【事件解説】NTT西日本系列会社情報漏えい事件で、実行犯が不正競争防止法違反で逮捕・起訴

2024年2月27日
個人情報・プライバシー分野チーム
弁護士　森田岳人

事件の経緯

西日本電信電話株式会社（NTT西日本）の１００％子会社である株式会社 NTT マーケティングアクト ProCX（ProCX 社）及び NTT ビジネスソリューションズ株式会社（BS社）における大規模な個人データの情報漏えい事件で、2024年1月31日、ついに実行犯が不正競争防止法違反の被疑事実で逮捕されました。実行犯は、派遣会社からBS社に派遣されていた人物（X）です。
その後、Xは、2024年2月21日に不正競争防止法違反（営業秘密の領得、開示）で起訴されました。

当社に派遣されていた元派遣社員の逮捕について｜ニュースリリース｜ＮＴＴビジネスソリューションズ

事件の概要

個人情報保護委員会の公表資料によると、本件の概要は以下のとおりです。

出典：個人情報保護委員会「株式会社 NTT マーケティングアクト ProCX 及び NTT ビジネスソリューションズ株式会社に対する 個人情報の保護に関する法律に基づく行政上の 対応について」

ProCX社は、民間・行政からコールセンター業務を受託していましたが、そのシステムはBS社のものを利用しており、保守運用をBS社に委託していました。また、ProCX社やBS社は顧客や住民の個人データを、グループ企業が運営するデータセンターのサーバで保管していました。
派遣会社からBS社に派遣されていたXは、保守運用業務に従事していたところ、システム管理者アカウントを用いてサーバに保存されていた個人データをダンロードして、私物のUSBメモリに書き出して持ち出したりしたようです。また、報道によれば、Xは持ち出した個人データを、名簿業者に販売していたようです。
Xによるデータの持ち出しは、2013年7月ころから2023年2月ころにかけて行われ、69の民間事業者・独立行政法人・地方公共団体の顧客や住民の個人データ合計約928万人分が不正に持ち出されたとされています。なお、詳細はまだ調査中であり、被害はさらに広がる可能性があります。

個人情報保護委員会の勧告・指導

本件については、すでに個人情報保護委員会が、ProCX社及びBS社に対し、2024年1月24日付けで個人情報保護法148条1項に基づく勧告及び147条に基づく指導が行われています。

株式会社NTTマーケティングアクトProCX及びNTTビジネスソリューションズ株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について（令和６年１月24日） ｜個人情報保護委員会

個人情報保護法
（指導及び助言）
第百四十七条　委員会は、第四章の規定の施行に必要な限度において、個人情報取扱事業者等に対し、個人情報等の取扱いに関し必要な指導及び助言をすることができる。

（勧告及び命令）
第百四十八条　委員会は、個人情報取扱事業者が（中略）の規定に違反した場合（中略）において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。

平成十五年法律第五十七号　個人情報の保護に関する法律

総務省の行政指導

また、総務省は、2024年2月9日、NTT西日本に対し、再発防止策を含む必要な措置の実施と、その実施状況の報告をするように、行政指導を行いました。
なお、これはNTT西日本が親会社として子会社の監督を怠ったという理由で指導したということではありません。NTT西日本は、ProCX社及びBS社にテレマーケティング業務を委託しており、委託元として委託先に必要かつ適切な監督を行っていなかったことを理由としています。

総務省｜報道資料｜西日本電信電話株式会社に対する行政指導

不正競争防止法違反とは何か？

Xは、不正競争防止法違反で逮捕・起訴されました。
公訴事実（起訴された事実）の詳細はまだ公開されていませんが、報道から推測すると、顧客情報が含まれたファイルデータを会社のサーバーからダウンロードして複製した行為が営業秘密の不正領得（不正競争防止法２１条１項３号ロ）に該当し、名簿業者に送信した行為が営業秘密の開示（同項４号）に該当すると思われます。
なお、上記のとおり、Xによるデータの持ち出しは、2013年7月ころから2023年2月ころにかけて行われ、69の民間事業者・独立行政法人・地方公共団体の顧客や住民の個人データ合計約928万人分が不正に持ち出されたとされています。
ただ、今回の逮捕・起訴された事実は、委託元1社の3万2700人分の顧客情報の漏えい行為のみのようであり、Ｘの情報漏えい行為全体のごく一部に過ぎません。今後の捜査で証拠が十分そろった場合には、追加の事実での再逮捕や追起訴があると思われます。

