営業秘密、個人情報、労務、証拠保全を横断し、発覚直後から再発防止までを同じ事実認識で進めるための実務整理です。
営業秘密、個人情報、労務、証拠保全を横断し、発覚直後から再発防止までを同じ事実認識で進めるための実務整理です。
単なる社内規律違反ではなく、営業秘密、個人データ、労務、証拠、顧客説明が同時に動く事案として捉えます。
従業員の顧客リスト持ち出しへの対応では、顧客リストの内容、管理状況、持ち出し方法、利用状況、提供先によって、不正競争防止法、個人情報保護法、労働法、民法、刑事法、情報セキュリティ、内部統制、レピュテーション管理が同時に問題になります。
顧客リストが営業秘密に当たり得る場合は、差止請求、損害賠償請求、刑事告訴の検討対象になります。個人データが含まれ、不正目的による持ち出しや第三者提供が疑われる場合は、個人情報保護委員会への報告や本人通知が必要になる可能性があります。
次の重要ポイントは、対応を誤ると証拠価値、報告期限、顧客説明の三つに影響することを表します。初動の優先順位を経営、法務、IT、人事、営業が共有するために重要であり、まず何を止め、何を残し、何を期限管理するかを読み取ってください。
発覚直後は「退職者が盗んだ」と決めつけるより、被害拡大の停止、証拠保全、法的期限の把握、関係者の情報統制を優先します。
次の一覧は、顧客リスト持ち出しが重大化する三つの理由を表します。営業被害だけでなく、個人情報、労務、対外説明が重なるため重要です。各項目から、どの部署を初動チームに入れるべきかを読み取ってください。
取引先名だけでなく、担当者、購買履歴、見積情報、商談履歴、価格条件、顧客ランク、見込み客情報まで含むと、競争上の価値が高まります。
営業秘密、個人データ、懲戒、損害賠償、刑事対応、顧客説明が同時に検討対象となるため、部門単独で処理しにくい事案です。
本人を先に問い詰める、ログを上書きする、証拠が弱いまま転職先へ抗議する対応は、労務紛争や信用毀損の反論を招き得ます。
次の表は、発覚直後に同じ事実認識を持つべき機能と役割を表します。対応漏れは期限徒過や証拠毀損につながるため重要です。列ごとに、どの担当が何を判断し、どこで外部専門家を入れるかを読み取ってください。
| 機能 | 主な役割 |
|---|---|
| 法務 | 法的評価、証拠保全方針、本人対応、転職先対応、弁護士連携を整理します。 |
| 情報システム、セキュリティ | アカウント停止、ログ保全、端末保全、外部共有遮断を行います。 |
| 個人情報保護、プライバシー | 個人データ該当性、報告と本人通知の要否、本人対応を検討します。 |
| 人事、労務 | 就業規則、懲戒、退職手続、面談、弁明機会を確認します。 |
| 営業責任者 | 顧客影響、商談影響、業務上必要なアクセス範囲を確認します。 |
| 内部監査、内部統制 | 統制不備、再発防止、経営報告、監査証跡を整理します。 |
| 外部専門家 | 弁護士、デジタルフォレンジック会社、危機管理広報が必要な場面を支援します。 |
顧客リスト、持ち出し、営業秘密、個人データ、デジタルフォレンジックの意味を先にそろえます。
顧客リストとは、既存顧客、見込み顧客、過去顧客、紹介先、代理店、販売店、取引担当者、購買履歴、商談履歴、価格条件、契約更新時期、問い合わせ履歴、属性情報など、営業活動または取引管理に用いられる情報の集合です。紙、Excel、CSV、CRM、SFA、メールアドレス帳、名刺管理データ、チャット履歴、営業日報、クラウドデータベース、スクリーンショット、印刷物など媒体は問いません。
持ち出しとは、会社が管理する情報を、業務目的、承認範囲、アクセス権限、利用規程を超えて、外部または私的領域に移転、複製、閲覧可能化、印刷、送信、同期、保存、撮影、転記する行為です。私用メールへの送信、私用クラウドへのアップロード、USBメモリへのコピー、社外チャットへの転送、個人端末への同期、退職前の大量ダウンロード、印刷物の持ち帰り、画面撮影、転職先への提供などが典型例です。
次の比較表は、顧客リスト持ち出し対応で混同しやすい用語の違いを表します。用語の取り違えは、報告要否や請求内容を誤る原因になるため重要です。各列から、どの法律上の評価に結び付くかを読み取ってください。
| 用語 | 意味 | 対応上の意味 |
|---|---|---|
| 営業秘密 | 秘密管理性、有用性、非公知性の三要件を満たす営業上または技術上の情報です。 | 差止め、損害賠償、刑事対応の検討軸になります。 |
| 個人情報 | 生存する個人を識別できる情報です。法人担当者の氏名、直通連絡先、商談メモも該当し得ます。 | 安全管理措置や従業者監督の問題になります。 |
| 個人データ | 個人情報データベース等を構成する個人情報です。 | 漏えい等報告、本人通知、影響範囲特定の判断対象になります。 |
