個人情報保護法」が適用される。ま

た、地方自治体については国の個人情報保護に関する法律の義務規定は適用されず、各自

治体の個人情報保護に関する条例が適用される。

そのため、法令で定める安全管理措置義務の対象となる個人情報の範囲も、組織ごとに

異なる。

民間部門の個人情報取扱事業者について、安全管理措置義務の対象となるのは「個人デ

ータ」である。個人データとは、「個人情報データベース等（コンピュータのデータベー

スか紙媒体かを問わず、特定の個人情報を容易に検索することができるように体系的に構

成したもの）」を構成する個人情報のことをいう。

ただし、個人情報データベース等を事業の用に供している場合であっても、それを構成

する個人情報によって識別される特定の個人の数の合計が過去6か月以内のいずれの日に

おいても 5,000 人を超えない事業者は、個人情報取扱事業者に該当しないため、個人デ

ータの安全管理措置義務を負わない。

国の行政機関と独立行政法人等については、主として「保有個人情報」がその対象にな

る。「保有個人情報」とは、行政機関の職員（独立行政法人等の場合は、独立行政法人等

の役員又は職員）が職務上作成し、又は取得した個人情報であって、当該行政機関の職員

（独立行政法人等の場合は、当該独立行政法人等の役員又は職員）が組織的に利用するも

のとして、当該行政機関（当該独立行政法人等）が保有しているものをいう。ただし、行

政文書（行政機関の保有する情報の公開に関する法律（平成 11 年法律第 42 号）第 2 条

第 2 項に規定する行政文書をいう。）（独立行政法人等の場合は、独立行政法人等の保有

する情報の公開に関する法律（平成 13 年法律第 140 号）第 2 条第 2 項に規定する法人

文書（同項第 3 号に掲げるものを含む。）に記録されているものに限られる。

また、地方自治体については、個人情報にあたる情報から保有個人情報にあたる情報に

至るまで、各自治体の個人情報保護条例によって安全管理措置義務の対象となる個人情報

は異なる。

このように、個人情報保護制度上は、個人情報を取り扱う主体ごとに適用される法令に基

づき安全管理措置義務の対象となる個人情報の範囲が異なるため、同一の個人情報であっ

てもその主体及び取扱態様により安全管理措置義務を負わない場合がある。

- 16 -

なお、個人情報保護法上の安全管理措置義務の対象とならない個人情報については、安

全管理措置を怠った結果により漏えい等が発生した場合、同法が定める安全管理措置義務

違反には該当しないとしても、同法に関する各省庁のガイドラインに反することがあるほ

か、それらの情報が個人のプライバシーに係る情報に該当する場合には、プライバシー侵

害として責任を負う可能性がある。

(3) 関連法令（政省令・基準）

個人情報の保護に関する法律（平成 15 年 5 月 30 日法律第 57 号)

個人情報の保護に関する法律施行令（平成 15 年 12 月 10 日政令第 507 号）（平成

20 年 5 月 1 日政令第 166 号）

経済産業分野の個人情報保護ガイドライン

行政機関の保有する個人情報の保護に関する法律（平成 15 年 5 月30 日法律第 58号）

行政機関の保有する個人情報の保護に関する法律施行令（平成 15 年 12 月 25 日政令

第 548 号）

行政機関の保有する個人情報の適切な管理のための措置に関する指針について（平成

16 年 9 月 14 日付け総管情第 84 号総務省行政管理局長通知）

独立行政法人等の保有する個人情報の保護に関する法律（平成 15 年 5 月 30 日法律第

59 号）

独立行政法人等の保有する個人情報の保護に関する法律施行令（平成 15 年 12 月 25

日政令第 549 号）

独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針について

（平成 16 年 9 月 14 日付け総管情第 85 号総務省行政管理局長通知）

地方公共団体の条例

(4) 裁判例

特になし

- 17 -

4. 加害行為規制類型

2-1.4.1. コンピュータウイルスの作成・送付

コンピュータウイルスによって企業活動を阻害した場合に、刑法上処罰され得るか。

(1) 考え方

現実社会では、病院や研究所から細菌・ウイルスなどの微生物が外部へ漏出してひき起

こされる災害や障害（バイオハザード）が問題となっているが、サイバースペースでも、

悪意に満ちたプログラムの伝播・感染が現実の問題となっている。

コンピュータウイルスに関する行為は、電子計算機損壊等業務妨害罪（刑法第 234 条

の 2）や電磁的記録毀棄罪（刑法第 258 条、第 259 条）などの規定に該当すれば、処罰

され得る。

(2) 説明

「コンピュータウイルス対策基準」（通商産業省告示第 952 号）によると、コンピュー

タウイルスとは、「第三者のプログラムやデータべースに対して意図的に何らかの被害を及

ぼすように作られたプログラムであり」、①自己伝染機能（自らの機能によって他のプログ

ラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすること

により、他のシステムに伝染する機能）、②潜伏機能（発病するための特定時刻、一定時間、

処理回数等の条件を記憶させて、発病するまで症状を出さない機能）、③発病機能（プログ

ラム、データ等のファイルの破壊を行う、設計者の意図しない動作をする等の機能）のう

ち、一つ以上の機能を有するものである。

刑法には、コンピュータ犯罪に関連して、電磁的公正証書原本不実記録罪関係（刑法第

157 条、第 158 条）、電磁的記録不正作出罪関係（刑法第 161 条の 2）、電子計算機損

壊等業務妨害罪関係（刑法第 234 条の 2）、電子計算機使用詐欺罪関係（刑法第 246 条

の 2）、電磁的記録毀棄罪関係（刑法第 258 条、第 259 条）などの規定がある。

電磁的記録毀棄罪関係については、刑法第 258 条に「公務所の用に供する文書又は電

磁的記録を毀棄した者は、三月以上七年以下の懲役に処する。」と定められ、刑法第 259

条に「権利又は義務に関する他人の文書又は電磁的記録を毀棄した者は、五年以下の懲役

に処する。」と定められている。

電子計算機損壊等業務妨害罪関係については、刑法第 234 条の 2 に「人の業務に使用

する電子計算機若しくはその用に供する電磁的記録を損壊し、若しくは人の業務に使用す

る電子計算機に虚偽の情報若しくは不正な指令を与え、又はその他の方法により、電子計

算機に使用目的に沿うべき動作をさせず、又は使用目的に反する動作をさせて、人の業務

- 18 -

を妨害した者は、五年以下の懲役又は百万円以下の罰金に処する。」と定められている。

なお、電磁的記録毀棄罪関係及び電子計算機損壊等業務妨害罪関係には、予備や未遂を

処罰する規定は定められていない。

(3) 関連法令（政省令・基準）

刑法第 234 条の 2（電子計算機損壊等業務妨害）など

(4) 裁判例

特になし

- 19 -

第2節 機密性（C）に関するもの

1. はじめに

機密性とはアクセスを認可された者だけが情報にアクセスすることを確実にすることを

いう。かかる機密性を侵害する行為には、例えば個人情報の漏えいや、営業秘密の不正取

得行為などがある。

機密性について情報を管理する事業者に管理責任を課する法令としては、前述した個人

情報保護法、あるいは会社法の内部統制のうちの一部がある。特に、情報を管理する事業

者が個人情報を漏えいした際には、情報を管理する事業者は一定の対応を求められる。

一方で、加害行為について規制する法令については、民法上は、不法行為責任あるいは

契約責任に基づいて損害賠償及び事前差止めを請求し得る。損害賠償あるいは事前差止め

については特にプライバシー権の侵害について問題となる。損害賠償が認められた場合に

は、その賠償額は年々高額になる傾向がある。

また、不正競争防止法上の「営業秘密」に関し、不正競争防止法上の保護を受けるため

には一定の要件を満たしておく必要がある11（2-2.2.1. ）。そして、その要件を満たすた

めの内部規定整備の方法などについても言及した（2-2.2.2. ）。従業員等が作成に関与し

た情報についてどのような場合に営業秘密となるのかについても問題となり得る

（2-2.2.3. ）。

刑事法上は、情報の不正入手について一般的に処罰する規定があるわけではなく、侵害

の態様によって個別的な処罰が問題となるに過ぎない。例えば、情報が載った有体物を故

意に持ち出した場合には窃盗罪（刑法第 235 条）の成立が問題になり得るし、ネットワ

ークコンピュータに対して不正にアクセスした場合には不正アクセス罪の成立が問題とな

る（2-2.3.1. ）。不正アクセス禁止法による保護を受けるためにはどのような点に留意す

る必要があるかについても検討した（2-2.3.2. ）。

さらに、管理している情報について、不正競争防止法上の保護以外にどのような保護を

受け得るのか検討した（2-2.4.1. ）。そして、秘密文書等についてコピー、改変の禁止の

ために技術的な保護手段を講じている場合に、この技術的保護手段を回避する行為に対し

て著作権法上どのような問題が生じるのか検討するとともに、不正競争防止法上の技術的

制限手段について回避する行為に関する法的問題についても検討した（2-2.4.2. ）。

11 不正競争防止法上の営業秘密に関する保護は、営業秘密を侵害する者に対して法的責任を負わせるものとして加害行

為類型に分類されることとなる。しかしながら、不正競争防止法上の法的保護を受けるためには、情報を管理する事業

者は、有用性、非公知性、秘密管理性の 3 つの要件を満たしておく必要があり、その意味で事業者に情報の管理を求め

る側面がある。

- 20 -

2. 営業秘密

2-2.2.1. 情報の秘密管理

情報システムなどで管理される企業の秘密情報が営業秘密として不正競争防止法で保護さ

れるためには、情報を「秘密として管理」していなければならない（秘密管理性）。情報を

どのように管理していれば秘密管理性が認められるのか。

(1) 考え方

不正競争防止法の営業秘密としての保護を受けるためには、後掲のとおり有用性、非公

知性、秘密管理性の 3 つの要件を満たす必要がある。情報の秘密管理という側面からは、

このうちの秘密管理性、すなわち、①情報にアクセスできる者を制限し（アクセス制限）、

②情報にアクセスした者にそれが営業秘密であると認識できること（客観的認識可能性）、

が必要となる。秘密管理性の判断は、諸般の要素が総合的に考慮されるため、営業秘密と

しての保護を受けるためには、過去の裁判例で秘密管理性の判断の際に考慮された要素を

参考に、上記の要件を満たす管理をする必要となる。

(2) 説明

不正競争防止法では「営業秘密」は、「秘密として管理されている生産方法、販売方法そ

の他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものを

いう。」と定義されている（不正競争防止法第 2 条第 6 項）。したがって、企業の事業活動

に有用で非公知な情報が不正競争防止法において営業秘密として保護されるためには、そ

の情報が前述の定義を満たす必要があり、「秘密として管理」されていること（秘密管理性）

が要件となる。裁判例では、この秘密管理性が認められるためには、①情報にアクセスで

きる者を制限され（アクセス制限）、②情報にアクセスした者にそれが営業秘密であると認

識できること（客観的認識可能性）、が必要であるとされている。

ただし、秘密管理性は、諸般の要素をもとに個々の事案ごとに裁判所により判断される

ことになるため、秘密管理性を満たすための客観的な管理水準を確定することは困難であ

る。過去の裁判例で秘密管理性の判断に影響を与えた要素は、今後の裁判所の秘密管理性

の判断の際にも影響を与える要素となる可能性が高いため、企業の秘密管理体制を検討す

る際には、これらの過去の裁判例で考慮された要素を参考にすることが望ましい。秘密管

理性についての裁判例は多数あるが、具体的には、以下のような要素について秘密管理性

を認めるための要素として考慮されている。

1) 物理的、技術的に秘密情報を隔離・明示する方法

保管場所の隔離・施錠、アクセス権者の制限、電子データの複製の制限、不正

- 21 -

アクセスの防御措置、外部ネットワークからの遮断、保管媒体の持出禁止、「秘」

であることの表示等

2) 人的管理

秘密保持契約の締結、就業規則における秘密保持義務の規定、社員教育・研修

の実施、秘密情報の取扱、アクセスに関するルールの策定等

なお、これらはあくまで過去の裁判例で考慮された要素であり、秘密管理性の判断の際

に考慮され得る要素は、これに尽きるものではないと考えられる。また、これらの要素の

一つでも満たしていないものがあれば秘密管理性が否定されるわけではない。

過去の裁判例で秘密管理性の判断に影響を与える可能性のある要素や過去の裁判例では

問題となっていないが、秘密管理性の判断に影響を与える可能性のある要素については、

経済産業省の「営業秘密管理指針」などで提示されている要素が参考となる。

(3) 関連法令（政省令・基準）

不正競争防止法第 2 条第 1 項第 4 号～第 10 号・第 6 項

営業秘密管理指針改訂版（平成 17 年 10 月 12 日最終改訂・経済産業省）

(4) 裁判例

秘密管理性を認めた主な裁判例：

大阪高裁平成 20 年 7 月 18 日判決

大阪地裁平成 20 年 6 月 12 日判決

東京地裁平成 17 年 6 月 27 日判決

東京地裁平成 16 年 5 月 14 日判決

大阪地裁平成 15 年 2 月 27 日判決

東京地裁平成 15 年 11 月 13 日判決

大阪高裁平成 14 年 10 月 11 日判決

東京地裁平成 15 年 2 月 27 日判決

大阪地裁平成 12 年 7 月 25 日判決

東京地裁平成 12 年 11 月 13 日判決・判時 1736 号 118 頁・判タ 1047 号 280 頁

- 22 -

大阪地裁平成 10 年 12 月 22 日判決・知的裁集 30 巻 4 号 1000 頁

2-2.2.2. 営業秘密の保護要件遵守のために整備すべき内部規定等

不正競争防止法に基づき営業秘密として事業者が保護を受けるための要件を満たすために

内部規定等はどのように整備すべきか。

あるいは、従業員からの誓約書の徴収等についてはどのように行うべきか。

(1) 考え方

秘密情報が「営業秘密」として保護されるためには、情報が「秘密として管理」されて

いることを確保するため、秘密情報の特定方法、秘密情報の管理者・アクセス権者、秘密

情報の取扱方法について秘密管理規定をあらかじめ内部規定として定め、就業規則や誓約

書等により従業員に秘密保持義務を課すことが望ましい。

就業規則や誓約書で秘密保持義務を課す場合には、秘密保持の対象となる情報が具体的

に特定できるようにしておくことが望ましい。

ただし、裁判においては、秘密管理性は具体的な管理状況について判断されるため、い

ずれの場合も情報が秘密として実際に管理されていなければ、内部規定等がいかに整備さ

れていたとしても秘密管理性は認められない場合がある。

(2) 説明

1) 秘密管理規定

企業の秘密情報が不正競争防止法の「営業秘密」として保護されるためには、その情報

が「秘密として管理」されていること（秘密管理性）が要件となる。裁判例では、この秘

密管理性が認められるためには、①情報にアクセスできる者を制限され（アクセス制限）、

②情報にアクセスした者にそれが営業秘密であると認識できること（客観的認識可能性）、

が必要であるとされている。

そこで、秘密管理性を確保するためには、秘密情報の特定方法、秘密情報の管理者・ア

クセス権者、秘密情報の取扱方法について秘密管理規定をあらかじめ内部規定として定め

ておくことが望ましい。

例えばそれぞれ以下のような点についてのルールを定めることが望ましい。

・ 秘密情報の特定方法

どのような情報を秘密情報として取り扱うのか、秘密情報を特定する権限は誰が有する

のか、秘密であることをどのように表示するかなど。

- 23 -

・ 秘密情報の管理者、アクセス権者

秘密情報を誰が管理をするのか、秘密情報にアクセスすることができるのはどのような

者かなど。

・ 秘密情報の取扱方法

自社の秘密情報を取得するためにはどのような手続きが必要か、秘密情報を管理者から

開示を受けた場合にどのように取り扱うべきか、秘密情報となるべき情報を新たに取得し

た場合にどのように取り扱うべきかなど。

ただし、裁判においては、秘密管理性は具体的な管理状況について判断されるため、秘

密管理規定に従って情報が管理されていなければ、秘密管理規定がいかに整備されていた

としても秘密管理性は認められない場合がある。

2) 就業規則

就業規則において、従業員の秘密保持義務を定めておくことも秘密管理には有効であり、

一般的に広く行われているところである。就業規則で定めたり、又は誓約書を提出させた

りする等の方法により従業員との間で厳格な秘密保持の約定を定めるなどの措置を執って

いなかった場合、不正競争防止法の保護の要件である「秘密管理性」が認められなかった

例12がある。

しかし、就業規則で包括的に秘密保持義務を定めただけの場合には、営業秘密の客観的

認識可能性が認められず、営業秘密としての管理が受けられなくなる可能性がある。裁判

例でも、「自己の所管の有無に関係なく会社の業務上の秘密事項を他にもらさない。」と

の条項を規定しているが、業務上の秘密事項に関する従業員の守秘義務を一般的に定めた

ものにすぎないとした例13、就業規則に、「社員は、会社の秘密、ノウハウ、出願予定の

権利等に関する書類、テープ、ディスク等を会社の許可なく私的に使用し、複製し、会社

施設外に持ち出し、または他に縦覧若しくは使用させてはならない。」、「社員は、第 13

条第 3 項に定めるところの他、業務上秘密とされる事項及び会社に不利益となる事項を他

に漏らし、または漏らそうとしてはならない。

社員でなくなった後においても同様とする。」という規定が置かれているが、「当該規

定はその対象となる秘密を具体的に定めない、同義反復的な内容にすぎない」とした例14、

就業規則中の規定は、書類等を厳重に保管すべき義務を従業員に課したものということが

できるが、同規定は、原告の備品等を大切にし、消耗品等を節約するというような規定と

12 東京地裁平成 16 年 4 月 13 日判決・判時 1862 号 168 頁・判タ 1176 号 295 頁13 大阪高裁平成 15 年 1 月 28 日判決14 東京地裁平成 17 年 2 月 25 日判決

- 24 -

同列に規定されており、書類等の会社の備品等を取り扱う際の従業員の心構えを抽象的に

定めた規定というべきであり、このような規定をもって営業情報が秘密として管理されて

いると客観的に認識し得るものではないとした例15、「業務上の、秘密又は公表していな

い文書事項を他に漏らしてはならない。」「私用のため会社の物品を使用し、又は製作し

てはならない。」等の就業規則の定めや、従業員が労働契約上使用者の営業秘密を保持す

べき義務を一般的に負っていることのみでは秘密管理性は認められないとした例16、就業

規則において「社員は、次の事項を守らなければなりません。（中略）(3)自己の職務に関

する書類、帳簿、機械、器具及び備品を紛失若しくは汚損しないように注意し、退社に際

してはその保管、引継ぎ等につき責任をもって処理すること、(4)会社の秘密事項及び会社

の不利益となる事項を他に漏らさないこと」、「社用のために会社の物品を社外に持ち出

そうとするときは、所属長の許可を受けなければなりません。」という記載は抽象的な定

めをした規定にすぎず、就業規則にこのような規定が置かれているからといって、秘密管

理性は認められないとした例17等において、秘密管理性が否定されている。

したがって、就業規則において秘密保持義務を定める場合には、一般的な定めを設ける

だけでなく、秘密保持義務の対象となる秘密情報は秘密管理規定の定めるところに従う旨

を明記するなど、秘密管理規定との関連性を設けておくことが有効であろう。

3) 誓約書

より個別具体的に秘密保持義務を従業員に負わせる方法として、従業員から秘密保持に

関する誓約書を取得する方法がある。ただし、誓約書において秘密情報の特定が不十分で

ある場合には、就業規則の場合と同様に、営業秘密の客観的認識可能性を欠くおそれがあ

る。裁判例でも、誓約書において、「①業務に係わる企画、資料、調査等の情報、②取引

先関係者の一切の個人情報、③財務、人事等に関する情報、④他社との業務提携に関する

情報、⑤上司または営業秘密等管理責任者により秘密情報として指定された情報、⑥以上

のほか、貴社が特に秘密保持対象として指定した情報」を秘密情報保持の対象となる情報

として列挙されてはいるが、秘密保持を要する情報を特定するための規定としては概括的、

抽象的すぎるとして秘密管理性が否定された事例18がある。

また、誓約書上は、「①業務に係わる企画、資料、調査等の情報、②取引先関係者の一切

の個人情報、③財務、人事等に関する情報、④他社との業務提携に関する情報、⑤上司ま

たは営業秘密等管理責任者により秘密情報として指定された情報、⑥以上のほか、貴社が

特に秘密保持対象として指定した情報」が「秘密情報」として特定され、漏えいした情報

が形式的にはこの定義に含まれていたとしても、実際には秘密として取り扱われていない

15 大阪地裁平成 17 年 5 月 24 日判決16 大阪地裁平成 19 年 5 月 24 日判決17 東京地裁平成 19 年 10 月 30 日判決18 大阪高裁平成 19 年 12 月 20 日判決

- 25 -

場合など情報の取り扱われ方によって、従業員が、その情報は営業秘密に含まれていない

と理解する可能性があることや、従業員が誓約書に署名を求められた際に具体的にどのよ

うな情報が営業秘密に該当するのかを認識しておらず説明も受けていないこと、従業員の

半数が漏えいした情報が秘密として管理されていると認識していないことなどを理由に、

誓約書への署名を求めただけで当該情報が秘密として管理されるに至ったとすることもで

きないとした事例19もある。

そこで、誓約書においては、従業員が内容を認識し得る程度に秘密情報を特定し、実際

にも当該情報を秘密として管理しておくことが望ましい。一方で、誓約書には「当社の秘

密事項」とのみ特定されていた場合であっても、誓約書が作成された経緯を考慮して、「少

なくとも売れ筋商品であった控訴人商品の販売先業者名と当該業者への販売価格及び仕入

価格」については、「秘密保持義務が課された情報であることを当然に認識ないし認識し

得るものである」とした事例20もあり、誓約書ですべての秘密情報が特定されていないか

らといって直ちに秘密管理性が否定されるわけではないものと考えられる。誓約書を作成

する段階で秘密情報が具体的に特定できない場合には、秘密保持義務の対象となる秘密情

報は秘密管理規定の定めるところに従う旨を明記するなど、秘密管理規定との関連性を設

けておくことで、秘密情報が具体的に特定された段階で秘密保持義務が自動的に課される

ようにしておく方法も有効であろう。

(3) 関連法令（政省令・基準）

不正競争防止法第 2 条第 1 項第 4 号～第 10 号・第 2 条第 6 項

(4) 裁判例

本文中、脚注に記載のもの

2-2.2.3. 従業員・委託先が作成に関与した情報の営業秘密としての保護

従業員や委託先企業が自ら作成、取得に関与した顧客リストや技術情報などの秘密情報につ

いて、雇用会社や委託元会社は、営業秘密としての保護を受けることができるのか。

(1) 考え方

従業員や委託先企業が自ら作成、取得に関与したものであっても、それが業務の一環と

してなされたものである場合に、その情報をいったん雇用会社や委託元会社が秘密として

管理するに至った場合には、その情報は会社の営業秘密として不正競争防止法により保護

19 大阪地裁平成 19 年 2 月 1 日判決

20大阪高裁平成 20 年 7 月 18 日判決

- 26 -

され得る。

(2) 説明

営業秘密の保有者から営業秘密を「示された」者が、不正の競業その他不正の利益を得

る目的又は保有者に損害を加える目的で、営業秘密を使用又は第三者に開示した場合には、

不正競争防止法第 2 条第 1 項第 7 号所定の不正競争に該当する。そして、従業員や委託

先企業が自ら作成、取得に関与したものであっても、その情報がいったん雇用会社や委託

元会社が営業秘密として管理するに至り、その情報が会社の業務において用いるために整

理されるなどした場合において、これを第三者に使用又は開示したときには不正競争防止

法上の不正競争に該当し得るものと考えられる。

もっとも、従業員に関しては、あらゆる情報を会社の管理下において一切退職後は使用

できないとすることは、転職の自由との関係で問題がある。したがって、プロジェクトへ

の参加時など、具体的に企業秘密に接する時期に、秘密として管理すべき情報を特定した

上で、秘密保持義務を負わせることが望ましいと考えられる。（なお、従業員に退職後の秘

密保持義務を課すための秘密保持契約については 3-2.1.7.を参照）。

委託先についても、基本的には同様に秘密として管理すべき情報を具体的に選別して特

定した上で、秘密保持義務を負わせることが望ましいと考えられるが、転職の自由を配慮

する必要性がない点において従業員の場合とは異なると考えられる。

(3) 関連法令（政省令・基準）

不正競争防止法第 2 条第 1 項第 7 号

(4) 裁判例

札幌地裁平成 6 年 7 月 8 日判決

東京地裁平成 13 年 12 月 27 日判決

東京高裁平成 15 年 3 月 31 日判決

東京地裁平成 14 年 2 月 5 日判決・判時 1802 号 145 頁・判タ 1114 号 279 頁

東京高裁平成 16 年 9 月 29 日判決

3. 刑事法

2-2.3.1. 情報の不正入手 (1)