不正競争防止法
第二十一条　次の各号のいずれかに該当する者は、十年以下の懲役若しくは二千万円以下の罰金に処し、又はこれを併科する。
　　（略）
三　営業秘密を営業秘密保有者から示された者であって、不正の利益を得る目的で、又はその営業秘密保有者に損害を加える目的で、その営業秘密の管理に係る任務に背き、次のいずれかに掲げる方法でその営業秘密を領得した者
　　（略）
　　ロ　営業秘密記録媒体等の記載若しくは記録について、又は営業秘密が
　　　　化体された物件について、その複製を作成すること。

四　営業秘密を営業秘密保有者から示された者であって、その営業秘密の管　　　　理に係る任務に背いて前号イからハまでに掲げる方法により領得した営業秘密を、不正の利益を得る目的で、又はその営業秘密保有者に損害を加える目的で、その営業秘密の管理に係る任務に背き、使用し、又は開示した者

平成五年法律第四十七号　不正競争防止法

実行犯に対する刑罰の重さは？

法定刑

営業秘密の不正領得や開示の法定刑は「十年以下の懲役若しくは二千万円以下の罰金」となっており（不正競争防止法21条1項）、かなり重いです。
実際の刑罰は、具体的な事案ごとに、被害の程度、悪質性、被告人の情状などにより、裁判官が法定刑の範囲で決めることになります。

ベネッセ個人情報流出事件の刑事裁判

参考となるのは、2014年に発覚したいわゆるベネッセ個人情報流出事件です。
この事件では、通信教育の最大手企業であるベネッセコーポレーションのグループ企業に勤務していた派遣社員が、大量の顧客情報を不正に取得して、名簿業者に売却していました。

事故の概要 | お客様本部について | ベネッセお客様本部

その後、この派遣社員は、当然ながら逮捕・起訴されました。
公訴事実は以下の２つです。
①２度にわたり、業務用ＰＣを操作して，本件顧客情報が記録された本件サーバにアクセスし、合計約２９８９万件の顧客情報のデータをダウンロードして業務用ＰＣに保存した上、これとＵＳＢケーブルで接続した自己のスマートフォンの内臓メモリ又はマイクロＳＤカードにこれを記録させて複製する方法により、上記顧客情報を領得した。
②上記顧客情報のうち約１００９万件の顧客情報について、インターネット上の大容量ファイル送信サービスを使用し、サーバコンピュータにこれらをアップロードした上、ダウンロードするためのＵＲＬ情報を名簿業者に送信し，同人が使用するパーソナルコンピュータに上記データをダウンロードさせて記録させることにより、これらの顧客情報を開示した。

これに対し、第一審の東京地方裁判所立川支部は、2016年3月29日、被告人に懲役3年6月及び罰金300万円の判決を言い渡しました（検察官の求刑は懲役5年及び罰金300万円）。
しかし、控訴審である東京高等裁判所は、2017年3月21日、会社の顧客情報の管理等について不備が多々あることなどを理由に、第一審の判決の量刑が重すぎるとして破棄し、懲役2年6月及び罰金300万円を言い渡しました。（東京高判平成29年3月21日）

本件の刑事裁判の行方

本件は約928万人分の大量の顧客情報が漏えいしており、またXは長期間にわたり繰り返し名簿業者に顧客情報を販売しており悪質性が高いことから、厳罰が予想されるところです。
しかし、上記のとおり、現時点の逮捕・起訴された事実は、あくまで委託元1社の3万2700人分の顧客情報の漏えい行為のみのようです。
刑事裁判では、あくまで起訴された事実に基づいて量刑が決められます。起訴されていない事実（余罪）を認定し、実質上これを処罰する趣旨で量刑の資料に考慮することは許されません（最判昭和41年7月13日）。
したがって、現在起訴された事実だけで、実刑などの厳罰に処することは難しいのではないかと思われます。
今後、余罪について追起訴がされるかどうかが、量刑に大きく影響してくるでしょう。

