テレビCM
SKYPCEコラム
これまで、名刺の管理は従業員に任せてきた企業が多いと思います。しかし、そもそも業務で使用する名刺の管理主体が誰なのか、従業員が無料の名刺管理サービスを利用することに問題はないのか等、そこにはさまざまな問題が存在します。そこで、企業が名刺情報を管理していく上で気をつけるべきことについて、弁護士の福本 洋一氏に法的な観点から解説いただきます。
福本 洋一 氏
弁護士・公認システム監査人
99年同志社大学法学部法律学科卒業。03年弁護士登録。弁護士法人第一法律事務所・パートナー弁護士。主な取扱い分野はIT、情報管理、知的財産など。著書『「個人データ」ビジネス利用の極意』(商事法務)、『テレワーク環境における情報管理の留意点』(Business Law Journal 2020年12月号)ほか。
業務において従業員が顧客や取引先等と名刺を交換することはよくありますが、従業員が入手してきた顧客等の名刺情報(顧客情報)は企業のものなのでしょうか、それとも従業員個人のものなのでしょうか。
そもそも、名刺に含まれる「情報」としての特性は、建物などとは違い具体的な形のない「無体物」であるため複製が容易で、複数の者が同時に利用したり、複数の媒体に同時に存在し得ることにあります。それゆえに「情報」はどれだけ消費してもなくならないものであるため(消費の非排他性)、原則として、特定の者に独占させるよりも社会において広く利用される方が有益と考えられています。また、民法においては、所有権の対象は「有体物」に限定されているため(民法85条参照)、「情報」は理論的にも特定の主体の所有(排他的支配)の対象にはならないと理解されています。《解説1》
解説1
名刺は、そこに記載された顧客等の連絡先情報が重要なのであって、従業員から名刺の返還を受けてもそのコピーが存在していれば意味はなく、紙媒体(有体物)としての名刺の所有権が企業に帰属することが重要なのではない。なお、技術的価値のある情報等は、知的財産権(特許権等)として一定の要件の下で保護され得る。
従って、冒頭の疑問についての答えは、法的には会社のものでも従業員個人のものでもなく、会社も従業員個人も自由に無料で利用できるのが原則となります。ただし、個人情報であるため、個人情報保護法による規制を遵守する必要はあります。
裁判例においても、「名刺は、第三者に手交するためのものであり、そこに記載されている情報は、氏名、企業名、所属部署、役職、電話番号など、秘密性のないものである」(東京地判令和2年10月28日など)と評価されています。顧客情報については「営業秘密」として適切に情報管理を実施しなければ、法的に保護されない(企業に属する情報として囲い込むことはできない)と理解されます。
上記のような「情報」の帰属に関する法的な整理を明確に理解していない企業でも、顧客等の名刺情報を、従業員が無断で業務外において利用したり、転職時に競業先へ渡すことのないよう対策していると思います。具体的には、就業規則その他の社内規程または入社時の秘密保持誓約書等で、「業務中に取得した情報については企業に帰属する」旨を定めたり、退職時に当該従業員が保有する名刺の返還や顧客情報の削除の要求と、顧客情報の不保持等を表明した誓約書を取得することが多いと思われます。
先に紹介した裁判例を見ても、名刺情報としての顧客情報は、企業が従業員に対して「営業秘密」だと認識させて情報管理することで保護されるものです。企業としては、それらの管理を怠るとその「情報」は法的に保護されなくなることを十分に認識する必要があります。
実際に顧客情報を巡って裁判等で紛争になるのは、退職した役員や従業員が顧客名簿を持ち出し、独立または競業他社に就職して営業活動に利用するような事例が多いところです。このような事例においては、企業における顧客情報の管理に関し、「営業秘密」として保護されるための「秘密管理性」《解説2》の要件を充足しているかを巡って争われます。ICTが普及した現代においては、従業員が名刺を受領してきた場合に、紙の名刺のまま利用することはまれで、通常は顧客管理システム等を用いて管理されるはずです。裁判例等においても、顧客情報の営業秘密性の判断に大きな影響を及ぼすのは、主に以下の2点になります。