| デジタルフォレンジック | 端末、クラウド、メール、認証ログなどを証拠価値を保ちながら保全、解析する技術と手続です。 | 誰が、いつ、どの経路で、何を移したかの客観証拠を支えます。 |
次の一覧は、顧客リストがどのような媒体や経路で持ち出されるかを表します。紙だけを想定するとクラウドや生成AIサービス経由の移転を見落とすため重要です。媒体ごとに、保全すべきログと確認先が変わることを読み取ってください。
CRM、SFA、MAツール、ファイルサーバ、名刺管理サービスからのCSV出力、大量ダウンロード、API利用を確認します。
私用メール、私用クラウド、個人端末、USBメモリ、外部ストレージ、チャットへの転送がないかを確認します。
印刷物、スクリーンショット、メモ、名刺、退職時未返却資料なども対象になります。
転職先、競合会社、販売代理店、知人、顧客への提供や利用が疑われる場合は、被害拡大防止を急ぎます。
発覚当日は証拠を壊さず、アクセス権を統制し、個人情報保護法上の期限管理を始めます。
初動の目的は、事実を断定することではなく、被害拡大の停止、証拠の保全、法的期限の把握、関係者の統制です。誤送信、通常業務上の同期、承認済みの出力、委託業務、システム仕様、複数人によるアクセスなど、別の説明可能性を排除せず、客観証拠に基づいて絞り込みます。
次の時系列は、発覚後72時間で優先する作業の順番を表します。順番を誤るとログの上書き、本人による削除、報告期限の見落としが起きるため重要です。時間帯ごとに、断定ではなく保全と準備を先に進めることを読み取ってください。
責任者を任命し、ログ保全、アカウント制限、証拠保全範囲、情報共有範囲、個人データ該当性、営業秘密性、外部専門家の起用要否を暫定評価します。
アクセスログ、業務必要性、権限設定、本人の説明可能性、顧客接触状況を突き合わせ、時系列表、関係者図、対象情報一覧、法的論点表を作ります。
本人面談、返還削除要請、秘密保持誓約、転職先通知、漏えい速報、本人通知、警察相談、仮処分申立ての順序を検討します。
次の判断の流れは、初動段階で「止める、残す、期限を見る」をどう並べるかを表します。面談や通知を急ぐ前に客観証拠を確保するため重要です。上から下への順番と、分岐後に必要な追加対応を読み取ってください。
法務、IT、人事、営業、プライバシー担当の窓口を一本化します。
端末、クラウド、メール、CRM、認証、印刷、チャットの保存期間を確認します。
顧客担当者名、連絡先、購買履歴、問い合わせ履歴が個人に結び付くかを確認します。
不正目的のおそれや人数などを暫定評価します。
秘密管理性、有用性、非公知性と持ち出し経路を確認します。
疑いのあるPCを通常起動してファイルを探す、本人のメールボックスを不用意に操作する、ログ保存期間を確認しないまま時間を経過させる、関係者に一斉通知して証拠削除の機会を与える、といった行動は避けます。本人面談は、主要ログの確保後に設計するのが基本です。
在職中であれば、業務継続に必要な範囲を見極めつつ、顧客リスト、CRM、ファイルサーバ、クラウドストレージ、メール送信、外部共有、印刷、USB利用の権限を制限します。退職済みの場合は、共有アカウント、APIトークン、外部共有リンク、名刺管理サービス、スマートフォン同期、個人メール転送ルールが残っていないかを確認します。
次の表は、初動で作成する資料と後続手続での使い道を表します。資料の粒度が不足すると、役員報告、当局報告、本人面談、仮処分、刑事相談で説明がぶれるため重要です。どの資料がどの判断に使われるかを読み取ってください。
| 資料 | 主な内容 | 使い道 |
|---|---|---|
| 時系列表 | 発覚時刻、アクセス、送信、印刷、退職手続、顧客接触を並べます。 | 事実仮説、報告期限、面談質問の基礎になります。 |
| 対象情報一覧 | ファイル名、項目、件数、個人データ該当性、営業秘密性を整理します。 | 速報、本人通知、差止め対象の特定に使います。 |
| アクセスログ一覧 | ログイン元、CSV出力、外部共有、USB接続、印刷、メール転送を記録します。 | 持ち出し経路と故意、業務必要性の検討に使います。 |
| 法的論点表 | 営業秘密、個人情報、労務、刑事、顧客契約、広報を整理します。 | 経営判断、外部専門家への相談、顧客説明に使います。 |
営業秘密として保護するには、秘密管理性、有用性、非公知性と持ち出し行為の証拠が重要です。
顧客リストを不正競争防止法で保護する中心論点は、営業秘密該当性です。顧客の購買履歴、成約可能性、価格感応度、更新時期、意思決定者、紹介元、失注理由、商談メモなどが結合されている場合、営業戦略に直結する情報として評価されやすくなります。
次の一覧は、営業秘密該当性の三要件を表します。三要件の一つでも説明が弱いと、差止めや損害賠償の主張が難しくなるため重要です。各項目から、平時にどの管理証拠を残すべきかを読み取ってください。
情報が秘密として管理され、従業員から見て秘密情報だと認識できる状態です。秘密表示、アクセス制限、管理規程、教育、ログ管理が関係します。
