ご家族・ご友人が逮捕・起訴されてしまったら、すぐにお電話ください!

0120-845-018

受付時間:7時~23時(土・日・祝日も受付)

初回電話
相談無料 守秘義務
厳守
東京 埼玉 神奈川 千葉

コラム

データ泥棒は犯罪か

簡単に言うと…
  • 個人情報データベース等提供罪が初めて適用された事件の報道があった。
  • データ泥棒のような行為について、窃盗罪の適用は困難であるものの、個人情報保護法違反の他、不正競争防止法が適用される可能性もある。
  • 前例の少ない類型であるため、早期の相談が重要となる。
詳しくみる

 つい先日、個人情報データベース提供罪の容疑で会社員の男性が逮捕されたという記事を目にしました。個人情報データベース等提供罪が適用された、全国で初めての事例だということです。
 また、令和5年6月16日に、改正電気通信事業法が施行されることに伴い、Cookieが個人関連情報に指定されたことから、インターネットを利用する際に、Cookieの利用に同意を促される機会が増えたことを体感している方も多いのではないでしょうか。
 現代社会においては、私が学生だった20年前と比較して、情報やデータが極めて大きな価値を有するものとなりつつあり、その情報やデータを保護するための法律も、徐々にではありますが整備されつつあります。
 特に、ここ数年のIT技術の進歩は目覚ましいものがあり、新しい技術について学ぶ機会がなければ、その技術がどのようにして顧客等の情報を収集できているのか理解することが困難でしょうし、その点が理解できていないと、収集した情報の価値についても認識できないように思います。
 そこで、情報を共有する程度であれば、大きな問題にならないという安易な考えで情報漏洩行為に及び、犯罪行為に至ってしまうことがあり得るのです。このような内容は、コンプライアンスの講義などでもお話しさせていただく機会が多いものです。
 万引きに及んでしまう少年の中には、「数10円の駄菓子を盗んでも、お店にはほとんど影響がないんじゃないか」という発想があり、万引き行為を止められなかったというケースが一定数存在します。同様に、その情報には数百万円以上の価値があったとしても、その価値を把握できていない場合には、安易にその情報を外部に漏らしてしまうということが大いにあり得るのです。
 今回は、改めて情報を外部に漏洩させる行為について、どのような犯罪が成立し得るのかについて、先日報道のあった事件を中心にお話しをさせていただければと思います。

1.個人情報保護法の定め

 
 報道によると、個人情報データベース等提供罪が適用された事例における被疑者は、在籍していた人材派遣会社の名刺データ管理システムに関する、同僚社員のIDとパスワードを、会社の外部の人間に伝えたという被疑事実で逮捕されてしまったようです。
 被疑者は、このような行為に及んだ後、その情報を渡した人間が勤務している競合他社に入社しているようです。
 つまり、今回の容疑において被疑者は、従前勤務していた会社が管理していた個人情報そのものを提供した訳ではなく、その個人情報にアクセスできる情報を漏洩したということになります。
 このような行為についても、個人情報データベース等提供罪が成立するのかについて、個人情報の保護に関する法律(個人情報保護法)の条文を確認してみましょう。

個人情報保護法

第179条
 個人情報取扱事業者…若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処する。
(定義)
第16条
1項 …「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの…をいう。
1号 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
2号 前号に掲げるもののほか、特定の個人情報を容易に検索することが できるように体系的に構成したものとして政令で定めるもの
2項 この章及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
1号 国の機関

 このように、個人情報保護法は、個人情報を含む情報の集合物について、体系的に構成されたものを「個人情報データベース等」と定義しています。会社内部で取り扱う情報については、体系的に整理されていなければ用いることが困難でしょうから、個人情報が記載されている内容については、乱暴な表現になりますが、原則的に「個人情報データベース等」に該当することになるでしょう。
 そして、事業の用に供しない個人情報を広く集めるようなことも考え難いので、個人情報データベース等に該当するデータを有している企業は、ほぼほぼ「個人情報取扱事業者」に該当することになりそうです。