ベネッセ顧客情報漏えい事件(東京高判平成29.3.21高等裁判所刑事判例集70巻1号10頁)では、「不正競争防止法2条6項が保護されるべき営業秘密に秘密管理性を要件とした趣旨は、営業秘密として保護の対象となる情報とそうでない情報とが明確に区別されていなければ、事業者が保有する情報に接した者にとって、当該情報を使用等することが許されるか否かを予測することが困難となり、その結果、情報の自由な利用を阻害することになるからである。そうすると、当該情報が秘密として管理されているというためには、当該情報に関して、その保有者が主観的に秘密にしておく意思を有しているだけでなく、当該情報にアクセスした従業員や外部者に、当該情報が秘密であることが十分に認識できるようにされていることが重要であり、そのためには、当該情報にアクセスできる者を制限するなど、保有者が当該情報を合理的な方法で管理していることが必要とされるのである。」と判示している。
逆にいえば、単に就業規則や誓約書で従業員の義務を定めただけでは、顧客情報が営業秘密として「当然に保護されるわけではない」ということです。図1
顧客名簿が競争力や収益の源泉となる企業においては、顧客情報がどのような情報システムに登録され、どの従業員にアクセス権限が付与されているのかについて、定期的に棚卸を行って確認することが重要になります。上場企業等であっても、退職した従業員のアクセス権限が数年にわたって抹消されずに放置されているような事例も存在するため、権限抹消を忘れない仕組みの構築が重要です。
一般的に、従業員が取得してきた名刺情報は、企業の顧客管理システム等に入力されますが、この登録作業が従業員の業務負荷や事務コストになっていることが多いと思われます。近年、このような名刺情報の登録にかかる事務負荷を軽減したい企業のニーズに応えるサービスとして普及しているのが、名刺管理サービスです。サービスの利用者がスマートフォンのカメラや専用スキャナーを利用して名刺の画像データを作成し、アプリ等でサービス提供事業者が管理するクラウドサーバーにアップロードします。サービス提供事業者は、文字認識するOCR技術で画像をテキスト化して名刺の登録作業を代行します。
従業員にとっては、手間のかかる名刺の登録作業を代行してもらえ、データがクラウドサーバー上にあることで時間や場所に拘束されず簡単に顧客情報を確認できるという点で便利なサービスだと思われます。一方、企業にとっては、大量の顧客情報を社外のクラウドサーバー上で管理することになるため、クラウドサーバーや通信経路の安全性やアクセス認証機能の適切性等の観点からの検証が必要となります。 図2
また、名刺管理サービスとしての付加価値をさらに高めるために、従業員が取得してきた名刺情報をクラウド上で複数の従業員と共有できるものもあります。顧客情報を営業で有効活用するには便利なサービスですが、利用する場合には「営業秘密」として保護されるための秘密管理性の要件を充足する運用を検討することが必要となります。具体的には、適切なアクセス制限の観点から、従業員間においてどの範囲で顧客情報の共有を認めるべきかについての検討が求められます。営業上の要請や利便性が強調されて過度な顧客情報の共有が行われると、従業員なら誰でもアクセスできるようになり、その結果として顧客情報自体の秘密管理性が否定され、そもそも営業秘密としての保護を受けられなくなるという本末転倒な事態を招く恐れがあります。
さらに、名刺情報は顧客の個人情報としての側面も有しているため、情報の過度な共有・拡散は、個人データの漏洩等の事故を引き起こす恐れを高めるという観点から検討することも必要です。
名刺管理サービスの中には、無料で名刺情報の登録を代行したり、機械(OCRツール)による誤認識情報を人が訂正入力するようなものもあります。無料で手軽に始められることから、従業員が名刺の登録作業の手間を省くために、会社の許可を得ることなく無断で利用してしまっているような例も多く見られます。
これらの無料サービスの利用にあたっては、なぜそのような面倒でコストのかかる作業を無料で提供しているのかを考えなければなりません。すなわち、サービス提供事業者にとっては、その手間やコストを負担しても、それ以上のメリットが得られるということです。これには、いわゆるプラットフォーム・ビジネスが深く関係してきます。図3
