2017.05.25
レポート
これからの企業に求められる情報管理
~トピックスを交え、法実務の視点から~
英知法律事務所
弁護士 岡村 久道 氏
- 印刷用
一般企業におけるセキュリティの位置づけは、今現在でも決して高くない。まだ多くの企業・自治体では、セキュリティは概ね、何か起こるまではカネ喰い虫扱いで、「セキュリティ機器は麻薬のようなもので、もっともっと強力なツールをとなってしまう。」という声が聞かれるように、不安にかられて効果の有無もわからないまま次々に対策に高額をかけ続けてしまう傾向がみられる。
一方で、企業の規模を問わず、本来それらを統括する立場にあるはずのCIO、CISOをIT・セキュリティに対する見識に乏しいマネジメント上層部が務めるケースが少なくない。結局は人・モノ・カネを動かせる人でないと最終判断が下せないため、やむを得ない部分もあるが、社内ルール作りで連携が必要な法務担当とも双方が異なる言語で話しているような状態で、社内で理解を得られないまま、技術の専門家たるセキュリティ担当者が対応に苦慮したり、インシデント発生時にはネット炎上が誘発され、詰め腹を切り、あるいは精神的に追い込まれて退職等を余儀なくされるようなケースも起きている。このような状況は変えていかなければならない。
現在、組織のセキュリティ担当者からの依頼を受けて、役員会等でセキュリティの必要性を説明することがある。どうしても社内の人間では上に話が通らない場合も多いので、第三者たる社外の専門家から客観的に説明してもらう等の方法も含め、自分一人で抱え込まずにいろいろな手段を活用してもらいたい。
「個人情報」だけが重要なのか
改正前個人情報保護法第20条ではNTTの電話帳も個人データとして、法形式上は保管も廃棄も管理が必要となっていた。これに関して私は疑問を示してきたが、ようやく今回の改正で改善された。しかし、もっと重要なデータが社内に眠っているのではないか。組織の存続、コンプライアンスとして、経営の核となる営業秘密や他社から預かっている本当に重要な情報を如何にして守るか、を考える必要があるのではないか。確かに個人情報の保護は重要ではあるが、重要な情報はそれだけではないということを考えた方がよい。
また、数年前の大手教育会社の大規模顧客データ漏えい事件では、改正前の個人情報保護法には直罰規定がなかったので、不正競争防止法の営業秘密の侵害で刑事告訴し有罪判決が出た。これは、顧客名簿は掲載されている個人から見れば個人情報だが、企業にとってみれば営業秘密となるという、法的な守り方に関しての発想の転換も必要である。
情報漏えいに関する事件としては、他にも
・韓国企業に流出した重要な技術情報が中国企業に二次流出した事件
・国内大手企業の技術情報を業務提携先の元技術者が記録媒体にコピーして持ち出し、海外企業に不正漏えいさせた事件
等が、営業秘密に関する情報漏えいとして不正競争防止法で追及された。
漏えい事件が発生した際、企業としては何らかの追及をしないと「組織ぐるみ」「無責任」と取られてしまうおそれがある。また、再発防止や信頼回復のためには原因の特定が不可欠となるが、民間企業での調査には限界があるため、警察等に要請し捜査に協力せざるを得ず、世間が求める情報を提供したくてもできないという状況が生まれる。こういった事態に至って初めて、セキュリティの重要性を痛感する企業は少なくない。
他方、個人情報保護に関しては様相が一変し、漏えい原因のトップは「内部者のうっかりミス」が個人情報保護法制定時から一貫して続いている。こういった原因に対しては教育しかない。
現在では、個人でも10数テラバイトのデータを保管する時代になっている。
自宅で業務を行うためデータを自宅に持ち帰る際も、記録媒体の容量が大きいので「念のため」の資料も含めコピーし、それを帰宅途中の電車内や立ち寄った飲食店等に置き忘れ紛失してしまうケースはよく聞かれてきた。他にも、例えば金融機関で、店舗合併等で移転の際に書類が入った荷物を紛失してしまった場合や、企業合併後の社内ルールが徹底されておらず誤って廃棄してしまう等のケースについて、金融庁では「漏えいの疑い」とカテゴライズされるため報告の義務が生じ得る。そういった相談を受けるケースが多い。