会社に対する刑罰の可能性は？

では、ずさんな個人情報の管理体制を見過ごしてきたといわれるProCX社及びBS社が刑事罰に処せられることはあるのでしょうか。
不正競争防止法には、両罰規定といわれる条文があり、実行犯だけでなく、法人に対する刑罰（最大10億円の罰金）も可能となっています（不正競争防止法22条1項）。

不正競争防止法
第二十二条　法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関し、次の各号に掲げる規定の違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。
一　前条第三項第一号（同条第一項第一号に係る部分に限る。）、第二号（同条第一項第二号、第七号及び第八号に係る部分に限る。）若しくは第三号（同条第一項第二号、第七号及び第八号に係る部分に限る。）又は第四項（同条第三項第一号（同条第一項第一号に係る部分に限る。）、第二号（同条第一項第二号、第七号及び第八号に係る部分に限る。）及び第三号（同条第一項第二号、第七号及び第八号に係る部分に限る。）に係る部分に限る。）　十億円以下の罰金刑
二　前条第一項第一号、第二号、第七号、第八号若しくは第九号（同項第四号から第六号まで又は同条第三項第三号（同条第一項第四号から第六号までに係る部分に限る。）の罪に係る違法使用行為（以下この号及び第三項において「特定違法使用行為」という。）をした者が該当する場合を除く。）又は第四項（同条第一項第一号、第二号、第七号、第八号及び第九号（特定違法使用行為をした者が該当する場合を除く。）に係る部分に限る。）　五億円以下の罰金刑
三　前条第二項　三億円以下の罰金刑

平成五年法律第四十七号　不正競争防止法

ところが、上の難解な条文を隅から隅まで読んでも、不正競争防止法21条1項3号（営業秘密の領得）及び同項4号（営業秘密の開示）について記載されていません。
つまり、実行犯が不正競争防止法21条1項3号（営業秘密の領得）及び同項4号（営業秘密の開示）の行為を行ったとしても、同法22条1項の両罰規定の対象から除外されており、会社は処罰されないということです。
これは会社の内部者が営業秘密を不正に使用・開示した場合には、会社は被害者であり、その会社を両罰規定によって処罰するのは不当であるとの考え方から、あえて両罰規定の対象から除外されたからです（「新・注解　不正競争防止法　第３版」下巻1379頁）。
したがって、本件では、ProCX社及びBS社が不正競争防止法違反で刑事罰に処せられることはないということになります。

なお、ずさんな個人情報の管理体制を見過ごしてきた会社が、不正競争防止法では「被害者」と扱われて処罰されない、という結論に違和感を感じる方も多いかと思います。
ただ、そもそも不正競争防止法は「個人情報」を守るための法律ではなく、「営業秘密」を守るための法律であるために、そのような結論にならざるを得ないのです。
仮に「個人情報」を守るための法律、すなわち個人情報保護法を適用して実行犯を処罰する場合（個人情報保護法179条）には、その実行犯を従事していた法人も処罰される可能性があります（両罰規定。個人情報保護法184条1項1号）。
ただ、本件のXはあくまで不正競争防止法違反として起訴されていますので、個人情報保護法による処罰はありません。

---

弁護士　森田岳人（松田綜合法律事務所　パートナー）
2004年10月東京弁護士会登録。松田総合法律事務所入所。2016年4月より同事務所パートナー。2021年1月より名古屋大学未来社会創造機構　客員准教授。東京弁護士会AI研究部所属。
最近は、個人情報・プライバシー関連法務、AI・データ関連法務、自動運転・モビリティサービス関連法務に、IT関連法務に注力。
「個人情報保護委員会の動向」（共同執筆／ジュリスト　2023年10月号(No.1589) | 有斐閣）、「与信AIに法規制はなされるか ―差別・公平性の観点から―」（共同執筆／「金融法務事情」 2022年6月10日号）、「AIプロファイリングの法律問題──AI時代の個人情報・プライバシー」（共著/商事法務）ほか。