情報の不正入手には、どのような罰則があるか。

- 27 -

(1) 考え方

情報の不正入手を処罰する規定はない。刑法の中にも情報の不正入手を一般的に処罰す

る規定があるのではなく、様々な法律の中に情報の侵害の態様に応じて個別的な処罰規定

が置かれているにすぎない。

情報の不正入手に伴う漏えい行為については、公務員の守秘義務違反の罪（国家公務員

法第 109 条、地方公務員法第 60 条等）や医師・弁護士などの秘密漏示罪（刑法第 134

条）など、情報を扱う者の身分に着目して、その者に守秘義務を課すことによって情報の

漏えいを処罰する多くの規定がある。法律によっては、国家公務員法第 109 条、地方公

務員法第 60 条等「窃用（せつよう）」を処罰するものがあるが、これも広い意味では、

漏えい行為の一つである。

一方、情報の不正入手の付随行為が、現実空間で発生した場合は、その付随行為につい

て刑法における窃盗罪や住居侵入罪等で処罰される場合がある。また、これがサイバー空

間で発生し、不正アクセス行為が行われた場合は、不正アクセス行為の禁止等に関する法

律（平成 11 年法律 128 号。以下、不正アクセス禁止法という）により処罰される。

(2) 説明

刑法には、コンピュータ犯罪に関連して、「電磁的記録」の定義規定（刑法第 7 条の 2）、

電磁的公正証書原本不実記録罪関係（刑法第 157 条、第 158 条）、電磁的記録不正作出

罪関係（刑法第 161 条の 2）、電子計算機損壊等業務妨害罪関係（刑法第 234 条の 2）、

電子計算機使用詐欺罪関係（刑法第 246 条の 2）、電磁的記録毀棄罪関係（刑法第 258

条、第 259 条）などの規定がある。

当時、情報の不正入手についても一般的な処罰規定を設けることが議論されたが、保護

すべき情報の範囲や保護の程度などについて議論が分かれ、将来の課題とされた。情報は、

同じ内容であっても人によって価値が異なり、時間の経過によってもその価値が変動する。

このような客体に対して、一律に刑罰による保護を設定することには無理があり、個別的

に保護せざるをえないためである。

情報の不正入手に伴う漏えい行為については、情報そのものを保護するという形ではな

く、情報を扱う一定の者に守秘義務を課し、漏えいがあった場合に、その義務違反という

形で刑事責任が問われる。典型的なものは、公務員に対して職務上知り得た他人の秘密を

漏らす行為を処罰する、国家公務員法や地方公務員法にある守秘義務違反の罪（国家公務

員法第 109 条、地方公務員法第 60 条）や、医師や弁護士などによる秘密漏示罪である

（刑法第 134 条）。他にも、様々な職種において守秘義務違反の罪が規定されている。

また、行政機関個人情報保護法には、個人情報を漏えいした者に対する罰則（行政機関

- 28 -

個人情報保護法第 53 条）が設けられており、これを受けて各地の個人情報保護条例でも

漏えい者に対する罰則が規定されている例が多い。

なお、不正競争防止法は、営業秘密の不正取得・使用・開示行為のうち、一定の行為に

ついて、「営業秘密侵害罪」として 10 年以下の懲役又は 1,000 万円以下の罰金（又はそ

の併科）を科すこととしている（不正競争防止法第 21 条）21。日本国内で管理されてい

る営業秘密については、日本国外で不正に使用・開示した場合についても処罰の対象とな

る。 いずれの行為も、「競争の目的」で行う行為が刑事罰の対象であり、報道、内部告発

の目的で行う行為は刑事罰の対象とはならない。

一方、情報の不正入手の付随行為が、現実空間で発生した場合には、その付随行為につ

いて刑法における窃盗罪や住居侵入罪等で処罰される場合がある。また、これがサイバー

空間で発生し、不正アクセス行為が行われた場合は、不正アクセス禁止法により処罰され

る。しかし、不正アクセス禁止法は、情報の不正入手や電子計算機の無権限使用を処罰す

ることを目的とするものではなく、コンピュータネットワーク上におけるアクセス制御機

能（利用権者を ID・パスワード等の識別符号により識別し、識別符号が入力された場合に

のみその利用を認めるコンピュータの機能）に対する社会的信頼を確保し、犯罪の防止及

び電気通信に関する秩序の維持を図ることを目的としている。

そのため、他人の識別符号の入力による「なりすまし」や、セキュリティホールを突く

ことにより誰とも識別されないようにするなどの不正アクセス行為を処罰の対象としてお

り、電子計算機に蔵置されている他人の情報を入手したり、他人の電子計算機を無権限で

使用すること自体は、不正アクセス禁止法における不正アクセス罪の構成要件とはなって

いない。

また、不正アクセス行為は、ネットワーク上におけるアクセス制御機能に対する社会的

信頼を害する行為であるから、コンピュータをスタンドアローン（ネットワークに接続し

ない状態）で用いる場合は、仮に他人の識別符号を入力するような行為があっても、不正

アクセス禁止法における不正アクセス行為とはならない。

もっとも、スタンドアローンのコンピュータであっても、例えばコンピュータを一時的

に外に持ち出すなどして、いったん自己の支配下に置いた上で、中の情報をコピーし、そ

のコンピュータを元の場所に戻すような場合は、判例は行為態様に応じて、窃盗罪や横領

罪の成立を認めてきている。

21 営業秘密侵害罪については、第 171 回通常国会において、「不正競争防止法の一部を改正する法律」（平成 21 年

法律第 30 号）が可決・成立し、①目的要件が不正の利益を得たり保有者に損害を加えたりする目的に変更されると

ともに、②営業秘密の管理に係る任務に背き、一定の方法により営業秘密を領得する行為について新たに刑事罰が

科せられる等、営業秘密の保護強化に係る所要の改正が行われた。なお、改正法の施行日は、「公布の日から起算し

て一年六月を超えない範囲内において政令で定める日」とされている。

- 29 -

その他の重要な規定としては、有線電気通信法・電気通信事業法などによる通信の秘密

侵害罪などがある。

(3) 関連法令（政省令・基準）

不正アクセス禁止法第 3 条（不正アクセス行為の禁止）

行政機関の保有する個人情報の保護に関する法律第 53 条（罰則）

不正競争防止法第 21 条（罰則）

(4) 裁判例

東京地裁昭和 59 年 6 月 28 日判決・判時 1126 号 3 頁

東京地裁昭和 60 年 3 月 6 日判決・判時 1147 号 162 頁

2-2.3.2. 情報の不正入手 (2)

