2σ Guide

従業員の顧客リスト
持ち出しへの対応

営業秘密、個人情報、労務、証拠保全を横断し、発覚直後から再発防止までを同じ事実認識で進めるための実務整理です。

72時間 初動整理の重点期間
3-5日 漏えい速報の目安
30/60日 確報期限の目安
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

従業員の顧客リスト 持ち出しへの対応

営業秘密、個人情報、労務、証拠保全を横断し、発覚直後から再発防止までを同じ事実認識で進めるための実務整理です。

動画を読み込み中…
2σ GUIDE ・ VIDEO
従業員の顧客リスト 持ち出しへの対応
営業秘密、個人情報、労務、証拠保全を横断し、発覚直後から再発防止までを同じ事実認識で進めるための実務整理です。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 従業員の顧客リスト 持ち出しへの対応
  • 営業秘密、個人情報、労務、証拠保全を横断し、発覚直後から再発防止までを同じ事実認識で進めるための実務整理です。

POINT 1

  • 従業員の顧客リスト持ち出しへの対応の全体像
  • 単なる社内規律違反ではなく、営業秘密、個人データ、労務、証拠、顧客説明が同時に動く事案として捉えます。
  • 最初の目的は断定ではなく統制です
  • 営業活動の蓄積です
  • 複数法域が重なります

POINT 2

  • 従業員の顧客リスト持ち出しへの対応で押さえる定義
  • 会社システムからの出力
  • 私的領域への移転
  • 私用メール、私用クラウド、個人端末、USBメモリ、外部ストレージ、チャットへの転送がないかを確認します。

POINT 3

  • 従業員の顧客リスト持ち出しへの対応の初動と72時間
  • 1. 責任者を決めます:法務、IT、人事、営業、プライバシー担当の窓口を一本化します。
  • 2. 主要ログを保全します:端末、クラウド、メール、CRM、認証、印刷、チャットの保存期間を確認します。
  • 3. 個人データが含まれますか:顧客担当者名、連絡先、購買履歴、問い合わせ履歴が個人に結び付くかを確認します。
  • 4. 速報期限を管理します:不正目的のおそれや人数などを暫定評価します。
  • 5. 営業秘密性を中心に整理します:秘密管理性、有用性、非公知性と持ち出し経路を確認します。

POINT 4

  • 従業員の顧客リスト持ち出しへの対応と営業秘密
  • 営業秘密として保護するには、秘密管理性、有用性、非公知性と持ち出し行為の証拠が重要です。
  • 秘密管理性
  • 非公知性
  • 刑事罰は重く設計されています

POINT 5

  • 従業員の顧客リスト持ち出しへの対応と個人情報保護法
  • 1. 個人に関する情報ですか:担当者名、直通連絡先、購買履歴、問い合わせ履歴が個人に結び付くかを確認します。
  • 2. 個人データですか:検索できるデータベースやCRMなどで管理されているかを確認します。
  • 3. 漏えい等またはおそれがありますか:外部送信、第三者提供、媒体未返却、外部共有リンク、不要アクセスを確認します。
  • 4. 報告対象性を検討します:四類型、速報期限、本人通知、問い合わせ窓口を整理します。
  • 5. 調査と記録を続けます:暗号化、アクセス制御、閲覧可能性、第三者提供の有無を確認します。

POINT 6

  • 従業員の顧客リスト持ち出しへの対応における労務と証拠保全
  • 懲戒、本人面談、私物端末、ログ保全は、事実認定とプライバシー配慮の両方から設計します。
  • 持ち出しが疑われるだけで直ちに重い処分を選ぶのはリスクがあります。
  • 労務手続の不備は、会社側の対応そのものが紛争化する原因になるため重要です。
  • 事実、規程、相当性、弁明機会の関係を読み取ってください。

POINT 7

  • 従業員の顧客リスト持ち出しへの対応で選ぶ法的措置と顧客対応
  • 本人通知の可否
  • 対象者を特定できるか、個別通知が可能か、通知内容に過不足がないかを確認します。
  • 対象人数と機微性
  • 人数、要配慮個人情報、財産的被害のおそれ、業種規制を確認します。

POINT 8

  • 顧客リスト持ち出しをめぐる受け入れ企業・委託先・業種別対応
  • 被害拡大防止策
  • アクセス停止、顧客接触防止、法的措置、外部専門家の起用を承認します。
  • 通知と公表方針
  • 顧客、当局、取引先への通知、本人通知、公表の要否を判断します。

まとめ

  • 従業員の顧客リスト 持ち出しへの対応
  • 従業員の顧客リスト持ち出しへの対応の全体像:単なる社内規律違反ではなく、営業秘密、個人データ、労務、証拠、顧客説明が同時に動く事案として捉えます。
  • 従業員の顧客リスト持ち出しへの対応で押さえる定義:顧客リスト、持ち出し、営業秘密、個人データ、デジタルフォレンジックの意味を先にそろえます。
  • 従業員の顧客リスト持ち出しへの対応の初動と72時間:発覚当日は証拠を壊さず、アクセス権を統制し、個人情報保護法上の期限管理を始めます。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

従業員の顧客リスト持ち出しへの対応の全体像

単なる社内規律違反ではなく、営業秘密、個人データ、労務、証拠、顧客説明が同時に動く事案として捉えます。

従業員の顧客リスト持ち出しへの対応では、顧客リストの内容、管理状況、持ち出し方法、利用状況、提供先によって、不正競争防止法、個人情報保護法、労働法、民法、刑事法、情報セキュリティ、内部統制、レピュテーション管理が同時に問題になります。

