AIベンチャー企業の私用メール閲覧、法的リスクと上場影響は？

Question

上場準備中のAIベンチャー企業におけるコンプライアンス上の問題について質問です。

当社では、一部社員が会社支給PCを用いて個人のGmailやYahoo!メールを利用しています。

その際、システム管理者がブラウザのオートログイン状態を利用し、本人の同意なく私用メールの内容を検索・閲覧していたとの話があります。閲覧目的は、会社に対する批判や内部情報の流出がないかを確認することだったようです。

実際に、
問題社員をそれで、
解雇に追い込んでおります。

このような行為は、日本の法令（不正アクセス禁止法、プライバシー権、個人情報保護法、労働法など）の観点から、どのような法的リスクがありますか。

また、仮に事実であった場合、

1. 刑事上の問題となる可能性はあるか
2. 民事上の損害賠償責任は生じ得るか
3. 上場準備企業のガバナンス・コンプライアンス上、どの程度重大な問題と評価されるか
4. 監査法人や証券会社の引受審査、あるいは証券取引所の上場審査に影響する可能性はあるか

を教えてください。

佐藤 宏和 弁護士 · Accepted Answer

類似の状況で会社が取得したデータを利用して取締役を解任した事案で、取締役側の代理人として不法行為に基づく訴え提起をした経験があります。訴訟全体では取締役側が勝訴しましたが、この争点に関しては主張が退けられました。

この場で詳しい説明をすることはできませんが、この種の事案で、必ずしもすべての裁判官が社内ネットワークとクラウドシステムの違いを正確に理解しているとは限らず、ましてや例えばアップル製品のセキュリティの仕組みを専門家が報告書で説明しても、不正ログインの証拠が十分にない限り、裁判所は「証明するには至っていない」という理由で主張を退けることがあります。

要するに、不法行為を主張する側が、相手方に不正があったと裁判官が認める程度の証明が必要で、証拠が十分に揃わず、証明が足りていないと評価されれば主張は退けられます。これは証明責任という訴訟上のルールで、そのハードルは低くないということです。刑事であればさらにハードルは高くなります。

IT分野のように高度に技術的な争点では、証明責任という裁判独特の問題が生じます。当事者が専門的にあれこれ考えても、裁判独特のルールであっさり片付いてしまうことも珍しくありません。したがって一般的に捉えることは難しく、個別具体的な事案に応じて検討するしかないでしょう。

他方、会社側のリスクという観点で見るなら、法的な観点を踏まえて、裁判所が認定しやすいような結論を意識して、アクセス管理やデータ管理の方法を検討するべきでしょう。なお、上場審査という観点では個別具体論に立ち入らずに保守的に見られるので、裁判所以上に、第三者が見て容易に受け入れ可能な結論を導けるよう、アクセス管理やデータ管理の方策が求められると思います。