不正アクセス禁止法によって守られるためには、どうすればよいのか。

(1) 考え方

不正アクセス禁止法によって守られるためには、法の適用を想定するサーバ（「特定電子

計算機」）において、アクセス制御機能（アクセスをしようとするユーザを ID・パスワー

ド等の識別符号により識別、認証する機能）を付加し、当該サーバに対してネットワーク

を通じて別の計算機のユーザがアクセスする際に、アクセス制御機能により制限すること

が必要である。

ただし、一般的に、アクセス管理者が特定利用（ネットワークを通じた当該サーバの利

用）を誰にでも認めている場合や、当該特定利用を承諾している場合には、アクセス制御

機能による制限はないものと解されることとなり、同法による保護を受けない。

(2) 説明

不正アクセス禁止法は、「特定電子計算機」に対して、アクセス管理者が「アクセス制御

機能を付加している場合に、そのアクセス制御機能による制限を回避できる情報（識別符

号であるものを除く。）又は指令の入力を不正アクセス行為としてとらえ、これを禁止・処

罰している（スタンドアローンのコンピュータは、保護されない）。

したがって、不正アクセス行為からコンピュータが保護されるか否かは、アクセス制御

機能により制限された状態にあるか否かによって決まる。

なお、ネットワークコンピュータのファイル格納領域に蔵置されている秘密ファイル f

- 30 -

にアクセスする方法として、アクセス制御機能による制限がある a という通信方法のほか

に、（プログラムの瑕疵や設定の不備により、アクセス制御機能による制限がない）b とい

う通信方法も存在しており、bを経由して、f にアクセスすることが「不正アクセス行為」

となるのかが問題となった事案について、東京地裁（後掲）は、アクセス制御機能の有無

については、（個々の通信プロトコルごとに判断するのではなく）特定電子計算機ごとに判

断するのが相当であり、管理者が特定電子計算機の特定利用を誰にでも認めている場合を

除き、特定利用のうち一部がアクセス制御機能によって制限されている場合であっても、

その特定電子計算機にはアクセス制御機能があると解すべきであるとした。

さらに、識別符号を入力してもしなくても同じ特定利用ができ、アクセス管理者が当該

特定利用を誰にでも認めている場合には、アクセス制御機能による特定利用の制限はない

と解すべきであるが、プログラムの瑕疵や設定上の不備があるため、識別符号を入力する

以外の方法によってもこれを入力したときと同じ特定利用ができることをもって、直ちに

識別符号の入力により特定利用の制限を解除する機能がアクセス制御機能に該当しなくな

るわけではないと解すべきであるとした。なお、本判決に対しては控訴がなされておらず、

すでに確定しているので、この問題に関する上級審の判断はまだ出されていない。

(3) 関連法令（政省令・基準）

不正アクセス行為の禁止等に関する法律第 2 条、第 3 条（特に、第 2 条第 3 項）

(4) 裁判例

東京地裁平成 17 年 3 月 25 日判決・判時 1899 号 155 頁・判タ 1213 号 314 頁

4. その他

2-2.4.1. 他の知的財産権法規定による保護方法

不正競争防止法に基づく営業秘密としての保護以外に、他の知的財産権法規定による保護方

法として有用なものはあるか。

(1) 考え方

権利を取得するためには公開が必要となる特許権や実用新案権、意匠権といった産業財

産権は、営業秘密の保護には適していない。

他方、営業秘密が設計図、模型、写真、製造マニュアル、顧客データベースといった形

をとる場合、これらに著作物性が認められ、著作権法で保護される可能性がある。しかし、

著作権法はアイデア自体を保護するものではないため、営業秘密の保護方法としては十分

とはいえない。

- 31 -

(2) 説明

特許権や実用新案権、意匠権といったいわゆる産業財産権は、権利を取得するためには、

特許庁に登録して一般に公開しなければならないため、これらの産業財産権法では、秘密

情報を秘密のまま保護することはできない。他方、営業秘密が設計図、模型、写真、製造

マニュアル、顧客データベースといった形をとり、著作物性が認められる場合には、これ

らに著作権や著作者人格権が発生している可能性がある。例えば、未公表の著作物につい

ては、著作者に著作者人格権として公表権（著作権法第 18 条）が認められている。

また、著作権者は複製権を始めとする諸権利（同法第 21 条以下）を専有し、これらの

権利を侵害する者に対し、差止請求（同法第 112 条）、損害賠償請求及び名誉回復措置

請求（同法第 115 条）が可能である。また、著作権は登録によって発生する権利ではな

く、公開は権利取得に当然に伴うものではないため、情報を秘匿したまま著作権法で保護

することが可能である。

ただし、著作権法の保護を受けるためには、当該営業秘密が創作的な表現物である必要

がある。したがって、例えば、いかに重要な顧客データベースであったとしても、それが

顧客の住所電話番号をあいうえお順に並べたものなど、ありふれた構成であった場合には、

データベースとしての創作性が認められず、著作権法の保護を受けることはできない（自

動車データベースについて著作物性が否定された事例として、東京地裁平成 13 年 5 月

25 日中間判決・判時 1774 号 132 頁・判タ 1081 号 267 頁、東京地裁平成 14 年 3

月 28 日判決・半時 1793 号 133 頁・判タ 1104 号 209 頁。但し、当該データベース

の複製行為が不法行為に該当すると認定していることに注意）。

また、著作権法は著作物の創作的な表現を保護する法律であって、アイデアを保護する

ものではないため、著作物に含まれるアイデア自体を使用する行為（例えば製造マニュア

ルを読んでそこに書かれているアイデアを利用して製造する行為）は著作権侵害とはなら

ない。

さらに、他人の営業秘密である機械の設計図に基づき、第三者が無断で機械を製作して

も、機械に著作物性が認められない以上、設計図の著作権侵害にならないとされる（大阪

地裁平成 4 年 4 月 30 日判決・判時 1436 号 104 頁・知的裁集 24 巻 1 号 292 頁）。

以上のとおり、著作権法による営業秘密の保護は極めて限定的であるといわざるを得な

い。

(3) 関連法令（政省令・基準）

著作権法第 2 条 1 項 1 号（著作物の定義）、第 10 条（著作物の例示）、第 12 条の 2

（データベースの著作物）

- 32 -

(4) 裁判例

本文中に記載のものの他

東京高裁昭和 58 年 6 月 30 日判決・無体例集 15 巻 2 号 586 号

東京地裁平成 12 年 3 月 17 日判決・判時 1714 号 128 頁・判タ 1027 号 268 頁

東京地裁平成 17 年 11 月 17 日判決・判時 1949 号 95 頁・判タ 1227 号 332 頁

大阪地裁平成 16 年 11 月 4 日判決・判時 1898 号 117 頁

知財高裁平成 17 年 10 月 6 日判決

2-2.4.2. 技術的な手段の回避

企業内の秘密文書や従業員情報、顧客情報等について、コピーや改変の禁止のための技術的

な手段（TM22）をかけてある場合に、そのような技術的な手段を回避する行為自体につい

ては、法律上どのような責任が発生するのか。

(1) 考え方

コピーや改変の禁止のための技術的保護手段（TPM）を回避する行為自体は、著作権法

上、業として公衆からの求めに応じて行う場合以外には規制対象とはなっていない。

但し、技術的保護手段を回避することによって可能となった当該文書等のコピー行為や

当該文書等の改変行為については、複製権侵害行為や翻案権侵害を構成する。

また、コピー禁止のための技術的保護手段を回避することを専らその機能とする装置や

プログラムを広く公衆に譲渡する行為、公衆に譲渡する目的をもって製造する行為等、業

として公衆からの求めに応じて技術的手段の回避を行う行為については刑事罰の対象とな

る（著作権法第 120 条の 2 第 1 号、第 2 号）。もっとも、回避された技術的保護手段が、

著作権法上の「技術的保護手段」の定義概念に該当するのかについて留意する必要がある。

一方、不正競争防止法では、営業上の利益の幅広い確保を目的として用いられている技

術的制限手段についての無効化機能のみを有する機器やプログラムの提供行為（第 2 条第

1 項第 10 号）、営業上の利益を確保するための（コンテンツ提供についての）契約関係等

の正当な権原を有する者以外に対して施されている技術的制限手段についての無効化機能

のみを有する機器やプログラムの提供行為（第 2 条第 1 項第 11 号）を、それぞれ不正競

争と定義しており、このような不正競争によって営業上の利益を侵害された者あるいは侵

害されるおそれのある者は、当該行為者に対して差止請求をすることができる（不正競争

22 Technological Measures

- 33 -

防止法第 3 条第 1 項）ほか、損害賠償請求等の民事上の法的救済を受けられる。

なお、不正競争防止法において法規制の対象とは、不正競争防止法で定義されている「技

術的制限手段」（同法第 2 条第 7 項）であって、著作権法上の「技術的保護手段」とは、

若干異なることにも留意を要する。

著作権法における上記規定は、基本的には複製行為に制限を課するコピーコントロール

技術など著作権、著作隣接権等の侵害の防止や抑止をする手段として用いられている技術

に限られることを前提とする一方、不正競争防止法における上記規定では、コンテンツの

視聴等の行為に制限を課するアクセスコントロールとコピーコントロールの双方を保護す

る必要があることから、これらを区別することなく、いずれの技術についても対象として

いる。また、著作権法では技術的保護手段を回避する機器・プログラムの提供行為に加え、

回避行為そのものについても業として公衆からの求めに応じて行う場合には刑事罰の対象

となるのに対して、不正競争防止法では、民事上の救済のみが規定されており、またその

対象も無効化機器またはプログラムの提供の行為に限られ、これらの機器等の製造行為や

無効化行為自体については不正競争として位置付けられていない点も大きな違いである。

(2) 説明

著作権法には、平成 11 年法改正で導入された、技術的保護手段の回避等行為について

の法規制が存する。すなわち、電子的方法、磁気的方法その他の人の知覚によって認識す

ることができない方法により著作権・著作者人格権、著作隣接権、実演家人格権を侵害す

る行為の防止又は抑止をする手段であること、著作権等を有する者の意思に基づくことな

く用いられているものでないこと、著作物等の利用に際しこれに用いられる機器が特定の

反応をする信号を著作物等とともに記録媒体に記録・送信する方式によるものであること、

という各要件を充足する「技術的保護手段」（著作権法第 2 条 1 項 20 号）について、著

作権法では、技術的保護手段の回避により可能となった複製を、その事実を知りながら行

う場合について私的使用目的の複製に係る著作権の制限の適用対象外とすること（同法第

30 条第 1 項第 2 号）、技術的保護手段の回避を行うことを専らその機能とする装置やプ

ログラムの複製物の譲渡等について罰則を適用すること（同法第 120 条の 2 第 1 号）、

業として公衆からの求めに応じて技術的保護手段の回避を行う行為について罰則を適用す

ること（同法第 120 条の 2 第 2 号）という 3 つの形で保護を与えている。しかしながら、

技術的保護手段を回避する行為自体については業として公衆からの求めに応じて行う場合

以外には規制対象としていない。

もっとも、コピーや改変の禁止のための技術的保護手段を回避してコピーを作成あるい

は一部改ざんしたとしても、そのような行為自体は複製権や翻案権を侵害する行為である

ことはいうまでもない。

- 34 -

技術的保護手段・技術的制限手段の回避行為に対する法的規制を巡っては、昨今、マジ

ックコンピュータ（マジコン）を中心としたツールを不正に利用して、違法コピーソフト

でのプレイが可能になるよう、実質的にゲーム機の技術的な手段を回避する行為等が広く

蔓延しているとの指摘もあり、平成 20 年 11 月に公表された知的財産戦略本部デジタル・

ネット時代における知財制度専門調査会報告でも、不正競争防止法による規制を見直すこ

とや、著作権法においてアクセスコントロールの回避行為を位置付けるなどに言及しつつ、

現行制度の実効性の検証を行い、違法ソフトの一般ユーザーへの蔓延を防止するための何

らかの措置を講ずることが必要とするなど、現行の規制の在り方を巡る議論が現れている

ことを提示している（ただし、同報告書自体は当面慎重な検討の必要性を説くに留まる。）

ことにも注意したい。23

(3) 関連法令（政省令・基準）

著作権法第 2 条第 1 項第 20 号、第 21 条、第 30 条第 1 項第 2 号、第 120 条の 2

第 1 号・第 2 号

不正競争防止法第 2 条第 1 項第 10 号・第 11 号

(4) 裁判例

不正競争防止法の技術的制限手段回避機器の提供行為に関するものとして本文中に記載

のものの他

東京地裁平成 17 年 1 月 31 日決定

第3節 完全性（Ｉ） に関するもの

1. はじめに

完全性とは情報等が完全かつ確実であることを保護することをいう。完全性は、情報の

作成名義の同一性の問題と情報内容の同一性の問題に大別することができる。

情報を管理する事業者に対して管理責任を課す法令については、専ら総論において述べ

た個人情報保護法や会社法上の内部統制の一部が該当する。特に、情報を管理する事業者

としては、情報の作成名義の同一性や情報内容の同一性が失われることによって、第三者

から法的責任を問われる可能性があり、かかる観点から内部規定等の整備を行っておくこ

とが、会社法の内部統制、個人情報保護法の安全管理措置の内容として必要となることが

ある。また、金融商品取引法における財務報告の信頼性を確保するための内部統制報告制

23 同調査における検討・報告書の公表と前後するかたちで、平成 20 年 7 月、携帯型ゲーム機等を製造・販売する企業

及びソフトメーカーが、「マジコン」を輸入・販売していた 5 事業者に対し、不正競争防止法（第 2 条第 1 項第 10 号、

第 3 条）に基づき、当該機器の輸入・販売の差止等を求めて提訴した。これに対し、報告書公表後の本年 2 月、被告ら

がマジコンを輸入・販売する行為は、不正競争防止法（第 2 条第 1 項第 10 号）に該当する行為であるとして、当該機

器の輸入・販売等の差止請求等を認める判決が下され確定している。（東京地裁平成 21 年 2 月 27 日判決）

- 35 -

度は、正確な財務データ等の確保を求めるものといえ、完全性の問題と考えることができ

る（2-3.2.1. ）。さらに、個人情報保護法においては、個人データ内容の正確性の確保（個

人情報保護法第 19 条）や保有個人データの訂正等への対応（個人情報保護法第 26 条）

を定めている。

次に、刑事法上は、伝統的な文書偽造、変造罪に加えて、コンピュータ犯罪への対処を

目的として電磁的記録の不正作出、同行使に関して刑法上一連の構成要件が定められ（電

磁的記録不正作出罪、不正作出電磁的記録供用罪）、オンライン詐欺を適正に処罰するため

に電子計算機使用詐欺罪が規定されている（2-3.3.1. ）。また、クレジットカード、キャ

ッシュカードなどの偽造、変造等について遺漏なく処罰できるよう支払用カード電磁的記

録に関する罪が新設されている。さらに近時では、インターネットを介した金融取引の増

加に伴い、ネットバンキングのシステムの悪用や、いわゆるスキミングなどの被害も増加

しており、これらに対する刑事責任が問題となる（2-3.3.2. ）。また、電磁的記録の真正

な成立の推定に関する法律として、「電子署名及び認証業務に関する法律」がある

（2-3.4.1.）。

- 36 -

2. 金融商品取引法の内部統制

2-3.2.1. 情報セキュリティと金融商品取引法の内部統制報告制度の関係

情報セキュリティと金融商品取引法の内部統制報告制度はどのように関係しているか。

(1) 考え方

財務報告の信頼性を確保するためには、財務データ等への適切なアクセス管理等が必要

となる。内部統制報告制度では、情報セキュリティに関連する対策の有効性も経営者評価

及び監査の対象となる。

(2) 説明

上場企業等は、財務報告に係る内部統制を評価し、その結果を内部統制報告書として作

成し、内閣総理大臣に提出する必要がある（金融商品取引法第 24 条の 4 の 4）。

一方、企業における IT 利活用の現状を鑑みると、適正な財務報告を行うためには IT の

利用等が一般的と考えられることから、IT 統制（IT による会計処理の統制や IT に対する

統制）も重要となる。「財務報告に係る内部統制の評価及び監査の基準」によると、「内部

統制の基本的要素」には、「IT への対応」が含まれ、「IT への対応」は、IT 環境への対応

と IT の利用及び統制からなるとしている。

情報セキュリティは「IT への対応」に関係するものと考えられる。例えば、情報セキュ

リティの対策としてアクセス管理があるが、これは財務データが改ざんされたり、不注意

により変更されたりすることを予防するための対策となる。

また、プログラムの変更管理を行うことにより、財務データを処理するプログラムが改

ざんされたり、不注意により変更され適切な会計処理ができなくなったりすることを予防

することができる。さらに、このようなアクセス管理等のプロセスレベルの情報セキュリ

ティ対策が企業集団全体としても適切に実施できるようにするための情報セキュリティ管

理も全社的な内部統制として重要な要素と考えられる。

なお、内部統制報告書は、公認会計士等による監査を受ける必要がある（金融商品取引

法第 193 条の 2 第 2 項）。このため、公認会計士等も内部統制報告書の適正性を監査す

るために、財務報告の信頼性に関係する範囲において情報セキュリティも評価することに

なる。

- 37 -

(3) 関連法令（政省令・基準）

金融商品取引法第 24 条の 4 の 4、第 193 条の 2 第 2 項

財務報告に係る内部統制の評価及び監査の基準

財務報告に係る内部統制の評価及び監査に関する実施基準

（参考）内部統制報告制度に関する Q&A

(4) 裁判例

特になし

3. 刑事法

2-3.3.1. 電子計算機使用詐欺罪における「虚偽の情報」

電子計算機使用詐欺罪（刑法第 246 条の 2）における「虚偽の情報」とは何か。

(1) 考え方

「虚偽の情報」とは、電子計算機を使用する当該事務処理システムにおいて予定されて

いる事務処理の目的に照らし、その内容が真実に反する情報をいうものであり、金融実務

における入金、振込入金（送金）に即していえば、入金等の入力処理の原因となる経済的・

資金的実体を伴わないか、あるいはそれに符号しない情報をいうものと解した裁判例があ

る（東京高裁平成 5 年 6 月 29 日判決・高刑集 46 巻 2 号 189 頁）。

(2) 説明

①電子計算機使用詐欺罪については、刑法第 246 条の 2 に「前条に規定するもののほ

か、人の事務処理に使用する電子計算機に虚偽の情報若しくは不正な指令を与えて財産権

の得喪若しくは変更に係る不実の電磁的記録を作り、又は財産権の得喪若しくは変更に係

る虚偽の電磁的記録を人の事務処理の用に供して、財産上不法の利益を得、又は他人にこ

れを得させた者は、十年以下の懲役に処する。」と規定されている。

②下記の裁判例は、信用金庫の支店長であった被告人が自己の個人的債務の支払に窮し、

振込入金等の事実がないのに、部下の支店係員に命じ、振込入金等の電子計算機処理をさ

せ、借入先の預金口座及び事故の預金口座の残高に加算させたという事案である。

原審である東京地裁は、入金や送金の権限を有する者が、その権限を濫用する行為によ

り入金や送金を行った場合には、その濫用行為自体が犯罪を構成し、電算機による入金や

送金はその犯罪に随伴する過程として理解すべきであり、本件のように、支店長やそれに

- 38 -

代わって通常決済をすべき者が了解を与え、その了解のもとに、支店の業務として入金や

送金の手続きが行われている場合には、入金や送金自体が架空のものということはできず、

現実に入金や送金を行ったと見るのが相当であるとして、電子計算機使用詐欺罪の成立を

否定し、背任罪の成立を認めた。

これに対して、検察官から控訴がなされ、東京高裁は、「刑法 246 条の 2 の『虚偽ノ情

報』とは、電子計算機を使用する当該事務処理システムにおいて予定されている事務処理

の目的に照らし、その内容が真実に反する情報をいうものであり、本件のような金融実務

における入金、振込入金（送金）に即していえば、入金等に関する『虚偽ノ情報』とは、

入金等の入力処理の原因となる経済的・資金的実体を伴わないか、あるいはそれに符合し

ない情報をいうものと解するのが相当である。」「被告人は自己の個人的債務の支払に窮し、

その支払のため、勝手に、支店備付けの電信振込依頼書用紙等に受取人、金額等所要事項

を記載しあるいは部下に命じて記載させ、支店係員をして振込入金等の電子計算機処理を

させたものであって、被告人が係員に指示して電子計算機に入力させた振込入金等に関す

る情報は、いずれも現実にこれに見合う現金の受入れ等がなく、全く経済的・資金的実体

を伴わないものであることが明らかであるから、『虚偽の情報』に当たり電子計算機使用詐

欺罪が成立する。」と判示するとともに、「被告人の本件各行為は、（略）支店長としての業

務上の行為というよりは、個人すなわち同金庫の一般顧客と同等の立場における行為に、

自己の支店長としての地位を悪用したものとみるのが相当と思われる。」「支店長は（略）

無制限な入金等の権限を有するわけではなく、現金等の受入れの事実がないのに、特定の

口座に入金したり、振込入金したりする権限が全くないことは明らかである」などと述べ

て、原審の上記判断を否定した。

(3) 関連法令（政省令・基準）

刑法第 246 条の 2

(4) 裁判例

東京高裁平成 5 年 6 月 29 日判決・判時 1491 号 141 頁・判タ 844 号 273 頁・高

刑集 46 巻 2 号 189 頁

2-3.3.2. 口座残高改ざん－スキミングの手口と対策

スキミングとはどのような手口なのか。

刑法の規定はどのようになっているのか。

(1) 考え方

スキミング（skimming）とは、キャッシュカードやクレジットカードの磁気情報を瞬

時にコピーする手口のことである。犯人は、不正にコピーした情報を元に偽造カードを作

- 39 -

成し、本人に成りすまして、銀行預金を下ろしたり、買い物をしたりする。情報だけがコ

ピーされるので、本人が偽造カードを作成されたことに気付きにくく、被害が大きくなり

やすい。

例えば不正にクレジットカードを作成したり、それで買い物をするといったような行為

やキャッシュカードやクレジットカードの磁気情報を不正にコピーする行為等については、

罰則規定に該当すれば、処罰され得る。日頃からの危機意識や不要なカードを作らないと

か、残高確認を定期的に行うなど、自衛的な手段も大切である。

(2) 説明

①カード犯罪といえば、以前は、紛失や盗難カードをそのまま不正に使用するケースが

中心だったが、「スキマー」と呼ばれる機械を使ってカードの磁気情報を不正にコピーし、

その情報を元に大量偽造するスキミング（skimming、吸い取り）と呼ばれる手法が使わ

れるようになった。2005 年に起きた、ゴルフ場の支配人を巻き込んだスキミング事件は

記憶に新しい。

カードを利用する場合は、通常、加盟店の方で当該カードが事故カード等でないかを確

認するため、CAT 端末（与信照会端末）やPOS 端末（販売情報管理端末）から磁気情報

がカード会社に送信され、カード会社の承認が返信される。磁気情報としては、会員氏名、

会員番号、有効期限などが記録されており、さらに偽造を防止するための偽造防止コード

（暗号）が記録されている。

しかし、磁気情報の暗号化は、磁気情報を丸ごとコピーして貼り付けてしまうスキミン

グの前ではほとんど意味がない。カードの外観上から本物であることを証明する、虹色に

輝くカード会社のロゴホログラムも今では偽造可能である。デジタル情報はオリジナルと

コピーの判別が原理的に不可能であるから、このような方法で偽造されたカードは、視覚

によるチェックをくぐり抜けて、完全に本物のカードとして通用する。

また、2000 年からデビットカード24のサービスも開始している。これは金融機関のキ

ャッシュカードでそのまま店舗などでの支払を可能とするものである。店舗のカードリー

ダーにカードを通し、キャッシュカードと同じ暗証番号を入力すると、即座に利用者の口

座から店舗に代金が支払われる。

②偽造されたクレジットカードを使って買い物などする場合は、詐欺罪（同法第 246

条）や電子計算機使用詐欺罪（同法第 246 条の 2）などの規定に該当すれば、処罰され

得る。また、2001 年に刑法の一部改正が行われ、支払用カードを構成する電磁的記録に

関する規定が整備された。すなわち、支払用カードを構成する電磁的記録の不正作出（刑

24 Debit カード：金融機関発行のキャッシュカードを加盟店店頭での支払い時に利用できるサービス

- 40 -

法第 163 条の 2 第 1 項）、不正作出に係る支払用カードを構成する電磁的記録の供用（同

条第 2 項）、同電磁的記録をその構成部分とするカードの譲渡し・貸渡し・輸入（同条第

3 項）は、10 年以下の懲役又は 100 万円以下の罰金に、同電磁的記録をその構成部分と

するカードの所持は、5 年以下の懲役又は 50 万円以下の罰金（刑法第 163 条の 3）に、

刑法第 163条の 2第 1 項の罪の準備罪としての支払用カードを構成する電磁的記録の情

報の取得・提供（刑法第 163 条の 4 第 1 項）、保管（同条第 2 項）、器械・原料の準備（同

条第 3 項）は、3 年以下の懲役又は 50 万円以下の罰金に、それぞれ処することとされた。

刑法第 163 条の 2 及び第 163 条の 4 第 1 項の罪の未遂は、処罰される（刑法第 163

条の 5）。キャッシュカードやクレジットカードの磁気情報を不正にコピーする行為等は、

これらなどの規定に該当すれば、処罰され得る。

③カード犯罪対策は技術との闘いである。技術的なセキュリティを常に高めることが必

要である。現在、カードそのものに小型のコンピュータである IC チップを組み込んだ IC

カード化への移行が進められている。IC カードは独自の演算機能をもち、磁気カードに比

べ記憶容量が飛躍的に増すため、極めて高度で複雑なセキュリティ・システムを実現する

ことができる。しかし、現在の技術では偽造が不可能と言われる IC カードも、100％安

全とは必ずしも言い切れない。

(3) 関連法令（政省令・基準）

刑法第 163 条の 2（支払用カード電磁的記録不正作出等）、第 163 条の 3（不正電磁

的記録カード所持）、第 163 条の 4（支払用カード電磁的記録不正作出準備）、第 163 条

の 5（未遂罪）

(4) 裁判例

特になし

- 41 -

4. 完全性を補完する制度

2-3.4.1. 電子署名法

電磁的記録の真正な成立の推定に関して、どのような法律があるか。25

(1) 考え方

電磁的記録の真正な成立の推定に関する法律として、「電子署名及び認証業務に関する法

律」（以下、電子署名法）がある。

(2) 説明

電子署名法においては、電子署名に関し、電磁的記録の真正な成立の推定（法第 3 条）、

特定認証業務に関する認定の制度（法第 4 条等）、その他必要な事項を定めることにより、

国民による電子署名の円滑な利用を確保し、電子商取引を始めとするネットワークを利用

した社会経済活動の一層の推進を図ることとしたものである。

電子署名法第 2 条第１項の「電子署名」の定義は、この法律が適用される電子署名、認

証業務等の範囲を限定するものである。そこで、いわゆる技術的中立性の要請に配慮し、

電子署名の方式、方法等に着目した定義を避け、電子署名の機能等に着目した定義を採っ

ている。同項第１号はいわゆる「なりすまし」防止に対応するもの、同項第二号は「改ざ

ん」防止に対応するものであり、これら 2 つの脅威への対応がなされることで、もう一つ

の脅威である「送信否認」も防止することができる。

また、電子署名法の体系では、認証業務を 3 段階に定義している。電子署名が行われた

情報を受け取った者は、電子署名を行った者が誰であるのかを確認する必要があるが、認

証業務とは、その確認のために用いる情報が利用者に係るものであることを証明する業務

のことである（法第 2 条第 2 項）。また、この中から主務省令で規定された基準に適合す

る電子署名について行われる認証業務を「特定認証業務」（法第 2 条第 3 項）、さらに、設

備や業務の実施方法に係る基準を満たし、認定を受けた認証業務を「認定認証業務」（施行

規則第 6 条第 2 号）と称している。

(3) 関連法令（政省令・基準）

電子署名及び認証業務に関する法律

民事訴訟法

25 本項は、法務省、総務省、経済産業省「電子署名及び認証業務に関する法律の施行状況に係る検討会報告書」（平成

20 年 3 月）より、該当部分抜粋。

- 42 -

(4) 裁判例

特になし

第4節 可用性（A）に関するもの

1. はじめに

可用性とは、許可された利用者が必要な際に情報及び関連資産にアクセスできることを

確実にすることをいう。

可用性に関して管理責任を課す法令についても、専ら総論において述べた個人情報保護

法や会社法上の内部統制の一部がある。可用性についても、第三者から法的責任を問われ

ないために内部規定等の整備を行っておくことが必要となる場合がある。

加害行為について規制する法令については、まず、民法上は、損害賠償請求、差止請求

権等が認められる。この点について問題となるのは、データの紛失、消失に関して損害賠

償額がどのように算出されるかという点である（2-4.2.1. ）。

2. 民事責任

2-4.2.1. 情報媒体の財産的価値

他者のデータを紛失・消失した場合、損害賠償額は、どのように算出されるのか。