顧客リストが営業秘密に当たり得る場合は、差止請求、損害賠償請求、刑事告訴の検討対象になります。個人データが含まれ、不正目的による持ち出しや第三者提供が疑われる場合は、個人情報保護委員会への報告や本人通知が必要になる可能性があります。

次の重要ポイントは、対応を誤ると証拠価値、報告期限、顧客説明の三つに影響することを表します。初動の優先順位を経営、法務、IT、人事、営業が共有するために重要であり、まず何を止め、何を残し、何を期限管理するかを読み取ってください。

最初の目的は断定ではなく統制です

発覚直後は「退職者が盗んだ」と決めつけるより、被害拡大の停止、証拠保全、法的期限の把握、関係者の情報統制を優先します。

次の一覧は、顧客リスト持ち出しが重大化する三つの理由を表します。営業被害だけでなく、個人情報、労務、対外説明が重なるため重要です。各項目から、どの部署を初動チームに入れるべきかを読み取ってください。

競争価値

営業活動の蓄積です

取引先名だけでなく、担当者、購買履歴、見積情報、商談履歴、価格条件、顧客ランク、見込み客情報まで含むと、競争上の価値が高まります。

法的論点

複数法域が重なります

営業秘密、個人データ、懲戒、損害賠償、刑事対応、顧客説明が同時に検討対象となるため、部門単独で処理しにくい事案です。

初動リスク

順序が結果を左右します

本人を先に問い詰める、ログを上書きする、証拠が弱いまま転職先へ抗議する対応は、労務紛争や信用毀損の反論を招き得ます。

次の表は、発覚直後に同じ事実認識を持つべき機能と役割を表します。対応漏れは期限徒過や証拠毀損につながるため重要です。列ごとに、どの担当が何を判断し、どこで外部専門家を入れるかを読み取ってください。

機能主な役割
法務法的評価、証拠保全方針、本人対応、転職先対応、弁護士連携を整理します。
情報システム、セキュリティアカウント停止、ログ保全、端末保全、外部共有遮断を行います。
個人情報保護、プライバシー個人データ該当性、報告と本人通知の要否、本人対応を検討します。
人事、労務就業規則、懲戒、退職手続、面談、弁明機会を確認します。
営業責任者顧客影響、商談影響、業務上必要なアクセス範囲を確認します。
内部監査、内部統制統制不備、再発防止、経営報告、監査証跡を整理します。
外部専門家弁護士、デジタルフォレンジック会社、危機管理広報が必要な場面を支援します。
Section 01

従業員の顧客リスト持ち出しへの対応で押さえる定義

顧客リスト、持ち出し、営業秘密、個人データ、デジタルフォレンジックの意味を先にそろえます。

顧客リストとは、既存顧客、見込み顧客、過去顧客、紹介先、代理店、販売店、取引担当者、購買履歴、商談履歴、価格条件、契約更新時期、問い合わせ履歴、属性情報など、営業活動または取引管理に用いられる情報の集合です。紙、Excel、CSV、CRM、SFA、メールアドレス帳、名刺管理データ、チャット履歴、営業日報、クラウドデータベース、スクリーンショット、印刷物など媒体は問いません。

持ち出しとは、会社が管理する情報を、業務目的、承認範囲、アクセス権限、利用規程を超えて、外部または私的領域に移転、複製、閲覧可能化、印刷、送信、同期、保存、撮影、転記する行為です。私用メールへの送信、私用クラウドへのアップロード、USBメモリへのコピー、社外チャットへの転送、個人端末への同期、退職前の大量ダウンロード、印刷物の持ち帰り、画面撮影、転職先への提供などが典型例です。

次の比較表は、顧客リスト持ち出し対応で混同しやすい用語の違いを表します。用語の取り違えは、報告要否や請求内容を誤る原因になるため重要です。各列から、どの法律上の評価に結び付くかを読み取ってください。

用語意味対応上の意味
営業秘密秘密管理性、有用性、非公知性の三要件を満たす営業上または技術上の情報です。差止め、損害賠償、刑事対応の検討軸になります。
個人情報生存する個人を識別できる情報です。法人担当者の氏名、直通連絡先、商談メモも該当し得ます。安全管理措置や従業者監督の問題になります。
個人データ個人情報データベース等を構成する個人情報です。漏えい等報告、本人通知、影響範囲特定の判断対象になります。
デジタルフォレンジック端末、クラウド、メール、認証ログなどを証拠価値を保ちながら保全、解析する技術と手続です。誰が、いつ、どの経路で、何を移したかの客観証拠を支えます。

次の一覧は、顧客リストがどのような媒体や経路で持ち出されるかを表します。紙だけを想定するとクラウドや生成AIサービス経由の移転を見落とすため重要です。媒体ごとに、保全すべきログと確認先が変わることを読み取ってください。

