弁護士に聞く、メール誤送信における法的リスクとその対策

　そんな梅宮氏にメール誤送信の話題について聞いたところ、「一般的には情報漏えいに対する相談や情報の取扱いに関する相談が多く寄せられており、メール誤送信だけに限定した相談というのはあまりありません」と語る。

　情報の取り扱い手段の1つにメールがあり、情報漏えいリスクとしてメール誤送信というキーワードが出ることはある。しかしメール誤送信対策にまでたどりついていない企業も多く、投資の優先順位はまだそれほど高くないと言う。

　実際の情報漏えい対策では、まずは入退出管理など物理的な対策から入ることが一般的で、PCでアクセスできる範囲を絞っていきながら、情報が持つ価値を基準に情報の受け渡しルートごとの対策を検討することになる。「メールに限定してみれば、メールで何を送信する機会があるのか、メールを送信するPCに何が入っているのかも重要になってきます」（梅宮氏）

梅宮総合法律事務所　梅宮 聡弁護士

　最近では、企業が預かるマイナンバーについての情報漏えい対策が話題となっており、情報セキュリティの関係では避けては通れない話題の一つだろう。メール誤送信に関してもマイナンバーと絡んだ話題があるかどうか尋ねた。「社内のデータのやりとりをメールでしているような会社は、支店からメール送信でマイナンバーをやりとりすることも考えられます。その場合、データの暗号化とともにメール誤送信対策は重要でしょう」（梅宮氏）

　メール誤送信防止のソリューションを提供するベンダーの中には、マイナンバーと思われる情報が添付された場合にチェックをかける機能を実装するところもあるが、現実的にはメール誤送信とマイナンバーが関係することはまれだろう。「いったん預かったマイナンバーをメールでやりとりする場合があれば、暗号化するとともに誤送信対策は重要になってきます」（梅宮氏）

メール誤送信に関する直接的な法律は存在しない

　メール誤送信に関する法律については「直接的なものは存在していません。迷惑メールに関して規定された特定電子メール法（特定電子メールの送信の適正化等に関する法律）は誤送信とは関係ありませんし、機密の定義が行われている不正競争防止法はそもそもスコープが違います。実際に関係してくるのは不法行為としての民法709条や契約違反としての415条などが関連してくると考えらます」と梅宮氏は語る。当然個人情報保護法も絡んでくるが、メールでの誤送信は個人情報だけに限らず、企業の機密情報も含めてであり、個人情報保護法だけを意識しておけばいいというものではない。

　では、メール誤送信に関連した事件で、実際に裁判で争われることはあるのだろうか。梅宮氏によれば「メール誤送信について争われた裁判は実はほとんどありません。ただし、メール誤送信のリスクとして考えるのであれば、情報漏えいに関連した事件が参考になってきます」と指摘する。

　例えば、某エステ会社が顧客の3サイズ情報を漏えいしてしまい、1件あたり約35000円（弁護士費用5000円含む）が認められたケースや、自治体での住民基本台帳に関連した情報漏えい事件や大学が開催した講演会名簿を警察に漏えいした事件など、情報流出の被害額からメール誤送信のリスクを想定しておくことが重要だという。

メール誤送信に関する法的なリスク

　前述したものは個人が訴えた事案であり、社会的信用や対策費用など間接的なリスクは別にして、裁判の中で認められる金額はさほど大きなものは認められていない。だが、被害額が大きく膨れ上がるのは法人同士の訴訟だ。

　個人情報を委託した企業のPCにP2Pソフトがインストールされた環境で、ウイルス感染したことで情報が流出したという事件では、約300万円という金額が認められている。また、サイト管理者がクレジット決済会社から訴えられた事案では、漏えい経路の詳細が不明であるものの、クレジット決済会社がさまざまな調査の費用として掛かった約1700万円という金額が被害額として認容されている事件もある。

　IT企業がアタックされ、SQLインジェクションによってクレジットカード番号が盗まれ、約2260万円の支払いが命じられたという事案もある。「もちろん、マスコミ対応をはじめ、業務停滞や遅延、信用低下による営業的な損失など、裁判で認容された金額以外の損害は大きなものがあり、情報漏えい事件全体の損害で見れば相当な額にのぼるケースも少なくない」と梅宮氏。個人情報だけでなく、企業の機密情報を漏えいするということにつながれば、多額の賠償を求められるケースもあるため、十分注意が必要だ。

重過失では契約条項の破棄もあり得る

　企業における対策として、対法人については取引を行う相手との契約書上に損害賠償額の上限を請負金額までとするような契約条項を設けておくことは重要だ。ただし、裁判ではその上限額を超えるものが認められるケースがある。

