営業秘密関連ニュース

2018年2月21日(水)
・船橋の不動産業者、資金計画書・土地売買契約書など流出 顧客情報2万6千人分(千葉日報)
・船橋市に本社のある不動産販売会社「レオガーデン」の元社員が今月上旬に約2万6000人分の顧客情報をインターネットに流出させていたことが判明(船橋通信)

・不動産販売会社で2万6000件データ漏洩 外部ストレージにアップロード 千葉・船橋(産経ニュース)

2018年2月13日(月)
・WaymoとUber、自動運転技術めぐる訴訟で和解(CNET Japan)

・米ウーバーがウェイモと和解-株式2.45億ドル相当支払いへ(Bloomberg)
・Uber、Google系列Waymoとの特許訴訟で和解 2億4500万ドル支払い(IT media NEWS)
・中小企業の技術を盗む韓国大企業への「懲罰的損害賠償」、3倍から10倍へ(朝鮮日報)

2018年2月6日(月)
・ウーバーとグーグル系の訴訟、審理始まる 自動運転の知財盗用巡り(日本経済新聞)

2018年2月1日(木)
・韓国から半導体技術を流出した日系法人が警察に逮捕(中央日報)

2018年1月25日(木)
・滋賀県立大 不正アクセス被害 メール閲覧の可能性(毎日新聞)
・滋賀県立大に不正アクセス 168人分個人情報流出(京都新聞)
・<お詫び>不正アクセスによる滋賀県立大学関連の個人情報漏えいについて(滋賀県立大学リリース)

2018年1月22日(月)
・機密情報、別PCなら自動で消去 福井大院生がプログラム研究(福井新聞)

2018年1月15日(月)
・幻冬舎サイトに不正アクセス=9万人の情報流出か (JIJI.com)
・9万人超の個人情報流出?幻冬舎に不正アクセス (読売オンライン)
・幻冬舎サイトに不正アクセス 最大9万3000人の会員情報流出 (産経ニュース)
・幻冬舎の会員情報、9万3千人分が流出か 不正アクセス (朝日新聞)
・メモリ不正アクセスによる会員情報の流出に関するご報告とお詫び(幻冬舎リリース)

2017年11月24日金曜日

米企業ウーバーの個人情報流出事件から考えること

先日、米企業のウーバーが保有する5700万人もの個人情報がハッカーによって 不正取得され、あろうことかそれを隠ぺいするためにハッカーに10万ドルを支払っていた、という驚きの報道がありました。まさに、盗人に追い銭!!

ウーバーが保有していた個人情報は、当然、秘密管理されていたものでしょうから、ハッカーによる個人情報の不正取得は、日本の不競法でいうところの営業秘密の不正取得に他ならないでしょう。

すなわち、ウーバーは営業秘密を不正取得された被害企業であるにもかかわらず、考えられる得る限り、最悪の対応をしたと思われます。

なお、日本において個人情報を保有する企業は、個人情報の保護に関する法律(個人情報保護法)に基づいて、適切に管理する義務を有しているようです。

<個人情報保護法>
(安全管理措置)
第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(従業者の監督)
第二十一条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
(委託先の監督)
第二十二条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

このため、個人情報が漏洩した企業は、個人情報保護法に基づいて管理義務違反にも問われるようです。

また、たとえ、ハッカーによる不正行為といえども、個人情報を漏洩させたことは当該企業にとっては、道義的にもその管理責任を問われることになる問題かと思います。
このため、国内外の企業にかかわらず個人情報の漏えいがあった場合には、その理由の如何を問わず、即座に公表して対応することは、素人でも分かることです。
その典型的な事例がベネッセの個人情報流出事件でしょう。



ところで、ウーバーはなぜ個人情報漏洩に関して、このような最悪と思われる手段を取ったのでしょうか?そのような悪手を止めることが誰もできなかったのでしょうか?

ウーバーは何かとお騒がせな企業というイメージもありますし、下記の報道には「ウーバーは法令を軽視し、事業展開の速さを優先する企業文化で急成長してきたが、そのツケを払わされている格好だ。14年の個人情報流出時も開示が遅れ罰金を科されていた。」ともあります。企業の体質なのでしょうか?
・ウーバー、5700万人分個人情報流出の隠蔽発覚 16年 (日本経済新聞)

また、「14年の個人情報流出時も開示が遅れ罰金を科されていた。」とのことですから、そもそも、情報流出時の対応が予め策定されていないのかとも思います。
その結果、一部の者の判断でハッカーに追い銭を渡すなどという普通では考えられない対応を取るに至ったのでしょうか?
「サイバーセキュリティー担当トップら幹部2人を解任」ともありますので、一部の者の勝手な判断なのでしょか?
それとも、こらはトカゲのしっぽ切りであり、会社としての判断だったのでしょうか?

ここで、どんな対策をしようが、営業秘密等の情報流出を100%防ぐことは不可能です。ミスによる流出もありますし、従業員による悪意のある流出やハッカーによる流出もあります。
しかしながら、情報流出が起きた場合に、どのような対応を取るかを予め決めておけば、個人の勝手な判断等、誤った判断を防ぐことも可能かと思います。
そもそも、情報流出は普通であれば頻繁に生じることではありません、そのため、対応策を予め策定しておかなければ、情報流出が起きた場合の対応を迅速に取ることはできないとも思えます。特に、個人情報の流出の場合には、例えばカード情報等が流出した場合には、一刻を争う事態です。
言うなれば、情報流出の対応策は、防災対策のようなものとも考えられます。

情報は、企業にとって資産でもありますが、情報の流出可能性を考えると逆にリスクにもなり得るかと思います。例えば、企業が管理する個人情報が流出した場合は顧客に対する対応に費用や労力を要するというリスクになり、技術情報が流出した場合は他社に自社技術を模倣されて自社の価値が毀損するというリスクになるかと思います。
また、不正に取得された他者の情報が流入する場合も、自社の信用を失墜というリスクがあるとも考えられます。

このようなことを考えると、営業秘密管理とは情報管理とリスク管理の組み合わせとも思えます。