事業活動に有用な営業上または技術上の情報です。購買履歴、価格条件、更新時期、意思決定者、商談メモなどは営業戦略に直結します。
公然と知られていない情報です。公開情報の単純な集合では弱く、選別、加工、分析、更新、属性付与により評価が変わります。
アクセス権限があった従業員による持ち出しでも、常に適法とは限りません。CRMへのアクセス権は会社業務のために付与されたものであり、退職後の競合営業や転職先利用のために大量ダウンロードする権限とは区別されます。
次の表は、営業秘密侵害が問題になる場合の民事、刑事の選択肢を表します。手段ごとに必要な証拠と副作用が異なるため重要です。請求内容、証拠水準、慎重に見るべき点を読み取ってください。
| 手段 | 主な内容 | 検討上の注意 |
|---|---|---|
| 差止請求 | 営業秘密の使用、開示、第三者提供を止める請求です。 | 対象情報の特定、営業秘密性、使用または開示のおそれを具体化します。 |
| 損害賠償請求 | 顧客流出、売上減少、営業機会喪失、通知費用などを整理します。 | 損害額と因果関係の立証が課題になります。 |
| 信用回復措置 | 信用毀損がある場合に必要な措置を検討します。 | 顧客説明や公表内容との整合性を確認します。 |
| 刑事告訴 | 営業秘密侵害罪などが問題となる場合に検討します。 | 営業秘密性、故意、使用または開示、被害の重大性を慎重に整理します。 |
次の重要ポイントは、営業秘密侵害罪の罰則水準を表します。刑事対応は強力で影響が大きいため、証拠が足りるかを見極めることが重要です。数値から、社内外への説明責任が重い論点であることを読み取ってください。
営業秘密侵害罪では、十年以下の拘禁刑または二千万円以下の罰金、海外使用等では三千万円以下の罰金、法人の両罰規定では一定の場合に五億円以下、海外使用等では十億円以下の罰金が示されています。
裁判例からは、会社が後から重要情報だったと主張しても、平時に秘密表示、アクセス制限、配布管理、教育、誓約書、ログ管理がなければ、営業秘密としての保護が弱くなり得ることが読み取れます。発覚後の法的措置だけでなく、発覚前の情報管理体制が成否を左右します。
顧客リストに個人データが含まれる場合、漏えい等報告、本人通知、安全管理措置、従業者監督が問題になります。
法人顧客の会社名そのものは個人情報ではありませんが、法人の担当者名、直通連絡先、職位、商談メモ、購買履歴が個人に紐づく場合は個人情報となり得ます。個人情報データベース等を構成する個人データであれば、漏えい等報告や本人通知の要否を検討します。
次の一覧は、顧客リスト持ち出しで特に注意すべき個人データの流出場面を表します。外部流出の確定だけでなく、おそれの段階でも期限管理が必要になるため重要です。どの行為が速報判断に結び付きやすいかを読み取ってください。
顧客の個人データを添付し、会社管理外のメールボックスに送った場合です。
CRMからCSV出力し、個人アカウントのクラウドへ保存した場合です。
退職者が競合会社、転職先、第三者へ顧客データを提供した疑いがある場合です。
顧客情報を含む社用端末、USBメモリ、印刷物が返却されていない場合です。
通常業務で必要のない時間帯や範囲で個人データにアクセスした痕跡がある場合です。
第三者が閲覧できる状態のリンクが残っていた場合です。
次の表は、個人情報保護委員会への報告対象となる主な四類型を表します。全ての漏えい等が報告対象ではありませんが、顧客リストでは不正目的のおそれが特に問題になりやすいため重要です。各類型に当たる事情を読み取ってください。
| 類型 | 顧客リスト持ち出しでの確認点 |
|---|---|
| 要配慮個人情報 | 医療、ヘルスケア、介護、健康情報などが含まれるかを確認します。 |
| 財産的被害のおそれ | 金融、保険、与信、資産状況、詐欺被害につながる情報が含まれるかを確認します。 |
| 不正目的のおそれ | 退職前の大量ダウンロード、外部提供、売却、競合営業利用、不要なアクセス痕跡を確認します。 |
| 千人超の本人 | 対象人数が千人を超えるかを暫定把握します。 |
次の時系列は、報告対象になり得る場合の期限目安を表します。営業秘密の証拠固めに集中して個人情報保護法上の期限を見落とさないために重要です。速報と確報を分け、未確定事項は後で補充する前提で読むことが大切です。
事態を知った時点から速やかに、把握済みの事実をもとに報告要否を検討します。
原因、範囲、対応、再発防止策を整理して補充します。
従業者による不正持ち出しや第三者提供が疑われる類型では、確報期限の扱いを確認します。
次の判断の流れは、顧客リスト持ち出しを個人情報保護法上どう評価するかを表します。報告対象性、本人通知、契約上の通知義務を順番に確認するため重要です。分岐ごとに、技術的検証と法的評価を組み合わせる必要があることを読み取ってください。