会社システムからの出力

CRM、SFA、MAツール、ファイルサーバ、名刺管理サービスからのCSV出力、大量ダウンロード、API利用を確認します。

私的領域への移転

私用メール、私用クラウド、個人端末、USBメモリ、外部ストレージ、チャットへの転送がないかを確認します。

物理的な持ち帰り

印刷物、スクリーンショット、メモ、名刺、退職時未返却資料なども対象になります。

第三者への提供

転職先、競合会社、販売代理店、知人、顧客への提供や利用が疑われる場合は、被害拡大防止を急ぎます。

Section 02

従業員の顧客リスト持ち出しへの対応の初動と72時間

発覚当日は証拠を壊さず、アクセス権を統制し、個人情報保護法上の期限管理を始めます。

初動の目的は、事実を断定することではなく、被害拡大の停止、証拠の保全、法的期限の把握、関係者の統制です。誤送信、通常業務上の同期、承認済みの出力、委託業務、システム仕様、複数人によるアクセスなど、別の説明可能性を排除せず、客観証拠に基づいて絞り込みます。

次の時系列は、発覚後72時間で優先する作業の順番を表します。順番を誤るとログの上書き、本人による削除、報告期限の見落としが起きるため重要です。時間帯ごとに、断定ではなく保全と準備を先に進めることを読み取ってください。

0時間から6時間

被害拡大防止と証拠保全

責任者を任命し、ログ保全、アカウント制限、証拠保全範囲、情報共有範囲、個人データ該当性、営業秘密性、外部専門家の起用要否を暫定評価します。

6時間から24時間

事実仮説の形成

アクセスログ、業務必要性、権限設定、本人の説明可能性、顧客接触状況を突き合わせ、時系列表、関係者図、対象情報一覧、法的論点表を作ります。

24時間から72時間

外部対応の準備

本人面談、返還削除要請、秘密保持誓約、転職先通知、漏えい速報、本人通知、警察相談、仮処分申立ての順序を検討します。

次の判断の流れは、初動段階で「止める、残す、期限を見る」をどう並べるかを表します。面談や通知を急ぐ前に客観証拠を確保するため重要です。上から下への順番と、分岐後に必要な追加対応を読み取ってください。

初動判断の順番

責任者を決めます

法務、IT、人事、営業、プライバシー担当の窓口を一本化します。

主要ログを保全します

端末、クラウド、メール、CRM、認証、印刷、チャットの保存期間を確認します。

個人データが含まれますか

顧客担当者名、連絡先、購買履歴、問い合わせ履歴が個人に結び付くかを確認します。

はい
速報期限を管理します

不正目的のおそれや人数などを暫定評価します。

いいえ
営業秘密性を中心に整理します

秘密管理性、有用性、非公知性と持ち出し経路を確認します。

証拠を壊さないために避ける行動

疑いのあるPCを通常起動してファイルを探す、本人のメールボックスを不用意に操作する、ログ保存期間を確認しないまま時間を経過させる、関係者に一斉通知して証拠削除の機会を与える、といった行動は避けます。本人面談は、主要ログの確保後に設計するのが基本です。

アクセス権限の統制

在職中であれば、業務継続に必要な範囲を見極めつつ、顧客リスト、CRM、ファイルサーバ、クラウドストレージ、メール送信、外部共有、印刷、USB利用の権限を制限します。退職済みの場合は、共有アカウント、APIトークン、外部共有リンク、名刺管理サービス、スマートフォン同期、個人メール転送ルールが残っていないかを確認します。

次の表は、初動で作成する資料と後続手続での使い道を表します。資料の粒度が不足すると、役員報告、当局報告、本人面談、仮処分、刑事相談で説明がぶれるため重要です。どの資料がどの判断に使われるかを読み取ってください。

資料主な内容使い道
時系列表発覚時刻、アクセス、送信、印刷、退職手続、顧客接触を並べます。事実仮説、報告期限、面談質問の基礎になります。
対象情報一覧ファイル名、項目、件数、個人データ該当性、営業秘密性を整理します。速報、本人通知、差止め対象の特定に使います。
アクセスログ一覧ログイン元、CSV出力、外部共有、USB接続、印刷、メール転送を記録します。持ち出し経路と故意、業務必要性の検討に使います。
法的論点表営業秘密、個人情報、労務、刑事、顧客契約、広報を整理します。経営判断、外部専門家への相談、顧客説明に使います。
Section 03

従業員の顧客リスト持ち出しへの対応と営業秘密

営業秘密として保護するには、秘密管理性、有用性、非公知性と持ち出し行為の証拠が重要です。

顧客リストを不正競争防止法で保護する中心論点は、営業秘密該当性です。顧客の購買履歴、成約可能性、価格感応度、更新時期、意思決定者、紹介元、失注理由、商談メモなどが結合されている場合、営業戦略に直結する情報として評価されやすくなります。

次の一覧は、営業秘密該当性の三要件を表します。三要件の一つでも説明が弱いと、差止めや損害賠償の主張が難しくなるため重要です。各項目から、平時にどの管理証拠を残すべきかを読み取ってください。

要件1

秘密管理性

情報が秘密として管理され、従業員から見て秘密情報だと認識できる状態です。秘密表示、アクセス制限、管理規程、教育、ログ管理が関係します。

要件2

有用性

事業活動に有用な営業上または技術上の情報です。購買履歴、価格条件、更新時期、意思決定者、商談メモなどは営業戦略に直結します。

要件3

非公知性

公然と知られていない情報です。公開情報の単純な集合では弱く、選別、加工、分析、更新、属性付与により評価が変わります。

アクセス権限があった従業員による持ち出しでも、常に適法とは限りません。CRMへのアクセス権は会社業務のために付与されたものであり、退職後の競合営業や転職先利用のために大量ダウンロードする権限とは区別されます。

