「企業が従業員の電子メールをモニタリング(監視)する際には,『企業秩序の維持』と『従業員のプライバシ』が衝突する。モニタリングの実施にあたっては,事前にポリシーを規定し,従業員に周知させることが重要だ」――。9月13日,クリアスウィフトが主催したセミナーで,京総合法律事務所の東澤紀子弁護士は,メールが企業にもたらす法的リスクについて講演した。講演要旨は以下の通り。
プライバシの侵害にはあたらない
企業におけるメールの法的リスクとしては,企業ネットワークを流れるメールのモニタリングで発生する「対従業員」のものと,取引相手や顧客の情報が漏えいすることで発生する「対第三者」が考えられる。「対従業員」の訴訟については,2件ほど判例が出ている。いずれも,従業員のプライバシ権の侵害にはあたらないという判決だった。
1件は,ある企業の事業部長が,特定の部下のメールをモニタリングしていた事件だった。メールのパスワードが推定しやすいものだったため,当初は自ら,パスワードが変更された後は情報システム部に依頼してモニタリングしていた。同社では私用メールの禁止規定は存在せず,またモニタリングを始めたきっかけが事業部長の個人的な理由であったものの,プライバシ権を侵害していないとの判断になった。
もう1件は,社内に流れた中傷メールの送信者である疑いがあった従業員の私用メールを,サーバーから抜き出し,調査にあたった従業員が印刷および閲覧した事件である。疑うに相当する理由があったこと,私用メールは職務専念義務違反であることなどから,こちらもプライバシ権を侵害していないと判断された。
判例を見る限りでは,裁判所は従業員のメールのモニタリングに関して寛容なようだ。しかし,合理的な判断が数多く含まれるものの,これらの判決には疑問が残る点もある。いずれも地方裁判所の判断だったので,もし控訴した場合には,高等裁判所ではどういった判決になるかは分からない
そのため,このような判例があっても,企業でモニタリングを実施する場合には注意が必要である。実施する際には,メールの使用に関するポリシーを規定し,従業員に周知させることが肝要である。そして,フィルタリング・ソフトなどを導入し,できるだけ機械的にモニタリングや管理を行うことが望ましい。訴訟に備えて,メールの保存も必要だ。
予防の実施が不可欠
企業から送信されたメールによって,第三者に損害が生じた場合には,損害賠償の責任が発生する可能性がある。こちらについては判例がないので,一般原則に立ち返って考える必要がある。具体的には,第三者と契約関係にある場合には,契約内容で決まる。契約上明確な規定がない場合には,社会通念に従う。第三者が契約当事者でない場合には,不法行為責任を負うかが問題となるだろう。
過失の有無の判断には,“業界標準”に沿ったリスク管理を行っているかどうかが論点となる。損害を予防するために相応の対策を施していれば,第三者に損害を被らせても故意過失がないと考えられるからだ。
そこで企業としては,第三者の権利侵害を防止すべく,情報セキュリティ管理を適切に講じる必要がある。“業界標準”としては,「ISO/IEC 17799(JIS X5080)」や,警察庁の「情報システム安全対策指針」,経済産業省の「コンピュータ不正アクセス対策基準」や「コンピュータウイルス対策基準」などが挙げられる。
(勝村 幸博=IT Pro)
