Q: 当社では、業務の効率化を図るためにいわゆるグループウェア(情報共有等を行うシステム)を利用しています。各従業員に対して当該グループウェアのID及びパスワードを付与していますが、ある従業員が他の従業員のI Dとパスワードを許可なく利用してサイトにアクセスしていました。
この場合、当社が行う処分として適切なものを教えてください。
A: この場合、以下のような措置をとることが考えられます。
(1) 不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)による刑事手続き
(2) 就業規則等に基づく懲戒処分
1. 不正アクセス行為とは
まず、不正アクセス禁止法における不正アクセス行為について説明します。不正アクセス行為のうち、不正ログインといわれる類型について定めた以下の条文を確認しましょう。
〈第2条第4項1号〉
この法律(不正アクセス禁止法)において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。
アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)(下線部は筆者)
すなわち、当該条文において定められている不正アクセス行為とはつまり、①パソコン等のシステムに対してIDやパスワードのような識別符号を入力し、②当該システムを利用できる状態にすること(ただし、承諾がある場合を除く。)であるといえます。
なお、不正アクセス行為を行った場合について同法は3年以下の懲役または100万円以下の罰金という刑罰を定めています(同法第11条)。
2. 不正ログインに該当する行為について(不正アクセス禁止法の観点から)
上記の通り、不正アクセス行為(不正ログイン類型)の内容は上記の通りですが、事例におけるような同じ会社の他の従業員のI Dやパスワードを利用してグループウェアにログインすることは不正アクセス行為に該当するか検討します。
上記では省略した部分も含めて、条文との関係を押さえていきます。
まず、「特定電子計算機」とは、「電気通信回線に接続している電子計算機」(同法2条1項)をいうとされているところ、会社におけるパソコンはこれに該当すると考えられます。
次に、「識別符号」(同条2項)とは、以下のとおり定められています。
〈第2条第2項〉
特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。
一 当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号
二 当該利用権者等の身体の全部若しくは一部の影像又は音声を用いて当該アクセス管理者が定める方法により作成される符号
三 当該利用権者等の署名を用いて当該アクセス管理者が定める方法により作成される符号
グループウェアのIDおよびパスワードは、同項第1号に定める符号に該当しますので、「識別符号」に該当するといえます。
また、「特定利用」とは特定電子計算機を利用することをいい、「他人」とは利用権者以外のものをいうと解されているところ、他の従業員のI Dとパスワードを許可なく利用してサイトにアクセスする行為は当然特定利用に該当します。
これらから、本件の事例における従業員の行為は、不正アクセス行為に該当することになるといえるでしょう。
そのため、事例のような場合の一つの対応としては不正アクセス禁止法への違反を理由として掲示手続きを求めることが考えられます。
3. 不正アクセスにかかる就業規則等による処分
(1) 不正アクセス行為が判明した場合の懲戒処分等
上記は、不正アクセス禁止法上の刑事手続きについて触れてきました。しかし、必ずしも刑事手続きを取ることが適切であるといえる場合ばかりではありません。すなわち、刑事手続きを取る場合には、警察の要望による捜査への協力を行う必要があるなど、過度な負担になる可能性があります。
そこで、あくまでも社内における懲戒処分に留めるという判断を行うことも考えられます。
(2) 懲戒処分の要件
違反行為があれば、すぐに懲戒処分をすることができるというわけではありません。具体的には、懲戒処分に関する就業規則の定めが必要になります。すなわち、不正アクセス行為を行った場合には、会社は懲戒処分を行うことができることを示すものが必要です。それが、例えば①I Tに関する特別規程にI Dやパスワードの取り扱いに関する規定がおかれ、それに違反した場合には懲戒処分を行うことができるとするものであったり、②刑罰法規その他法令に違反した行為を行ったとき、などと一般的な内容であっても不正アクセス禁止法違反が観念できる場合には当該懲戒規定に該当するといえますので、懲戒処分をとることができると考えられます。
(3) 懲戒処分内容の決定
懲戒処分に関する規定があり、懲戒事由があるとしても、処分の内容を自由に決めることができるわけではありません。
つまり、当該従業員の非違行為が軽微な場合にまで懲戒免職処分を行えるわけではなく、その程度等を考慮した上で相当と認められる処分を取ることが必要になります。その際に過去の裁判例が参考になりますので、一つ似たような事例を紹介します。
例えば、従業員が上司である理事長らのメールファイルに、権限なくアクセ嘘をこない、機密文書を閲覧・印刷をするという不正アクセス禁止法違反の事例では会社によって行われた懲戒解雇処分を有効と判断した事例があります。
この事例では、①会社が金融機関でその信用性が問題になるような業種であったこと、②アクセス対象が金融庁による検査に関するものや不祥事に関するものなどの高度の機密性を有するものであったこと、③当該アクセスが反復継続して行われていたこと、④外部への持ち出しが確認されたことなど、行為の性質は重大であり、悪質であるという事情をもとに、懲戒解雇の処分の有効性を肯定したと考えられます。
この裁判例から、上記の事例においては、業種やアクセスの対象、アクセスの態様、持ち出しの有無などの事情を考慮の上、どの程度の懲戒処分が認められるかを検討する必要があると考えられます。
すなわち、懲戒処分を行う場合には、社内にてこれらの事情を詳細に調査することが必要になりますので、留意を要します。