次の表は、営業秘密侵害が問題になる場合の民事、刑事の選択肢を表します。手段ごとに必要な証拠と副作用が異なるため重要です。請求内容、証拠水準、慎重に見るべき点を読み取ってください。

手段主な内容検討上の注意
差止請求営業秘密の使用、開示、第三者提供を止める請求です。対象情報の特定、営業秘密性、使用または開示のおそれを具体化します。
損害賠償請求顧客流出、売上減少、営業機会喪失、通知費用などを整理します。損害額と因果関係の立証が課題になります。
信用回復措置信用毀損がある場合に必要な措置を検討します。顧客説明や公表内容との整合性を確認します。
刑事告訴営業秘密侵害罪などが問題となる場合に検討します。営業秘密性、故意、使用または開示、被害の重大性を慎重に整理します。

次の重要ポイントは、営業秘密侵害罪の罰則水準を表します。刑事対応は強力で影響が大きいため、証拠が足りるかを見極めることが重要です。数値から、社内外への説明責任が重い論点であることを読み取ってください。

刑事罰は重く設計されています

営業秘密侵害罪では、十年以下の拘禁刑または二千万円以下の罰金、海外使用等では三千万円以下の罰金、法人の両罰規定では一定の場合に五億円以下、海外使用等では十億円以下の罰金が示されています。

裁判例からは、会社が後から重要情報だったと主張しても、平時に秘密表示、アクセス制限、配布管理、教育、誓約書、ログ管理がなければ、営業秘密としての保護が弱くなり得ることが読み取れます。発覚後の法的措置だけでなく、発覚前の情報管理体制が成否を左右します。

Section 04

従業員の顧客リスト持ち出しへの対応と個人情報保護法

顧客リストに個人データが含まれる場合、漏えい等報告、本人通知、安全管理措置、従業者監督が問題になります。

法人顧客の会社名そのものは個人情報ではありませんが、法人の担当者名、直通連絡先、職位、商談メモ、購買履歴が個人に紐づく場合は個人情報となり得ます。個人情報データベース等を構成する個人データであれば、漏えい等報告や本人通知の要否を検討します。

次の一覧は、顧客リスト持ち出しで特に注意すべき個人データの流出場面を表します。外部流出の確定だけでなく、おそれの段階でも期限管理が必要になるため重要です。どの行為が速報判断に結び付きやすいかを読み取ってください。

私用メール送信

顧客の個人データを添付し、会社管理外のメールボックスに送った場合です。

私用クラウド保存

CRMからCSV出力し、個人アカウントのクラウドへ保存した場合です。

第三者提供

退職者が競合会社、転職先、第三者へ顧客データを提供した疑いがある場合です。

端末や媒体の未返却

顧客情報を含む社用端末、USBメモリ、印刷物が返却されていない場合です。

不要なアクセス痕跡

通常業務で必要のない時間帯や範囲で個人データにアクセスした痕跡がある場合です。

外部共有リンク

第三者が閲覧できる状態のリンクが残っていた場合です。

次の表は、個人情報保護委員会への報告対象となる主な四類型を表します。全ての漏えい等が報告対象ではありませんが、顧客リストでは不正目的のおそれが特に問題になりやすいため重要です。各類型に当たる事情を読み取ってください。

類型顧客リスト持ち出しでの確認点
要配慮個人情報医療、ヘルスケア、介護、健康情報などが含まれるかを確認します。
財産的被害のおそれ金融、保険、与信、資産状況、詐欺被害につながる情報が含まれるかを確認します。
不正目的のおそれ退職前の大量ダウンロード、外部提供、売却、競合営業利用、不要なアクセス痕跡を確認します。
千人超の本人対象人数が千人を超えるかを暫定把握します。

次の時系列は、報告対象になり得る場合の期限目安を表します。営業秘密の証拠固めに集中して個人情報保護法上の期限を見落とさないために重要です。速報と確報を分け、未確定事項は後で補充する前提で読むことが大切です。

概ね3日から5日以内

速報の目安

事態を知った時点から速やかに、把握済みの事実をもとに報告要否を検討します。

原則30日以内

確報の目安

原因、範囲、対応、再発防止策を整理して補充します。

不正目的のおそれは60日以内

確報の別枠

従業者による不正持ち出しや第三者提供が疑われる類型では、確報期限の扱いを確認します。

次の判断の流れは、顧客リスト持ち出しを個人情報保護法上どう評価するかを表します。報告対象性、本人通知、契約上の通知義務を順番に確認するため重要です。分岐ごとに、技術的検証と法的評価を組み合わせる必要があることを読み取ってください。

個人データ漏えい等の判断順序

個人に関する情報ですか

担当者名、直通連絡先、購買履歴、問い合わせ履歴が個人に結び付くかを確認します。

個人データですか

検索できるデータベースやCRMなどで管理されているかを確認します。

漏えい等またはおそれがありますか

外部送信、第三者提供、媒体未返却、外部共有リンク、不要アクセスを確認します。

該当
報告対象性を検討します

四類型、速報期限、本人通知、問い合わせ窓口を整理します。

未確定
調査と記録を続けます

暗号化、アクセス制御、閲覧可能性、第三者提供の有無を確認します。

暗号化が有効で第三者が容易に内容を閲覧できない状態なら、報告を要しない場合があります。ただし、パスワード同封、ログイン状態、クラウド同期、平文メール送信、印刷物、スクリーンショット、第三者提供の認めがある場合は別の評価になります。