プラットフォーマーは、一般的に短期間に大量のユーザーを集めるために無料でサービスを提供したり、多額のポイント等を付与したりします。その上で、そのようなユーザー層をターゲットとする事業者向けに、プラットフォーム(アプリやWebサイト等)を通じてユーザーに有料広告等を配信できるサービスを提供することで、ユーザーではなく事業者から収益を得ています。GoogleやFacebook等のサービスを想像するとわかりやすいのではないでしょうか。
名刺入力を無料で代行するサービス提供事業者の目的は、ユーザーに名刺の登録代行やアドレス帳機能を提供することではなく、名刺を通じたユーザーの人的なつながり(ネットワーク)の活用にあると思われます。プラットフォーム上でユーザーから名刺交換をした相手にも名刺管理サービスの利用を促してもらう仕組みを構築することでユーザーを拡大できます。そして、名刺管理サービスを利用するユーザーの所属企業や業界等の属性情報を基にして、ユーザーに広告や転職情報等を配信できる有料サービスを企業向けに提供しているわけです。プラットフォーム上で、ユーザー間でのコミュニケーション機能等を提供するのも、頻繁に利用するアクティブなユーザー数を増やして広告等の配信価値を高めることにつながっている点は、ユーザー側にはあまり意識されていないかもしれません。
このような無料の名刺管理サービスは、名刺管理のための企業向けのサービスというよりも、名刺という手段を媒介とした、企業の従業員をユーザーとするSNSの一つであるといえます。
企業の従業員が個人アカウントを用いて、顧客や取引先の担当者とSNSでつながったり、SNSのメッセージ通信機能を社外との業務上のコミュニケーション等に利用したりしているのを見かけますが、これを黙認または放置している企業も多いようです。
このような無料の名刺管理サービスを含めて、従業員のSNSの個人アカウントを用いて顧客等とつながり、また業務上のやりとりがSNS上に保存されている点には注意すべきでしょう。従業員のSNSの個人アカウントで管理される顧客情報は、企業の情報なのか従業員個人の情報なのか、企業と従業員の間で明確な意識のないまま放置され、データとしては拡大し続けています。従業員によるSNSを含めたプラットフォームを利用した顧客情報の拡散は、企業にとって重要な問題のはずですが、あまり問題意識を持たれていないように思われます。図4
最近では、ソーシャルメディアポリシーを策定して、業務におけるSNSの利用のあり方を検討する企業は増えてきていますが、その手軽さゆえに、業務上の簡易な連絡等に従業員のSNSの個人アカウントを利用する流れを止めることは難しい状況です。仮に退職者のSNSの個人アカウントから、すべての顧客情報を抹消させても、SNSで再度つながることは容易であるため、現実的には実効性が乏しいと思われます。巨大なSNSの社会インフラ化が進むことで、SNS利用の規制はますます難しくなってきています。
企業としては、情報管理という観点から適切に従業員による業務上のSNS等の利用を管理しなければなりません。「営業秘密」としての顧客情報に対しては、従業員が安易に無料のSNSや外部サービスを業務で利用しないように、従業員のニーズを踏まえた適切なSNSや名刺管理サービス等の外部サービスを企業側で選択して提供する必要があります。さらに、そのサービスにおける利用状況やアクセス制限の管理も求められます。
名刺情報は、一般的に顧客等の担当者の氏名等が含まれているため、個人情報に該当します。無料の名刺管理サービスを利用して、顧客等の名刺画像をアップロードする場合、一般的な名刺管理サービスのプライバシーポリシーによれば、サービス提供事業者は、委託に基づいて提供を受けたものとして取扱うことになっています。従って、名刺管理サービスを利用するにあたって、当該名刺を交付した顧客等の担当者から、第三者提供の同意を取得する必要はないと思われます。
しかしながら、従業員が会社の許可なく名刺管理サービスを利用しているような場合には、企業として当該名刺管理サービスの提供事業者に個人データの取扱いを委託して監督しているとはいえないため、企業としての顧客等の個人データの安全管理措置に不備があると言わざるを得ません。