(1) 考え方

裁判例によれば、データ修復作業の経済的価値が損害額とされる。

(2) 説明

情報媒体が債務不履行・不法行為等によって滅失・損傷した場合に、責任が成立すると

認められると、「通常生ずべき損害」及び、「特別の事情によって生じた損害であって（中

略）、当事者がその事情を予見し、又は予見することができた」ものについて損害賠償責任

を負担することになる（民法第 416 条）。これらの「損害」を考える上では、情報媒体の

価値をどのようにして算定するかという点が問題になる。

理論的に考えると、①認められるべき損害賠償額は媒体の価値であるという考え方と、

②情報の価値であるという考え方があり得る。裁判例は、運送人が情報媒体を滅失した場

合の損害賠償責任に関して、データ修復作業の経済的価値を損害額として認めている。こ

れは、②の考え方に立つことを前提として、情報の価値はそれ自体としては算定できない

ため、失われた情報を復元する作業のためのコストによって算定したものと思われる。そ

して、それは「通常生ずべき損害」として認められている。

- 43 -

このような裁判例は、一般論として、①の考え方を排除するものではないであろう。例

えば、滅失・損傷したデータが媒体に収納された状態で取引の対象となるような場合（例

えば、汎用ソフトウエアの CD-ROM による販売）は、その取引価格を鑑定等の方法によ

って認定し、損害額とすることもあり得ると思われる。

なお、フロッピーディスクが運送中に紛失したという事案では、データ修復作業のコス

トが損害賠償額と認められた結果、かえって、フロッピーディスクが高価品とされ、運送

人は明告の欠如を理由として責任を免れることになった。立法論としては、高価品の明告

という制度そのものに疑問があり、少なくとも情報媒体のような場合に適用すべきか否か

は疑問があるが、裁判所は考慮していない。

(3) 関連法令（政省令・基準）

民法第 415 条、第 416 条

商法第 578 条、第 580 条、第 581 条

国際海上物品運送法第 12 条の 2

(4) 裁判例

岡山地裁平成 14 年 11 月 12 日判決（平成 13 年（ワ）第 967 号）26

神戸地裁平成 2 年 7 月 24 日判決・判時 1381 号 81 頁・判タ 743 号 204 頁

26 最高裁ウェブサイト、岡村久道『情報セキュリティの法律』229 頁

- 44 -

第3章 管理策を講じる上での要求事項

第1節 はじめに

ここまで論じてきたように、情報を管理する事業者が情報について一定の管理責任を問

われる場合があり、また、不正競争防止法のように情報を管理する事業者自らが法的保護

を受け得るため、情報について一定の管理を行わなければならない場合がある。もっとも、

情報を管理する事業者が管理責任を全うするためにどのようなことをしても構わないとい

うわけではなく、他の法令が許容する範囲内で管理責任を果たさなければならないのは当

然である。

以下では、管理策を講じるに当たって、他の法令との関係で留意する点につき言及する。

第2節 労働法、労働者派遣法、従業員のプライバシー保護との関係－

事前防止策

3-2.1.1. 従業員との関係での情報セキュリティ体制の確立

企業は、従業員が情報セキュリティ上の事故を発生させる事態を未然に防止し、また、こう

した事態が発生した場合に適切な対応をとるために、雇用関係上どのような措置を講じてお

くべきか。

(1) 考え方

企業が従業員との関係で情報セキュリティ体制を確立する上では、情報セキュリティを

めぐる企業と従業員との関係を明確にしておくことが重要である。

このような体制は、労働法制に適合した形で行われる必要があるが、その際、特に就業

規則を適切な形で作成することが重要になる。

(2) 説明

1) 従業員との関係において構築すべき情報セキュリティ体制

企業が情報セキュリティを確保する観点から、従業員との関係において講じておくべき

措置としては、まず、従業員が職務遂行にあたって情報セキュリティの観点から遵守すべ

き事項を、従業員の服務上の義務（服務規律）としてあらかじめ定めておくことが挙げら

れる。こうした事項の遵守は、個別の業務命令等によってもある程度対応は可能であるが、

情報セキュリティ体制を確立するという観点からは、明確な服務規律の定めを設けて周知

徹底を図ることが望ましい。また、後述するように、こうした定めを設けることが法律上、

使用者に義務付けられている場合も存在する。

- 45 -

また、こうした服務上の義務の履行を確実なものとするためには、従業員が義務に違反

し、情報セキュリティ上の事故を生じさせた（あるいはそのおそれがある）場合には事実

関係を確認し、違反の事実が確認された場合には迅速に是正するとともに、必要に応じて

従業員に対して懲戒処分等の制裁を課すことが可能な体制を整えておくことが重要である。

こうした観点からも、事実関係の調査や懲戒処分との関係で、あらかじめ関連する規定を

整備しておくことが必要になる。

以上のような情報セキュリティ体制の構築にあたって、特に重要になるのが、就業規則

上の規定の整備である。

2) 就業規則に関する法令上の要求事項

現行法上、就業規則に関する法令上の要求事項の概要は、次のとおりである。

・まず、常時 10 人以上の労働者を使用する事業場において使用者に就業規則作成が義務

付けられる（労働基準法第 89 条）。

就業規則作成が義務付けられる場合においては更に、以下の事項が要求される。

・ 労働基準法第 89 条各号所定の事項の就業規則への記載（第 1 号から第 3 号までは、

必ず記載すべき事項（絶対的必要記載事項）であり、第 3 号の 2 から第 10 号まで

は、該当する定めをおく場合には就業規則に記載する必要がある事項（相対的必要記

載事項）である）。（表 3-1 参照）

・ 就業規則新規作成時及び変更時における、事業場の労働者代表の意見聴取（同第 90

条）

・ 就業規則新規作成時及び変更時における、所轄労働基準監督署長への届出（同第 89

条及び第 90 条、同法施行規則第 49 条）

・ 法令所定の方法による、事業場の労働者への就業規則の周知（同第 106 条、同法施

行規則第 52 条の 2、なお労働契約法第 7 条、第 10 条も参照）

情報セキュリティ関連の規定を整備するに際しては、以下のような点に特に留意が必要

であろう。

第 1 に、就業規則に記載すべき事項については、労働基準法第 89 条の第 1 号から第 9

号までに具体的に列挙されていない事項であっても、当該事業場のすべての労働者に適用

される事項（一定の範囲の労働者のみに適用される事項ではあるが、労働者のすべてがそ

の適用を受ける可能性があるものも含まれると考えられる）については、同条第 10 号に

より、就業規則に規定を設ける必要がある。

したがって、情報セキュリティとの関係で問題となる規定は、第 9 号までに該当しない

- 46 -

としても、第 10 号に該当するものとして、就業規則で定めておく必要がある場合がほと

んどであろう。

第 2 に、基本的には上記第１点で述べたとおりであるものの、次に掲げる事項について

は、就業規則作成義務を負う使用者においても、就業規則に記載する義務は生じない。

・ 労働基準法第 89 条第 1 号から第 9 号までに列挙されておらず、かつ、事業場のす

べての労働者に適用されるもの（同条第 10 号）にも該当しない（例えば、事業場内

の特定の部署や職種の労働者のみを対象とする）事項

・ 就業規則に記載する義務のある事項について、（その基本的内容が就業規則に記載さ

れていることを前提として）その実施のための具体的な作業手順等の細目に関する事

項

これらの就業規則への記載が義務付けられない事項についても、情報セキュリティに関

するルールとして設定するものであれば、使用者は何らかの形で規程を整備しておくべき

である。その方法としては、就業規則の一部として記載する方法（記載が義務付けられて

いない事項を使用者が任意に就業規則に記載することは差し支えない）と、就業規則とは

別に内規等の形で定めておく方法が考えられる。

前者による場合には、就業規則に記載された事項については、使用者と従業員の間の権

利義務関係を設定する効力（後述）が生じる一方、新たに規定を設けたり、変更したりす

る際に、上述した労働基準法が定める手続（意見聴取、届出など）を履行する必要が生じ

る。後者による場合には逆に、使用者と従業員との間の権利義務関係を設定する根拠とし

ては就業規則より弱いものとなる反面、規定の新設・変更時の手続は（労働基準法の規律

を受けないので）簡便なものとなる。

そこで、使用者としては、こうした得失を考慮しつつ規定の形式を選択すべきであり、

例えば、従業員に対する服務上の義務付けを確実に行う必要の高い重要な事項については

就業規則で定める、頻繁な変更が見込まれる細則的な定めについては内規で定める、等の

対応が考えられる。

なお、就業規則とは別に定められた内規等の規程は、前述のとおり、就業規則と比べる

と法的な情報セキュリティ体制を構築する際の根拠として弱いものではあるが、（内規の

内容を使用者の指揮命令と捉える等の法律構成で）その内容を従業員の服務上の義務と解

する余地はあるものと考えられる。

そのためには、内規と就業規則の関連付け（就業規則上のどの規定の内容を具体化した

内規であるか等）を明確化することや、内規の内容について積極的な周知徹底を図ること

等が必要となるであろう（情報セキュリティに関する事件ではないが、内規の形で定めら

- 47 -

れた消費者金融会社の貸付基準を遵守する従業員の義務を認めた例として東京地裁平成

17 年 7 月 12 日判決・労判 899 号 47 頁）。

第 3 に、就業規則は必ずしも単一の文書として作成しなければならないわけではなく、

例えば、情報セキュリティに関する定めを「業務用コンピュータ利用規程」等の形で就業

規則の本則とは別に定めておくことも差し支えない。この場合には、就業規則の本則に、

該当の情報セキュリティ関連の事項については別途定める規程による旨を定めておくこと

が望ましい（昭和 63 年 3 月 14 日基発 150 号、平成 11 年 3 月 31 日基発 168 号）。

なお、このように就業規則の一部を形式上独立の規定とする場合にも、労働基準法の適

用上は、こうした独立規定と本則を合わせたものを一つの就業規則として扱うことになり、

独立規定を変更する際にも、同法が定める意見聴取、届出等の手続をとる必要がある。

第 4 に、常時使用する従業員数が 10 人未満の事業場においては、就業規則の作成は任

意であるが、就業規則を定めておくことには、後述するように、従業員との間の権利義務

関係を一括して設定できるメリットがあり、また、従業員に懲戒処分を課すためには就業

規則に根拠規定を設けておく必要があることから、こうした小規模の事業場においても、

情報セキュリティ体制を整備する上では、就業規則を作成しておくことが望ましい。

このように就業規則作成義務が生じない事業場について使用者が任意に就業規則を作成

する場合にも、上記の要求事項のうち、従業員への周知については、作成義務が存在する

場合と同様の対応が必要となる。

3) 情報セキュリティとの関係での就業規則の意義及び運用上の留意点

上記の法的要請を満たす形で作成、運用される就業規則には、情報セキュリティの観点

からは、次に挙げるような意義が認められる。

第 1 に、就業規則には、その内容が合理的であることと、従業員に対して周知させる手

続が取られていることを要件として、当該就業規則の適用を受ける労働者の労働契約内容

を定める効力が認められる（労働契約法第 7 条。なお、上記の 2 要件のうち周知について

は、問題となる従業員（労働者）が所属する事業場において周知がなされている必要があ

る。最高裁第二小法廷平成 15 年 10 月 10 日判決・労判 861 号 5 頁参照。また、この

場面での周知は前述の労働基準法第 106 条の場合と異なり、従業員が就業規則の内容を

知り得る状態にあれば、その方法は問われないというのが通説的理解であるが、労働基準

法第 106 条による周知の要請が別途存在する以上、企業としては同条所定の方法による

周知を心がけるべきである）。したがって、企業が情報セキュリティの観点から、従業員

が遵守すべき事項を就業規則に定めてこれを従業員に周知させた場合、その内容が情報セ

キュリティ確保の手段として合理的なものである限り、これを遵守すべき従業員の義務の

- 48 -

存在が認められ、従業員に遵守を求める使用者の対応は法的根拠を伴ったものとなる。

第 2 に、判例によれば、企業が従業員に対して懲戒処分を行うためには、就業規則上の

懲戒の種別及び事由を定めておくことが必要である（前掲・最高裁第二小法廷平成 15 年

10 月 10 日判決）。したがって、情報セキュリティ上の問題を生じさせた従業員に対し、

制裁として懲戒処分を課すためには、就業規則上の根拠規定の整備が不可欠となる（実際

に懲戒処分を行うためには更に、就業規則所定の懲戒処分事由への該当性、懲戒権濫用の

成否（労働契約法第 15 条）などが更に問題になる）。

なお、こうした就業規則規定の違反に対して現実に懲戒処分を行う場面としては、情報

セキュリティ上のルール違反によりインシデントが発生した場合（この点については

3-3.1.2 を参照）と、単にルール違反が生じている段階で処分を行う場合が考えられるが、

このうち事前のインシデント予防策として懲戒処分を行う後者の場合、懲戒処分事由（ル

ール違反行為）の重大さの評価は、一般的にいえば具体的なインシデントが生じた場合に

比して低いものとなる。

このため、適法・有効な懲戒処分を行うという観点（主として懲戒権濫用の成否が問題

となる）からは、処分内容の選択や処分に至る過程において留意が必要となる。懲戒処分

を課すことの可否や、どの程度重い処分までが許容されるかは、ルール違反がインシデン

トを惹起する蓋然性、想定されるインシデントの重大性、従業員の職種・地位（情報セキ

ュリティに対して特に高い意識が求められるものかどうか）、平素におけるルールの周知・

徹底のあり方、過去における同種事案への対応事例など、当該事案における様々な事情に

左右されるところであり、実務上の指針となる公刊裁判例も必ずしも多くないが、基本的

には、発見されたルール違反に対し、懲戒処分事由に該当する行為である点を指摘しつつ

注意を与えて是正を促した上で、なお従業員の態度が改まらずに違反が繰り返される場合

に、比較的軽い処分を行うことが許容され得るものと考えておくべきであろう（この点に

ついては私用メール等の規制に関する 3-2.1.4 も参照）。

以上が、情報セキュリティとの関係での就業規則規定を整備することの意義であるが、

就業規則の効力、意義については、企業と従業員との間で締結される個別合意や労働協約

との関係で、以下のような留意も必要である。

まず、従業員との間で個別に合意することで就業規則と異なる労働契約内容を定めるこ

とは、就業規則の定めよりも従業員に有利な内容を合意する場合に限って許容される（労

働契約法第 7 条但し書、第 12 条）。したがって、このような個別の合意により、特定の

従業員について情報セキュリティ上の義務を軽減することは可能であるが、逆に就業規則

の定めよりもこれを加重することはできない（このような合意をしても、労働契約法第 12

条により、従業員が負う義務の内容は就業規則の定めどおりとなる）。

- 49 -

このように、従業員に対する情報セキュリティ上の義務付けについて個別合意を通じて

行うことには就業規則との関係で制約があることを考慮すると、企業が従業員との関係で

情報セキュリティ体制を確立する上で、個別合意が果たす役割は一般的にいえば限られた

ものとなる（主たる役割は就業規則が担うことになる）。このことを前提として、個別合

意に依ることが考えられる事項としては、次のようなものが考えられる。

第 1 に、就業規則で概括的に定められた事項の内容を、個々の従業員との間で個別合意

によって具体化することである。典型的な例としては、秘密保持義務の定めについて、就

業規則上は、業務上知り得た会社の秘密の漏えい・業務外利用禁止という概括的な定めを

置いておき、個々の従業員との間で、当該従業員の職務内容に即した形で「業務上知り得

た秘密」の具体的内容を個別合意により特定する場合が挙げられる。

このような場面では、個別合意を通じて従業員が負う義務の内容が具体化されることに

より、企業は、事後的に問題が生じた際に従業員に対して債務不履行責任の追及や懲戒処

分を行おうとする際の法的リスクを軽減し得る（懲戒処分については、個別合意それ自体

は懲戒処分の根拠とはなり得ないと考えておくべきであるが、就業規則上に服務上の義務

違反等が懲戒処分事由として定められている場合に、個別合意の違反が当該処分事由に該

当するものとして懲戒処分を行うことができ、その際、個別合意の内容が具体的であれば、

懲戒処分事由該当性が否定されたり懲戒権濫用が成立したりするリスクを軽減できると考

えられる）。

第 2 に、従業員に対して退職後の秘密保持義務や競業避止義務を課すことについては、

こうした退職後の法律関係について就業規則で定めることの可否につき疑義がある

（3-2.1.6 参照）。このため、これらの事項については、個別合意で定めておくことが望

ましい（なお、このことが妥当するのは、退職後の従業員に不作為債務としての秘密保持

義務ないし競業避止義務を課す定め（3-2.1.6 (1)「考え方」掲記の①②）についてであ

り、退職後の競業行為を理由とする退職金の削減、返還の定め（同③）については、退職

金について定める就業規則の中にその旨を規定しておけば足りる）。

次に、労働協約との関係では、労働協約の適用を受ける従業員については、労働協約の

効力が就業規則に優先する（労働基準法 92 条、労働契約法 13 条。なお、労働協約は個

別合意との関係でも優先的効力を持つ。労働組合法 16 条）。このため、会社が締結する

労働協約の中に、情報セキュリティ体制の構築に影響を及ぼす規定がある場合には、当該

労働協約の効力が存続している限り、当該労働協約の適用を受ける従業員について、就業

規則等で労働協約と異なる定めをすることはできない（そのような就業規則等の定めは効

力を持たない）ことに留意が必要である。

- 50 -

(3) 関連法令（政省令・基準）

労働基準法第 89 条、第 90 条、第 106 条

労働契約法第 7 条、第 10 条、第 12 条

(4) 裁判例

本文中に記載のもの

- 51 -

表 3-1

労働基準法（最終改正：平成 19 年 12 月 5 日法律第 128 号）抜粋

（作成及び届出の義務）

第 89 条 常時 10 人以上の労働者を使用する使用者は、次に掲げる事項について就業

規則を作成し、行政官庁に届け出なければならない。次に掲げる事項を変更した場合にお

いても、同様とする。

号 事項 絶対的／相対的

必要記載事項

一 始業及び終業の時刻、休憩時間、休日、休暇並びに労働者を二組以

上に分けて交替に就業させる場合においては就業時転換に関する

事項

絶対的

二 賃金（臨時の賃金等を除く。以下この号において同じ。）の決定、

計算及び支払の方法、賃金の締切り及び支払の時期並びに昇給に関

する事項

絶対的

三 退職に関する事項（解雇の事由を含む。） 絶対的

三

の

二

退職手当の定めをする場合においては、適用される労働者の範囲、

退職手当の決定、計算及び支払の方法並びに退職手当の支払の時期

に関する事項

相対的

四 臨時の賃金等（退職手当を除く。）及び最低賃金額の定めをする場

合においては、これに関する事項

相対的

五 労働者に食費、作業用品その他の負担をさせる定めをする場合にお

いては、これに関する事項

相対的

六 安全及び衛生に関する定めをする場合においては、これに関する事

項

相対的

七 職業訓練に関する定めをする場合においては、これに関する事項 相対的

八 災害補償及び業務外の傷病扶助に関する定めをする場合において

は、これに関する事項

相対的

九 表彰及び制裁の定めをする場合においては、その種類及び程度に関

する事項

相対的

十 前各号に掲げるもののほか、当該事業場の労働者のすべてに適用さ

れる定めをする場合においては、これに関する事項

相対的

- 52 -

3-2.1.2. 企業秘密に関する誓約書の要請

顧客名簿データなどの企業秘密の守秘に関する誓約書を従業員から取る意義とは何か、ま

た、取る際にどのようなことを考慮すべきか。

(1) 考え方

誓約書を取る意義としては、在職中の秘密保持義務を明確化できるということと、退職

後の秘密保持義務を明確化することが挙げられる。誓約書を取るタイミングとしては、プ

ロジェクトへの参加時など、具体的に企業秘密に接する時期がより適切であるといえる。

対象とする秘密情報はできるだけ具体化すべきである。

(2) 説明

1) 在職中の秘密保持義務の明確化

労働契約は、賃貸借契約等と同様に継続的性格を有することから労使双方の信頼関係が

重視される。そのため、労使はともに相手方の利益を不当に侵害しないことが求められる

（労働契約法第 3 条第 4 項、民法第 1 条第 2 項）。このことから、従業員は、仮に労働契

約において特別に定めがなくても、企業秘密遵守の義務を負うと考えられている。しかし

責任の範囲などが必ずしも明確とはいえないことから、契約上の特約または就業規則上の

条項によって秘密保持を定めておくことが有効であると考えられている。もっとも、就業

規則に秘密保持に関する規定があっても、抽象的な規定に留まらざるを得ないためどの程

度の義務を負うかも明確ではない。そのため、義務の内容を具体化する観点からも、誓約

書を取ることは意味がある。

ただし、誓約書に違反したからといって、常に懲戒処分が有効とされるわけではないこ

とに注意を要する。懲戒処分は、「懲戒処分に係る労働者の行為の性質及びその態様その他

の事情に照らして、客観的に合理的な理由を欠き、社会通念上相当であると認められない

場合には、その権利を濫用したものとして、当該懲戒は、無効」となる（労働契約法第 15

条）からである。懲戒処分を科すためには、就業規則に列挙された懲戒事由に該当するこ

とが必要であり、実際に企業秩序を乱している事情が必要である。

2) 退職後の秘密保持義務の明確化

退職後には、原則として在職中負っていた労働契約の信義則上の守秘義務が退職により

消滅すると考えられるので、誓約書を取っておくことが望ましい。誓約書を取るタイミン

グとして、従業員の退職時、あるいは退職後に誓約書を取ることも考えられないわけでは

ない。しかし、退職時あるいは退職後には従業員がこれに応じないことも少なくないもの

と考えられる。

- 53 -

また、入社時に取った誓約書では、抽象的な内容とならざるを得ないため、その有効性

には限界がある（このような問題は、後から誓約書が有効か否かをめぐって争いになる）。

そこで、義務を具体化するといった観点からも、もっとも適切な方法としては、企業秘密

に接する段階において守秘すべき情報を特定した上でかかる情報に関する守秘について合

意する旨の誓約書を当該従業員から取得することなどが考えられよう。なお、従業員の退

職後に競業避止義務、秘密保持義務を課す場合の留意点については、3-2.1.6 を参照のこ

と。

3) 従業員が誓約書への署名に応じない場合の措置

誓約書への署名については労働契約上使用者が有する業務命令権が及ぶとは考えられな

いため、業務命令の対象とすることはできない。したがって、従業員が署名を拒否したこ

とを業務命令違反として懲戒処分を行うことはできない。また、誓約書に署名しないとい

う行為が、企業秩序を侵しているとまでいえないため、この観点からも懲戒処分にはでき

ない。

もっとも、誓約書を提出しない従業員をプロジェクトに参加させないことは認められる。

これは、人事権の行使の範囲内にあたるので可能である。誓約書を提出しない従業員に対

しては、このような人事権の行使で対処することになろう。

4) 誓約書の対象情報

誓約書の対象となる情報について、裁判例（奈良地裁昭和 45 年 10 月 23 日判決・判

時 624 号 78 頁）は、従業員本人が仕事の中で自然に身につけたスキルのような情報に

制約を課すことができないとしている。したがって、そのような情報を誓約書の対象とす

べきではない。

上記のもの以外についても、守秘すべき必要の特にない情報を含め広く誓約書を取るこ

とは、あまり望ましいとはいえない。後に誓約書の内容が争いになった場合、誓約書の有

効性が否定されるおそれがあるからである。したがって、それぞれの従業員が守秘すべき

情報をできるだけ特定し、具体化すべきであろう。

なお、本件は不正競争防止法に関連しており、この点については、3-2.1.7.を参照。

(3) 関連法令（政省令・基準）

憲法第 19 条

民法第 1 条第 2 項

労働契約法第 3 条第 4 項

- 54 -

(4) 裁判例

奈良地裁昭和 45 年 10 月 23 日判決・判時 624 号 78 頁

大阪高裁昭和 53 年 10 月 27 日判決・労判 314 号 65 頁

東京地裁平成 15 年 10 月 17 日判決・労経速 1861 号 14 頁

東京高裁平成 14 年 5 月 29 日判決・判時 1795 号 138 頁

3-2.1.3. 私用メール等のモニタリング

企業が従業員による秘密情報流出・漏えいの未然防止、早期発見のために、従業員に提供す

る業務用の電子メールアドレスを用いた通信の内容に対してモニタリングを行うことにつ

いて、法律上問題点になる点、留意すべき点は何か。

(1) 考え方

企業が従業員に提供する業務用の電子メールアドレスやコンピュータ端末は､従業員の

私的な通信など、私的な目的でも利用されることが少なくない実態がある｡このため、こう

した私的利用に伴う私的な通信･情報との関係で､企業が行う電子メール等のモニタリング

は、従業員に対するプライバシー侵害の問題を生じさせる可能性がある。

また、従業員による電子メールやコンピュータの利用に関する情報が、従業員の個人情

報に該当する場合、これに対するモニタリングは、企業による個人情報の取得に該当する

ため、個人情報保護法への抵触が生じるおそれもある。

企業は、こうした問題についての法的リスクを回避・軽減するために、まず、業務用の

電子メールアカウントやコンピュータ端末の利用に関する規程を設け、その中で、私的利

用についてのルールを明確化するとともに、個人情報保護法制に適合的な形でモニタリン

グについて規定し、従業員への周知徹底を図るべきである。その上で、当該規程に基づい

てモニタリングを行う際には、モニタリングを必要とする個別具体の事情（例えば具体的

な情報流出のおそれや既に流出が生じている可能性の有無・程度）も考慮しつつ、社会的

に相当な範囲を逸脱する監視（例えば不必要な監視、従業員に過度の心理的圧迫を与える

監視）と評価されることがないよう、具体的な手段・態様に注意を払うべきである。

なお、以上の問題のうち、プライバシー侵害の問題は、理論上は、電子メール等の私的

利用が許容されていることを前提として発生するものといえる。この点につき、企業が従

業員の私用メールや業務用コンピュータの私的利用を禁止することには服務規律上の根拠

が認められるが、一方で過度に渡らない私用メール等が許容されるべきことは社会通念と

して一定の定着をみていると考えられるため、そのことへの配慮が必要となる。そのため、

- 55 -

私用メール等につき、全面禁止やそれに近い厳しい規制をする場合にはそのことを必要と

する合理的理由と、従業員が私用メール等に代替する私的通信手段を利用することへの配

慮が求められると考えられる。

(2) 説明

1) 電子メール等のモニタリングをめぐる問題点

企業が従業員の利用する電子メール等をモニタリングすることには、次に挙げるように、

従業員に対するプライバシー侵害と、個人情報保護法の観点から、法的な問題が生じ得る。

①プライバシーに関する問題点と裁判例の状況

まず、企業が電子メール等のモニタリングを通じて、私的利用に伴う従業員の私的な情

報を知ることは、従業員のプライバシーを侵害する違法な行為とされる可能性がある。

この点については近時いくつかの下級審裁判例が現れており、それらにおいて示された

考え方は、概ね次のようなものである（東京地裁平成 13 年 12 月 3 日判決・労判 826

号 76 頁、東京地裁平成 14 年 2 月 26 日判決・労判 825 号 50 頁、東京地裁平成 16

年 9 月 13 日判決・労判 882 号 50 頁など）。

i) まず、電子メール等の私的利用について、これを禁止する服務規律上の定めが存在し

ないか、存在しても、その実効性確保に向けた取り組みが十分でない場合（これまで裁判

例においてプライバシー侵害が問題になったのは全てこのような事案である）、社会通念に

照らして過度にわたらない私的利用が許容されているものと解される。

ii）このように、電子メール等の私的利用が一定範囲で許容されている場合、私的利用に

伴う従業員の私的情報はプライバシーによる保護の対象となり得る。ただし、このような

場合にも、企業が行うモニタリングが直ちにプライバシー侵害として違法になるわけでは

ない（裁判例の中には、このことに関連して、電子メール等の私的利用の場合には使用者

が管理する領域（サーバ上のファイル等）に情報が残ることなどから、私用電話のような

ケースに比べるとプライバシーによる保護の程度は弱いものとなる旨を述べるものもある。

前掲・東京地裁平成 13 年 12 月 3 日判決）。

iii) 具体的にプライバシー侵害が成立するかどうかの判断は、モニタリングの目的が企業

運営上必要かつ合理的なものか、その手段・態様は相当か、従業員の人格や自由に対する

行き過ぎた支配や拘束にならないか、従業員の側に監視を受けることも止むを得ないよう

な具体的事情が存在するか、等の要素を総合的に考慮し、モニタリング行為が社会通念上

相当として許容される範囲を逸脱するかどうかを判断するという枠組みの下で行われ、こ

れが肯定される場合にプライバシー侵害が成立する｡

- 56 -

なお、このようなプライバシー侵害の問題は、基本的には被監視者とされた従業員に対