担当者名、直通連絡先、購買履歴、問い合わせ履歴が個人に結び付くかを確認します。
検索できるデータベースやCRMなどで管理されているかを確認します。
外部送信、第三者提供、媒体未返却、外部共有リンク、不要アクセスを確認します。
四類型、速報期限、本人通知、問い合わせ窓口を整理します。
暗号化、アクセス制御、閲覧可能性、第三者提供の有無を確認します。
暗号化が有効で第三者が容易に内容を閲覧できない状態なら、報告を要しない場合があります。ただし、パスワード同封、ログイン状態、クラウド同期、平文メール送信、印刷物、スクリーンショット、第三者提供の認めがある場合は別の評価になります。
会社が「従業員が勝手に行った」と説明するだけでは不十分です。アクセス権限管理、持ち出し制限、教育、就業規則、秘密保持誓約書、退職時確認、ログ監視、委託先管理、内部監査など、安全管理措置と従業者監督が問われます。
懲戒、本人面談、私物端末、ログ保全は、事実認定とプライバシー配慮の両方から設計します。
懲戒解雇、諭旨解雇、出勤停止、降格、減給、譴責、退職金不支給などを検討する場合でも、就業規則上の根拠、事実認定、手続保障、処分の相当性が必要です。持ち出しが疑われるだけで直ちに重い処分を選ぶのはリスクがあります。
次の表は、懲戒や退職対応で確認すべき観点を表します。労務手続の不備は、会社側の対応そのものが紛争化する原因になるため重要です。事実、規程、相当性、弁明機会の関係を読み取ってください。
| 観点 | 確認事項 |
|---|---|
| 対象情報 | 何の顧客リストか、営業秘密や個人データに当たるかを確認します。 |
| 管理状況 | 秘密表示、アクセス制限、規程、教育、ログ、誓約書の有無を確認します。 |
| 行為態様 | ダウンロード、送信、印刷、撮影、転送、第三者提供を確認します。 |
| 本人事情 | 業務目的、誤操作、故意過失、返還意思、弁明内容を確認します。 |
| 処分の相当性 | 会社損害、外部提供、過去の教育、規程の明確性、類似事例との均衡を検討します。 |
本人面談は、事実確認と証拠確保に重要ですが、労務紛争の火種にもなります。威圧的な尋問、長時間拘束、退職強要、自白の強要、私物端末の無断閲覧、人格攻撃、脅迫的発言は避けます。複数名で実施し、議事録を作成し、本人の回答をできる限り正確に記録します。
次の一覧は、本人面談で確認する質問項目を表します。質問の抜け漏れがあると、返還削除、第三者提供、残存コピーの確認が不十分になるため重要です。項目の順番から、業務目的から保存先、第三者提供、協力意思へ広げる設計を読み取ってください。
業務上の必要性、ダウンロード、印刷、送信、保存の有無を確認します。
事実確認私用メール、私用クラウド、私物端末、USB、印刷物、バックアップの有無を確認します。
範囲限定転職先、競合会社、知人、顧客への提供や既存の顧客接触がないかを確認します。
被害拡大返還、削除、非使用、第三者不提供、保存先一覧、削除証明への協力意思を確認します。
合意形成私物端末や私用アカウントに顧客リストが送られている疑いがある場合、会社は一方的に私物スマートフォンを取り上げたり、私用メールボックスを閲覧したりする対応を避けます。任意協力を得る場合も、対象範囲、目的、期間、保存方法を明確にし、外部弁護士またはフォレンジック専門家の関与を検討します。
次の表は、証拠保全の対象と確認事項を表します。どのログがどの経路の証明に使えるかを把握することが重要です。対象ごとに、改ざんや上書きを避けながら何を保全するかを読み取ってください。
| 対象 | 確認すべき事項 |
|---|---|
| 社用PC | ファイル操作、USB接続、外部ストレージ同期、ブラウザ履歴、印刷履歴を確認します。 |
| 社用スマートフォン | メール、クラウドアプリ、ファイル保存、スクリーンショット、メッセージアプリを確認します。 |
| メール | 外部送信、添付ファイル、転送ルール、下書き、削除済み項目を確認します。 |
| CRM、SFA | ログイン、検索、閲覧、エクスポート、CSV出力、API利用を確認します。 |
| クラウドストレージ | 外部共有リンク、ダウンロード、同期端末、共有先を確認します。 |
| ID管理、VPN | ログイン元IP、認証時刻、多要素認証、異常ログイン、接続時間を確認します。 |
| EDR、DLP、プリンタ | 外部送信検知、USB利用、機密ファイル操作、印刷日時、ページ数を確認します。 |
| チャット、入退館、退職資料 | ファイル共有、外部ユーザー、深夜休日の出社、返却物リスト、誓約書を確認します。 |
ログ保存期間は、契約プランや設定によって異なります。監査ログが短期間で消える、詳細ログが上位プランでなければ取得できない、管理者が明示的にエクスポートしなければ保持されない場合があります。エクスポートファイルのハッシュ値、取得者、取得日時、取得条件も記録します。