2.データ泥棒と窃盗罪

 
 以上のことからすると、会社内部で用いている個人情報が含まれるデータを意図的に外部に漏洩させた場合、基本的には個人情報データベース等提供罪が広く成立することになりそうです。
 このように、処罰範囲が広いようにも思われる罰則が設けられた経緯には、このような条項がない場合には、データ泥棒のような行為に適用することが可能な罰則規定が存在しなかったからです。
 刑法の条文を確認してみましょう。

刑法

(窃盗)
第235条
 他人の財物を窃取した者は、窃盗の罪とし、10年以下の懲役又は50万円以下の罰金に処する。
(強盗)
第236条
1項 暴行又は脅迫を用いて他人の財物を強取した者は、強盗の罪とし、5年以上の有期懲役に処する。
2項 前項の方法により、財産上不法の利益を得、又は他人にこれを得させた者も、同項と同様とする。

 窃盗と強盗の条文を比較していただけると、強盗については財物が被害品となった場合には1項が適用され、「財産上不法の利益」を得た場合には2項が適用されることとなっています。したがって、「物」以外の権利利益のようなものが奪われてしまった場合でも、2項を適用することで強盗罪の成立が認められることになるのです。
 逆に、窃盗の場合は、「物」が被害品とならなければ、犯罪が成立しないことになるのです。このことについては、「食い逃げ」という行為との関係で解説をさせていただいたことがありますので、こちら をご参照ください。
 情報を窃取する場合、その情報が記載された文書等を持ち出した場合には、その書面は「物」ですので、窃盗罪を適用することが可能なのですが、本件の事例のように個人情報データベースへのアクセスを第三者に許可するような行為は、「財物を窃取」する行為とは評価できません。
 今のご時世において、データを持ち出そうとした場合、紙媒体で持ち出すことは効率的ではないことから、窃盗罪でデータ泥棒に対処することはできないのです。

3.個人情報データベース提供罪の制定経緯

 
 個人情報データベース等提供罪は2015年の個人情報保護法の改正の際に制定されたものです。そして、このような行為を処罰対象とする条項を制定した背景には、その前年に発生したベネッセコーポレーションの顧客情報の漏洩事件がありました。この事件も、従業員が過失によって個人情報が漏洩してしまったというようなケースではなく、個人情報の管理を委託していた会社の人間が、その個人情報を外部に販売してしまったという事案でした。
 その当時は、個人情報データベース等提供罪は法定されておりませんでしたから、個人情報保護法違反の罪を適用することはできず、「物」を持ち出したわけでもないことから刑法上の窃盗罪で処罰することもできなかったわけです。
 では、この事件ではどのような刑罰が科されたのでしょうか。
 不正競争防止法違反の罪によって、被告人には実刑判決が下されているのです。まずは、不正競争防止法の内容を確認しましょう。

不正競争防止法

(罰則)

第21条
1項 次の各号のいずれかに該当する者は、10年以下の懲役若しくは2000万円以下の罰金に処し、又はこれを併科する。
3号 営業秘密を営業秘密保有者から示された者であって、不正の利益を 得る目的で、又はその営業秘密保有者に損害を加える目的で、その営業秘密の管理に係る任務に背き、次のいずれかに掲げる方法でその営業秘密を領得した者
ロ 営業秘密記録媒体等の記載若しくは記録について、又は営業秘密が 化体された物件について、その複製を作成すること。
4号 営業秘密を営業秘密保有者から示された者であって、その営業秘密 の管理に係る任務に背いて前号イからハまでに掲げる方法により領得した営業秘密を、不正の利益を得る目的で、又はその営業秘密保有者に損害を加える目的で、その営業秘密の管理に係る任務に背き、使用し、又は開示した者