して企業が不法行為（民法第 709 条、第 715 条）に基づく損害賠償責任を負うことにな

るかという問題であるが､プライバシー侵害の程度が重大である場合には、そのような違法

性の強いモニタリング等の行為によって得られた情報は従業員に対する懲戒処分等の不利

益を課す根拠となし得ないものとされる可能性もある（結論としては否定したが、このよ

うな処理の可能性を認めた例として、前掲・東京地裁平成 16 年 9 月 13 日判決）｡

② 個人情報保護法上の問題点と関連する規定等

次に、個人情報保護法との関係では、企業が行う電子メール等のモニタリングに対して

同法の規制が及び、具体的対応いかんによって同法違反が成立するおそれがある。

すなわち、従業員による電子メールやコンピュータの利用に関する情報（メールの文面、

アクセス履歴等）は、当該情報それ自体から、あるいは企業が管理する他の情報と容易に

組み合わせることで利用者を特定し得るものについては個人情報保護法第2条第1項にい

う個人情報に該当する｡そして、このような個人情報を企業が電子メール等のモニタリング

を通じて取得することは、従業員の個人情報の取得に該当する。このため､同法第 2 条第

3 項にいう個人情報取扱事業者に該当する企業がモニタリングを行う際には、取得される

個人情報の利用目的の特定及びその通知等（同法第 15 条第 1 項、第 18 条）、本人の同

意を得ない取得情報の目的外利用の原則禁止（同法第 16 条）、さらに、取得した個人情報

が個人データ（同法第 2 条第 4 項）に該当する場合には、本人の同意を得ない取得情報の

第三者への提供の原則禁止（第 23 条)などの同法が定める事項を遵守しなければならない。

なお、個人情報取扱事業者に該当しない企業には、上記のような個人情報の管理に関す

る義務を定める個人情報保護法の規定は適用されないが、このような企業も、個人情報保

護法の規定に準じた形で適正に従業員の個人情報を管理するように努めることが望まれる

（例えば、｢雇用管理に関する個人情報の適正な取扱いを確保するために事業主が講ずべき

措置に関する指針｣(平成 16 年 7 月 1 日厚労告第 259 号)第四参照）｡

以上のほか、個人情報保護法制との関係では、経済産業分野の個人情報保護ガイドライ

ンの定めも、企業が電子メール等のモニタリングを行う際に留意すべき点を検討する上で

参考になる（経済産業分野の個人情報保護ガイドライン 2-2-3-3 の該当部分は、直接的

には、従業員が他者（顧客等）の個人情報を扱う際の扱いの適正化を確保するために事業

者が行うモニタリングに関するものであるが、従業員自身の個人情報保護という観点から

適正なモニタリングのあり方を考慮する上でも参考になる）｡

同ガイドラインは、以下のようにすることが望ましいとしている。

モニタリングに関する事項等は、労働組合に通知し、必要に応じて、協議を行うこと。

- 57 -

モニタリングの目的、すなわち取得する個人情報の利用目的をあらかじめ特定し、社内規

程に定めるとともに、従業員に明示すること｡モニタリングの実施に関する責任者とその権

限を定めること｡モニタリングを実施する場合には、あらかじめモニタリング実施について

定めた社内規程案を策定するものとし、事前に社内に徹底すること。モニタリングの実施

状況については、適正に行われているか監査又は確認を行うこと｡

2) 電子メール等のモニタリングについて企業が講ずべき措置

以上のような裁判例・法令等の状況を前提とすると、企業は、電子メール等のモニタリ

ングを行う際には、従業員に対するプライバシー侵害や個人情報保護法への抵触という法

的リスクの回避・軽減を図るという観点から、以下のような措置を講ずべきである｡

① モニタリングに関する規程の整備

まず、業務用の電子メールアカウントやコンピュータの利用方法に関する規程を整備し、

その中で、電子メール等のモニタリングについての規定を置くべきである｡このような規定

を置き、それに従ってモニタリングを行うことは、モニタリング行為の手段・方法の相当

性を肯定する要素となるなど、前述した、プライバシー侵害の成否についての判断( 1)①

の iii））において、侵害のリスクを回避・軽減することにつながる｡また、個人情報保護法

との関係では、このような規程の中でモニタリングによって収集した従業員の個人情報の

利用目的を示すことで、利用目的の特定・通知等という同法上の要求事項を満たすことに

なる｡

こうした規程は、事業場の全従業員を対象としたものであるときには、就業規則に記載

することが労働基準法上要求される（労働基準法第 89 条第 10 号）｡また、事業場の全従

業員を対象としていない場合及び使用者に就業規則の作成義務がない場合（労働基準法第

89 条参照。これらの場合、就業規則に記載する法律上の義務はない）にも、対象となる

事項が情報セキュリティ上の重要な事項であることからすると、就業規則に記載しておく

ことは望ましいといえる。作成した規程は、就業規則として作成したかどうかに関わらず、

対象となる従業員に周知する必要がある（就業規則の周知については、労働基準法第 106

条、労働契約法第 7 条、第 10 条参照。就業規則の形をとらない場合にも、上述した法的

リスクの回避・軽減を実現するためには従業員への周知が不可欠である）。

規程中でモニタリングに関する事項として規定しておくべき事項としては、次のような

ものが挙げられる。

・モニタリング対象となる機器等の私的利用（私用メール等）に関するルール（私的利用

の許容範囲等）

・モニタリングを実施する権限と責任の所在（権限・責任が帰属する職制･部署等）

- 58 -

・モニタリングを実施する目的（収集情報の利用目的）

・モニタリングの具体的実施方法（調査の対象となる媒体等及び調査の手法、事前予告の

有無等の調査実施手続き）

このほか、収集した情報の保存期間、収集情報の第三者提供を原則として行わないこと

（個人情報保護法第 23 条参照）、モニタリングの適正を確保するための監査に関する事項

などについての規定を置くことも考えられる｡

いくつかの点に説明を補足すると、まず、私的利用の許容範囲等に関する定めは、これ

をどのように設定するかによって、モニタリングとの関係で保護の対象となる従業員のプ

ライバシーの範囲に影響を及ぼす(前記 1)①の i) ii)参照）。この点について、理論上は、

私的利用を一切禁止するとともに、電子メール等がモニタリングによる閲覧の対象となる

ことを事前に明らかにしておけば、プライバシー侵害の問題は生じなくなるといえるが、

このような取扱（特に私的利用を一切禁止すること)が許容されるかについては検討を要す

る（後述「3）電子メール等の私的利用の禁止について」）参照）。

次に、モニタリングの実施目的については、情報流出・漏えいの防止、電子メール等の

業務目的外利用の防止等の、企業運営上の必要性･服務規律の観点から合理的なものである

ことを要する｡

モニタリングの実施方法については、従業員のプライバシー侵害を生じさせないことへ

の留意が必要となる。基本的には、上述したモニタリングの目的を達成する上で合理的で

あり、かつ、従業員のプライバシーその他の人格的利益を必要以上に侵害しないよう配慮

した内容を定めるべきであるが、次の②で述べるように、プライバシー侵害を生じさせな

いものとして許容されるモニタリング手法の範囲は、具体的状況に応じて変化し得るため、

②で述べる内容を踏まえつつ、具体的な状況に応じた柔軟な対応の余地を残すような定め

方とすることが望ましいといえよう。

②モニタリング実施時の留意点

次に、具体的にモニタリングを実施する際の留意点であるが、基本的には、①で述べた

規程の整備がなされていることを前提として、当該規程の定めに沿う形で実施すべきもの

である｡ただし、モニタリングがプライバシー侵害となるかどうかは、最終的には、個別具

体の事案に即して判断されることになる（ 1)①の iii)参照）ので、実施に際しては、実施

の具体的必要性（情報流出等が現に発生しているか又はまさに発生しようとしている具体

的なおそれ）の有無・内容、実施しようとする手法が従業員に及ぼす不利益の内容・程度

等を個別に考慮して、許容限度を超えた従業員の権利・利益の侵害と評価されることのな

いよう留意することが必要である。

- 59 -

こうした具体的留意点は、個々の事案ごとに判断されるという性質上、一般的に記述す

ることに限界があるし、現時点の裁判例から得られる示唆も限られたものではあるが、お

おむね次のようなことがいえるであろう｡

まず、情報流出等の具体的な恐れが生じていない段階で行われるモニタリングは、｢広く、

浅く｣を旨とすべきであり、特定従業員に対象を絞って集中的にモニタリングを行うのは、

当該従業員から情報流出等が生じている具体的な疑いが生じた後とすべきであろう。

同様に、事前にモニタリング等の実施について十分な予告を行わない抜き打ち的な検査

や、（使用者が管理するサーバ等ではなく）従業員が日常的に使用する端末等、従業員が通

常管理する領域を対象として行う検査は、それを必要とする(より穏当な手段ではモニタリ

ングの目的を達成することができない)事情が具体的に存在していることが必要であろう｡

3) 電子メール等の私的利用の禁止について

上述した問題のうち、従業員のプライバシー侵害をめぐる問題においては、前述した裁

判例の判断枠組みに照らすと、会社の提供するメールアカウント等について、私的な目的

での利用が一定の範囲内で許容されることが、プライバシー侵害が成立する前提になって

いるといえる（前述 1）①、特にその i））｡すなわち､このように私的利用が許容されるが

故に、法的に許容された私的利用に関する情報が、従業員のプライバシーとして法的保護

の対象となり、ひいては企業が行うモニタリング等の措置が、プライバシー侵害の問題を

生じさせ得るのである。逆にいえば、仮に、こうした私的利用を禁止することが法的に許

容されるとするならば、そのような措置を徹底し、かつ、電子メール等の利用に関する情

報がモニタリングの対象となることを明らかにしておくことで、従業員は電子メール等の

利用について、法的に保護されるプライバシーを有しないこととなる｡

なお、電子メール等の私的利用の禁止の可否については 3-2.1.4 を参照。

4) 従業員の私物であるコンピュータ等を対象とした検査

以上の検討は、モニタリングの対象となる業務用のメールアカウント等を企業が提供す

ることを前提としたものであった。これと異なり、従業員が私物のコンピュータを業務に

利用している場合には、そこに保存されたデータについて従業員のプライバシーを保護す

る必要性は企業が提供するコンピュータの場合に比して著しく大きいものとなり、この場

合には会社が従業員の意に反してその調査を行うことはできないと考えておくべきである。

企業としては、情報流出･漏えいを防止する必要性が特に大きい従業員・業務については、

従業員が私物のコンピュータを用いて業務を運行する必要のない業務運行体制を構築し、

私物コンピュータの業務利用を禁止すべきである｡

- 60 -

(3) 関連法令（政省令・基準）

特になし

(4) 裁判例

本文中に記載のもの

3-2.1.4. 私用メールを禁止する規程

企業が従業員の私用メールを禁止する規程を設けることはできるか。

(1) 考え方

企業が従業員の私用メールや業務用コンピュータの私的利用を禁止することには服務規

律上の根拠が認められるが、一方で過度に渡らない私用メール等が許容されるべきことは

社会通念として一定の定着をみていると考えられるため、そのことへの配慮が必要となる。

そのため、私用メール等につき、全面禁止やそれに近い厳しい規制をする場合にはそのこ

とを必要とする合理的理由と、従業員が私用メール等に代替する私的通信手段を利用する

ことへの配慮が求められると考えられる。

(2) 説明

企業が業務遂行のために従業員に提供する器材・設備等を私的な目的を含む業務外の目

的で利用することを禁じることには服務規律上の根拠がある。こうした観点から、使用者

が提供する電子メールアカウントを用いた従業員の私用メール、業務用メッセンジャーソ

フトの私的利用などの行為を禁止することには一定の合理的根拠があるといえる｡また、こ

うした私的利用が就業時間内に行われる場合には、当該行為は従業員が労働契約上負って

いる職務専念義務に達反するとみることも可能であり、こうした観点からも、私的利用の

禁止が正当化され得る｡

しかし、他方において、過度に渡らない私用メール等が許容されるべきことは社会通念

として一定の定着をみていると考えられるため、そのことへの配慮も必要である｡

そのため、私用メール等につき、全面禁止やそれに近い厳しい規制をする場合には、そ

のことを必要とする合理的理由（従業員の業務内容等に照らして、情報流出防止等の観点

から私用メール等を禁止する必要性が特に大きいこと等)と、従業員が私用メール等に代替

する私的通信手段を利用することへの配慮が必要になると考えておくことが適当であると

考えられる｡

- 61 -

(3) 関連法令（政省令・基準）

特になし

(4) 裁判例

本文中に記載のもの

3-2.1.5. 私物 PC の持込禁止及び会社の情報を含む物品の持ち出し禁止

次の事項を実施する際に労働法上、どのようなことを考慮すべきか。

① 私物 PC 等の社内持込及び利用禁止

② 業務用データの社外持ち出しの規制

(1) 考え方

業務命令により私物パソコン等の社内利用禁止及び業務情報の社外持ち出しの規制を行

うことができる。前述のように労働基準法第 89 条 10 号により、規制については就業規

則に根拠規程を置く必要がある。

(2) 説明

①私物パソコン等の社内持込及び利用は、企業秘密漏えいの可能性があるため、会社は、

企業秩序維持権限及び企業秩序定立権限から従業員に持込及び利用の禁止を命ずることが

できる。私物 PC は、当然のことながら会社には所有権がないため、所有者の意思に反し

て調査することは原則的にできないと考えるべきである。調査は、現に秘密漏えい事故が

あり、当該従業員にその漏えいの疑いを持つことに合理的な根拠があるなどの高度の必要

性がある例外的な場合に限定されよう。また、私物 PC には多くのプライバシー情報が含

まれる点も留意されねばならない。

私物 PC については、基本的には、社内持込を禁止すること等で対応すべきである。従

業員は、労働契約上の付随義務として企業秩序遵守義務を負うため、これに従わなければ

ならないことになる。

②従業員は労働契約上秘密保持義務を負っているため、使用者は業務用の情報の社外持

ち出しを規制することができる。

また、業務上の情報を含む物品に関し、会社は所有権を有するため、これをどこで使用

させるかについて会社には管理権限により決定することができる。企業は、企業秩序維持

権限及び企業秩序定立権限により、規則（この場合、業務上の情報を含む物品を社外に持

ち出さないという規則）を定立する権限がある。従業員は、労働契約上の企業秩序遵守義

務からこのような規則に従う義務を負っている。

- 62 -

なお、上記①及び②のような義務の内容は、就業規則に根拠規定を置いた社内規程等に

おいて、禁止の範囲などを明確に定めておかなければならない。

(3) 関連法令（政省令・基準）

特になし

(4) 裁判例

最高裁第三小法廷昭和 54 年 10 月 30 日判決・民集 33 巻 6 号 647 頁

3-2.1.6. 退職後の従業員の競業避止義務、秘密保持義務

企業が、従業員が退職後に他社に転職するなどして会社の秘密情報を流出させることを防止

しようとする場合、雇用関係上の対策としては、どのようなものを講じることが考えられる

か。

(1) 考え方

企業としては、従業員との間の契約関係において、従業員が退職後に会社の秘密情報を

流出させる行為、あるいはこれにつながり得る行為に制約を加えるための定めを整備して

おくことが望ましい。このような定めとしては、

① 退職後の従業員に秘密保持義務を課す定め

② 退職後の従業員に競業避止義務を課す定め

③ 従業員が退職後に競業行為を行った場合に、支給される退職金の額を減らす、若しく

は支給しない（既に退職金が支給されている場合、その全部又は一部を返還させる）

旨の定め

等がある。

これらの定めの効力等は、それぞれ異なる枠組みの下で判断され（①につき 3-2.1.7、

②につき 3-2.1.8、③につき 3-3.1.4）、認められ得る効力も異なる。そこで企業として

は、それぞれの定めの特質を考慮しつつ、自企業においてどのような定めを設けるべきか

を判断すべきことになる。

①②のタイプの定めを設けようとする場合、当該定めは、従業員との間の個別合意とい

う形態をとるべきである（就業規則に規定を置くことも考えられるが、その場合もこれと

併せて個別合意を結んでおくべきである）。③のタイプは、退職金制度を定める規程の中

に当該定めを置くことになる。

これらの定めを設けていない場合、あるいはこれらの定めに該当しない場合には、従業

- 63 -

員が退職後に行う秘密情報の流出行為は、不正競争防止法上の不正競争行為若しくは民法

上の不法行為に該当する場合に限って、これらの法律に基づく規制の対象となる。

(2) 説明

1) 退職後の従業員による秘密情報の流出を防止するための契約上の規制の枠組み

企業が、退職後の従業員による秘密情報の流出を防止しようとする場合、雇用関係上の

対応としては、従業員によるこうした行為、あるいはこれにつながり得る行為に制約を加

えるための定めを、従業員との間の契約関係の中で定めておく必要がある。従業員は、退

職後は自由に職業活動をなし得るのが原則であるため、このような定めがなければ、不正

競争防止法上の不正競争行為や民法上の不法行為に該当し、これらの法律に基づく規制の

対象となる場合を除けば、在職中に知り得た元使用者の秘密情報の利用・開示に対する法

的な制約は存在しないことになる。

退職後の従業員による秘密情報の流出防止を図るための契約上の定めとしては、次のよ

うなものがある。

第 1 は、従業員に対して、在職中に知り得た会社の秘密情報を他者に漏らしたり、自ら

利用したりしない義務（秘密保持義務）を課すことである。

第 2 は、従業員に対して、会社の業務と競合する事業を自ら営んだり、このような事業

に就職したりしない義務（競業避止義務）を課すことである。このタイプの定めについて

は、様態として、禁止される行為の内容を、情報漏えいのおそれが類型的に高い行為に限

定する形で従業員に義務を課すこと（例えば、従業員に対し、在職中に担当していた顧客

への勧誘行為を禁止するなど）も考えられる（このように禁止される行為の範囲が絞り込

まれていた方が、当該定めの有効性が認められやすくなる）。

第 3 は、従業員が第 2 に挙げた競業行為を行った場合に、支給される退職金の額を減ら

す、若しくは支給しない（既に退職金が支給されている場合、その全部又は一部を返還さ

せる）旨を定めることである。

これらのうち、第 1 と第 2 の手法をとった場合、企業は、禁止された行為を行った元従業

員に対して、当該行為の差止めや、当該行為によって被った損害の賠償の請求をなし得る。

第 3 の手法をとった場合には、禁止された行為を行った従業員に対しては、退職金の全部

又は一部の支払を拒むか、既に支払っていた場合にはその返還を求めることになる。

これら 3 つの手法を比較すると、まず、第 1 の手法（秘密保持義務の定め）は従業員に

よる情報漏えいそれ自体を禁止対象としているのに対し、第 2 の手法（競業避止義務の定

め）は情報漏えいにつながり得る行為を広く禁止対象としている。このように、第 2 の手

- 64 -

法は第１の手法と比べて禁止対象が広く、それだけ従業員の退職後の職業選択の自由に対

する制約の度合いが大きいため、定めの有効性の判断が、より厳格なものとなる。すなわ

ち、一般的にいえば、第 1 の手法の方が、第 2 の手法よりも、その有効性を認められやす

い（より一般的にも、禁止される行為の範囲が絞り込まれていた方が、定めの有効性を認

められやすいといえる）。

次に、第 3 の手法（退職金の減額等）は、退職した従業員の行為を直接的に禁止する（差

止める）効果をもたらすものではないが、その反面、定めの効力等が認められた場合、企

業側には従業員の行為によって被った具体的損害の額に関わりなく一定の額の金銭を従業

員に請求できる（あるいは一定の範囲で退職金支払を免れる）というメリットがある（第

1、第 2 の場合には、後述（5））のとおり、予め違反に対する損害賠償の額を定めた場合

の当該定めの効力については、問題になり得る点がある）。

企業としては、このような各手法の特質及びその相違を考慮しつつ、自企業においてど

のような定めを設けるべきかを判断すべきである（各類型の効力等の判断手法の詳細は、

第 1 の手法につき 3-2.1.7、第 2 の手法につき 3-2.1.8、第 3 の手法につき 3-3.1.4）。

なお、これらの手法のうち複数のものを併用することは差し支えなく、実際にもそのよう

な例は多い。

以下では、こうした諸問題のうち、上記第 1 及び第 2 の定めを設ける場面で問題になり

得る点を取り上げて解説する。

2) 退職後の従業員の競業避止義務、秘密保持義務に関する明示的根拠の要否

従業員（労働者）は、在職中は労働契約の付随義務として、特に明示的な合意がなくと

も使用者に対して競業避止義務や秘密保持義務を負っていると解される。

これに対し、こうした労働契約に付随する競業避止義務や秘密保持義務は、従業員の退

職後にまで存続するものではなく、したがって、企業が退職後の従業員に対し、契約上の

競業避止義務や秘密保持義務を課そうとする場合には、その旨を明示的に定める根拠が原

則として必要であるというのが、現在では、裁判例、学説の双方においてほぼ異論のない

ところである。そこで、企業が退職後の従業員にも契約上の競業避止義務や秘密保持義務

を課そうとする場合、その旨を就業規則に定めておく、その旨を定める合意を個々の従業

員との間で締結する、等の措置を講じることが望ましい。

3) 就業規則で退職後の従業員の競業避止義務、秘密保持義務を定めることについての問

題点

このうち就業規則については、その内容に合理性が認められ、かつ従業員に対して周知

されている場合に別段の合意のない限り就業規則の規定が労働契約内容になる（労働契約

- 65 -

法第 7 条）ものの、従業員が退職した後についても同様に、退職従業員と企業の間の契約

内容を就業規則で定めることができるかは問題となる。裁判例においては、従業員の在職

中に退職後の競業避止義務の定めを新設する就業規則の変更が行われた事案において（一

般の就業規則変更による労働条件変更の場合と同様に）当該変更の合理性が認められれば

退職後の競業避止義務がそれによって定められる旨の判断を示すものが見られ、この点に

ついては肯定的に解する傾向にあるといえそうである（東京地裁平成 7 年 10 月 16 日決

定・労判 690 号 75 頁、東京地裁平成 15 年 10 月 17 日判決・労経速 1861 号 14 頁

など）。

しかし、学説上は就業規則で従業員が退職した後の法律関係を定めることはできないと

の見解も有力であること、上記のような裁判例も、必ずしも数は多くなく、裁判実務上の

処理基準として確立しているとまでは言いがたいことを考えると、退職後の従業員の競業

避止義務、秘密保持義務の定めを就業規則規定のみに依拠して行うことは、少なからぬ法

的リスクを伴うというべきであろう。

したがって、このような定めを設ける場合には、（仮に就業規則に規定を設ける場合にも

これとは別に）従業員との間で個別に合意を交わしておくべきである。

このことを前提として、就業規則に（も）規定を設ける場合の留意点としては、次のよ

うなものがある。

まず、就業規則を変更して新たに退職後の秘密保持義務、競業避止義務に関する定めを

設ける場合、就業規則変更の合理性（労働契約法第 10 条）が認められるための基準（す

なわち、就業規則を変更することで、従業員に退職後の競業避止義務を新たに負わせるこ

とが許容されるための基準）は、裁判例上確立しているとは言いがたいものの、退職後の

従業員に競業避止義務を負わせる定めの公序良俗違反性（3-2.1.8）と概ね同様の判断を

する傾向が見られることから、公序良俗違反が否定される場合には、就業規則変更の合理

性も肯定される可能性が高いと考えられる（前掲・東京地裁平成 7 年 10 月 16 日決定な

ど）。

次に、就業規則に退職後の従業員の競業避止義務や秘密保持義務を定める規定を置いた

場合には、従業員との間の個別合意によって、就業規則の定めよりも従業員に不利益とな

るような義務を課すことができなくなる（労働契約法第 12 条）。また、就業規則規定の新

設や変更により、既に退職した後の従業員に対し、新たに義務を課したり、義務の内容を

従業員側の不利益に変更したりすることについては、裁判例は存在しないが、許容されな

いと解すべきものと思われる。

- 66 -

4) 個別合意で退職後の従業員の競業避止義務、秘密保持義務を定めることについての問

題点

個別合意については、企業は従業員に対して優越的な交渉力を有する場合が多いことか

ら、こうした優越的な交渉力を用いて不当に合意を成立させたのではないかが問題になる

ことがある。このような観点から合意の効力を否定した裁判例として、前掲・東京地裁平

成 15 年 10 月 17 日判決は、労働者（従業員）の退職時に締結された退職後の競業避止

義務を定める合意について、企業側で一方的に作成した文書に署名を求めるものであった

こと、署名がない場合には退職金を支給しない態度を見せたこと等の事情を考慮して、そ

の効力は「労働基準法の精神に反し」認められないとしている（一方、合意成立時の企業

側の交渉態度を理由とした合意無効の主張を退けた例として、東京地裁平成 19 年 4 月

24 日判決・労判 942 号 39 頁など）。

したがって、企業側としては、このような合意を成立させようとする場合の交渉態度に

留意が必要となる。また、従業員の退職時には、合意をすることのメリットを説いて従業

員の説得を試みることが在職中の場合より難しくなることから、合意の調達は、退職時よ

り前の段階で行っておくことが望ましいとも考えられる。

具体的な合意の時期としては、配置転換・新プロジェクトの立ち上げ等により、企業の

営業秘密に接する職務など、競業避止義務・秘密保持義務を課す必要のある職務に新たに

就く時点のほか、企業の業種・従業員の職種などから見てそのような職務に就く蓋然性が

高い場合には採用時、などが考えられる（これらを併用し、特定の職務に就く時点で、採

用時の合意の内容を対象となる営業秘密等の点で具体化する新たな合意をするといった対

応も考えられる）。

5) 退職後の従業員の競業避止義務、秘密保持義務の違反に対して損害賠償等の額を予め

定めておくことについての問題点

退職後の従業員に競業避止義務、秘密保持義務を課す定めの中に、義務違反に対する制

裁として、具体的な金額を示しつつその支払義務を負わせる旨を定める例が実際上しばし

ば見られるが、このような定めは、「労働契約の不履行について違約金を定め、又は損害

賠償額を予定する契約」を禁止する労働基準法第 16 条に抵触するおそれがある（同条違

反であるとすれば、競業避止義務等の定めのうち、義務に違反した従業員に一定の金額の

支払義務を課す部分は無効になるほか、同条違反に対する刑罰（労働基準法第 119 条第

1 号により 6 箇月以下の懲役又は 30 万円以下の罰金）も定められている）。

なお、こうした問題を生じるのは、定められた競業避止義務等の違反があった場合に、

それによって企業側に現実に発生した損害の額に関わりなく、一定の金額の支払義務が発

生する旨の定めであり、義務違反があった場合に、それによって企業側に現実に生じた損

- 67 -

害について賠償責任が生じる旨（すなわち民法の原則どおりの処理）を確認的に定める規

定については問題とならない。

また、従業員が退職後に競業行為を行った場合に退職金の減額等を行う旨の定めが労働

基準法第 16 条に違反するか否かについては、この種の事案において広く見られる退職金

規程上の定めについて同条違反を否定した最高裁判決（最高裁第二小法廷判決昭和 52 年

8 月 9 日・労経速 958 号 25 頁）が存在することから、これを否定する考え方が裁判実

務上の主流になっているといえる（ただし、同条違反が成立しないとしても、他の理由で

このような規定の効力が否定される可能性はなお存在する。3-2-1.8 及び 3-3.1.3 を参

照）。

もっとも、この点の判断は個別の事案に即して行われるものであるため、具体的事案に

よっては、同条違反の成立が認められる可能性がないとはいえない（退職後の競業行為を

減額等の事由として定めた事案ではなく、かつ前記最高裁判決以前の裁判例であるが、退

職金不支給事由の定めが労働基準法第 16 条に違反するとした例として、岡山地裁玉島支

所判決昭和 44 年 9 月 26 日・判時 592 号 93 頁。なお、このように同条違反が成立す

る場合があるとしても、そのほとんどは、前述した同条違反以外の理由により定めの効力

が否定される場合と重なり合うものと考えられる）。

この点については、従業員の退職後の競業避止義務等の定めは（従業員が退職している

以上）労働基準法第 16 条にいう「労働契約」には該当しないという考え方もあり得ると

ころであり、裁判例における判断も必ずしも確立しているとはいえない（在職中・退職後

双方を対象とした競業避止義務の違反に対する違約金の定めを「少なくとも労働基準法

16 条の趣旨に反する」として無効とした例として、東京地裁昭和 59 年 11 月 28 日判

決・労判 459 号 75 頁、退職後の競業避止義務の違反に対する違約金の定めを無効とし

なかった例として東京地裁平成 19 年 4 月 24 日判決・労判 942 号 39 頁（ただし、判

決文を見る限り労働基準法第 16 条違反の成否はそもそも争われておらず、同条違反でな

いとされた理由も明らかでない））。

以上のことを考慮すると、現時点において、退職後の競業避止義務等の違反に対して具

体的な金額を挙げて違約金や損害賠償額の予定を定める規定を設けることについては、労

