こんにちは。弁護士の浅見隆行です。
ようやく仕事のピークが落ち着きました。
2023年10月18日、双日の元従業員が、転職元である兼松の営業秘密を不正取得したとして不正競争防止法違反で起訴されました。(※2024年8月20日、不正競争防止法違反により懲役2年、執行猶予4年、罰金100万円の有罪判決が言い渡されました。)
この件は、4月に双日本社が捜索されたときにも記事を書きました。
その時には、退職者による情報持ち出しと転職者による情報持ち込みをどう防ぐかといった予防策について解説しました。
報道によって、双日の元従業員が、兼松からどのような手法で不正取得し、それをどのように発見したかが明らかになったので、その観点から、前回の記事内容を補足します。
不正取得の手法
報道内容(日経、朝日、読売など)を整理すると、以下の事実がわかります。
- 双日の元従業員は、2014年に兼松へ入社し自動車部品を扱う部署に所属していた。2022年7月に双日に転職し自動車関連の部署に配属されていた。
- 兼松は在職中に秘密保持に関する誓約書を交わし、退職時にも内部情報を持ち出さないよう通知。双日も前職の業務に関わる情報を持ち込まないよう注意喚起し、入社前に誓約書に署名させていた。
- 兼松在職中の2022年6月に、自らのアカウントで同社のデータベースにアクセスし、約3万7千ファイルをダウンロードして持ち出した。
- 双日に転職直後の2022年7月に、兼松の同僚だった元派遣社員のIDやパスワードなどを利用して兼松のデータベースへアクセス。自動車部品の取引台帳など3つのファイルを不正に取得した。持ち出した情報は退職後と合わせると約5万ファイル。
- 派遣社員には「個人的にまとめていた出張国での飲食店リストがほしい」と虚偽の理由を伝えていた
- 転職後、双日の同僚に兼松の情報とみられる画像データを見せていたが、同僚は内容を理解しておらず、双日の社内でのデータの活用や共有はなかった。
派遣社員が転職者にIDとパスワードを教えた背景
人的管理
兼松は誓約書を交わした上で退職時に情報の持ち出しを注意喚起し、双日も入社時に注意喚起し誓約書を交わしています。
両社とも「人的管理」はしていた、といえます。
それにもかかわらず、起訴された双日の元従業員は、兼松に在職中と双日に転職後の2度にわたって営業秘密を不正に取得しました。
その手法は、在職中は自らのアカウントを利用してデータベースにアクセスし、転職後は同僚だった派遣社員のIDとパスワードを利用してアクセスした、というものです。
自らのアカウントを利用することはあり得ることです。
情報管理に対する意識
情報管理の観点から注目すべきは、転職後に同僚だった派遣社員のIDとパスワードを利用してアクセスできた、という事実です。
一番悪いのは、派遣社員に虚偽の説明をしてIDとパスワードを聞き出した双日の元従業員ですが、他方で、転職した者から求められてIDとパスワードを教えてしまった派遣社員の情報管理に対する意識の低さも無視できません。
退職した時点で、その者は、会社にとって部外者です。そのため、どこの会社でも、退職した時点から退職者が社内のデータベースにアクセスすることができないように、アクセス権限であるIDとパスワードを無効化しています。
にもかかわらず、退職者からの問い合わせに応じてIDとパスワードを教えてしまうのでは、アクセス権限を制限している意味がありません。
IDとパスワードというアクセス権限を制限していることの意味や目的を、そもそも派遣社員が理解していなかったのかもしれません。
また、日常的に従業員間でID・パスワードを教えていたために、「教えてはいけないものだ」との意識が希薄になり、感覚が麻痺していた可能性も考えられます。
兼松ではどうなのか知りませんが、可能性としてはあり得るということです。
どこの会社でもよく見られるのは、外出中の営業職が必要な資料やデータを持参し忘れたので、会社に電話を掛け、電話に出た人に自分のIDとパスワードを教えて、社内サーバーや社内のPCに保存している資料やデータをプライベートなメールに送ってもらい、自己のスマートフォンやタブレットなどの携帯端末で見られるようにする、といったケースです。
データをクラウドで管理するようになったことでこうしたことは少なくなりましたが、自社に電話してメールで送ってとお願いしている姿を駅やオフィス街で見かけることはまだあります。
そうだとすると、会社の情報管理としては、派遣社員に限らず、業務に関わるすべての者に対して、IDとパスワードによってアクセス権限を制限している事実だけでなく、その意味や目的から解きほぐして教えることが必要です。
正社員と派遣社員の力関係
さらに勘ぐると、派遣社員と元正社員という力関係が影響している可能性もあります。
よくあるのは、派遣社員は自己が正社員になることを希望しているが故に、日頃から正社員に逆らえず・意見できず、正社員からの指示内容が違法や不当なものであっても派遣社員がやむなく従わざるを得ない、というケースです。
兼松の社内での派遣社員と正社員の力関係については知りませんが、この元従業員が派遣社員との力関係を利用して虚偽の説明をしてIDとパスワードを要求し、派遣社員も元従業員とはいえ元正社員から要求されたから(自身が正社員になることに影響がでるかもしれないと考えて)断ることができずに嫌々IDとパスワードを教えてしまった、なんていうことも想像できます。あくまで想像です。
日頃からの社内の人間関係を風通しよくしておくことは、実は情報管理にも役立ちます。
発覚の経緯
日経新聞の報道によると、発覚の経緯は以下のとおりです。
捜査関係者によると、男は土日にデータベースへのアクセスを繰り返していた。兼松は多くの社員が休む週末に単一のアカウントから多数のアクセスがあるとして異常を検知。社内調査に乗り出し被害が判明した。同社は同年(※2022年)9月に警視庁へ相談した。
2023年9月29日 日本経済新聞
多くの従業員が休む週末に単一のアカウントからデータベースへのアクセスが繰り返されたことを異常として検知したことがきっかけです。
これが事実だとすると、週休2日制して週末に多くの従業員にデータにアクセスさせないことや就労時間を一斉化することは異常検知に役立ち、情報管理にとって有益と言うことができます。
逆に言うと、就労日や就労時間を分散化させると異常検知がしにくいということです。
テレワークが浸透したことで週末や夜に自宅からデータベースにアクセスし仕事ができるようになりました。
過労防止の観点から週末や時間外には仕事をしないように求めるだけでなく、情報管理の観点からもその呼び掛けが必要であると言っていいでしょう。
まとめ
前回の記事で書いたようなオーソドックスな情報管理の予防策以外に、今回のケースの報道内容から学べる点は多々あります。
情報管理のアップデートに役立ててることをオススメします。
