個人情報DB等提供罪で初の逮捕がなされたようです。

https://www.nikkei.com/article/DGXZQOUE1421N0U3A910C2000000/

1

記事によれば次のとおりです。

…警視庁によると、都内の同業他社から転職する直前の2021年6月、転職元の名刺情報管理システムにログインするIDやパスワードを転職先のグループ会社の社員にチャットアプリで共有。営業先の名刺データを閲覧できるようにし、不正に提供した疑いが持たれている。
システムには数万件の名刺データが保管され、共有されたIDやパスワードを使えばすべて閲覧できた。実際に転職先の企業側で営業活動に使われ、成約事例もあったという。
…警視庁は今回、情報が営業秘密に該当しないと判断した。名刺は第三者に渡すことが前提で、記載された情報が非公知性の要件を満たす可能性が低いなどとみた。

個人情報DB等提供罪はベネッセ事件を受けて平成27年改正で導入されたもので、「個人情報取扱事業者…若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等…を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用」することで成立します（個情法179条）。

営業秘密侵害罪の行為対象である営業秘密は、秘密管理性、有用性、非公知性からなり、特に秘密管理性のハードルが高いのに対し、個人情報DB提供罪の行為対象である個人情報DB等は、（個人情報が）体系的に構成されていさえすればよく（個情法16条1項1号）、DBがどのように管理されていたかは問題となりません。

もっとも、その分、営業秘密侵害罪の法定刑が最大懲役10年、罰金2000万円（不競法21条1項）であるのに対し、個人情報DB等提供罪の法定刑は最大懲役1年、罰金50万円以下です。

2

上記の事例ですが、警視庁の言うロジック（「名刺は第三者に渡すことが前提で…」のくだり）は、必ずしもクリティカルではないのではないかと思いました。名刺DBは、個々のデータ（DB用語でいうレコード）を見れば公知かもしれませんが、DB化したとき、保有企業の得意先一覧という価値（情報）が加わっており、この情報は通常非公知だと思います。

もちろん、非公知性が認められたとしても、秘密管理性というより高いハードルをクリアする必要があり、ID/PW自体が共有されていた場合には、PWの更新頻度、共有範囲、共有のプロセス等次第でそれを満たさない可能性が上がるのですが、それは別の問題です。

別記事には「アクセス履歴などで不審に思った転職元企業側がパスワードを22年12月に変更してからは不正アクセスがなくなり」とあり、ID/PW自体が共有されていた可能性があり（1人1IDなら当該アカウントのアクセス権を剥奪すればよいはずなので）、また、不審に思って初めてPWを変更するような運用だった可能性があります。このそのとおりであるとすれば、秘密管理性が認められない可能性は相当程度ある印象です。

3

なお、仮に一つの行為に営業秘密侵害罪と個人情報DB等提供罪が成立する場合、両者は観念的競合となり、法定刑は営業秘密侵害罪のものが適用されると考えられます。

量刑においては、営業秘密侵害罪の保護法益が事業者間の公正な競争（競争秩序）であること、個人情報DB等提供罪の保護法益が個人の権利利益であることから、競争手段としての不公正さと個人の権利利益の侵害のおそれの両者が考慮されることになります。

もっとも、営業秘密侵害罪の法定刑と個人情報DB等提供罪の法定刑では、前者が圧倒的に重いこと、仮に名刺データが提供されただけであるとすれば、民事上は本人（データ対象者）のプライバシー侵害は成立しないと思われること（私事性、秘匿性、非公知性のいずれも満たさないと思われます）からすれば、考慮要素の圧倒的部分は営業秘密侵害に関するものとなると思われます。