会社が「従業員が勝手に行った」と説明するだけでは不十分です。アクセス権限管理、持ち出し制限、教育、就業規則、秘密保持誓約書、退職時確認、ログ監視、委託先管理、内部監査など、安全管理措置と従業者監督が問われます。

Section 05

従業員の顧客リスト持ち出しへの対応における労務と証拠保全

懲戒、本人面談、私物端末、ログ保全は、事実認定とプライバシー配慮の両方から設計します。

懲戒解雇、諭旨解雇、出勤停止、降格、減給、譴責、退職金不支給などを検討する場合でも、就業規則上の根拠、事実認定、手続保障、処分の相当性が必要です。持ち出しが疑われるだけで直ちに重い処分を選ぶのはリスクがあります。

次の表は、懲戒や退職対応で確認すべき観点を表します。労務手続の不備は、会社側の対応そのものが紛争化する原因になるため重要です。事実、規程、相当性、弁明機会の関係を読み取ってください。

観点確認事項
対象情報何の顧客リストか、営業秘密や個人データに当たるかを確認します。
管理状況秘密表示、アクセス制限、規程、教育、ログ、誓約書の有無を確認します。
行為態様ダウンロード、送信、印刷、撮影、転送、第三者提供を確認します。
本人事情業務目的、誤操作、故意過失、返還意思、弁明内容を確認します。
処分の相当性会社損害、外部提供、過去の教育、規程の明確性、類似事例との均衡を検討します。

本人面談は、事実確認と証拠確保に重要ですが、労務紛争の火種にもなります。威圧的な尋問、長時間拘束、退職強要、自白の強要、私物端末の無断閲覧、人格攻撃、脅迫的発言は避けます。複数名で実施し、議事録を作成し、本人の回答をできる限り正確に記録します。

次の一覧は、本人面談で確認する質問項目を表します。質問の抜け漏れがあると、返還削除、第三者提供、残存コピーの確認が不十分になるため重要です。項目の順番から、業務目的から保存先、第三者提供、協力意思へ広げる設計を読み取ってください。

1

アクセス目的

業務上の必要性、ダウンロード、印刷、送信、保存の有無を確認します。

事実確認
2

保存先と媒体

私用メール、私用クラウド、私物端末、USB、印刷物、バックアップの有無を確認します。

範囲限定
3

第三者提供

転職先、競合会社、知人、顧客への提供や既存の顧客接触がないかを確認します。

被害拡大
4

返還と削除

返還、削除、非使用、第三者不提供、保存先一覧、削除証明への協力意思を確認します。

合意形成

私物端末や私用アカウントに顧客リストが送られている疑いがある場合、会社は一方的に私物スマートフォンを取り上げたり、私用メールボックスを閲覧したりする対応を避けます。任意協力を得る場合も、対象範囲、目的、期間、保存方法を明確にし、外部弁護士またはフォレンジック専門家の関与を検討します。

次の表は、証拠保全の対象と確認事項を表します。どのログがどの経路の証明に使えるかを把握することが重要です。対象ごとに、改ざんや上書きを避けながら何を保全するかを読み取ってください。

対象確認すべき事項
社用PCファイル操作、USB接続、外部ストレージ同期、ブラウザ履歴、印刷履歴を確認します。
社用スマートフォンメール、クラウドアプリ、ファイル保存、スクリーンショット、メッセージアプリを確認します。
メール外部送信、添付ファイル、転送ルール、下書き、削除済み項目を確認します。
CRM、SFAログイン、検索、閲覧、エクスポート、CSV出力、API利用を確認します。
クラウドストレージ外部共有リンク、ダウンロード、同期端末、共有先を確認します。
ID管理、VPNログイン元IP、認証時刻、多要素認証、異常ログイン、接続時間を確認します。
EDR、DLP、プリンタ外部送信検知、USB利用、機密ファイル操作、印刷日時、ページ数を確認します。
チャット、入退館、退職資料ファイル共有、外部ユーザー、深夜休日の出社、返却物リスト、誓約書を確認します。

ログ保存期間は、契約プランや設定によって異なります。監査ログが短期間で消える、詳細ログが上位プランでなければ取得できない、管理者が明示的にエクスポートしなければ保持されない場合があります。エクスポートファイルのハッシュ値、取得者、取得日時、取得条件も記録します。

Section 07

顧客リスト持ち出しをめぐる受け入れ企業・委託先・業種別対応

被害企業だけでなく、転職者を受け入れる企業、委託元、委託先、経営層にも管理責任が及び得ます。

転職者を受け入れる企業も、第三者の営業秘密や個人データを受け取るリスクを管理する必要があります。新入社員が前職の顧客リスト、価格表、提案書、営業マニュアル、見込み客リストを持ち込んだ場合、会社が認識しながら利用すれば、不正競争防止法上の責任や個人情報保護法上の問題が生じ得ます。

次の一覧は、受け入れ企業が採用時と入社時に講じる措置を表します。人材採用そのものと前職情報の不正利用を切り分けるため重要です。各項目から、持ち込み防止、隔離、利用停止の統制を読み取ってください。