働基準法 16 条又はその趣旨に違反することが明らかとまではいえず、また、裁判所の判

断は長期的に見て違反を否定する方向に向かいつつあると評価する余地もあるものの、他

方で、違反の成立が認められる可能性も相当程度存在する状態にあるものと考えられる。

企業としては、このような法的リスクの状況を念頭に置きつつ、上記のような規定を設け

ることの是非を検討すべきである。

- 68 -

(3) 関連法令（政省令・基準）

労働契約法第 7 条、第 9 条、第 10 条、第 12 条など

(4) 裁判例

本文中に記載のものの他

東京地裁平成 7 年 10 月 16 日決定・労判 690 号 75 頁

東京地裁平成 15 年 10 月 17 日判決・労経速 1861 号 14 頁

3-2.1.7. 退職後の秘密情報漏えいを防止するための秘密保持契約

退職者が在職中に知り得た秘密情報を使用又は第三者に開示することを防ぐためには、いつ

どのような方法で秘密保持義務を負わせることが有効であるか。

(1) 考え方

在職中に、秘密保持義務の対象となる情報を特定し、退職後もその情報について秘密保

持義務を継続的に負うことを明示した秘密保持契約を個別に締結することが望ましい。さ

らに、従業員のプロジェクトへの参加時など、具体的に秘密情報に接する機会を得る際に、

その都度、秘密保持義務の対象となる情報をより具体的に特定し、退職後もその情報につ

いて秘密保持義務を継続的に負うことを明示した誓約書をとることが望ましい。

(2) 説明

就業規則により退職後の秘密保持義務を負わせることは一定の合理性が認められる範囲

では有効と解される余地がある。一方で就業規則では従業員の退職後の法律関係を定める

ことはできないという見解も有力であり、退職後の従業員の秘密保持義務を就業規則にの

み依拠することは少なからず法的リスクを伴うことになる（就業規則による退職後の秘密

保持義務の有効性については 3-2.1.6 参照）。そこで、退職者が在職中に知り得た企業の

秘密情報を第三者に開示させないためには、個別の秘密保持契約により、当該退職者に企

業に対する秘密保持義務を負わせることが有効と考えられる。

また、企業に対する契約上の営業秘密保持義務は、営業秘密の要件である秘密管理性を

充足するための重要な要素の一つと考えられている。そして、秘密情報が営業秘密として

の保護を受けるためには、秘密保持の対象となる情報が具体的に特定されている必要があ

ると考えられているため（東京地裁平成 17 年 2 月 25 日判決参照・判時 1897 号 98

頁・判タ 1195 号 258 頁）、営業秘密としての保護を受けるためには、対象となる秘密

情報を特定した上で契約を締結することが望ましい（契約における秘密情報の特定につい

ては 2-2.2.2 参照）。

- 69 -

秘密保持契約を締結する場合には、その締結時期に留意する必要がある。入社時におい

て、秘密保持契約を個別に締結する場合には、秘密保持の対象とする具体的な秘密情報の

特定が困難であり、秘密情報を特定しない包括的な秘密保持義務を定めることにならざる

を得ない。他方、退職時に秘密保持契約を締結しようとしても、退職者が秘密保持契約の

締結を拒否される場合があり、この場合には契約の締結を強要することはできない。

そこで、従業員に秘密情報を開示する段階で、退職後も秘密保持義務を継続的に負うこ

とを明示した秘密保持契約を締結することが有効と考えられる。この場合、労働契約終了

後も守秘義務を継続的に負担させる合意の効力が問題となるが、裁判例（東京地裁平成 14

年 8 月 30 日判決）においても、「使用者にとって営業秘密が重要な価値を有し、労働契

約終了後も一定の範囲で営業秘密保持義務を存続させることが、労働契約関係を成立、維

持させる上で不可欠の前提でもあるから、労働契約関係にある当事者において、労働契約

終了後も一定の範囲で秘密保持義務を負担させる旨の合意は、その秘密の性質・範囲、価

値、当事者（労働者）の退職前の地位に照らし、合理性が認められるときは、公序良俗に

反せず無効とはいえないと解するのが相当である。」としている。

また、秘密保持義務の定めを実効的なものにするためには、秘密保持義務違反に対する

違約金を定めておくことが有効である。なお、秘密保持義務違反に対する違約金の定めは

労働基準法第 16 条との関係でその有効性について議論があるが（3.-2.1.6 参照）、秘密

保持義務の定めの効力は競業避止義務のものと比較して、より緩やかに認められると考え

られることからすれば、競業避止義務違反の違約金の定めと同様に、秘密保持義務違反に

ついての違約金の定めも有効となる可能性がある。

(3) 関連法令（政省令・基準）

不正競争防止法第 2 条第 1 項第 7 号、第 21 条第 1 項第 3 号・第 5 号

(4) 裁判例

本文中に記載のもの

3-2.1.8. 退職後の従業員に競業避止義務を課す定めの効力

秘密情報の流出を防止する目的で、従業員の退職後の競業避止義務を課すことを定める就業

規則規定や個別合意の効力について、従業員の職業選択の自由との関係でどのような問題が

生じるか。

(1) 考え方

退職後の従業員に競業避止義務や秘密保持義務を負わせる就業規則規定や個別合意につ

いては、それが退職した従業員の職業選択の自由を過度に制約するものとして、公序良俗

- 70 -

違反（民法第 90 条）により無効になるのではないかが問題になる。

この点につき、裁判例の傾向は、使用者の正当な利益、従業員の地位、禁止される行為

の内容、行為が禁止される場所的・時間的範囲、代償措置等の要素に基づいて判断すると

いう点では概ね一致しているが、具体的判断にはばらつきがあると考えられる。

(2) 説明

1) 退職後の従業員の競業避止義務を定める約定の効力を判断する枠組み

退職後の従業員に競業避止義務を課すためには、その旨を明示的に定める就業規則規定、

個別合意等の根拠が必要であるが、これらの定めについては、適法な手続に則った就業規

則の作成・周知や合意の成立が認められたとしても更に、それが退職した従業員の職業選

択を過度に制約するものとして公序良俗違反（民法第 90 条）により無効になるのではな

いかが問題になる。

この点について裁判例は、その細部においては必ずしも確立した傾向を示すとはいえな

いが、使用者の正当な利益、従業員の地位、禁止される行為の内容、行為が禁止される場

所的・時間的範囲、代償措置等の要素に基づいて判断するという点では概ね一致している

といえる。

2) 裁判例における具体的判断

①使用者の利益、従業員の地位

まず、使用者の利益として考慮され得るのは、独自性のある技術上・営業上の情報や、

形成に特別な投資を必要とする顧客関係（モップ等のレンタル事業についてこれを肯定し

た例として、東京地裁平成 14 年 8 月 30 日判決・労判 838 号 32 頁）などである。一

方、問題となる従業員について、このような使用者の利益の存在が認められない場合、約

定の効力は否定される（大阪地裁平成 12 年 6 月 19 日判決・労判 807 号 32 頁、大阪

地裁平成 15 年 1 月 22 日判決・労判 846 号 39 頁など）。

②禁止される行為の内容

約定で禁止される行為の内容が、競業行為の自営や競業企業への就職を全面的に禁止す

るものでなく、①で挙げた使用者の利益を侵害するおそれが大きい行為に絞り込まれてい

る場合、従業員の職業選択の自由に及ぼす制約が小さくなることから、約定の効力は認め

られやすくなる。例えば、前掲・東京地裁平成 14 年 8 月 30 日判決は、退職後 2 年間、

在職中の営業担当地域及びこれに隣接する地域における（転職先からの）使用者の顧客へ

の営業活動を禁止する内容の定めが置かれた事案であり、このように禁止する行為の内容

が絞り込まれていたことから、代償措置がなくとも当該定めは有効と認められると判示さ

- 71 -

れている。

なお、このことに関連して、裁判例の中には、競業行為の自営や競業企業への就職を一

般的に禁止する約定の効力を使用者の利益を侵害するおそれが多い行為を禁止する限度で

肯定する合理的限定解釈を行うものが、近年目立つようになっている（合理的限定解釈を

行った上で、その限度で差止めを認めた例として、東京地決平成 16 年 9 月 22 日・判時

1887 号 149 頁、合理的限定解釈を行った結果義務違反を否定した例として、東京地裁

平成 17 年 2 月 23 日判決・判タ 1182 号 337 頁）。

③競業行為を禁止する時間的・場所的範囲

競業行為を禁止する時間的・場所的範囲についても、使用者の利益を保護する上での合

理性があるかどうか、退職した従業員の職業選択の自由を過大に制約するものでないかが

問題にされる。近年の裁判例としては、競業行為を禁止する範囲（退職後 5 年、場所的制

限なし）が広範に過ぎることと、代償措置があるとはいえないか又は不十分であることを

理由として競業避止義務の定めの効力を否定した例がある（大阪地裁平成 10年 12 月22

日判決・知財集 30 巻 4 号 1000 頁）。

なお、上記の裁判例では、競業行為を禁止する場所的範囲の限定がないことが、競業避

止義務の定めの効力を否定する根拠の一つとされているが、裁判例の中には、保護される

べき使用者の利益が技術情報であること（奈良地裁昭和 45 年10月 23日判決・判時 624

号 78 頁）や、使用者が全国規模で事業を行っていること（東京地裁平成 19 年 4 月 24

日判決・労判 942 号 39 頁）を理由に挙げて、場所的範囲の限定がない競業避止義務の

定めについても、そのことを理由として効力を否定しない判断を示したものも存在する（も

っとも、前掲・大阪地裁平成 10 年 12 月 22 日判決も技術情報の保護を目的として競業

避止義務が定められた事案である）。

④ 代償措置

競業行為を規制される従業員に対して、その代償として金銭の支払等を行うことの考慮

の仕方について、裁判例の立場は、特に大きく分かれている。すなわち、一方には、これ

を退職後の競業避止義務を定める約定に不可欠な有効要件と見る（東京地裁平成 7 年 10

月 16 日決定・労判 690 号 75 頁（同決定にいう、義務を新たに創設する約定について））

ものや、代償措置がないことをこうした約定の効力を否定する判断において重視するもの

（前掲・大阪地裁平成 10 年 12 月 22 日判決、東京地裁平成 12 年 12 月 18 日判決・

労判 807 号 32 頁など）が存在する。

その一方、こうした代償措置の有無・内容は約定の効力を判断する際の考慮要素の一部

を占めるにとどまるものと位置付け、代償措置がない場合であっても約定の効力を認める

- 72 -

例（前掲・東京地裁平成 14 年 8 月 30 日判決）や、代償措置が明確な形で講じられてい

ない場合にも、従業員に支払われた賃金が比較的高額である場合に、そのことを代償措置

としての性質も有するものとして柔軟に考慮する例（前掲・東京地裁平成 16 年 9 月 22

日決定、東京地裁平成 19 年 4 月 24 日判決など）も存在する。

もっとも、代償措置が明確な形で講じられていない場合に約定の効力を認めた事案の多

くは、禁止される行為の内容が絞り込まれた形で約定がなされていたか、合理的限定解釈

により、裁判所が禁止される行為の内容を絞り込んだ上でその効力を認めた事案である。

3) 差止めの要件

上述した判断枠組みにしたがって、義務違反が認められる場合、従業員の義務違反行為

に対する差止め又は、義務違反によって生じた損害の賠償の請求が認められ得る。ただし、

裁判例の中には、このうち前者の差止めについて、元使用者の営業上の利益が侵害される

か、そのおそれがある場合に限って認められるという要件を課しているもの（前掲・東京

地決平成 7 年 10 月 16 日など）も存在する。

(3) 関連法令（政省令・基準）

民法第 90 条

(4) 裁判例

本文中に記載のものの他

東京地裁平成 15 年 10 月 17 日判決・労経速 1861 号 14 頁 など

3-2.1.9. 退職後の従業員が海外で行う競業行為に対する規制

企業は秘密情報流出防止を目的とした従業員との間の契約によって、従業員が退職後に海外

で競業行為を行うことを禁止できるか。

(1) 考え方

企業と従業員との間における、退職後の競業避止義務を定める約定の効力が、海外にお

ける競業行為の禁止にまで及び得るかという問題と、仮にこの点が肯定される場合、海外

において競業避止義務違反に当たる競業行為を行った従業員に対してどのような法的手段

をとり得るか、という問題に分けて考える必要がある。

前者の問題については、（日本法の下で判断する場合）海外における競業行為も禁止対

象に含める形で退職後の競業避止義務の定めを設けた場合、競業行為を禁止する場所的範

囲が広すぎるのではないかという観点からその効力が問題となるが、使用者が保護しよう

- 73 -

とする利益の性質や、使用者の経営規模によっては、このような約定の効力も認められる

可能性はあると考えられる。

後者の問題については、従業員の競業避止義務違反に対する法的責任を、実効的かつ迅

速に問おうとする場合、従業員が転職した先の国の裁判所に訴えを提起する必要がある場

合が多くなるものと考えられる。

(2) 説明

1) 海外における競業行為を禁止対象に含める競業避止義務の定めの効力

退職後の従業員に競業避止義務を負わせる定めは、公序良俗違反の成否という観点から

その効力が問題となる（3-2.1.8）。この判断においては、競業行為が禁止される場所的

範囲も考慮要素となり、その範囲が広すぎる場合には定めの効力は否定される。しかし、

裁判例の傾向を見ると、当該定めによって保護しようとする使用者の利益の性質や、使用

者の事業展開の規模によっては、場所的範囲を限定しない定めの効力も認められ得るため、

海外における競業行為を禁止対象に含める定めについても、これらの事情のいかんによっ

ては、その効力は認められ得ると考えられる。

ただし、以上の検討は、競業避止義務の定めの効力を日本法の下で判断することを前提

としたものであり、後述のとおり、外国の裁判所に訴えを提起する場合には、日本法以外

の法が適用される結果、これと異なる判断がなされる可能性がある。

2) 従業員の海外における競業避止義務違反行為に対する法的対応

仮に、海外における競業行為を禁止対象に含める競業避止義務の定めに効力が認められ

るとしても、実際にその違反があった場合における実効性のある法的対応の在り方が問題

となる。海外に居住する退職従業員に対しては、日本の裁判所に訴えを提起することの可

否が問題となるし、仮に日本の裁判所で勝訴判決を得たとしても、これに基づいて直ちに、

海外に居住する退職従業員を強制執行等の方法で判決に従わせることはできない（当該海

外の裁判所等における手続が別途必要となる）。

したがって、従業員の競業避止義務違反に対する法的責任を、実効的かつ迅速に問おう

とする場合、従業員が転職した先の国の裁判所に訴えを提起する必要がある場合が多くな

るものと考えられる。

海外の裁判所に訴えを提起する場合、まず、当該国の法律（日本法では法の適用におけ

る通則法がこれに該当する）にしたがって、競業避止義務を定める約定の効力をどの国の

法に基づいて判断するかを決定し、決定された法の下で約定の効力を判断することになる。

- 74 -

(3) 関連法令（政省令・基準）

法の適用に関する通則法

(4) 裁判例

特になし

3-2.1.10. 派遣労働者に対する誓約書の要請･教育訓練の実施

派遣先企業は秘密情報流出防止の目的で派遣社員の秘密漏えい防止の誓約書提出を義務付

けることができるか。また、セキュリティ対策のための教育訓練を行うことができるか。

(1) 考え方

派遣労働者の秘密漏えい防止については、派遣元企業と派遣先企業との間の労働者派遣

契約の中でそれを条件とするなど、労働者派遣契約の中で検討すべき事項である。

教育訓練に関しては、派遣労働者が派遣契約上負う職務を遂行する上で必要な範囲のも

のであれば、派遣先企業は当該派遣労働者に教育訓練を行うことは可能である。

(2) 説明

従業員は、労働契約に付随する義務として秘密保持義務を負っている。しかし、派遣先

企業と派遣労働者との間には労働契約が存在しないため、派遣先企業において派遣労働者

に秘密保持義務を直接負わせることはできない。派遣労働者の守秘義務に関しては、あく

までも雇用関係のある派遣元企業と派遣労働者の間で義務付けがなされるべき事項である。

したがって、派遣労働者に秘密保持を義務付けるためには、基本的には派遣元との労働

者派遣契約（労働者派遣法第 26 条）において、派遣元・派遣労働者間で派遣先の業務に

関する秘密保持契約を締結させることを条件としておくことが考えられる。そして、派遣

労働者が派遣元に対して誓約書の提出させること、その誓約書の写しを派遣先に提出する

ことも派遣の条件としておくとよいであろう。また、派遣労働者が秘密を漏えいした場合

には、派遣元が損害賠償額の支払の責任を負う旨などを定めておくなどの措置も考えられ

る。

ところで、労働者派遣法第 24 条の 4 は「派遣元事業主及びその代理人、使用人その他

の従業者は･･････その業務上取り扱ったことについて知り得た秘密を漏らしてはならない。

派遣元事業主及びその代理人、使用人その他の従業者でなくなった後においても、同様と

する。」と定めている。この条文にいう「従業者」とは派遣元において勤務する従業者のほ

か、派遣労働者も含むため、派遣労働者は労働者派遣法上「秘密を守る義務」を負うとい

うことになる。しかし、この義務は、労働者派遣法の性質から、該当する者が国に対して

- 75 -

負っている義務（公法的な義務）である。派遣労働者が派遣先企業に対してこの義務を負

うものではない。したがって、やはり上記のように労働者派遣契約の中での対応が必要と

なるといえる。

派遣先は、派遣労働者の就業に際して、当該企業において秘密としている事項又は一般

の従業員が負っている秘密保持の内容について、派遣労働者に周知すべきである。そして、

秘密保持について教育訓練が必要になる場合には、派遣先企業はこれを実施することがで

きる。派遣労働者は、派遣先企業の指揮命令下で使用されるため、派遣先企業で指揮命令

を受けて職務を遂行する上で必要な教育訓練であれば、派遣先企業は当該派遣労働者に教

育訓練を命ずることができるからである。このことについても、できるかぎり労働者派遣

契約の中に明確化しておいた方がより適切であると思われる。

(3) 関連法令（政省令・基準）

民法第第 709 条

労働者派遣法第 24 条の 4、第 26 条

営業秘密管理指針改訂版（平成 17 年 10 月 12 日最終改訂・経済産業省）

(4) 裁判例

特になし

第3節 労働法、労働者派遣法、従業員のプライバシー保護との関係－

事後対応策

3-3.1.1. 私用メールを行ったことを理由とする解雇・懲戒処分

3-2.1.4.の場合、従業員に対して私用メールを行っていたこと自体を理由に解雇や懲戒処

分を行うことは許容されるか。

(1) 考え方

従業員による私用メール等の行為は、解雇や懲戒処分の根拠となり得る。ただし、こう

した処分を実際に行うためにはまず、私用メール規制について定めた規程を作成し、従業

員に周知する等の形で、私用メール規制に関する服務上の規律が徹底されていることが重

要である。このような徹底がなされていない場合、解雇や懲戒処分の許容性は大きく減殺

される。こうした私用メール等を規制する規程が整備された上で、その違反に対して解雇

や懲戒処分を行う際も、私用メール等によって情報漏えい等のインシデントが現実に生じ

た場合にそのことを理由として行う処分は別として、私用メール等の禁止規定の違反それ

自体を理由としては解雇や重い懲戒処分を課すことはできず、また、違反の程度が軽微で

- 76 -

ある場合には、軽い懲戒処分であっても懲戒権の行使が権利濫用とされる可能性があると

考えておくべきである。

(2) 説明

1) 私用メール等を理由とした解雇や懲戒処分の効力を判断する枠組み

私用メール等を理由とした解雇や懲戒処分の効力も、一般的な解雇・懲戒処分の効力を

判断するのと同様の枠組みで判断される。すなわち、解雇については就業規則等で定めら

れた解雇事由への該当性、解雇権濫用の成否（労働契約法第 16 条）などが、懲戒処分に

ついては就業規則上の根拠規程の存否、就業規則上の懲戒処分事由への該当性、懲戒権濫

用の成否（労働契約法第 15 条）などが、それぞれ問題となる。

なお、本項目の設問は、情報漏えい等の情報セキュリティ上のインシデントが発生して

いない段階における予防策の一環として、私用メール等について解雇や懲戒処分を行う場

面を念頭においているが、実際には、私用メール等を理由とした解雇や懲戒処分は、私用

メール等を通じた情報漏えいや、企業の信用失墜等の問題が生じた後の段階で、こうした

インシデントの発生や信用失墜行為等を理由とした解雇・懲戒処分と一体のものとして行

われることも多い（後掲の裁判例もほとんどがこのような事案である）。

このようなケースでは、通常、インシデントの発生や信用失墜行為等の方が、解雇や懲

戒処分の主たる理由とされる（インシデント発生を理由とした解雇・懲戒処分等について

は 3-3.1.3 参照）が、私用メール等の解雇事由・懲戒処分事由該当性や、その重大性の判

断も、解雇や懲戒処分の効力（特に権利濫用の成否）に一定の影響を及ぼす。その場合の、

私用メール等に関する判断のあり方については、本項目での説明が妥当すると考えてよい。

2) 解雇・懲戒処分の根拠・効力についての考え方及び裁判例

私用メール等の行為は、前述（3-2.1.4）のように、業務用機器等の業務目的外利用や

職務専念義務違反（勤務時間中に行われる場合）等の観点から、従業員の服務上の義務に

違反するか、少なくとも服務規律上望ましくない行為と評価できる。このため、このよう

な行為に対して適用できる就業規則上の解雇事由や懲戒処分事由の定めがある場合、こう

した行為が当該定めに基づく解雇や懲戒処分の根拠となり得ることは、一応肯定できる（解

雇の根拠規定としては、勤務態度不良、服務上の義務違反などを解雇事由とする定め、懲

戒処分の根拠規定としては、会社財産の私的利用、服務上の義務違反などを懲戒処分事由

とする定めが、それぞれ該当するであろう。また、解雇事由や懲戒処分事由の定めを列挙

した末尾に「前各号に準ずる事由のあるとき」といった包括的な解雇事由・懲戒処分事由

の定めが置かれているときに、これを根拠規定とする余地もあると考えられる）。

しかし、裁判例を見ると、私用メール等の規制について服務規律上の明確な定めが存在

- 77 -

しない場合や、何らかの定めが存在しても、これに抵触する従業員の行為に対して注意喚

起がされることがないなどその周知徹底が十分でない場合には、一定の範囲内での私用メ

ール等は黙認されていたと認められる等の理由により、問題となった私用メール等の行為

について、解雇事由や懲戒処分事由に該当するとはいえないとされたり、該当するとして

も解雇や懲戒処分の根拠として重く見ることはできないと評価されたりする傾向にある

（東京高裁平成 17 年 11 月 30 日判決・労判 919 号 83 頁及びその原判決東京地裁平

成 17 年 4 月 15 日・労判 895 号 42 頁、東京地裁平成 19 年 9 月 18 日判決・労判

947 号 23 頁、東京地裁平成 19 年 6 月 22 日判決・労経速 1984 号 3 頁、札幌地裁平

成 17 年 5 月 26 日判決・労判 929 号 66 頁、東京地裁平成 15 年 9 月 22 日判決・労

判 870 号 83 頁等）。

なお、これらの裁判例においては、私用メール等以外の事由も解雇や懲戒処分の根拠と

して主張されており、むしろ私用メール等以外のものが主要な根拠である場合が多いため、

私用メール以外の点についての判断に左右される形で結論は分かれている。一方、4～5

年の間に業務用アドレスを用いて行ったメール送受信件数各千数百件の半数以上が私用メ

ールで、解雇直近の時期には送受信件数百数十件の 8 割以上が私用メールであった月もあ

り、しかも私用メールの受信から返信まで間がないケースが多いという事案で重大な職務

専念義務違反が認められ、結論としても懲戒解雇が有効となった例として福岡高裁平成

17 年 9 月 14 日・労判 903 号 68 頁があるが、当該判断に際しては、私用メールがい

わゆる出会い系サイトへの登録に伴うものであったことによる企業（専門学校）の名誉・

信用毀損の点が重視されており、また、原判決である福岡地裁久留米支部平成 16 年 12

月 17 日判決・労判 888 号 57 頁では懲戒解雇は重すぎるとして権利濫用により無効と

されている点から見ても、私用メールの点のみから懲戒解雇が認められたとは必ずしもい

えない。

3) 私用メール等を理由とした解雇・懲戒処分に関して企業がとるべき対応・留意点

上記のような裁判例の状況をもとに考えると、企業として情報漏えいリスクの軽減等の

情報セキュリティの観点から、私用メール等に対して具体的状況に応じて的確に懲戒処

分・解雇等の対応をとろうとする場合、私用メール等の規制について具体的に定めた規程

を設けておくべきである（電子メール等のモニタリングに関する規程を設ける場合には、

その中に私的利用の規制に関する定めを置くことになろう。3-2.1.3（2）2）参照）。併

せて、懲戒処分については、規程上の私用メール規制の定めに違反した場合に適用される

就業規則上の懲戒処分事由の定めを明確化しておく（必要なら就業規則を改めて根拠とな

る定めを設ける）べきである（同様のことは解雇についてもいえるが、後述のとおり、こ

うした規程の違反のみを理由として解雇が認められるとは考えにくい）。

また、こうした規程は、その内容を従業員に周知させるとともに、これに抵触する従業

- 78 -

員の私的利用行為に対しては適宜に注意するなど、平素よりその内容を徹底しておく必要

がある。なお、こうした規程を設ける際に、私用メール等について全面禁止かそれに近い

厳しい規制を設けることについては、前述（3-2.1.4.）のように注意を要する。

次に、具体的に解雇や懲戒処分を行う場面での留意点についてみると、前述（ 2））

のとおり、これまでの裁判例においては、私用メール等の規制に関する服務規律が未徹底

の事案がほとんどという前提ではあるが、総じて言えば、私用メール等それ自体は、解雇

や懲戒処分を根拠付ける重大な事由とは評価されない傾向にある。また、一般的にいって

も、私用メール等それ自体は、例えば情報漏えい、企業の信用失墜等の行為と比べると、

使用者にもたらす打撃・損害の程度は大きくない場合が多いと考えられる。

このようなことを考慮すると、私用メール等の規制に関する服務規律が徹底された状況

下においても、私用メール等の禁止規定の違反のみを理由としては解雇や重い懲戒処分を

課すことができず、また、違反の程度が軽微である場合には、軽い懲戒処分であっても懲

戒権の行使が権利濫用とされる可能性があると考えておくべきであろう（なお、既に触れ

たことの繰り返しであるが、私用メール等によって、情報漏えい、業務運営上の具体的支

障、企業の信用失墜等のより重大な問題が引き起こされた場合、後者については、解雇や

重い懲戒処分の根拠になり得る）。

(3) 関連法令（政省令・基準）

労働契約法第 15 条、第 16 条 など

(4) 裁判例

本文中に記載のもの

3-3.1.2. 情報流出事故が発生した場合の対応（１）－従業員の調査協力、始末書の徴

収、教育訓練の実施

情報流出事故を発生させた従業員に対し、調査に協力させたり、始末書を徴収したり、情

報セキュリティ啓発教育を受けさせたりする等の措置をとる際に労働法上考慮すべき事項

としてはどのようなものがあるか。

(1) 考え方

1) 従業員の負う調査協力義務

情報流出事故が発生した場合、この事故にかかわる従業員は、調査に協力する義務を負

うと考えられる。

- 79 -

2) 始末書の提出

始末書の内容が客観的に状況説明に過ぎないものであれば、業務命令により提出を命ず

ることができる。これに対して、謝意を強制する内容の始末書の提出命令に関しては、懲

戒処分となるので、あらかじめこのような始末書提出義務を定める就業規則上の規定が必

要である

3) 教育訓練

業務命令により情報セキュリティ啓発教育を受けさせることができる。ただし、その教

育内容が、実質的に教育の意味がない見せしめ的なものであるときは、業務命令権の濫用

となる。

(2) 説明

1) 従業員の調査協力

企業が行う従業員による企業秩序違反行為の調査について他の従業員の協力義務が問題

となった判例は、従業員の調査協力義務を肯定しつつも、それが「労働者の職務遂行にと

って必要かつ合理的なものでなくてはならない」としている。

そこで、情報流出事故が発生した場合、この事故を解明するのに必要かつ合理的な範囲

での調査に関して、従業員はこれに協力する義務を負うと考えられる。これに関しても、

事故発生の場合には、調査があり得る旨をあらかじめ規程において明確にしておく必要が

ある。

始末書の内容が状況説明に過ぎないものであれば、業務命令により提出を命ずることが

できる。これに従わない業務命令違反に対しては、懲戒処分を課すことは可能である。こ

の場合、状況説明としての具体的内容として、反省点を列挙させたり、今後気をつけてい

くべきこと、心構え等について、書かせることは、業務命令権の範囲内であるといえ、問

題なく行えよう。これに対して、その内容に「謝意」が含まれる場合には、懲戒の一類型

としての始末書の提出となるので、これを義務付ける就業規則上の規定が必要である。

ところで、「謝意」を求める、すなわち、「謝らせる」という行為は、従業員の良心、

思想、信条等と微妙にかかわる内的意思の表明を求めるものであるから、反省を強要する

ことにもなり、個人の良心・内面の自由の観点から問題となる可能性がある。このような

危険を冒して「謝らせよう」とあまりに感情的になるよりも、今後二度と同様の事件が生

じないよう冷静・客観的に事態を収拾することのほうが得策であろう。

- 80 -

2) 教育訓練

教育を実施する権利は、労働契約から派生し、特に長期雇用システムにおいては幅広い

教育訓練の実施の権限が企業にはあると考えられる。しかし、内容が業務遂行と関係がな