 東京高等裁判所平成29年3月21日は、営業秘密記録媒体等の記録を複製した上で、その内容を外部に開示したものと認め、被告人に対して有罪判決を宣告しています。
 ここで着目していただきたいのは、不正競争防止法との関係においては、開示された情報が、「個人情報」にあたるかどうかではなく、「営業秘密」にあたるかどうかという点です。
 不正競争防止法は第2条6項において、「秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報」と「営業秘密」を定義しています。
 個人情報保護法は、当たり前ですが個人情報を保護することを目的としています。個人情報が適切に管理されていなかったとしても、雑に管理されているような情報は「個人情報」にあたらないと扱うようなことはなく、特定の個人の識別に繋がるような内容であれば、「個人情報」であることに変わりありません。
 一方で、「営業秘密」は、会社内において、秘密の情報として適切に管理されていなければ、その情報に如何なる価値が認められようと、「営業秘密」として保護されることにはなりません。
 上述した東京高等裁判所の判例においても、弁護人は「営業秘密」に該当しないことを理由に無罪を主張していました。
 したがって、ベネッセコーポレーションが、問題となった個人情報を適切に管理できていなかった場合には、不正競争防止法違反として被告人を処罰することもできなかったことになる訳です。

4.データ泥棒と弁護活動

 
 以上のとおり、IT技術の進化によって、情報の価値は凄まじい速度で高まっているものといえます。具体的な財産を窃取する行為でないとしても、データを持ち出すような行為に対して、刑罰が科される危険性は高まっているものといえるでしょう。
 また、個人情報保護法の改正によって、個人情報データベース等提供罪が制定され、個人情報保護法違反の罪を適用できるようになったとしても、不正競争防止法違反の罪が適用される可能性が排除された訳ではありません。
 「個人情報」と「営業秘密」は異なる概念ですから、持ち出した「個人情報」が「営業秘密」にも該当し得る場合には、不正競争防止法違反の罪が成立する可能性は現段階においても否定できないのです。
 条文について御紹介させていただきましたとおり、個人情報データベース等提供罪の法定刑が「1年以下の懲役又は50万円以下の罰金」という比較的軽微なものにとどまっている一方で、不正競争防止法違反の罪の法定刑は、「10年以下の懲役若しくは2000万円以下の罰金」という極めて重い内容となっています。
 弁護人としては、不正競争防止法違反の罪が適用されることがないように、個人情報保護法との関係以外の観点も踏まえた上で弁護活動を行う必要があるでしょう。
 また、今回問題となった事例が、個人情報データベース等提供罪の初摘発事例である旨が報道されているように、前例の少ない事件になりますから、どのような事実があったのかという事実認定上の争いに加えて、認定された事実を前提とした場合に、個人情報データベース等提供罪が成立するかどうかという法解釈上の争いについても、安易に捜査機関の見立てに沿うのではなく、犯罪が成立しない可能性を十分に精査する必要があるものといえそうです。

5.まとめ

 
 今回は、個人情報データベース等提供罪について、同罪が初摘発されたという報道を参考に、個人情報等のデータを被害品とする犯罪について解説させていただきました。
 このような犯罪類型は、高度に発達した情報社会の中で、発生件数が増える可能性のあるものといえます。一方で、過去に前例の少ない類型でもあり、捜査機関に対して、適切な主張を行うためには、刑事事件の弁護士による支援が極めて重要になるものといえます。
 「1年以下の懲役又は50万円以下の罰金」という法定刑は、他の犯罪と比較した場合には、軽微な部類に属するものといえるでしょうが、報道の事案における被疑者は逮捕されており、捜査対象が多岐に亘る可能性が高いことから、長期の身体拘束の危険性も十分に認められるものといえます。
 情報の取扱いについては十分にご注意いただき、もし刑事事件となる危険性を感じた場合には、直ちに御相談いただければと思います。

Tweet

この記事を書いた弁護士

岡本裕明
所属団体
■東京弁護士会 刑事法特別対策委員会
■刑事弁護研究会

司法試験合格後、元検事が代表を務める刑事事件に特化した事務所で研鑽を積み、少年事件、控訴事件、上告事件、裁判員裁判等についても、豊富な経験を有しております。これまで刑事事件の弁護人として携わった事件の実績は500件を超えます。罪を認めている場合には迅速な解決を、無罪を主張する場合には徹底的に捜査機関と戦います。
御依頼者様の精神的不安を速やかに取り除くため、適切な弁護方針を丁寧かつ迅速に提供できるように努めております。
  • データベース
  • 不正競争防止法
  • 個人情報
  • 個人情報保護法
  • 営業秘密
  • 情報漏洩
電話をかける メニューメニュー