採用前後

持ち込み禁止を明示します

前職の営業秘密、顧客リスト、個人データを持ち込まない旨の誓約を取得し、面接で顧客持参を誘導しない運用にします。

入社後

会社環境への投入を止めます

前職資料を会社端末、クラウド、CRMへアップロードしないよう説明し、発覚時は隔離して閲覧、利用、共有を止めます。

発覚時

法務が確認します

必要に応じて返還、削除、前職企業への連絡を検討し、営業部門が当該リストで顧客接触しないよう統制します。

委託先、派遣社員、業務委託者、販売代理店、システム保守会社、コールセンター委託先、外部営業代行会社による持ち出しでは、雇用契約だけでなく、業務委託契約、秘密保持契約、個人情報取扱契約、再委託管理、派遣契約、共同利用契約を確認します。

次の表は、委託契約に設けるべき条項を表します。委託先の説明だけに依存すると、報告義務や本人通知の整理が遅れるため重要です。条項ごとに、事故発生時に何を求められる状態にしておくかを読み取ってください。

条項狙い
目的外利用禁止、秘密保持義務顧客情報を委託目的外で使わせない前提を明確にします。
再委託制限、アクセス権管理誰が顧客リストに触れるかを統制します。
ログ保存義務、事故発生時の即時報告義務証拠保全と報告期限管理を可能にします。
調査協力、返還削除、監査権発覚時に資料提出、削除確認、現地確認を求める根拠になります。
損害賠償通知費用、調査費用、顧客対応費用などの負担を整理します。

次の比較表は、業種ごとに顧客リスト持ち出しで注意する情報の性質を表します。業種により、財産的被害、要配慮個人情報、業法上の報告、技術秘密の重みが変わるため重要です。自社の業種ではどの項目を優先確認すべきかを読み取ってください。

業種注意点
金融、保険資産状況、保険契約、投資意向、与信、本人確認情報により、財産的被害や業法上の報告が問題になります。
医療、ヘルスケア患者情報、診療情報、検査結果、服薬情報、介護情報が含まれると、要配慮個人情報の評価が重要になります。
人材、教育求職者、登録者、生徒、保護者、職歴、給与希望、成績、評価が営業秘密と個人データの双方で問題になります。
BtoB製造業、商社担当者名、購買履歴、価格条件、発注予定、仕様情報、技術相談が営業秘密性と個人情報該当性の検討対象になります。
IT、SaaSAPI、CSVエクスポート、外部連携、管理者権限、監査ログ保存、退職者アカウント停止が重要になります。

重大な事案では、取締役会、監査役、監査等委員、社外取締役への報告が必要となることがあります。対象人数が多い場合、上場会社の場合、主要顧客に影響する場合、当局報告が必要な場合、訴訟や刑事告訴を検討する場合、役員または管理職が関与する場合、内部統制不備が重大な場合は、経営レベルでの判断が不可欠です。

次の一覧は、経営層に上げる意思決定事項を表します。技術的詳細だけでは投資や対外方針を決められないため重要です。経営判断として承認すべき項目を読み取ってください。

被害拡大防止策

アクセス停止、顧客接触防止、法的措置、外部専門家の起用を承認します。

通知と公表方針

顧客、当局、取引先への通知、本人通知、公表の要否を判断します。

人事と法的措置

懲戒処分、本人または転職先への通知、仮処分、刑事相談の方向性を決めます。

再発防止投資

ログ保存、DLP、権限管理、内部監査、教育、規程改訂への投資を判断します。

Section 08

従業員の顧客リスト持ち出しへの対応を強くする平時対策

発覚後の強硬な通知より、平時の分類、権限、ログ、退職時管理、監査が保護の土台になります。

顧客リストを守る第一歩は、どの情報が重要かを会社が把握することです。抽象的な注意喚起ではなく、対象情報を棚卸し、分類し、管理責任者を置く必要があります。

次の表は、情報資産の分類例と管理水準を表します。全ての情報を同じ強さで管理すると運用が破綻し、重要情報の保護も弱くなるため重要です。分類ごとに、アクセス制限やログ監視の強さを読み取ってください。

分類管理水準
最重要営業秘密主要顧客リスト、価格条件、更新時期、顧客ランク、未公表商談厳格なアクセス制限、ログ監視、持ち出し原則禁止にします。
重要情報見込み客一覧、提案書、営業マニュアル、販売計画部門単位のアクセス制限、承認制の出力にします。
通常業務情報公開済み取引先名、一般的な営業資料通常管理を行います。
公開情報ウェブサイト掲載情報、公開パンフレット公開管理として扱います。

次の一覧は、秘密管理性を支える平時措置を表します。発覚後の法的主張は、平時の管理証拠に左右されるため重要です。どの措置が秘密表示、権限、出力制限、教育、誓約書に対応するかを読み取ってください。

秘密表示と対象特定

ファイル名、画面、帳票、CSV出力に秘密、社外秘、顧客リストなどの表示をします。

アクセス権管理

CRMやファイルサーバのアクセス権を職務別に制限し、退職予定者や異動者の権限を見直します。

出力と外部共有の制御

CSV出力、大量ダウンロード、印刷、外部共有、USB利用を承認制または制限対象にします。

ログと監査

アクセスログ、出力ログ、ダウンロードログ、印刷ログを保存し、内部監査で点検します。

誓約書と教育

入社時、異動時、退職時の秘密保持誓約と、顧客リストの具体例を示す教育を行います。

違反時対応の周知

懲戒、損害賠償、差止め、刑事告訴の可能性を規程と研修で周知します。

技術的対策は、法的主張を支える証拠にもなります。多要素認証、最小権限、エクスポート制限、異常検知、DLP、EDR、MDM、USB制御、透かし、クラウド共有リンクの期限設定、APIトークン棚卸し、ログ保存期間の延長、退職前後の異常行動検知などを、業務影響と費用に応じて組み合わせます。

