社員による情報漏洩の責任について徹底解説！

企業が事業を行う上で社内情報や個人情報の管理は避けて通れない課題となっています。
ひとたび個人情報漏洩が明らかになると、企業の社会的信用の失墜につながり、最悪の場合では倒産に追い込まれることもあります。
社内情報の漏洩原因として最も多いのが「社員からの漏洩」です。
そこで今回は社員による情報漏洩の責任について解説します。

社員による情報漏洩にありがちな事例

情報漏洩の原因として最も多い、社員による情報漏洩にありがちな事例を紹介します。

社員のSNSから漏洩

社員の個人利用のSNSから社内情報、個人情報の漏洩が起こるかもしれません。匿名アカウントであるため、危機意識が薄くなり、安易な気持ちで社内情報、個人情報を書き込んでしまうことがあります。
仕事用のPCと個人使用のPCを共用することで、誤って社内情報、個人情報をSNSで発信してしまうケースもあります。

社員の個人情報社外持ち出しによる漏洩

社内情報、個人情報を管理している社員が引き抜きや退職する際に情報を競合他社に販売することによって情報漏洩が起きるケースがあります。産業スパイとして知られている事例です。

書類・データの紛失による漏洩

個人情報を含んでいるPCやスマホ、記憶媒体、書類等を社外に持ち出した際に紛失してしまうことで情報漏洩が起きるケースがあります。具体的には通勤の際のタクシー、電車の車内置き忘れ、飲食店での置き忘れといったケースがあります。

メールの誤送信による漏洩

メールで社内情報、個人情報を含むファイルを添付し、送信する際にメールアドレスを間違えて送信してしまい、情報漏洩が起きるケースがあります。

情報漏洩を防ぐための対策は？

社員による情報漏洩を防ぐにはどのような対策を講じる必要があるのか解説します。

社内情報取扱規定を策定

社内情報取扱規定の策定を行いましょう。社内情報取扱規定を策定することによって社内での情報の管理について共有しやすくなり、情報の取り扱いに関する規定が明確になるため情報漏洩防止の一助となります。

アクセス権の適切な管理

社員であれば誰でも社内情報、個人情報にアクセスできる状態は情報漏洩のリスクが非常に高いと言えます。そこでアクセス権の適切な管理を行うことで情報漏洩のリスク軽減が見込まれます。
特に重要な社内情報や個人情報はID、パスワードを要求することで特定の社員以外は情報にアクセスできなくなるため情報漏洩防止の観点から有効です。
また、もし情報漏洩が発生したとしても、誰がいつ情報にアクセスしたのかが明確になるため、情報漏洩後の対応も迅速に行うことができます。

社内情報の社外持ち出し禁止

情報漏洩の事例として、通勤の際にタクシー、電車の車内置き忘れ、飲食店での置き忘れがあります。これらの情報漏洩に対しては社内情報の社外への持ち出しを禁止することが有効です。

定期的に情報漏洩に関する社員教育を実施

ルールが定められても実際に業務を行う社員の情報の取り扱いに関する意識が低ければ情報漏洩の可能性は依然として高いままと言えます。
そこで社員への情報の取り扱いに関する意識向上を図る教育の定期的な実施が望ましいでしょう。業務を行う社員が「どのような理由からこのようにするべきだ」というように、情報漏洩対策の基礎的な知識、意義を理解することが必要です。
社内で情報漏洩に対する意識向上を図る教育を行うことで、情報漏洩の発生リスクを抑えることができ、情報漏洩が起きた際にも素早い対応を取ることができるため、情報漏洩に起因する被害を最小限に抑えられます。

社員による情報漏洩の責任はどうやって取るの？

ここまでは情報漏洩の原因と対策について解説してきましたが、ここからは情報漏洩の責任について解説します。

企業の責任

社内情報、個人情報が漏洩してしまった際、企業は「民事上の責任」、「刑事上の責任」、「行政上の責任」の3つの責任を負う可能性があります。順に解説していきます。

民事上の責任

民事上の責任として「債務不履行責任」、「不法行為責任」があります。

債務不履行責任とは、契約内容に違反した際に違反したことによって生じた相手方への損害について賠償の責任を負うことです。
そのため、企業と漏洩された当人との間で情報の取り扱いについての契約を交わしていることで債務不履行責任を負う条件になります。

不法行為責任とは、故意または過失によって他人の権利や法律上で保護される利益を侵害した際に、その損害について賠償の責任を負うことです。
社員が個人情報を漏洩したことで他人の権利や法律上で保護される利益を侵害した際には当該社員は不法行為責任を負います。また、企業は使用者責任を負う可能性があり、企業が不法行為責任を負う可能性もあります。

刑事上の責任

企業による個人情報漏洩が生じた場合、個人情報保護委員会より企業に対して是正勧告や改善命令が出されることがあります。
社員が是正勧告、改善命令に従わなかった際には「1年以下の懲役又は100万円以下の罰金」を科されるかもしれません。
またその社員を雇用している企業に対しては「1億円以下の罰金」を科される可能性があります。

行政上の責任

企業による個人情報漏洩が生じた場合、個人情報保護委員会より企業に対して「報告徴収」、「立ち入り検査」、「指導・助言」、「勧告・命令」の4つの対応がなされる可能性があります。
これらの対応に従わなかった場合、罰則の対象となります。

当該社員の責任

社員が守秘義務を守らずに社内情報、個人情報を社外に漏洩させた場合に企業が当該社員にたいして問える責任について解説します。

懲戒処分

企業の就業規則で守秘義務違反が懲戒事由として明記されている場合、企業は守秘義務を遵守せずに社内情報、個人情報を漏洩させた社員に対して懲戒処分を科すことができます。

損害賠償請求

社内情報、個人情報を漏洩した社員に対して企業は損害賠償請求をすることもできます。ただし、場合によっては社員に責任を追及できないケースもあります。また、企業の損害の全額を社員個人に賠償させることは困難である可能性が高いです。

情報が漏洩しないための対策をするのが大切

今回は社員による情報漏洩の責任について解説しました。ひとたび情報が漏洩してしまうと企業の社会的信用の失墜につながり、最悪の場合では事業継続が困難になるため、事前に情報漏洩が起こらないように対策を講じることが大切です。

情報漏洩の対策の一環としてプライバシーマークの取得もおすすめです。
プライバシーマークを取得することで社内外に情報の取り扱いに注意していることをアピールできるでしょう。
株式会社UPFには、業界No.1を誇る実績に基づく、プライバシーマーク（Pマーク）教育のノウハウがございます。
教育実施でお悩みの企業様・ご担当者様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。