返還削除合意、警告、仮処分、訴訟、刑事相談、顧客説明は、証拠の強さと被害拡大の危険に応じて選びます。
最も早い被害拡大防止策は、本人に対する返還、削除、非使用、第三者不提供の合意です。ただし、本人が既に転職先へ提供している、クラウド同期により複数端末に残っている、バックアップや印刷物が残っている可能性があるため、任意合意だけに依存しないことが重要です。
次の表は、法的措置と対外対応の選択肢を表します。強い手段ほど説明責任と副作用が大きくなるため重要です。各手段の目的と、実施前に確認すべき証拠水準を読み取ってください。
| 選択肢 | 目的 | 注意点 |
|---|---|---|
| 返還削除合意 | 対象情報の返還、削除、非使用、第三者不提供を確認します。 | 保存媒体、私用アカウント、バックアップ、印刷物、提供先まで列挙します。 |
| 内容証明郵便、警告書 | 本人や転職先に、使用停止、返還、削除、顧客接触停止を求めます。 | 証拠が弱い段階で断定すると、名誉毀損、信用毀損、採用妨害の反論を招き得ます。 |
| 仮処分 | 営業秘密の使用、開示を迅速に止めることを目指します。 | 対象情報、営業秘密性、侵害行為、保全の必要性を具体化します。 |
| 本案訴訟 | 損害賠償、差止め、信用回復措置を求めます。 | 顧客流出、売上減少、競合受注、営業機会喪失との因果関係を整理します。 |
| 刑事告訴、警察相談 | 営業秘密侵害、不正アクセスなどが問題となる場合に検討します。 | 証拠が未整理のままだと重大性が伝わりにくいため、外部弁護士と資料を整えます。 |
顧客への説明では、発生または発覚の経緯、対象情報項目、想定される影響、会社が講じた措置、問い合わせ窓口、二次被害防止策、今後の対応を整理します。調査中の事項を断定せず、法的責任追及よりも、顧客被害の予防、安心確保、透明性ある対応を優先します。
次の一覧は、顧客説明と公表判断で見るべき要素を表します。過度に攻撃的な説明は不安やレピュテーションリスクを拡大させるため重要です。どの情報を確定事実として出せるか、どの情報は調査中として扱うかを読み取ってください。
対象者を特定できるか、個別通知が可能か、通知内容に過不足がないかを確認します。
人数、要配慮個人情報、財産的被害のおそれ、業種規制を確認します。
第三者提供、競合利用、顧客接触、報道可能性を確認します。
取引先契約、委託契約、共同利用契約、上場会社の開示要否を確認します。
FAQ、本人確認方法、記録様式、エスカレーション基準を用意します。
顧客からは、自分の情報が含まれるのか、不審な営業が来た、削除してほしい、損害は補償されるのかといった問い合わせが生じます。窓口担当者が不用意に「元従業員が盗んだ」と断定しないよう、回答内容を統一します。
次の表は、典型的な発覚場面ごとの確認事項を表します。場面により必要な証拠、顧客説明、委託先対応が変わるため重要です。自社の事案がどの類型に近いかを見て、初動の確認順序を読み取ってください。
| 発覚場面 | 確認事項 | 対応の方向性 |
|---|---|---|
| 退職予定の営業担当者がCSV出力した場合 | 出力日時、対象件数、出力項目、端末、保存先、業務必要性、退職日、転職先、私用メール送信の有無を確認します。 | 個人データと不正目的のおそれがあれば速報期限を管理し、営業秘密性があれば返還削除や非使用誓約を検討します。 |
| 顧客から退職者の営業連絡を受けた場合 | 顧客からのメール、名刺、提案書、見積書、電話日時、訪問日時、会社しか知らない条件の有無を保全します。 | 調査中であること、二次被害防止策、問い合わせ先を説明し、退職者や転職先への警告は証拠の強さを確認してから検討します。 |
| 委託先の担当者が持ち出した場合 | 委託契約、個人情報取扱契約、再委託、アクセス権、ログ、委託先の報告内容を確認します。 | 委託元としての報告義務、本人通知、顧客対応を検討し、委託先へ証拠保全、調査協力、返還削除、監査を求めます。 |
| 元従業員が記憶に基づく営業だと説明する場合 | 退職前の大量ダウンロード、出力、私用メール送信、顧客接触順序、価格条件、転職先での登録履歴を確認します。 | 単なる記憶と会社データベース由来の情報利用を区別し、会社しか持たない情報が使われた証拠を重視します。 |
被害企業だけでなく、転職者を受け入れる企業、委託元、委託先、経営層にも管理責任が及び得ます。
転職者を受け入れる企業も、第三者の営業秘密や個人データを受け取るリスクを管理する必要があります。新入社員が前職の顧客リスト、価格表、提案書、営業マニュアル、見込み客リストを持ち込んだ場合、会社が認識しながら利用すれば、不正競争防止法上の責任や個人情報保護法上の問題が生じ得ます。
次の一覧は、受け入れ企業が採用時と入社時に講じる措置を表します。人材採用そのものと前職情報の不正利用を切り分けるため重要です。各項目から、持ち込み防止、隔離、利用停止の統制を読み取ってください。
