情報漏洩事故後の「秘密情報管理体制の未整備」を解決した事例
- 2026.04.02
-
Case type
-
Lawyer
history of the problem 問題の経緯
とある企業の従業員が業務上の書類を社外で紛失するという事故が発生しました。書類には取引先に関わる情報が含まれていたため、やがてその取引先の知るところとなり、「貴社の情報管理体制はどうなっているのか」と問題提起される事態に発展しました。
しかし、いざ社内を確認してみると、情報管理に関するルールや規程はほとんど整備されておらず、適切に説明できる状況ではありませんでした。
事故の事後処理は当事者間でなんとか収束させたものの、「このままでは同じことが繰り返されかねない」と危機感を覚えた社長が、情報管理体制の整備について弁護士へ相談することになりました。 相談時点では「何をどのように整備すればよいかもわからない」という状態であり、方向性の提示から一緒に考えてほしいというご依頼でした。
Client Issues and Desired Outcomes クライアントの争点・希望点
クライアントの状況
ご依頼企業は従業員10名規模の小規模な事業者です。建物の設備工事を手がけており、業務上、建物の設計図面など機密性の高い情報を取引先から預かることが多い業種です。しかし大企業のような法務部門やコンプライアンス担当は存在せず、情報管理に関する社内規程は未整備の状態でした。
クライアントの希望
- 情報漏洩事故の再発防止のため、社内の情報管理体制を整備したい
- 何をどのように整備すればよいか、方向性の提示から相談したい
- 自社の規模や業務形態に合った、実際に運用できる規程・ルールを作りたい
法的な観点からの争点
下請け事業者が取引先から受け取る図面等は、場合によっては発注者(施主)が所有権を持つ重要な機密情報です。
万一これが漏洩した場合、直接の原因者(下請け)だけでなく、元請け企業も連帯して責任を負うリスクがあります。 つまり、情報管理体制が不十分な状態で事故が起きると、元請け企業から強く責任追及される可能性があり、最悪の場合は取引関係の解消・損害賠償請求にまで発展しかねません。これが本件の核心的なリスクでした。
Consequences of this issue. この問題の結果
今回のご依頼は、とある企業で発生した情報漏洩事故を契機に、社内の秘密情報管理体制を一から整備するというものでした。
最終的に以下の2点を整備し、クライアント企業の業務実態に即した情報管理の仕組みを構築しました。
- 秘密情報管理規程の策定(どの情報をどのように管理するかのルール)
- 秘密情報管理基準の策定(規程を補完する具体的な管理水準・手順)
策定後は問題なく運用が継続されており、再発防止のための基盤が整いました。
Attorney’s Commentary on Key Legal Points 弁護士ポイント解説
ポイント1. 小規模事業者こそ「情報管理規程」が必要
大企業では法務部やコンプライアンス部門が整備されており、情報管理のルールが当然のように存在します。一方で、中小・小規模の事業者では「うちには関係ない」「難しそう」と感じ、後回しにされがちです。
しかし特に建設・工事関連業のような下請け構造の中では、孫請けレベルであっても発注者の機密情報を扱う機会は多くあります。情報管理体制が未整備のまま事故が発生すると、元請けからの責任追及の際に「管理体制が全くなかった」として、著しく弱い立場に立たされてしまいます。
ポイント2.規程は「業務実態に合ったもの」でなければ機能しない
本件では、まず弁護士側で標準的な規程のひな型を作成し、その後クライアントの実際の業務形態(情報の管理方法、クラウド利用の有無、サーバー環境など)をヒアリングした上で、実態に合わせたカスタマイズを行いました。
理想的には物理的に隔離されたスタンドアローンサーバーでの管理が最も安全ですが、小規模企業では現実的ではありません。たとえばクラウドで情報管理している場合であれば、「アクセス権限者を限定・明確化し、アクセス履歴を記録する」といった、実際に運用できる水準の対策を規程に落とし込むことが重要です。
ポイント3.「規程がない」こと自体が最大のリスク
情報漏洩事故が発生した際、調査・ヒアリングで必ず確認されるのが「情報管理体制はどうなっていたか」という点です。この問いに対し「規程がほとんどなかった」としか答えられない場合、事故の責任を大きく問われることになります。
一方で、適切な規程を整備し、それに基づいて管理を行っていたにもかかわらず事故が起きた場合と、管理体制が全くなかった場合とでは、法的な評価や責任の重さは大きく異なります。整備していること自体が、リスク軽減のための重要な証拠となるのです。
ポイント4.取引先・元請けへの信頼維持にもつながる
情報管理体制を整えることは、単なるリスク回避だけでなく、取引先・元請けからの信頼獲得にも直結します。「管理体制がある会社」と評価されることで、継続的な取引関係の維持・強化にもつながります。特に機密性の高い情報を扱う業種においては、情報管理は経営上の重要課題のひとつと言えるでしょう。
社内整備を始めたい・見直したい時は、
企業法務の経験が豊富な高瀬総合法律事務所へ
ご相談ください。
「何か起きてから考える」では遅く、情報管理体制の整備は小規模事業者にとっても経営上の重要な課題です。
「何を整備すればよいかわからない」という段階からでも、具体的な解決策を一緒に見つけることができます。
高瀬総合法律事務所は、企業法務を専門領域のひとつとして、日々多くの契約書作成・レビューを手がけています。
このような方に特によくご利用いただいています。
- 「契約書や社内規程の整備が必要だとわかっているが、何から始めればよいかわからない」中小企業の経営者・管理職の方
- 「社内の法務担当だけでは手が回らない」「外部の専門家の視点でレビューしてほしい」という企業の法務担当者の方
契約書・規程の整備から情報管理体制の構築まで、企業の実態に合った実践的なサポートを提供しています。お気軽にお問い合わせください。
この事件を担当した弁護士
鈴木 智貴弁護士
Tomoki Suzuki
皆様との丁寧な対話を通じてニーズを的確に把握し、専門的視点から最適な解決策をご提案いたします。ビジネスのスピード感を損なわずにご要望に沿った内容を提供します。知的財産やシステム開発、共同研究などの高度な技術契約にも対応可能です。