く、過度の苦痛を伴うなどいわゆる「いじめ」的制裁を含むような場合などは、権利濫用

となる。情報セキュリティ啓発教育に関しても、この点に特にこの点に問題が生じていな

い限り、命令することは、可能である。

(3) 関連法令（政省令・基準）

労働基準法第 89 条第 9 号

(4) 裁判例

最高裁第二小法廷昭和 43 年 8 月 2 日判決・民集 22 巻 8 号 1603 頁

最高裁第三小法廷昭和 52 年 12 月 13 日判決・民集 31 巻 7 号 1037 頁

大阪地裁堺支部昭和 53 年 1 月 11 日判決・労判 304 号 61 頁

東京地裁昭和 42 年 11 月 15 日判決・労民 18 巻 6 号 1136 頁

東京地裁昭和 62 年 1 月 30 日判決・労判 495 号 65 頁

大阪地裁昭和 50 年 7 月 17 日判決・労経速 892 号 3 頁

高松高裁昭和 46 年 2 月 25 日判決・労民 22 巻 1 号 87 頁

大阪高裁昭和 53 年 10 月 27 日判決・労判 314 号 65 頁

最高裁第二小法廷平成 8 年 2 月 23 日判決・労判 690 号 12 頁

3-3.1.3. 情報流出事故が発生した場合の対応（２）－従業員に対する解雇、懲戒処分、

損害賠償請求等

企業が秘密性侵害行為などの情報セキュリティインシデントを発生させた従業員に対し、解

雇、懲戒処分、損害賠償請求等を行うことができるのはどのような場合か。

(1) 考え方

従業員が在職中に営業上の秘密の漏えい等の秘密性侵害行為を行うことは、原則的には

従業員が労働契約の付随義務として負っている秘密保持義務の違反に該当し、企業はこの

ような従業員に対し、解雇、懲戒処分、損害賠償請求等の法的手段をとり得る。

ただし、具体的な解雇や懲戒処分の効力は、労働法上の判断枠組みに基づいて判断され

- 81 -

ることになる。

この他、秘密性の侵害以外の情報セキュリティインシデント（例えば、完全性の侵害に

当る情報の改ざん）についても、具体的行為態様に照らして解雇、懲戒処分、損害賠償請

求の対象となる場合がある。

(2) 説明

1) 秘密性侵害行為に対する解雇、懲戒処分、損害賠償請求

従業員が在職中に発生させる情報セキュリティインシデントのうち、これまでの裁判例

において最も多く問題にされてきたのは営業上の秘密の漏えい等の秘密性侵害行為である。

企業の従業員（労働者）は、労働契約に付随する義務として、その在職中、秘密保持義務

を負っていると解されていることから、こうした秘密性侵害行為は原則的には当該義務の

違反となる。

こうした場合、企業は、当該行為を行った従業員に対し、解雇、懲戒処分、損害賠償請

求等を行い得る。ただし、解雇及び懲戒処分については、それぞれの効力を判断する労働

法上の枠組みに依拠して具体的な効力が判断されることになる（懲戒解雇の場合には双方

の枠組みに沿った判断がなされる）。

すなわち、解雇については、解雇権濫用（労働契約法第 16 条）が主要な問題となり、

従業員の行為態様、問題となった行為の重大性等に照らして解雇の効力が判断される。懲

戒処分については、あらかじめ就業規則に設けられた根拠規定に基づいて処分を行うこと

が必要であるほか、ここでも、権利濫用の成否が問題となり（労働契約法第 15 条）、処

分の根拠とされた行為の重大性に比して重すぎる処分でないか、他の同種事案に対する扱

いと均衡を失していないか、等の点が問題になる。

このほか、従業員の秘密性侵害行為によって会社に損害が生じた場合、労働契約上の債

務不履行若しくは不法行為に基づく損害賠償請求の対象となることもある。

近年の裁判例における具体的な判断としては、退職直前の従業員自らが関与した設計書

類、設計計算書等を自宅に持ち出した行為について、当該書類記載の情報を利用して退職

後に競業行為に及ぶ意図が推認できるなどとして懲戒解雇を有効とし、退職金を支給しな

いことも適法であるとした例（大阪地裁平成 13 年 3 月 23 日判決・労経速 1768 号 20

頁）、新商品に関するデータ漏えい行為について、懲戒解雇に相当するものと認め、退職

金を支給しないことも適法であるとしたほか、データ保存費用等、当該商品の開発・情報

管理のために会社が支出した費用の一部に相当する額の損害賠償請求を認めた例（東京地

裁平成 14 年 12 月 20 日判決・労判 845 号 44 頁）などがある。

- 82 -

一方、従業員に対する制裁が認められなかった例としては、従業員が、会社との間の雇

用関係上の紛争に関連する資料として弁護士に会社の顧客情報を渡した行為について、当

該情報を渡した経緯や相手方を考慮すると守秘義務違反に該当するとはいえないなどとし

て、懲戒解雇を無効とした例（東京地裁平成 15 年 9 月 27 日判決・労判 858 号 57 頁）

などが存在する。

2) 秘密性侵害行為以外の情報セキュリティインシデント

また、裁判例上の事例は少数であるが、完全性侵害行為（情報の改ざんや正確な情報の

記録を怠ること）について、具体的行為態様に照らして労働契約上の義務違反が認められ

る場合もある。具体例としては、農協職員による貸付金の担保に関する資料の改ざんを理

由とした懲戒解雇を有効とした例（大阪地裁平成 13 年 7 月 23 日決定・労経速 1783

号 17 頁）、先物取引会社の従業員について、会社に対して自己の担当顧客の真実の氏名・

住所等を告知する義務の存在を認め、当該告知を怠ったことによって生じた回収不能差損

金相当額の損害賠償を認めた例（東京地裁平成 11 年 11 月 30 日判決・労判 782 号 51

頁）などが存在する。

(3) 関連法令（政省令・基準）

労働契約法第 15 条、第 16 条 など

(4) 裁判例

本文中に記載のもの

3-3.1.4. 競業避止義務違反を理由とする退職金減額･不支給

秘密情報流出防止を目的として競業避止義務を従業員に課した場合、これに違反したことを

理由とする退職金の減額・不支給は認められるか。

(1) 考え方

基本的に認められる。ただし、賃金の後払い的性格の強い退職金制度の場合、退職金の

減額･不支給ができない場合がある。

(2) 説明

判例は、企業が労働者（従業員）に対し退職後の同業他社への就職をある程度の期間制

限することをもって直ちに労働者の職業の自由等を不当に拘束するものとは認められず、

したがって、会社がその退職金規定において、競業制限に反して同業他社に就職した退職

従業員に支給すべき退職金につき、その点を考慮して、退職金の減額する規定にも合理性

があるとしている。これは、退職金が賃金の後払い的性格を持つとともに、功労報償的性

- 83 -

格をあわせ持つと解されるため、功労を抹消するような行為について退職金を減額・不支

給（没収）する条項も合理性があると考えられているためである（したがって、退職金を

全額支払わなくても、労働基準法第 24 条第 1 項の全額払の原則に違反することにはなら

ない）。

なお、一審が、競業避止義務に違反した場合には退職金の半額を没収するという約定が

損害賠償の予定を約したものであり労働基準法第 16 条に違反するとした判断したのに対

し、二審及び最高裁は、これを否定している）。ただし、このような退職金の減額・不支給

は、同業他社への就職を制約するものであるため、労働者の職業選択の自由との関係が問

題となる。すなわち、退職金の減額・不支給が適用になるのは、ある程度の合理的な範囲

に限定されるのである。合理的でない場合には、条項が無効とされよう。

また、理論的には、支払済みの場合退職金返還請求も可能である。もっとも、退職金減

額・不支給のメリットとしては、あらかじめ退職金を押さえてしまうことで、損害賠償請

求を行う手間を省けるところにあるので、一度支払ってしまった退職金を取り戻すことが

できると考えることにどれほどのメリットがあるか疑問ではある。したがって、特に秘密

に触れる業務に従事する従業員が退職を申し出たような場合には、退職金を支払う前に当

該従業員に関し十分慎重に調査するなどの対応が求められよう。その対策の一例としては、

秘密を取り扱う企業である場合、十分調査できるように支給日に余裕をもたせた退職金制

度を設計しておくなどの方法も考えられよう（また、退職金相当額の違約金の約定を取り

付けておく等の対策も検討されるべきである。なお、この場合、労働契約の不履行に対す

る違約金の定めではないので労働基準法第 16 条の問題は生じない）。

なお、退職金の不支給･減額が認められない場合として、業務実績に応じて額が機械的に

積算されるような方式（ポイント式退職金制度）や、退職金相当額を毎月前払で支払って

もらうか退職時に積み立てた額を支払ってもらうか従業員が選択する方式（退職金前払選

択制度）が採用されている場合が挙げられる。このような制度の下では、賃金後払的性格

が強く功労報償的性格は認められないとして、退職金の減額・不支給は否定されるとする

裁判例がある。また、選択的な制度を採用している企業において退職一時金を選択した従

業員に対してのみ、制裁措置として退職金を減額・不支給にすることは、公平さを欠き許

されないと考えられる。

(3) 関連法令（政省令・基準）

労働基準法第 16 条、第 24 条、第 89 条第 3 号の 2

(4) 裁判例

最高裁第二小法廷昭和 52 年 8 月 9 日判決・労経速 958 号 25 頁

- 84 -

名古屋高裁平成 2 年 8 月 31 日判決・労判 569 号 37 頁

大阪高裁平成 10 年 5 月 29 日判決・労判 745 号 42 頁

名古屋地裁平成 6 年 6 月 3 日判決・労判 680 号 92 頁

第4節 知的財産権法との関係

3-4.1.1. リバースエンジニアリングにおける著作権法上の問題

コンピュータウイルス対策のために各ウイルスを解析する場合や情報セキュリティ対策と

して不正行為に用いられるソフトウエアの構造等を解析する場合に、その複製や一部改変を

行なわざるを得ない状況が生じ得ると考えられるが、これらの行為について著作権法上の問

題はないのか。

(1) 考え方

現行著作権法の下では、たとえその用途がセキュリティを脅かす不正行為に供されるソ

フトウエアやコンピュータウイルスについても、プログラム著作物として著作権による保

護を否定することはできないと考えられ、このようなプログラム著作物について、たとえ

ウイルス対策等の公益目的の解析であっても、現行規定の解釈上は、権利者に許諾なく複

製や一部を改変する行為が生じている以上は著作権法第 47条の2 等の権利制限規定に該

当しない限り、複製権や翻案権、同一性保持権と抵触する可能性は否定できない（現実的

に、それらの著作権者が権利行使を行うという可能性は極めて低いと考えられる）。

一方、コンピュータウイルスの著作権の行使による解析行使等の差止請求が当然に認め

られるべきであるのかは議論の余地が残されている。裁判例としてこの点について正面か

ら判断した事例は未だなく、現状では依然として明確ではない。

また、この種のプログラム著作物の場合、著作権者が不明である場合がほとんどと考え

られるところ、裁定制度を活用することも考えられよう。

(2) 説明

コンピュータウイルスや不正行為に用いられるソフトウエア（以下、不正目的ソフトウ

エアと呼称する。）であっても、著作権法上のプログラム著作物（著作権法第 2 条 1 項 10

号の 2）に該当するものは多いと考えられる。

このため、これらの不正目的ソフトウエアであっても、それを構成するプログラムにつ

いては著作権が発生し、原則的には著作権法上の支分権（著作権法第 21 条～第 28 条）

- 85 -

及び著作者人格権（第 18 条～第 20 条）による保護が及ぶことになる。

したがって、不正目的ソフトウエアへの対策等のために、リバースエンジニアリングを

行うに際して生じる複製や翻案についても、原則的には当該プログラムの著作権者の許諾

なしには行うことはできないのであって、許諾なしに行うことは著作権侵害行為や同一性

保持権侵害を構成し得る。

なお、著作権法では公益との調整を図るために様々な権利制限規定を設けているが、設

例で挙げられている「コンピュータウイルス対策のために各ウイルスを解析する場合や情

報セキュリティ対策として不正行為に用いられるソフトウエアの構造等を解析する場合」

に直接適用し得る規定は存在していないし、解釈論として適用し得る規定が存在するのか

明確ではない。。

もっとも、ソフトウエアの機能構造解析については、一般的にもリバースエンジニアリ

ングを巡る問題として認識されており、学説上は、プログラムの中身を知るための解析過

程で生じる複製・翻案については、著作権法の規範的解釈により、法上の複製・翻案と解

すべきではないという説（例えば、中山信弘『著作権法』103－105 頁）もあり、この

ような立場に立てば、何ら著作権侵害は構成しないということになろう。

現状では、裁判例の考え方は明らかではないが、仮に、著作権侵害訴訟の形で権利行使

なされたとしても、そもそも公益目的での不正目的ソフトウエアの対策行為について差止

請求や損害賠償請求が肯定される可能性は低いものと考えられ、また基本的にそのような

請求は認められるべきものでないことに異論は少ないであろう。

その理論構成としては幾つか考えられよう。

例えば、事実として複製が行なわれているものの著作権法上の「複製」には当たらない

とした判例（東京高裁平成 14 年 2 月 18 日判決・判時 1786 号 136 頁）の考え方の応

用、権利濫用法理、（ウイルスの場合、多数のコピーが拡散され、変換されることを前提と

していることを捉えて、）複製・翻案についての黙示の許諾が存するとの解釈等が考えられ

るかもしれない。

また、不正目的ソフトウエアのほとんどはその製作者が不明であることから、著作権者

不明として著作権法上の裁定制度（著作権法第 67 条第 1 項）を積極的に活用することに

よって、不正目的ソフトウエア対策を進めることができるものと考えられる。

なお、リバースエンジニアリングを巡る著作権法における対応の現状を踏まえて、昨今、

文化審議会著作権分科会でも、この点についての権利制限規定の導入について、検討が進

められており、平成 21 年 1 月の報告書では、相互運用性の確保や障害の発見等の一定目

的のための調査・解析について権利制限を認めるべきことについては概ね意見の一致が見

- 86 -

られた」とされている（同上・報告書 73 頁）。このことから、今後の立法を巡る動向につ

いても、注意を要する。

(3) 関連法令（政省令・基準）

著作権法第 2 条第 1 項第 10 号の 2、第 18 条～第 28 条、第 20 条第 2 項第 3 号、

第 47 条の 2、第 67 条第 1 項

(4) 裁判例

リバースエンジニアリング関連では、特になし

本文中に記載のもの

3-4.1.2. マルウエアに感染等したソフトウエアの解析に伴う複製

マルウエアに感染等したソフトウエア、又はマルウエアの感染等から守られるべきソフトウ

エアについて、セキュリティ対策の目的で当該ソフトウエアを解析する際にこれを複製する

ことは、著作権法上、問題ないのか（行為を行う主体としては民間企業及び公的機関を含む）。

(1) 考え方

ソフトウエアを複製することは、その目的にかかわらず、さしあたり著作権法上の複製

に該当する。そのため、他人のソフトウエアを無断で複製することは複製権侵害の問題を

生じさせ得る。もっとも、当該複製について権利者の明示的または黙示的な許諾がある場

合は複製権の侵害にならない。また、一定の権利制限規定に該当する場合も同様であり、

本件の場合、特に複製主体が公的機関の場合に関して著作権法第 42 条の適用を受ける可

能性があるほか、プログラムの著作物の複製物の所有者が自ら利用するために必要と認め

られる限度で複製するのであれば著作権法第 47 条の 2 に基づき権利が制限されるため、

複製権の侵害とはならない。なお、マルウエア自体を解析することにともなうマルウエア

の複製については、3-4.1.1.を参照。

(2) 説明

セキュリティ・テスティングをするためには、マルウエアに感染等したソフトウエアを

解析したり、マルウエアに感染することを防止したいと考えるソフトウエアを解析したり

するために、当該ソフトウエアを複製する必要がある場合、この複製が著作権法上の問題

を生じさせる可能性がある。

たしかに、その目的がたとえセキュリティ対策であるとしても、当該ソフトウエアを「有

形的に再製」している以上、著作権法の「複製」を行っていることは否定できない。

- 87 -

もっとも、このような複製行為が直ちに複製権侵害となるとすれば、セキュリティ対策

を効果的に行うことに支障を生じさせかねない。そこで、当該ソフトウエアの複製権侵害

に当たらないとする解釈論として以下のものが考えられる。

まず、著作権者の許諾がある場合である。当該ソフトウエアの著作権者（この場合は複

製権者）が、本件のようなソフトウエアの複製について明示的または黙示的に許諾してい

る場合は複製権侵害にならないものと解される。例えば、当該ソフトウエアのメーカーが

解析を直接依頼した者が複製を行うような場合はこれに当たる。他方、ソフトウエアを一

般に販売しているメーカーが、当該ソフトウエアがセキュリティ対策のために必要な限り

で複製されることについて黙示的に許諾していると解釈できる場合があるかどうかは検討

の余地がある。

次に、制限規定の適用である。

まず、著作権法第 42 条第 1 項柱書は「著作物は、裁判手続のために必要と認められる

場合及び立法又は行政の目的のために内部資料として必要と認められる場合には、その必

要と認められる限度において、複製することができる」と規定しているため、例えば、セ

キュリティ対策を目的とする行政機関がその行政の目的のためにソフトウエアを複製する

ことが「内部資料として必要と認められる」複製に当たれば、複製権侵害にならないこと

になる。もっとも、実際に同項に該当する場合があるかどうかは検討の余地がある。

(3) 関連法令（政省令・基準）

著作権法第 21 条、第 42 条、第 47 条の 2

(4) 裁判例

特になし

- 88 -

第4章 インシデント発生時の対応、訴訟手続、フォレンジッ

ク等

本章では、典型的なインシデントの発生を念頭においた上で、インシデント発生後、企

業はどのような対応をすべきかについて論じる。

情報漏えい・システム障害などのインシデントの発生によって企業が損害を受けた場合、

①原因究明、②処分を含めた事後処理、③再発防止策の実施を行うことは、取締役の義務

であり、これを怠ると任務懈怠の責任を問われる可能性がある。

典型的なインシデントである、個人情報の漏えいの場合と、営業秘密の漏えいの場合に

は特に以下のような対応が求められる。

個人情報の漏えいが発生した場合、被害者への通知、漏えい事実の公表、監督官庁への

報告などの対応を検討する必要がある。営業秘密の漏えいの場合については、不正競争防

止法に基づく告訴等の適否、可否が検討されることになる。

そして、訴訟手続きを念頭においた場合、どのようにして証拠を収集すべきかが実務的

な対応としては重要である。情報は無体物であることから、証拠の保全・提出にあたって

留意が必要となる（4-1.1.1. ）。また、電子文書の真正性確保のために電子署名及び認証

業務に関する法律が設けられている（4-1.1.2. ）。

特に不正競争防止法における営業秘密の保護については、漏えいの事実を立証すること

が困難であることから、一定の場合に被告側にも具体的態様の明示義務を課すなどしてい

る（4-1.1.3. ）。ただ、原告側に立証責任があるのであるから、予め営業秘密は十分に管

理し、漏えいがあった場合には漏えいの事実を客観的に把握できるようにしておく必要が

ある（4-1.1.4. ）。

また、会社で保有している情報に対して訴訟当事者からその提供を求められることがあ

る（4-1.1.5. ）。ただ、一定の場合には、その提供を免れることができる（4-1.1.6. ）。

なお、訴訟において不利であると考えられる情報について破棄するなどした場合には、法

律上不利益がある（4-1.1.7. ）。

4-1.1.1. IT 関連の損害賠償等に関する民事訴訟において証拠を保全・提出

IT 関連の損害賠償等に関する民事訴訟において証拠を保全・提出するために留意すべき点に

はどのようなものがあるか。

(1) 考え方

民事訴訟法上は、原則としてどのようなものでも証拠とすることができるが、裁判官が

書証として証拠調べをするためには、その文書が外観上見読可能なものでなければならな

い。また証拠が要証事実を立証するに足る実質的な証拠価値を有すると評価されるために

- 89 -

は、その前提として、当該文書が挙証者が作成者であると主張する者（以下、単に「作成

者」という。）の意思に基づいて作成され、他の者により偽造又は改ざんされたものでは

ないことを示す必要がある。

文書ファイルが、プリントアウトするなどして見読可能な状態で証拠として提出される

場合、相手方が当該ファイルに収録された情報内容とプリントアウトされた文書の記載内

容が異なるなどとして争う場合に備えて、プリントアウトされた文書ともとの文書ファイ

ルの記載内容が合致していること、元の文書ファイルが偽造又は改ざんされたものではな

いことを証明するため、オリジナルデータのコピーなどを保全しておくことが必要である。

(2) 説明

1) 問題の所在

IT 関連の損害賠償請求訴訟では、事件の性質上、紙媒体の文書や証人など従来型の証拠

のほかに、デジタルデータの収録された磁気ディスク等を証拠として提出する場合が予想

される。そのような場合に、従来型の証拠と違ってコピーや改ざんが容易だという特性が

あり、またデジタルデータそのままでは読む及び見るということができない（見読性がな

い）。そこで、どうすれば裁判の証拠とできるかが問題となる。

2) 民事訴訟で提出できる証拠とは？

民事訴訟法は、原則としてどのようなものであっても証拠とすることができる。これを

証拠能力に制限がないという。したがって、コンピュータに内蔵されたデータであっても、

その意味内容を証拠化することは可能である。

しかし、一般的にデジタルデータを文書ないし準文書として証拠化することが可能であ

るとしても、訴訟上の証拠資料として事実認定の用に供するためには、裁判官がその証拠

の内容を理解するに足る見読可能性を備えなければならず、さらに、要証事実を裁判官が

認定するに十分な証明力を当該証拠が有することが必要である。デジタルデータの意味内

容を証拠資料とする場合は、そのいずれについても注意が必要である。

3) デジタルデータを取り調べる方法

デジタルデータは、そのままでは見読性がなく、情報内容を証拠資料とするためには、

何らかの形で裁判官が認識できるようにしなければならない。いわゆる文書ファイルであ

れば、デジタル情報として記録されている文書の内容をエディタソフトやワープロソフト、

表計算ソフト、プレゼンテーションソフトなど、いわゆるビューア・ソフトにより見読可

能にして、モニターやプリンター等に出力する。裁判官は、上記の情報記録媒体自体が証

拠として提出された場合には、モニターに表示された情報を取り調べることになり、プリ

- 90 -

ントアウトされた紙媒体が証拠として提出された場合には、これを取り調べる。

前者の場合、当事者は情報記録媒体を準文書として提出することになる。この場合、裁

判所や相手方の求めがあるときは、情報内容を説明した書面を提出しなければならない（民

訴規則第 149 条参照）。後者の場合、当事者はプリントアウトされた紙媒体を文書として

提出することになり、相手方が情報記録媒体の複製物の交付を求めたときは、複製物を相

手方に交付しなければならない（民訴規則第 144 条参照）。

なお、情報記録媒体の内容が言語により表現されている文書ファイルであれば、これを

表示し又はプリントアウトすることにより取り調べることが可能だが、ソフトウエアやメ

タデータのような場合は、プリントアウト等したとしても、それだけで裁判官が理解でき

るものとはならない。この場合、証拠を提出する当事者は、証拠説明書を裁判所に提出す

るとともに、証拠の内容及びその意味を説明した書面、場合によっては陳述書などの書証

を提出することが考えられる。

4) デジタルデータの成立の真正を証明するための留意点

デジタルデータを証拠として提出する場合、当事者は、当該データが作成者の意思に基

づき真正に成立したものであることを証明しなければならない（4-1.1.2 参照）。

デジタルデータが、例えば電子商取引でやりとりされたものであれば、電子署名の方法

が法定されており、これにより成立の真正を証明することが考えられる。ところが例えば

損害賠償請求訴訟では、そうしたデータ等が整っていることは少なく、訴訟の相手方が争

った場合に、成立の真正を証明する方法が問題となる。そこで、データの意味内容を証拠

資料とするためには、そのデータファイルがいつできたのか、最後に修正を加えられたの

がいつかを明らかにするためのタイムスタンプや、修正履歴を記録しておくことが考えら

れる。また、こうしたデータを特定し、成立の真正を証明するためには、デジタルフォレ

ンジック技術27が有用である。

(3) 関連法令（政省令・基準）

民事訴訟法第 231 条

民事訴訟規則第 144 条、第 149 条

(4) 裁判例

デジタルデータ又はそれにより作成された紙媒体の証拠調べが問題となった例

27 デジタルフォレンジック技術については、デジタルフォレンジック研究会編『デジタルフォレンジック事典』（日科

技連出版社・2007）参照。

- 91 -

大阪高裁昭和 53 年 3 月 6 日決定・高民集 31 巻 1 号 38 頁

最高裁平成 19 年 8 月 23 日判決・判時 1985 号 63 頁・判タ 1252 号 163 頁

4-1.1.2. 民事訴訟における電子データの成立の真正の立証の要否

民事訴訟において、電子データを証拠とする場合にはその成立の真正を証明しなければなら

ないか。

(1) 考え方

民事訴訟法は、文書が作成者の意思に基づいて作成されたことを形式的証拠力として要

求しているが、これは電子データについても同様である。電子データにおいて、署名・押

印に相当するのが電子署名である。

(2) 説明

1) 文書証拠の形式的証拠力

書証については、その文書が作成者の意思に基づいて作成されたことが必要である。こ

れを形式的証拠力と言い、私文書の作成者が、その意思に基づいて当該私文書に署名又は

押印をした場合には、その私文書全体がその意思に基づいて作成されたものと推定され、

その私文書に文書作成者の印章により顕出された印影があれば、その印影は、その私文書

の作成者の意思に基づくものであり、その私文書の作成者がその意思に基づいて押印した

ものと事実上推定される。

2) 電子データの場合

電子データの場合も、その意味内容を証拠資料としたいのであれば、その成立の真正を

証明する必要がある。電子データについて電子署名が行われた場合には、その電子データ

は真正に成立したものと推定される。ただし、その電子署名は、適正に管理されて本人だ

けが行うことのできる電子署名に限られる。

(3) 関連法令（政省令・基準）

民事訴訟法第 228 条

電子署名及び認証業務に関する法律第 3 条

(4) 裁判例

文書作成者の印章により顕出された印影がある私文書につき、その成立の真正の推定が

問題となった例

- 92 -

最高裁昭和 39 年 5 月 12 日判決・民集 18 巻 4 号 597 頁

4-1.1.3. 営業秘密の使用の立証方法

営業秘密侵害訴訟において侵害者（被告）が技術情報である営業秘密を使用した事実をどの

ように立証すればよいのか。

(1) 考え方

侵害者（被告）が営業秘密の取得や使用を否認している場合には、被侵害者（原告）は

営業秘密の存在とその内容を特定し、営業秘密の使用を立証しなければならないが、不正

競争防止法に定める具体的態様の明示義務（不正競争防止法第 6 条）等を活用することに

より侵害者にも侵害情報の特定を促す訴訟活動をする必要がある。

(2) 説明

営業秘密の侵害訴訟においては、侵害の事実を立証する責任は侵害の事実を主張する原

告にある。このため、被告が営業秘密を取得し使用した事実を立証しなければ、原告の請

求は認められないことになる。

特に、被告が営業秘密の秘密管理性や非公知性を争うのではなく、取得や使用自体を争

う場合には、この点が裁判で争点となるため、原告は営業秘密を具体的に特定し、侵害者

が当該営業秘密を使用した事実を立証する必要がある。

営業秘密の使用を立証するためには、原則として営業秘密となる技術情報を開示して特

定した上で、様々な間接事実を積み重ねて、相手方が営業秘密を使用したことを立証する

必要があるが、例えば、被侵害者が営業秘密となる技術情報の一部を開示し、当該技術情

報を用いなければ侵害者の製品は製造できないことを立証し、侵害者が異なる製法で同一

製品が製造できることを反証できない場合には、営業秘密の使用の事実が当該営業秘密の

一部の開示によって立証される場合もある。

なお、営業秘密が技術情報であった場合には、被告がその技術を使用したか否かを立証

することが困難な場合が多い。そこで、不正競争防止法に係る訴訟においては、原告が主

張する侵害行為を組成する物又は方法を、被告が否認する場合には、自分の行為の具体的

態様を明らかにしなければならないとされている（不正競争防止法第 6 条）。そこで、営

業秘密侵害訴訟においても、原告が、被告は特定の製品について営業秘密を使用して製造

したものであると主張した場合には、被告において、当該製品をどのような技術を用いて

製造したのかを積極的に反証する必要があることになろう。

ただし、「相手方において明らかにすることができない相当の理由」がある場合には、具

体的態様の明示義務は負わないこととされており、具体的態様を明示することで被告側の

- 93 -

営業秘密が開示されてしまう場合などがこれに該当すると考えられている。

また、特許法では、「物を生産する方法の発明について特許がされている場合において、

その物が特許出願前に日本国内において公然知られた物でないときは、その物と同一の物

は、その方法により生産したものと推定する。」との規定がある（特許法第 104 条）。同