前職の営業秘密、顧客リスト、個人データを持ち込まない旨の誓約を取得し、面接で顧客持参を誘導しない運用にします。
前職資料を会社端末、クラウド、CRMへアップロードしないよう説明し、発覚時は隔離して閲覧、利用、共有を止めます。
必要に応じて返還、削除、前職企業への連絡を検討し、営業部門が当該リストで顧客接触しないよう統制します。
委託先、派遣社員、業務委託者、販売代理店、システム保守会社、コールセンター委託先、外部営業代行会社による持ち出しでは、雇用契約だけでなく、業務委託契約、秘密保持契約、個人情報取扱契約、再委託管理、派遣契約、共同利用契約を確認します。
次の表は、委託契約に設けるべき条項を表します。委託先の説明だけに依存すると、報告義務や本人通知の整理が遅れるため重要です。条項ごとに、事故発生時に何を求められる状態にしておくかを読み取ってください。
| 条項 | 狙い |
|---|---|
| 目的外利用禁止、秘密保持義務 | 顧客情報を委託目的外で使わせない前提を明確にします。 |
| 再委託制限、アクセス権管理 | 誰が顧客リストに触れるかを統制します。 |
| ログ保存義務、事故発生時の即時報告義務 | 証拠保全と報告期限管理を可能にします。 |
| 調査協力、返還削除、監査権 | 発覚時に資料提出、削除確認、現地確認を求める根拠になります。 |
| 損害賠償 | 通知費用、調査費用、顧客対応費用などの負担を整理します。 |
次の比較表は、業種ごとに顧客リスト持ち出しで注意する情報の性質を表します。業種により、財産的被害、要配慮個人情報、業法上の報告、技術秘密の重みが変わるため重要です。自社の業種ではどの項目を優先確認すべきかを読み取ってください。
| 業種 | 注意点 |
|---|---|
| 金融、保険 | 資産状況、保険契約、投資意向、与信、本人確認情報により、財産的被害や業法上の報告が問題になります。 |
| 医療、ヘルスケア | 患者情報、診療情報、検査結果、服薬情報、介護情報が含まれると、要配慮個人情報の評価が重要になります。 |
| 人材、教育 | 求職者、登録者、生徒、保護者、職歴、給与希望、成績、評価が営業秘密と個人データの双方で問題になります。 |
| BtoB製造業、商社 | 担当者名、購買履歴、価格条件、発注予定、仕様情報、技術相談が営業秘密性と個人情報該当性の検討対象になります。 |
| IT、SaaS | API、CSVエクスポート、外部連携、管理者権限、監査ログ保存、退職者アカウント停止が重要になります。 |
重大な事案では、取締役会、監査役、監査等委員、社外取締役への報告が必要となることがあります。対象人数が多い場合、上場会社の場合、主要顧客に影響する場合、当局報告が必要な場合、訴訟や刑事告訴を検討する場合、役員または管理職が関与する場合、内部統制不備が重大な場合は、経営レベルでの判断が不可欠です。
次の一覧は、経営層に上げる意思決定事項を表します。技術的詳細だけでは投資や対外方針を決められないため重要です。経営判断として承認すべき項目を読み取ってください。
アクセス停止、顧客接触防止、法的措置、外部専門家の起用を承認します。
顧客、当局、取引先への通知、本人通知、公表の要否を判断します。
懲戒処分、本人または転職先への通知、仮処分、刑事相談の方向性を決めます。
ログ保存、DLP、権限管理、内部監査、教育、規程改訂への投資を判断します。
発覚後の強硬な通知より、平時の分類、権限、ログ、退職時管理、監査が保護の土台になります。
顧客リストを守る第一歩は、どの情報が重要かを会社が把握することです。抽象的な注意喚起ではなく、対象情報を棚卸し、分類し、管理責任者を置く必要があります。
次の表は、情報資産の分類例と管理水準を表します。全ての情報を同じ強さで管理すると運用が破綻し、重要情報の保護も弱くなるため重要です。分類ごとに、アクセス制限やログ監視の強さを読み取ってください。
| 分類 | 例 | 管理水準 |
|---|---|---|
| 最重要営業秘密 | 主要顧客リスト、価格条件、更新時期、顧客ランク、未公表商談 | 厳格なアクセス制限、ログ監視、持ち出し原則禁止にします。 |
| 重要情報 | 見込み客一覧、提案書、営業マニュアル、販売計画 | 部門単位のアクセス制限、承認制の出力にします。 |
| 通常業務情報 | 公開済み取引先名、一般的な営業資料 | 通常管理を行います。 |
| 公開情報 | ウェブサイト掲載情報、公開パンフレット | 公開管理として扱います。 |
次の一覧は、秘密管理性を支える平時措置を表します。発覚後の法的主張は、平時の管理証拠に左右されるため重要です。どの措置が秘密表示、権限、出力制限、教育、誓約書に対応するかを読み取ってください。
ファイル名、画面、帳票、CSV出力に秘密、社外秘、顧客リストなどの表示をします。
CRMやファイルサーバのアクセス権を職務別に制限し、退職予定者や異動者の権限を見直します。