また、企業が従業員に対し、特定の名刺管理サービスの利用を許可した場合であっても、当該名刺管理サービスの利用規約において、サービスの利用主体はWebサイトやアプリを通じて利用申し込みをした従業員個人とされている場合には、企業は当該名刺管理サービスの委託主体とはいえなくなります。企業は、当該サービスにおいて、従業員による当該サービスの利用状況や登録されている顧客情報を直接的に確認把握する権限も地位もないということです。この場合も、企業としての個人データの安全管理措置に不備があるということになります。
従って、顧客情報の個人データとしての側面に着目した場合には、企業が自ら名刺管理サービスの契約主体となって、当該サービスを従業員に利用させ、かつ当該システムにおける利用状況についても責任を持って管理・監督できるサービスを選択する必要があります。図5
企業は、個人データの取扱いを委託する場合には、委託先に対する監督として、適切な委託先の選定、委託契約の締結、委託先における個人データ取扱状況の把握等が求められます。また、名刺管理サービス等の外部サービスを利用する場合には、サービス提供事業者が定めるサービス利用規約等に基づいて契約を締結することになるため、サービス利用規約等における個人情報の利用目的や安全管理措置等の内容を確認して評価しなければなりません。
企業が名刺管理サービスに対して、どのような機能を求めるのかによって、求めるべき安全管理措置等の内容も変わります。例えば、名刺の登録作業を代行する外部サービスを利用するだけであれば、利用目的は委託業務の履行(登録業務及び成果物の提供)に限られているかを確認し、当該サービス提供事業者との間のデータ移送における安全性や登録作業が実施される環境等を確認する必要があるでしょう。
他方で、クラウドサービスとして提供される名刺管理サービスに名刺を登録された顧客等も自身がユーザーとなることができるSNSサービスに対しては、従業員と顧客等との間において当該サービス上でコミュニケーションが可能です。そもそも、そのような名刺管理サービスを利用する場合、当該サービスにおける顧客等の担当者の個人情報が、自社が提供したデータであるか、顧客等が自ら提供したデータであるかの区別は判然としません。さらに、ユーザーから提供された名刺画像によって登録された顧客情報を、当該顧客本人がユーザーとして登録した本人情報と照合して、最新の名刺情報と異なる場合には、自動的に最新の内容に書き換えるサービスもあります。この場合、書き換えられた情報は、当該企業側からの委託に基づいて提供された個人データなのか、それとも本人から提供された個人データなのか区別できないように思われます。当該サービスにおいて個人データの漏洩事故が起きた場合に、当該企業が委託していた個人データの漏洩なのかどうかの判断もできなくなる恐れもあります。
企業としては、自社が取扱いを委託した個人データに対して責任を持てるように、外部サービスを選択する際には、サービス内において企業側の委託に係る個人データを区別できるかを確認しておくことも必要です。また、委託によって自社から提供した個人データがどのようなデータフローに基づいて取扱われるのか、さらにその責任範囲はどこまでなのかを理解した上で、サービス選択を行うことも重要となります。
以上のとおり、さまざまなプラットフォームの普及に伴い、企業の保有する顧客情報は、企業が顧客管理システムやデータ管理台帳等によって把握している範囲を超えて、従業員が利用しているSNSやプラットフォームに拡散しています。従業員としては、単に名刺情報を自分で管理しているだけという認識であっても、企業にとっては「営業秘密」として保護されない状態になっているかもしれません。
ポストコロナ時代においては、ますますオンラインによるコミュニケーションは活発化します。プラットフォームにおいて、従業員と顧客等との業務上のコミュニケーションや企業の顧客情報等が蓄積・保存され、プラットフォーマーのサービス拡大のために活用されていく流れは加速していくばかりです。
企業においては、単に顧客名簿のデータベースとして保管されている顧客情報だけではなく、名刺管理サービスにおいて利用される顧客情報の拡散のリスクも意識して、営業秘密及び個人情報の管理態勢を構築していくことが求められていると思います。
(「SKYPCE NEWS vol.2」 2022年5月掲載)
名刺管理のSKYPCEについて詳しくはこちらから