条の趣旨は、新規物質の生産方法の発明がなされた場合、他のものによるその物と同一の

物の生産はその特許方法によってなされている蓋然性が高いことから、立証責任の転換に

より特許権者の負担の軽減を図ったものと解されている（東京地裁昭和 53 年 2 月 10 日

判決・判時 903 号 64 頁）。

そこで、営業秘密が新規物質の生産方法であって、被告が同一の物を製造している場合

には、同条を類推適用することにより、被告の製品は原告の営業秘密の使用により製造さ

れたものであるとの事実が推定されるべきであろう。

この他にも、両者の営業秘密を開示しなければ侵害行為が立証できない場合には、訴訟

記録の閲覧等制限の申立て（民事訴訟法第 92 条）、文書提出命令制度におけるインカメラ

手続（民事訴訟法第 223 条第 6 項）、不正競争防止法第 7 条第 2 項、第 3 項）、秘密保

持命令（不正競争防止法第 10 条）、尋問の公開停止（不正競争防止法第 13 条）等を活用

した立証活動をすることが考えられる。

(3) 関連法令（政省令・基準）

不正競争防止法第 2 条第 1 項第 4 号～第 9 号、第 6 条、第 7 条第 2 項・第 3 項、第

10 条、第 13 条

特許法第 104 条

民事訴訟法第 92 条、第 223 条第 6 項

(4) 裁判例

特になし

4-1.1.4. 営業秘密漏えいの証拠を確保する方法

情報漏えいが営業秘密侵害に該当すると裁判で認められるためには、営業秘密を不正に取得

したことや、情報の取得者が当該情報を使用したこと、第三者へ開示したことなどを立証す

る必要がある。しかし、取得対象が情報という無体物であるがゆえに、その証拠を確保する

ことは容易ではない。そこで、情報漏えいが発生した場合に漏えいの事実を立証するために、

どのような方法により情報を管理しておくべきか。

- 94 -

(1) 考え方

情報漏えいの事実を把握するために、秘密情報を物理的・技術的に隔離して管理し、秘

密情報の複製や外部への持ち出しを、客観的に把握できる手段を確保しておくことが必要

である。

(2) 説明

営業秘密の証拠を保全することは、漏えい者や漏えいした営業秘密を使用した第三者に

対して民事上の請求をするために必要となる。また、営業秘密侵害罪は、親告罪（不正競

争防止法第 21 条第 3 項）であるが、実務的には、告訴段階において十分な証拠が確保さ

れていない場合に、捜査機関が告訴後の捜査のみで証拠を収集して営業秘密侵害罪を立件

することは非常に困難であるといわれている。そこで、営業秘密の漏えいが発生した場合

には、自主的にその証拠の保全を行うことが重要となる。

まず、情報漏えいの証拠を確保するためには、情報漏えいの事実を把握するためにも、

秘密情報を物理的・技術的に隔離して管理しておくことが望ましい。なお、このような物

理的・技術的管理は、不正競争防止法での営業秘密の秘密管理性（①アクセス制限、②客

観的認識可能性）の要件を満たすためにも必要な措置である。

具体的な管理方法としては、保管場所の隔離・施錠、アクセス権者の制限、電子データ

の複製の制限、不正アクセスの防御措置、外部ネットワークからの遮断、保管媒体の持出

禁止等の秘密管理性の判断において裁判例が考慮している要素や、またその他の管理方法

についても、経済産業省の「営業秘密管理指針」において掲げられているものが参考とな

る。

さらに、このような予防措置に加え、情報が外部に流出した場合に備え、秘密情報の複

製や外部への持ち出しを、客観的に把握できる手段を確保しておくことが必要である。例

えば、管理場所における監視カメラの設置、電子データの複製履歴の保存、電子メールの

モニタリングや過去の送受信メールの保存等の情報漏えい時に流通経路を特定することが

可能なシステムの設置などを行うことが考えられる。また、不正アクセスなどに対しては、

コンピュータを解析して証拠を収集するコンピュータフォレンジックを行うことにより証

拠を確保することも可能であろう。さらに、情報を漏えいさせている者が特定できている

場合には、捜査当局の協力を得て具体的な流出経路を特定して証拠を確保することも考え

られる。

(3) 関連法令（政省令・基準）

不正競争防止法第 2 条第 6 項、第 21 条第 1 項

- 95 -

(4) 裁判例

特になし

4-1.1.5. 民事訴訟において訴訟の当事者から情報の提供を求められる場合

民事訴訟において、訴訟の当事者から、自社が保有する情報の提供を求められることはある

か。

(1) 考え方

民事訴訟の当事者が相手方や第三者の保有する情報の提供を求める手段としては、文書

提出命令、検証物提示命令、証人尋問・本人尋問、訴訟前または訴訟中の当事者照会、証

拠保全、訴えの提起前の証拠収集処分、その他裁判外で弁護士会照会がある。

特別法上の提出義務としては、会社法上に商業帳簿の提出義務が定められ、また特許法

や著作権法など知的財産関係法にも書類の提出義務が規定されている。

以上のほかに、裁判所を通じて釈明を求める、または、文書送付嘱託や調査嘱託を求め

ることも、相手方や第三者が保有する情報の提供を求める手段の一つと位置付けられる。

(2) 説明

1) 裁判所の命令等による証拠の提出

民事訴訟において、相手方が保有する文書その他の情報媒体は、それを訴訟に提出する

かどうかの選択を保有者が持っている。しかし文書提出命令によりその文書等の提出を命

じられた場合には、当該文書を提出しなければならない。

文書提出義務は、平成 8 年の民事訴訟法改正により一般義務化された。この結果、裁判

所は、民事訴訟法第 220 条第 4 号に基づく文書提出命令の申立てがされた場合、証拠と

すべき必要性が認められ、同号が掲げる提出義務除外事由に該当しない限り、文書提出命

令を発し、当該文書の所持者はその提出義務を負うことになる。

文書提出命令の対象には、紙媒体のもののみならず、録音テープやビデオテープ、デジ

タルデータの記録された記録媒体なども含まれる。

こうした文書提出義務と類似の規定は、他の法令にもみられる。例えば、会社法には、

第 443 条及び第 619 条の計算書類等の提出命令、第 434 条及び第 616 条の会計帳簿

の提出命令、第 498 条の貸借対照表等の提出命令、第 493 条及び第 659 条の財産目録

等の提出命令がみられる。また特許法第 105 条や著作権法第 114 条の 3 の書類提出な

ども重要である。

- 96 -

当事者が文書提出命令に従わない場合、裁判所は、相手方の当該文書の記載に関する主

張を真実と認めることができ、また、相手方が、当該文書の記載に関して具体的な主張を

すること及び当該文書により証明すべき事実を他の証拠により証明することが著しく困難

な場合には、その文書によって証明しようとした事実に関する主張を真実と認めることが

できる。また、訴訟の当事者ではない第三者が文書提出命令に従わない場合には、過料の

制裁を課されることがある。

文書の内容ではなく物の形状や性質などを証拠資料とする検証についても、文書と同様

に検証物提示命令の規定（民訴法第 232 条による第 223 条の準用）がある。なお文書で

あっても、その形状や改ざんの有無などを明らかにするための証拠調べは検証によること

になる。

裁判所は、原則として誰でも証人として尋問することができ、また、当事者本人を尋問

することができる。当事者は、自己に協力的な証人や自分自身の尋問を申し出ることも、

いわゆる敵性証人の尋問を求める、あるいは、相手方当事者の尋問を申し出ることも可能

である。

証人が正当な理由なく出頭せず、又は証言拒絶権や宣誓拒絶事由がないにもかかわらず

証言や宣誓を拒んだ場合には、過料や罰金の制裁が課されることがある。また、宣誓の上

で虚偽の事実を述べれば、偽証罪の制裁が課されることがある。当事者尋問の場合、偽証

罪の適用はないが、正当な理由のない不出頭や陳述拒絶、宣誓拒絶があった場合には、裁

判所は、尋問事項に関する相手方当事者の主張を真実と認めることができ、また虚偽の陳

述があった場合には過料の制裁を課すことがある。

2) その他の場合

上記 1)と異なり、制裁を伴わない制度としては、当事者照会（民訴法 163 条）があり、

照会を受けた相手方は照会に対して回答する義務があると解されているが、制裁規定を欠

くため、ほとんど利用はされていないとの指摘がある。

また、裁判長は、訴訟関係を明瞭にするため、事実上及び法律上の事項に関し、当事者

に対して問いを発し、又は立証を促すことができ（釈明権）、実務上活用されている。当事

者が相手方に対して主張や立証を求める場合、裁判長に発問を求めるという形がとられる。

これを実務上は求釈明という。

このほか、裁判所は、必要な調査を官庁等の団体に対して嘱託することができ（民訴法

186 条）、また、当事者は、文書の所持者にその文書の送付を嘱託することを裁判所に申

し立てることができ（民訴法 226 条）、これらも実務上活用されている。

- 97 -

3) 訴えの提起訴訟前における証拠収集

訴えの提起の前後にかかわらず、証拠調べの対象となる物が滅失するおそれがあるなど、

あらかじめ証拠調べをしておかなければその証拠を使用することが困難となる事情がある

と認められる場合、裁判所は証拠調べをすることができ（証拠保全）、医療事故紛争におけ

る患者側が医療側の保有する医療記録について改ざんのおそれを理由として証拠保全を申

し立てることは実務上よくある。

また平成 15 年の民事訴訟法改正では、訴えを提起しようとする者が訴えの被告となる

べき者に対し訴えの提起を予告する通知を書面ですることなどを要件として、訴えの提起

前における当事者照会及び証拠収集処分（文書送付嘱託等）の制度が創設された。

4) 弁護士会照会

民事訴訟法上の制度とは別に、民事には限られないが、弁護士会照会（いわゆる第 23

条の 2 照会）が行われている。これは、事件を受任した弁護士等の申出に基づき、その所

属弁護士会が、公私の団体等に対して必要な事項の報告を求めることができ、相手方はそ

の報告義務を負うというものである。

(3) 関連法令（政省令・基準）

民事訴訟法第 132 条の 2～第 132 条の 4、第 149 条、第 163 条、第 186 条、第

190 条、第 211 条、第 220 条、第 223 条～第 226 条、第 232 条、第 234 条

弁護士法第 23 条の 2、第 30 条の 21

外国弁護士による法律事務の取扱いに関する特別措置法第 50 条

沖縄の弁護士資格等に対する本邦の弁護士資格等の付与に関する特別措置法第 7 条

沖縄弁護士に関する政令第 10 条

会社法第 443 条、第 493 条、第 498 条、第 616 条、第 619 条、第 659 条

特許法第 105 条

著作権法第 114 条の 3

(4) 裁判例

文書提出命令に対する提出拒絶が問題となった事例につき、4-1.1.6 参照。

- 98 -

4-1.1.6. 民事訴訟における営業秘密、プライバシー情報の非公開の可否

民事訴訟においては、営業秘密やプライバシー情報を公開しないことができるか。

(1) 考え方

上記 4-1.1.5 のとおり、証人尋問・当事者尋問には不出頭や証言拒否等に一定の制裁が

設けられており、また、文書の所持者は、文書提出命令が発せられた場合には、文書提出

義務を負う。そして、民事訴訟手続は公開が原則であり、何人も訴訟記録の閲覧を請求す

ることができる。しかし、秘密として保護されるべき情報等は、証言義務や文書提出義務

等を免れる場合がある。また、訴訟記録中の営業秘密等が記載された部分は閲覧制限の対

象となることがある。加えて、平成 16 年の特許法等の改正（平成 16 年法律第 120 号）

により、特許法などの知的財産関連法に秘密保持命令制度と当事者尋問等の公開停止の措

置が導入され、裁判の公開と秘密保護との両立が図られた。

(2) 説明

1) 証言や文書提出の拒絶事由等

企業との関係では、民事訴訟法第 197 条第 1 項第 3 号の技術又は職業の秘密に関する

事項についての証言拒絶権と、同号の秘密に関する民事訴訟法第 220 条第 4 号ハの文書

提出義務の除外事由、また同号ニの自己使用文書の提出義務除外事由が重要である。

また特許法や著作権法などの知的財産関係法令にある書類の提出義務についても、「正当

な理由」による提出拒絶が認められている。

2) 秘密として保護される要件

自己使用文書に該当する要件としては、ある文書が、その作成目的、記載内容、これを

現在の所持者が所持するに至るまでの経緯、その他の事情から判断して、専ら内部の利用

に供する目的で作成され、外部に開示されることが予定されておらず、開示によって所持

者に看過し難い不利益が生ずるおそれがあり、自己使用文書に該当することを否定すべき

特段の事情がないことを要するとするのが判例である。

また，職業の秘密については、その事項が公開されると当該職業に深刻な影響を与え、

その遂行が困難になるもののうち、保護に値する秘密についてのみ証言拒絶が認められ、

保護に値する秘密かどうかは、秘密の公表によって生ずる不利益と証言の拒絶によって犠

牲になる真実発見及び裁判の公正との比較衡量により決せられるとするのが判例である。

これを情報が秘密として保護される要件という観点から見るならば、営業秘密について秘

密として管理していることが必要なことはもちろん、それに加えて開示されたらどのよう

な不利益が生じるのかを明らかにしておく必要がある。

- 99 -

3) 秘密保持命令

特許紛争や不正競争関連紛争では、営業秘密に属する事項を主張立証の中で開示せざる

を得ないことが多く、その秘密保護が欠けるため裁判による権利保護が不可能になってし

まうおそれが強い。また裁判官だけが文書を見るインカメラ手続について、その提出を求

めた当事者も立会を認める必要が主張されていた。そこで平成 16 年の特許法等の改正に

より、インカメラ手続に文書提出命令申立人等の立会を認める制度を導入するとともに、

訴訟上提出された準備書面や証拠書類に営業秘密が含まれていた場合に、特に裁判所が秘

密保持命令を発し、違反した場合は刑事罰を科すこととした。これによってインカメラ手

続に立ち会った文書提出命令申立人や、第三者に対しては閲覧制限がかけられるような準

備書面・証拠書類等を見ることのできる相手方当事者は、その情報を訴訟追行以外の目的

で使用したり、第三者に開示したりすることが禁止される。

同旨の規定は特許法と不正競争防止法のほか、種苗法、商標法、著作権法、実用新案法、

意匠法にもある。

4) 当事者尋問等の公開停止

裁判の公開は憲法上の要請であり、従来は少なくとも訴訟事件について非公開審理を認

めることに極めて慎重であった。しかし秘密保護やプライバシー保護の要請が強くなって

きたため、訴訟記録の閲覧制限だけでは秘密保護が不十分とされてきた。他方、審理の充

実も必要であり、秘密保護のための証言拒絶、文書提出拒絶を一方的に拡張することは適

当ではない。そこで、例外的に非公開審理の可能性を認め、裁判の公開と秘密保護とを両

立させる方策として、平成 16 年の特許法等の改正により当事者尋問等の公開停止の措置

が導入された。

特許法第 105 条の 7 を例にとると、特許権または専用実施権の侵害の有無に関して、

当事者本人、法定代理人、証人が尋問を受ける場合に、それが開示されると当事者の事業

活動に著しい支障を生ずることが明らかな営業秘密が含まれているために十分な陳述がで

きず、しかも他の証拠によっては侵害の有無が判断できないと認められる場合に、裁判官

全員一致の決定によって尋問を非公開で行うことができるとされている。

同旨の規定は種苗法、不正競争防止法、実用新案法にある。

(3) 関連法令（政省令・基準）

民事訴訟法第 92 条、第 197 条、第 220 条、第 223 条第 1 項・第 6 項など

特許法第 105 条、特に同条第 3 項、第 105 条の 4～第 105 条の 7

不正競争防止法第 7 条、特に同条第 3 項、第 10 条～第 13 条

- 100 -

(4) 裁判例

最高裁平成 11 年 11 月 12 日決定・民集 53 巻 8 号 1787 頁

最高裁平成 12 年 3 月 10 日決定・民集 54 巻 3 号 1073 頁

最高裁平成 13 年 12 月 7 日決定・民集 55 巻 7 号 1411 頁

最高裁平成 16 年 11 月 26 日決定・民集 58 巻 8 号 2393 頁

最高裁平成 18 年 2 月 17 日決定・民集 60 巻 2 号 496 頁

最高裁平成 18 年 10 月 3 日決定・民集 60 巻 8 号 2647 頁

最高裁平成 19 年 8 月 23 日決定・判時 1985 号 63 頁・判タ 1252 号 163 頁

最高裁平成 19 年 11 月 30 日決定・民集 61 巻 8 号 3186 頁

最高裁平成 19 年 12 月 11 日決定・民集 61 巻 9 号 3364 頁

4-1.1.7. 自社に不利な証拠となり得る社内文書の破棄について

自社に不利な証拠となり得る情報が記載された社内文書を破棄した場合、破棄したことで訴

訟上の不都合を招くことはあるか。

(1) 考え方

文書提出命令の対象となる文書を破棄すれば、裁判所がその文書の記載に関する相手方

の主張を真実と認めることができるという規定があり、提出義務がないとしても、不利な

内容の文書が破棄された事実が明るみに出れば、裁判所が不利益に考慮する可能性がある。

(2) 説明

1) 証明妨害

文書提出義務を負う文書について、民事訴訟法第 224 条第 2 項は「当事者が相手方の

使用を妨げる目的で提出の義務がある文書を滅失させ、その他これを使用することができ

ないようにしたときも、前項（引用者注--当該文書の記載に関する相手方の主張を真実と

認めることができる）と同様とする」と定め、同条第 3 項ではさらに「相手方が、当該文

書の記載に関して具体的な主張をすること及び当該文書により証明すべき事実を他の証拠

により証明することが著しく困難であるときは、裁判所は、その事実に関する相手方の主

張を真実と認めることができる」と定めている。

これは講学上「証明妨害」と呼ばれる。民事訴訟法第 224 条第 2 項にいう「提出の義

- 101 -

務がある文書」とは、同法第 220 条の提出義務があると定められている文書であって、

実際の提出命令の有無とは関係がなく、文書の破棄等の行為は、裁判所が提出命令を発す

る以前に行われても同法 224 条第 3 項に当たると解される。

2) 実務上の取扱

例えばカルテの改ざんのケースのように、証拠となることが当然予想できる文書につい

て滅失毀損、あるいは改ざんを施せば、裁判所が不利益に考慮する可能性があるため、証

明妨害とならないように不用意に文書を破棄することは避けるべきである。

裁判例に現れた例では、当事者が文書を破棄したとして、当該文書の記載に係る相手方

の主張や当事者尋問における供述を真実と認めた事例として、本庄簡裁の判決及び東京地

裁の判決がある。

3) アメリカのディスカバリー対策

なお、この関連でアメリカ連邦民訴規則における e-Discoveryのための証拠保存義務も、

渉外取引を行う企業にとっては極めて重要である。本来存在するはずの文書や電子データ

を破棄したことが明らかになれば、民事上のみならず刑事上も司法妨害罪の対象となりか

ねないため、注意が必要である。

(3) 関連法令（政省令・基準）

民事訴訟法第 224 条

(4) 裁判例

本庄簡易裁判所平成 19 年 6 月 14 日判決・判タ 1254 号 199 頁

東京地裁平成 6 年 3 月 30 日判決・判時 1523 号 106 頁・判タ 878 号 253 頁

- i -

第5章 付録 JIS Q 27001：2006 （附属書 A)との対応関係

項目 JIS Q 27001 付属書 A における対応箇所

機密性・完全性・可用性（CIA）と法的保護

機密性、完全性、可用性（CIA）のすべてに関するもの

管理責任類型－その 1：会社法関係

2-1.2.1. 会社法上の内部統制と情報セキュリティの関係 A.5.1.1 情報セキュリティ基本方針文書

A.6.1.1 情報セキュリティに対する経営陣の責任

A.6.1.2 情報セキュリティの調整

A.15.1.1 適用法令の識別

2-1.2.2. 情報セキュリティの不備と会社役員の責任 A.6.1.1 情報セキュリティに対する経営陣の責任

A.6.1.2 情報セキュリティの調整

A.12.5.4 情報の漏えい

A.15.1.1 適用法令の識別

管理責任類型－その 2：個人情報保護法関係

2-1.3.1. 個人情報保護法上の安全管理措置義務と情報セキュリティの関係 A.15.1.4 個人データ及び個人情報の保護

2-1.3.2. 委託先の監督責任 A.12.5.4 情報の漏えい

A.6.1.5 秘密保持契約

A.15.1.1 適用法令の識別

2-1.3.3. 安全管理措置義務の対象となる個人情報 A.15.1.1 適用法令の識別

加害行為規制類型

- ii -

2-1.4.1. コンピュータウイルスの作成・送付 A.6.1.6 関係当局との連絡

A.10.4.1 悪意のあるコードに対する管理策

秘密性（C）に関するもの

営業秘密

2-2.2.1. 情報の秘密管理 A.6.1.5 秘密保持契約

A.7.1.1 資産目録

A.7.2.1 分類の指針

A.7.2.2 情報のラベル付け及び取扱

A.11 アクセス制御

A.12.5.4 情報の漏えい

A.15.1.1 適用法令の識別

2-2.2.2. 営業秘密の保護要件遵守のために整備すべき内部規定等 A.6.1.5 秘密保持契約

A.7.2.2 情報のラベル付け及び取扱

A.11 アクセス制御

A.15.1.1 適用法令の識別

2-2.2.3. 従業員・委託先が作成に関与した情報の営業秘密としての保護 A.6.1.5 秘密保持契約

A.7.1.1 資産目録

A.7.2.1 分類の指針

A.7.2.2 情報のラベル付け及び取扱

A.6.2.1 外部組織に関係したリスクの識別

刑事法【P】

2-2.3.1. 情報の不正入手 (1) A.11 アクセス制御

A.15.1.1 適用法令の識別

- iii -

2-2.3.2. 情報の不正入手 (2) A.11 アクセス制御

A.15.1.1 適用法令の識別

その他

2-2.4.1. 他の知的財産権法規定による保護方法 A.15.1.1 適用法令の識別

A.15.1.2 知的財産権(IPR)

2-2.4.2. 技術的保護手段の回避 A.15.1.2 知的財産権(IPR)

完全性（Ｉ） に関するもの

金融商品取引法の内部統制

2-3.2.1. 情報セキュリティと金融商品取引法の内部統制報告制度の関係 A.6.1.1 情報セキュリティに対する経営陣の責任

A.6.1.2 情報セキュリティの調整

A.12.2.1 入力データの妥当性確認

A.12.2.2 内部処理の管理

A.12.2.3 メッセージの完全性

A.12.2.4 出力データの妥当性確認

A.15.1.1 適用法令の識別

刑事法

2-3.3.1. 電子計算機使用詐欺罪における「虚偽の情報」 A.6.1.6 関係当局との連絡

A.15.1.3 組織の記録の保護

2-3.3.2. 口座残高改ざん－スキミングの手口と対策 A.6.1.6 関係当局との連絡

A.12.6.1 技術的ぜい弱性の管理

完全性を補完する制度

2-3.4.1. 電子署名法 A.12.3 暗号による管理策

- iv -

可用性（A）に関するもの

民事責任

2-4.2.1. 情報媒体の財産的価値 A.7.1.1 資産目録

A.7.2.1 分類の指針

A.7.2.2 情報のラベル付け及び取扱

A.12.5.4 情報の漏えい

管理策を講じる上での要求事項

労働法、労働者派遣法、従業員のプライバシー保護との関係 －事前防止策

3-2.1.1. 従業員との関係での情報セキュリティ体制の確立 A.8.1.1 役割及び責任

A.8.1.2 選考

A.8.1.3 雇用条件

A.8.2.1 経営陣の責任

A.8.3.1 雇用の終了又は変更に関する責任

3-2.1.2. 企業秘密に関する誓約書の要請 A.6.1.5 秘密保持契約

A.8.1.3 雇用条件

A.8.2.1 経営陣の責任

A.8.2.3 懲戒手続

A.15.1.1 適用法令の識別

3-2.1.3. 私用メール等のモニタリング A.8.1.3 雇用条件

A.8.2.1 経営陣の責任

A.8.2.3 懲戒手続

A.15.1.1 適用法令の識別

3-2.1.4. 私用メールを禁止する規程 A.12.5.4 情報の漏えい

- v -

A.13.2.3 証拠の収集

A.15.1.1 適用法令の識別

3-2.1.5. 私物 PC の持込禁止及び会社の情報を含む物品の持ち出し禁止 A.8.1.3 雇用条件

A.8.2.1 経営陣の責任

A.9.2.1 装置の設置及び保護

3-2.1.6. 退職後の従業員の競業避止義務、秘密保持義務 A.6.1.5 秘密保持契約

A.7.2.2 情報のラベル付け及び取扱

A.8.3.1 雇用の終了又は変更に関する責任

A.8.3.2 資産の返却

A.8.3.3 アクセス権の削除

A.12.5.4 情報の漏えい

A.15.1.1 適用法令の識別

3-2.1.7. 退職後の秘密情報漏えいを防止するための秘密保持契約 A.6.1.5 秘密保持契約

A.7.2.2 情報のラベル付け及び取扱

A.8.3.1 雇用の終了又は変更に関する責任

A.8.3.2 資産の返却

A.12.5.4 情報の漏えい

A.15.1.1 適用法令の識別

3-2.1.8. 退職後の従業員に競業避止義務を課す定めの効力 A.8.1.3 雇用条件

3-2.1.9. 退職後の従業員が海外で行う競業行為に対する規制 A.8.1.3 雇用条件

3-2.1.10. 派遣労働者に対する誓約書の要請･教育訓練の実施 A.6.1.5 秘密保持契約

A.8.1.3 雇用条件

A.8.2.1 経営陣の責任

- vi -

A.8.2.2 情報セキュリティの意識向上、教育及び訓練

A.8.3.1 雇用の終了又は変更に関する責任

A.8.3.2 資産の返却

A.15.1.1 適用法令の識別

労働法、労働者派遣法、従業員のプライバシー保護との関係 －事後対応策

3-3.1.1. 私用メールを行ったことを理由とする解雇・懲戒処分 A.12.5.4 情報の漏えい

A.13.2.3 証拠の収集

A.15.1.1 適用法令の識別

3-3.1.2. 情報流出事故が発生した場合の対応（１）－従業員の調査協力、始末

書の徴収、教育訓練の実施

A.8.1.3 雇用条件

A.8.2.1 経営陣の責任

A.8.2.2 情報セキュリティの意識向上、教育及び訓練

A.8.2.3 懲戒手続

3-3.1.3 情報流出事故が発生した場合の対応（２）－従業員に対する解雇、懲

戒処分、損害賠償請求等

A.8.1.3 雇用条件

A.8.2.3 懲戒手続

3-3.1.4. 競業避止義務違反を理由とする退職金減額･不支給 A.8.1.3 雇用条件

A.8.2.1 経営陣の責任

A.8.2.3 懲戒手続

A.8.3.1 雇用の終了又は変更に関する責任

A.8.3.2 資産の返却

A.15.1.1 適用法令の識別

知的財産権法との関係

3-4.1.1. リバースエンジニアリングにおける著作権法上の問題 A.15.1.1 適用法令の識別

A.15.1.2 知的財産権(IPR)

- vii -

3-4.1.2. マルウエアに感染等したソフトウエアの解析に伴う複製 A.15.1.1 適用法令の識別

A.15.1.2 知的財産権(IPR)

インシデント発生時の対応、訴訟手続、フォレンジクス等

4-1.1.1. IT 関連の損害賠償等に関する民事訴訟において証拠を保全・提出 A.10.5.1 情報のバックアップ

A.15.1.1 適用法令の識別

4-1.1.2. 民事訴訟における電子データの成立の真正の立証の要否 A.10.5.1 情報のバックアップ

A.15.1.1 適用法令の識別

4-1.1.3. 営業秘密の使用の立証方法 A.15.1.1 適用法令の識別

4-1.1.4. 営業秘密漏えいの証拠を確保する方法 A.10.10 監視

A.11 アクセス制御

A.12.5.4 情報の漏えい

A.13.2.3 証拠の収集

4-1.1.5. 民事訴訟において訴訟の当事者から情報の提供を求められる場合 A.10.5.1 情報のバックアップ

A.15.1.1 適用法令の識別

4-1.1.6. 民事訴訟における営業秘密、プライバシー情報の非公開の可否 A.10.5.1 情報のバックアップ

A.15.1.1 適用法令の識別

4-1.1.7. 自社に不利な証拠となり得る社内文書の破棄について A.10.5.1 情報のバックアップ

A.15.1.1 適用法令の識別

- i -

情報セキュリティ関連法律上の要求事項検討WG 委員名簿

（主査）

岡村 久道 弁護士、英知法律事務所

（副主査）

鈴木 満 桐蔭横浜大学法科大学院教授

（委員）（五十音順）

上野 達弘 立教大学法学部准教授、国際ビジネス法学科長

川田 琢之 筑波大学大学院ビジネス科学研究科 准教授

小塚 荘一郎 上智大学法科大学院教授

坂上 直樹 元パナソニック株式会社法務本部法務企画グループ調査・渉外担当参事

新保 史生 慶應義塾大学総合政策学部准教授兼政策・メディア研究科委員

鈴木 正朝 新潟大学大学院実務法学研究科教授

砂押 以久子 立教大学兼任講師

園田 寿 甲南大学法科大学院教授

田中 亘 東京大学社会科学研究所准教授

波田野 晴朗 弁護士、TMI総合法律事務所

早貸 淳子 情報セキュリティ大学院大学セキュアシステム研究所客員研究員

平嶋 竜太 筑波大学大学院ビジネス科学研究科准教授

町村 泰貴 北海道大学大学院法学研究科教授

松沢 栄一 富士通株式会社法務本部ビジネス法務部シニアディレクタ

丸山 満彦 公認会計士、監査法人トーマツ エンタープライズリスクサービスパートナー

宮川 美津子 弁護士、TMI総合法律事務所

森 亮二 弁護士、英知法律事務所

（オブザーバー）

経済産業省商務情報政策局情報セキュリティ政策室

独立行政法人情報処理推進機構（IPA）セキュリティセンター

（事務局）

株式会社三菱総合研究所

社団法人商事法務研究会