　「前述したSQLインジェクションによる情報漏えい事件では、損害賠償額の上限が契約書上で規定されていたものの、簡単に対策がとれるべきところをとっていなかったということで重過失が認められ、上限額が設定された条項が適用されなかった例もあります。とるべき対策はしっかりとっておかないと、契約書上で損害賠償額の条件を設定していても効かないことがあるのです」と指摘する。

　対個人については、利用規約などに損害賠償の上限を記載することになると考えられるが、消費者契約法などの制限がかかってくるという。「消費者契約法では、企業側を免責する条項は無効とされるだけでなく、重過失や故意の場合に企業側の損害賠償責任を制限する条項も無効とされます」と梅宮氏。法的な対策には十分注意したい。

　コストの面に関しては、情報漏えいした際にはその調査費用も多くの費用が発生するものだ。緊急的に調査のための仕組みを導入し、短期間で調査結果をまとめるためには、セキュリティに精通した技術者の確保も必要になる。このコストはかなり大きな負担になることが容易に想像できるため、事前にしっかりと調査・追跡できる環境を整備しておくべきだと梅宮氏はアドバイスする。

　話はそれるが、情報漏えい対策として事前にしっかり対策しておきたいことの1つに挙げられるのが、企業トップや取締役などの発言や対応に関するトレーニングだ。会見の良しあしで大きく印象が変わってくるため、会見の練習などは十分にコストをかけ、取締役全員が行っておきたいと梅宮氏は語る。最近ではちょっとしたことでネット上で炎上し、それが大きく影響するケースもあるため、しっかり対策を練っておきたい。

メール誤送信での解雇には疑問

　メール誤送信に関して大きな話題となった過去の事案では、2012年に読売新聞社の記者がメール誤送信による情報流出により諭旨免職となったものが挙げられるだろう。メール誤送信で諭旨免職になってしまうというショッキングな事案だが、この件についても見解を求めたところ、「もし裁判で争った場合は、諭旨退職が認められるかどうかはかなり疑問」だと梅宮氏は分析する。

　企業側が従業員を解雇するという事案で有名なのが、アナウンサーが寝坊したことで番組に穴をあけてしまい、それが再発したことで解雇を行ったというものがある。結果として解雇は認められなかったが、寝坊させないような手だてを会社側が十分対策をしていなかったことも論点のポイントとなった。

　メール誤送信についても、企業側がどこまで誤送信の対策をとってきたのかが問題になってくると梅宮氏。「実際の教育やツールなどによる誤送信対策を十分行ってきたのかが必ず問われます」。懲戒処分については、多くの場合は就業規則内に定められた包括規定などに示されているケースが多く、「会社に不利益をもたらすことがあれば…」といった漠とした規定になっていることも多い。ただし、規定があったとしてもいきなり解雇はハードルが高いと言わざるを得ないだろう。

海外での法的リスクについて

　グローバルで活躍する企業にとって、海外での情報漏えいなどに対するリスクも十分検討しておく必要があるが、メール誤送信に関しては話題になることがあるのだろうか。実際に梅宮氏が手掛けたことはないとのことだが、リスクとしては十分あり得ると語る。

　「例えば米国の場合では、日本と考え方が異なる点があり、損害額は大きくなる可能性を秘めています。日本は実際にかかった費用が損害額として認められる傾向にありますが、米国の場合は懲罰的で、多額の損害賠償額をもって制裁を加え、再発を防止するという制度があり、リスクは甚大です。だからこそ情報の質を見極めたうえで、どのように情報を扱うのか慎重に考えていくべき」と語る。

メール誤送信防止ソリューションの有効性「やっておいて損なし」

　今回のテーマであるメール誤送信防止ソリューションの有効性については「まずは誤送信を起こさないという教育が重要ですが、ツールによって制限をかけることは当然やっていて損はないし、必要な対策だと考えています」と梅宮氏。実際に裁判になった場合でも、企業側として対策が施されていることは心証面でのメリットが出てくるためだ。それでも、漏らさないことが大前提である以上、啓蒙活動を継続的に行いながら、しっかり運用できる環境でメール誤送信の対策を行っていくべきだとアドバイスをもらった。

　メール誤送信による情報漏えいが裁判で争われるケースはまれではあるが、情報が流出するルートとしてのメールは、企業においても欠かせないコミュニケーションツールの1つ。情報へのアクセス権や暗号化などさまざまな対策を施したうえで、万一の過失である誤送信を防ぐ仕組みを検討してみることをお勧めしたい。