次の時系列は、退職時管理で確認する順番を表します。退職者を一律に疑うのではなく、リスクベースで権限と返却を確認するため重要です。退職前、退職時、退職後のどこで証跡を残すかを読み取ってください。

退職予定の把握時

アクセス権を見直します

顧客リスト、価格情報、提案書、開発情報への権限を棚卸しし、退職日まで本当に必要な権限だけを残します。

退職時面談

返却と非保持を確認します

秘密保持義務、顧客情報の返還削除、私用端末や私用クラウドへの保存禁止、転職先への提供禁止を書面で確認します。

退職後

顧客連絡を記録します

退職者から営業を受けた、会社しか知らない条件を競合が知っている、といった連絡はメール、通話記録、提案書、訪問記録として保全します。

競業避止義務と顧客リスト持ち出しは区別します。退職者が競合会社に転職すること自体は直ちに違法ではありません。一方、前職の営業秘密を持ち出して利用すること、個人データを不正に第三者提供すること、在職中に顧客を引き抜く準備として会社情報を不正利用することは、別途違法または契約違反となり得ます。

次の表は、中小企業でも最低限整えられる平時対策と発覚時の相談先を表します。専任の法務、情報セキュリティ、個人情報保護、内部監査がいない場合でも初動の遅れを防ぐため重要です。自社で先に決めておく項目と、外部へ早期相談する場面を読み取ってください。

場面最低限の対応
平時の管理顧客リストの保存場所を一元化し、アクセスできる従業員を限定し、ExcelやCSVにはパスワードを設定し、保存場所を限定します。
利用制限私用メール、私用クラウドへの送信を禁止し、ダウンロード、印刷、外部送信の履歴を可能な範囲で残します。
退職時手続データ、紙、名刺、端末、外部記録媒体を返却させ、秘密保持誓約書を入社時と退職時に取得します。
教育と規程服務規律に顧客情報の持ち出し禁止を明記し、顧客情報を扱う従業員へ年一回以上の教育を行います。
発覚時の相談先顧問弁護士、個人情報保護に詳しい弁護士、社会保険労務士、ITベンダー、デジタルフォレンジック会社、サイバー保険窓口、INPIT営業秘密支援窓口を事前に確認します。

次の表は、再発防止策の優先順位を表します。研修だけで終わらせず、制度、技術、人、監査を組み合わせるため重要です。短期、中期、長期のどこから着手するかを読み取ってください。

期間施策例
短期アカウント棚卸し、退職者権限見直し、外部共有停止、誓約書改訂、緊急研修を行います。
中期CRM出力承認制、DLP導入、ログ保存延長、秘密情報分類、退職時チェックリスト整備を行います。
長期ゼロトラスト設計、内部不正監視、定期監査、情報管理KPI、経営報告制度を整えます。
Section 09

従業員の顧客リスト持ち出しへの対応チェックリスト

評価表、個人情報の判断順序、調査報告書、文書雛形、専門家の役割を確認します。

次の表は、顧客リスト持ち出し事案の初期分析に使う評価項目を表します。事実認定と法的評価を同じ表で見ることで、対応漏れを防ぐため重要です。評価項目ごとに、確認事項と法的意味の対応関係を読み取ってください。

評価項目確認事項法的意味
対象情報顧客名、担当者、連絡先、購買履歴、価格、商談メモ営業秘密性、個人データ該当性に関係します。
管理状況アクセス制限、秘密表示、規程、教育、ログ秘密管理性、安全管理措置に関係します。
行為者と時期在職者、退職者、派遣、委託先、退職前、深夜休日労務、委託先管理、不正目的の推認に関係します。
行為態様と保存先ダウンロード、送信、印刷、撮影、私用メール、USB、私物端末持ち出し経路、漏えい等、削除確認に関係します。
外部提供と使用転職先、競合、顧客接触、営業提案、受注、勧誘差止め、損害、因果関係、個人情報報告に関係します。
被害と本人説明売上減、顧客流出、信用低下、業務目的、誤操作、返還意思損害賠償、懲戒相当性、証拠評価に関係します。

次の一覧は、社内調査報告書に入れる項目を表します。経営判断、懲戒、当局報告、顧客説明、訴訟対応に使われるため重要です。確定事実、推認事実、未確認事項を分けて書く必要があることを読み取ってください。

調査の骨格

目的、範囲、体制、発覚経緯

何を調べ、誰が調べ、どの時点で何を把握したかを明確にします。

事実認定

対象情報、管理状況、時系列、証拠

行為者、関係者、持ち出し経路、外部提供または使用の有無を整理します。

評価と対応

個人情報、営業秘密、労務、顧客影響

既に実施した措置、今後の措置、再発防止策、添付資料をまとめます。

次の表は、発覚当日、本人対応、法的措置、再発防止の確認事項を表します。実務でチェック漏れが起きやすい項目を一画面で把握するため重要です。どの段階で誰が確認するかを読み取ってください。