CSV出力、大量ダウンロード、印刷、外部共有、USB利用を承認制または制限対象にします。
アクセスログ、出力ログ、ダウンロードログ、印刷ログを保存し、内部監査で点検します。
入社時、異動時、退職時の秘密保持誓約と、顧客リストの具体例を示す教育を行います。
懲戒、損害賠償、差止め、刑事告訴の可能性を規程と研修で周知します。
技術的対策は、法的主張を支える証拠にもなります。多要素認証、最小権限、エクスポート制限、異常検知、DLP、EDR、MDM、USB制御、透かし、クラウド共有リンクの期限設定、APIトークン棚卸し、ログ保存期間の延長、退職前後の異常行動検知などを、業務影響と費用に応じて組み合わせます。
次の時系列は、退職時管理で確認する順番を表します。退職者を一律に疑うのではなく、リスクベースで権限と返却を確認するため重要です。退職前、退職時、退職後のどこで証跡を残すかを読み取ってください。
顧客リスト、価格情報、提案書、開発情報への権限を棚卸しし、退職日まで本当に必要な権限だけを残します。
秘密保持義務、顧客情報の返還削除、私用端末や私用クラウドへの保存禁止、転職先への提供禁止を書面で確認します。
退職者から営業を受けた、会社しか知らない条件を競合が知っている、といった連絡はメール、通話記録、提案書、訪問記録として保全します。
競業避止義務と顧客リスト持ち出しは区別します。退職者が競合会社に転職すること自体は直ちに違法ではありません。一方、前職の営業秘密を持ち出して利用すること、個人データを不正に第三者提供すること、在職中に顧客を引き抜く準備として会社情報を不正利用することは、別途違法または契約違反となり得ます。
次の表は、中小企業でも最低限整えられる平時対策と発覚時の相談先を表します。専任の法務、情報セキュリティ、個人情報保護、内部監査がいない場合でも初動の遅れを防ぐため重要です。自社で先に決めておく項目と、外部へ早期相談する場面を読み取ってください。
| 場面 | 最低限の対応 |
|---|---|
| 平時の管理 | 顧客リストの保存場所を一元化し、アクセスできる従業員を限定し、ExcelやCSVにはパスワードを設定し、保存場所を限定します。 |
| 利用制限 | 私用メール、私用クラウドへの送信を禁止し、ダウンロード、印刷、外部送信の履歴を可能な範囲で残します。 |
| 退職時手続 | データ、紙、名刺、端末、外部記録媒体を返却させ、秘密保持誓約書を入社時と退職時に取得します。 |
| 教育と規程 | 服務規律に顧客情報の持ち出し禁止を明記し、顧客情報を扱う従業員へ年一回以上の教育を行います。 |
| 発覚時の相談先 | 顧問弁護士、個人情報保護に詳しい弁護士、社会保険労務士、ITベンダー、デジタルフォレンジック会社、サイバー保険窓口、INPIT営業秘密支援窓口を事前に確認します。 |
次の表は、再発防止策の優先順位を表します。研修だけで終わらせず、制度、技術、人、監査を組み合わせるため重要です。短期、中期、長期のどこから着手するかを読み取ってください。
| 期間 | 施策例 |
|---|---|
| 短期 | アカウント棚卸し、退職者権限見直し、外部共有停止、誓約書改訂、緊急研修を行います。 |
| 中期 | CRM出力承認制、DLP導入、ログ保存延長、秘密情報分類、退職時チェックリスト整備を行います。 |
| 長期 | ゼロトラスト設計、内部不正監視、定期監査、情報管理KPI、経営報告制度を整えます。 |
評価表、個人情報の判断順序、調査報告書、文書雛形、専門家の役割を確認します。
次の表は、顧客リスト持ち出し事案の初期分析に使う評価項目を表します。事実認定と法的評価を同じ表で見ることで、対応漏れを防ぐため重要です。評価項目ごとに、確認事項と法的意味の対応関係を読み取ってください。
| 評価項目 | 確認事項 | 法的意味 |
|---|---|---|
| 対象情報 | 顧客名、担当者、連絡先、購買履歴、価格、商談メモ | 営業秘密性、個人データ該当性に関係します。 |
| 管理状況 | アクセス制限、秘密表示、規程、教育、ログ | 秘密管理性、安全管理措置に関係します。 |
| 行為者と時期 | 在職者、退職者、派遣、委託先、退職前、深夜休日 | 労務、委託先管理、不正目的の推認に関係します。 |
| 行為態様と保存先 | ダウンロード、送信、印刷、撮影、私用メール、USB、私物端末 | 持ち出し経路、漏えい等、削除確認に関係します。 |
| 外部提供と使用 | 転職先、競合、顧客接触、営業提案、受注、勧誘 | 差止め、損害、因果関係、個人情報報告に関係します。 |
| 被害と本人説明 | 売上減、顧客流出、信用低下、業務目的、誤操作、返還意思 | 損害賠償、懲戒相当性、証拠評価に関係します。 |
次の一覧は、社内調査報告書に入れる項目を表します。経営判断、懲戒、当局報告、顧客説明、訴訟対応に使われるため重要です。確定事実、推認事実、未確認事項を分けて書く必要があることを読み取ってください。