まずは「物理的安全管理措置」から
そういった中で、本当に管理策を理解し・実践してもらうためには、どうしたらよいか。
残念ながら、個人情報保護委員会の通則ガイドラインでの「講ずべき安全管理措置」に関する説明だけでは、技術系の人にとっては抽象的で「何のことを指しているのか」が明確でない、事務系の人には技術用語が多用されるため「何のためにどうすればよいかがわからない」という状態が続いてしまう。このため、これらを理詰めで分かりやすく説明することが求められる。
個人的には、これまでの経験によると、入退室管理や記憶媒体持ち出し制限のような「物理的安全管理措置」が事務系の人には一番イメージしやすいようなので、なぜその対策が必要なのか、それに対して何を行えばよいのか、を現場の実態や動きに合わせて一つ一つ具体的に考えることで、技術に詳しくなくても概ね理解できる。
その上で、物理的措置だけでは足りない部分を補うものとして、アクセス制御やアクセス者の識別や認証、不正アクセス防止といった技術的安全管理措置が必要であり、それらの安全管理措置を確実に実行する体制・不測の事態への対応といった組織体制作りや、強制力のある内部ルール整備を行うのが組織的安全管理措置、とそれぞれの関係性を含めて説明をしていくと遵守困難なルールを作り強制するような事態も避けられるのではないか。
しかし、これだけ順序だてて安全管理措置を講じても、従業員が知らない・理解できていないので遵守できないというのでは意味がない。裁判では、内部ルールを遵守するための教育を従業員に対して行っていたかどうかが訴訟の分水嶺となったケースもある。だからこそ、安全管理措置の総仕上げとしても、人的措置(周知・教育)が必要となる。その際に労働基準法違反にならないように配慮しなければ、逆にコンプライアンス違反になる。
結びに代えて(IoT・AIの法的課題)
最近は、経済産業省、総務省等でIoT・AIに関する議論にも多く意見を述べている。
IoTに関しては、数年前から、デフォルトのID・パスワードのままでの利用に起因して、日本での複合機丸見え事件や、韓国製スマートテレビが音声認識機能により私的会話が第三者に流出するのではといった騒ぎなどが数年前から起きていた。
しかし、昨年末からはMiraiやBrickerBot、WannaCryといったマルウェアによる大規模な被害が報告されており、初歩的な問題から本格的なセキュリティ問題への移行が起きてきている。
これに対し2016年夏には、NISCが「安全なIoTシステムのためのセキュリティに関する一般的枠組」、IoT推進コンソーシアムが関連省庁とともに「IoTセキュリティガイドライン」をそれぞれ示し、対策を促している。
IoTセキュリティを考える上で、以下の点が問題となってくる。
1)IoT自体の多様性
製品分野ごとに対象となるシステム構成や対策すべき脅威(狙われるポイント)とリスク(被害)が異なる。→ 業界分野別に対策が取りまとめられてきている。
2)関係者が複数
関係者(メーカー(設計・製造者)、販売・輸入業者、電気通信事業者、エンドユーザー)ごとのセキュリティ対策が必要
3)時間軸の問題
メーカーでは10年間製造物責任法(PL法)による損害賠償責任が負わされるが、競争力強化のため現在のIoT製品では最低限のメモリ容量しかなく、セキュリティアップデートによる不具合が発生する可能性もある。ソフトウェア自体はPL法に該当しないが、組み込みソフトウェアの場合はそれも含めての「製造物」となる。
裁判では、現場の相場観に基づくセキュリティ水準を基準とする判例も蓄積されつつある。
4)責任境界線の問題
コネクティッドカーでも交通事故原因は多様(ハードウェアの欠陥、ソフトウェアバグ、サイバー攻撃、整備不良、道路の欠陥)。これについて誰が責任を負うべきか、どのような多重防御をすべきか(車検モデルを採用するか)等が問われている。
現在、IoTに関し様々な議論がなされているが、特にIoTの制度に関しては、奥の深い議論が必要だということを広く認識していただきたい。