場面確認事項
発覚当日責任者、情報共有範囲、端末とログ保全、アクセス権、外部共有、対象人数、個人データ該当性、速報期限、営業秘密性、外部専門家の要否を確認します。
本人対応就業規則、誓約書、面談参加者、記録方法、返還削除、私物端末確認の任意性、弁明機会、懲戒相当性を確認します。
法的措置対象情報の特定、秘密管理性、持ち出し経路、使用または開示のおそれ、損害、転職先通知、仮処分、刑事告訴の証拠水準を確認します。
再発防止顧客リスト分類、アクセス権、CSV出力、印刷、外部共有、ログ保存、退職時手続、誓約書、教育、内部監査、委託先管理、経営報告を確認します。

次の一覧は、文書雛形に入れる事項を表します。文書の目的を明確にしないと、返還削除の確認不足や転職先への過度な断定につながるため重要です。どの文書で何を特定し、どの表現を慎重に扱うかを読み取ってください。

返還削除確認書

対象情報、保存媒体、返還または削除、複製やバックアップの非保持、第三者提供の有無、今後の非使用、調査協力を入れます。

本人対応

転職先への通知書

客観的事実、持ち出しが疑われる事情、対象情報の性質、受領や使用の停止要請、隔離、返還削除、期限、権利留保を入れます。

断定注意

顧客向け通知

発覚日、概要、対象情報項目、外部利用の確認状況、注意事項、実施措置、再発防止策、問い合わせ窓口、追加連絡の有無を入れます。

説明責任

次の表は、専門家と社内担当の役割分担を表します。縦割りで動くと、報告期限、懲戒、証拠、顧客影響の全体最適を失うため重要です。どの担当がどの判断を支えるかを読み取ってください。

専門家、担当者役割
外部弁護士法的評価、仮処分、訴訟、刑事告訴、本人や転職先への通知を支援します。
企業内弁護士、法務担当社内調整、証拠保全方針、契約、規程、経営報告を担います。
個人情報保護担当漏えい等報告、本人通知、当局対応、プライバシー影響評価を担います。
人事、労務担当懲戒、面談、退職手続、就業規則、弁明機会を整えます。
情報システム担当ログ保全、アクセス遮断、端末回収、技術対策を担います。
デジタルフォレンジック専門家証拠保全、解析、レポート、証拠同一性の確保を支援します。
内部監査、コンプライアンス担当管理不備の点検、規程、教育、通報制度、再発防止を担います。
経営層重大対応方針、対外公表、法的措置、再発防止投資を判断します。
Section 10

従業員の顧客リスト持ち出しへの対応でよくある質問

顧客リスト、アクセス権、報告期限、私物端末、技術対策について一般的な考え方を整理します。

顧客リストなら営業秘密として保護されますか

一般的には、顧客リストであっても、秘密管理性、有用性、非公知性を満たすかによって評価が変わります。秘密表示がなく、誰でもアクセスでき、出力も自由で、教育や誓約書がない場合は、秘密管理性が争われる可能性があります。具体的な見通しは、管理状況と証拠を整理したうえで弁護士等の専門家へ相談する必要があります。

アクセス権があった従業員なら問題になりませんか

一般的には、業務上のアクセス権があることと、退職後の競業や転職先利用のために持ち出すことは別に評価されます。アクセス権限は会社業務のための権限であり、自己または第三者の利益のために会社情報を利用できるとは限りません。個別の評価は、利用目的、出力範囲、社内規程、証拠関係によって変わります。

個人情報保護委員会への報告は全容解明後でよいですか

一般的には、報告対象となる事案では速報と確報が分かれており、全容解明を待つ運用は期限管理上のリスクがあります。把握済みの事実で速報し、調査後に確報で補う考え方が示されています。ただし、報告対象性や本人通知の要否は事案ごとに変わるため、プライバシー担当と専門家が確認する必要があります。

私物スマートフォンを会社が確認できますか

一般的には、会社が一方的に私物端末を取り上げたり、私用アカウントを閲覧したりする対応は、プライバシーや労務上の問題を生じさせる可能性があります。任意協力を得る場合も、目的、対象範囲、期間、保存方法を明確にする必要があります。具体的な対応は、証拠関係と就業規則を確認したうえで専門家へ相談する必要があります。

DLPやアクセス制御を入れれば十分ですか

一般的には、技術対策は重要ですが、それだけで十分とは限りません。営業秘密性を支えるには、規程、教育、誓約書、退職時手続、ログ保存、内部監査、経営関与を組み合わせることが必要になります。自社に合う水準は、扱う顧客情報の性質、業種、従業員数、システム構成によって変わります。

Reference

参考資料

制度や実務上の判断を確認するための公的資料、一次情報、実務資料です。

営業秘密と不正競争防止法

  • 経済産業省「営業秘密を守り活用する」
  • 経済産業省「秘密情報は大切な財産です」
  • 経済産業省「不正競争防止法」
  • 経済産業省「営業秘密管理指針」
  • 経済産業省「秘密情報の保護ハンドブック」
  • 裁判所「大阪地方裁判所 令和2年10月1日判決 平成28年ワ第4029号」

個人情報保護と漏えい等対応

  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン 通則編」
  • 個人情報保護委員会「漏えい等報告、本人への通知の義務化について」

労務、内部不正、相談窓口

  • e-Gov法令検索「労働契約法」
  • 厚生労働省「労働契約の終了に関するルール」
  • 厚生労働省「モデル就業規則」
  • 情報処理推進機構「組織における内部不正防止ガイドライン」
  • INPIT「営業秘密支援窓口」
  • 警察庁「不正アクセス対策」