何を調べ、誰が調べ、どの時点で何を把握したかを明確にします。
行為者、関係者、持ち出し経路、外部提供または使用の有無を整理します。
既に実施した措置、今後の措置、再発防止策、添付資料をまとめます。
次の表は、発覚当日、本人対応、法的措置、再発防止の確認事項を表します。実務でチェック漏れが起きやすい項目を一画面で把握するため重要です。どの段階で誰が確認するかを読み取ってください。
| 場面 | 確認事項 |
|---|---|
| 発覚当日 | 責任者、情報共有範囲、端末とログ保全、アクセス権、外部共有、対象人数、個人データ該当性、速報期限、営業秘密性、外部専門家の要否を確認します。 |
| 本人対応 | 就業規則、誓約書、面談参加者、記録方法、返還削除、私物端末確認の任意性、弁明機会、懲戒相当性を確認します。 |
| 法的措置 | 対象情報の特定、秘密管理性、持ち出し経路、使用または開示のおそれ、損害、転職先通知、仮処分、刑事告訴の証拠水準を確認します。 |
| 再発防止 | 顧客リスト分類、アクセス権、CSV出力、印刷、外部共有、ログ保存、退職時手続、誓約書、教育、内部監査、委託先管理、経営報告を確認します。 |
次の一覧は、文書雛形に入れる事項を表します。文書の目的を明確にしないと、返還削除の確認不足や転職先への過度な断定につながるため重要です。どの文書で何を特定し、どの表現を慎重に扱うかを読み取ってください。
対象情報、保存媒体、返還または削除、複製やバックアップの非保持、第三者提供の有無、今後の非使用、調査協力を入れます。
本人対応客観的事実、持ち出しが疑われる事情、対象情報の性質、受領や使用の停止要請、隔離、返還削除、期限、権利留保を入れます。
断定注意発覚日、概要、対象情報項目、外部利用の確認状況、注意事項、実施措置、再発防止策、問い合わせ窓口、追加連絡の有無を入れます。
説明責任次の表は、専門家と社内担当の役割分担を表します。縦割りで動くと、報告期限、懲戒、証拠、顧客影響の全体最適を失うため重要です。どの担当がどの判断を支えるかを読み取ってください。
| 専門家、担当者 | 役割 |
|---|---|
| 外部弁護士 | 法的評価、仮処分、訴訟、刑事告訴、本人や転職先への通知を支援します。 |
| 企業内弁護士、法務担当 | 社内調整、証拠保全方針、契約、規程、経営報告を担います。 |
| 個人情報保護担当 | 漏えい等報告、本人通知、当局対応、プライバシー影響評価を担います。 |
| 人事、労務担当 | 懲戒、面談、退職手続、就業規則、弁明機会を整えます。 |
| 情報システム担当 | ログ保全、アクセス遮断、端末回収、技術対策を担います。 |
| デジタルフォレンジック専門家 | 証拠保全、解析、レポート、証拠同一性の確保を支援します。 |
| 内部監査、コンプライアンス担当 | 管理不備の点検、規程、教育、通報制度、再発防止を担います。 |
| 経営層 | 重大対応方針、対外公表、法的措置、再発防止投資を判断します。 |
顧客リスト、アクセス権、報告期限、私物端末、技術対策について一般的な考え方を整理します。
一般的には、顧客リストであっても、秘密管理性、有用性、非公知性を満たすかによって評価が変わります。秘密表示がなく、誰でもアクセスでき、出力も自由で、教育や誓約書がない場合は、秘密管理性が争われる可能性があります。具体的な見通しは、管理状況と証拠を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、業務上のアクセス権があることと、退職後の競業や転職先利用のために持ち出すことは別に評価されます。アクセス権限は会社業務のための権限であり、自己または第三者の利益のために会社情報を利用できるとは限りません。個別の評価は、利用目的、出力範囲、社内規程、証拠関係によって変わります。
一般的には、報告対象となる事案では速報と確報が分かれており、全容解明を待つ運用は期限管理上のリスクがあります。把握済みの事実で速報し、調査後に確報で補う考え方が示されています。ただし、報告対象性や本人通知の要否は事案ごとに変わるため、プライバシー担当と専門家が確認する必要があります。
一般的には、会社が一方的に私物端末を取り上げたり、私用アカウントを閲覧したりする対応は、プライバシーや労務上の問題を生じさせる可能性があります。任意協力を得る場合も、目的、対象範囲、期間、保存方法を明確にする必要があります。具体的な対応は、証拠関係と就業規則を確認したうえで専門家へ相談する必要があります。
一般的には、技術対策は重要ですが、それだけで十分とは限りません。営業秘密性を支えるには、規程、教育、誓約書、退職時手続、ログ保存、内部監査、経営関与を組み合わせることが必要になります。自社に合う水準は、扱う顧客情報の性質、業種、従業員数、システム構成によって変わります。
制度や実務上の判断を確認するための公的資料、一次情報、実務資料です。