船橋の弁護士 鳥光 翼

ブログにアクセスいただき、ありがとうございます。

　

弁護士・税理士の鳥光でございます。

　

今回で、１０回目の情報セキュリティのお話ととなります。

　

前回、顧客個人情報が漏洩した際の損害論について、裁判例を元にお話をいたしました。

　

ベネッセの顧客情報漏洩事件においては、顧客情報に含まれていた顧客個人の損害が問題となり、個人情報が流出した以外の具体的な損害がなかったことから、個人情報流出自体が生じさせた損害額として１０００～３０００円の慰謝料が認められました。

　

もっとも、情報漏洩による影響の本質は、どの程度まで損害が広がるかがわからないというところにあると考えております。
また、様々な損害が発生したとして、情報漏洩と因果関係が認められるのはどこまでか、という問題もあります。

　

もし漏洩した情報が事業運営上重要な情報であり、漏洩によって大きな機会損失が生じた場合はどうなるか。
士業においては、顧客の身分や財産に関する重要な情報が漏洩し、これによって顧客やその親族等に社会的、財産的損害が生じた場合はどうなるか。

　

このように、情報漏洩による影響は、いくら検討しても予測しきれない部分が残ります。

　

企業間の契約書においても、損害賠償の範囲を限定する条文を設けることは一般的に行われていますが、私は「秘密保持に関する条文に違反した場合にはこの限りでない」という趣旨の但し書きを入れることがあります。

　

そのうえで、情報漏洩が起きた場合にどうするかという対策ももちろん大切ですが、とにかく情報漏洩は起こさないことを念頭に置いて経営資源を投入することが重要であると考えられます。
情報は一度漏洩してしまったら、拡散を止めることは事実上困難であるためです。

本ブログをご覧いただき、ありがとうございます。

　

弁護士・税理士の鳥光でございます。

　

情報セキュリティに関するお話も９回目となりました。

　

今回は、顧客情報が漏洩した際の損害賠償責任に関するお話しの続きとなります。

　

顧客情報が漏洩したこと自体がプライバシーを侵害し、損害を生じさせると判示した最判平成２９年１０月２３日の差し戻し審（大阪高判令和元年１１月２０日）において、慰謝料は１０００円とされました。

　

その他の裁判例においても、ベネッセの顧客情報漏洩事件における損害額（慰謝料）は、概ね２０００～３０００円とされています。
（原告の事情や、ベネッセが５００円相当のお詫び品の提供をしていることなど、諸般の事情が考慮されることにより、慰謝料の金額が変動しているものと考えられます）

　

訴訟で認められた慰謝料の金額は、金銭のみでなく、時間や労力など訴訟活動にかけたコストに見合ったものとは言い難いものではあります。

　

実際、ベネッセの顧客情報漏洩事件についての訴訟はいくつもありますが、本人訴訟も多く含まれています。
獲得が予想される経済的利益が小さく、代理人をつけることが困難であったという事情があったのではないかと考えられます。

　

漏洩した情報に自身の情報が含まれていた方には酷な結果ではあるものの、情報漏洩を起こした組織側に発生する負担は、慰謝料のみではありません。
むしろ、社会的信用を失うことによるダメージは、金銭には置き換えられないレベルのものであると考えられます。
士業においても同じことがいえることに加えて、懲戒処分の対象にもなり得、業務の継続が困難になることさえ考えられます。

　

事業運営側の立場としては、このような事態にも発展することを念頭に置いて、セキュリティ対策を講じる必要があります。

いつも本ブログにアクセスしていただき、ありがとうございます。

　

弁護士・税理士の鳥光でございます。

　

今回は、情報セキュリティのお話の８回目です。

　

前回はベネッセの顧客情報漏洩事件における、企業側の注意義務について、システム面と人的な側面から検討してみました。

　

次に、注意義務違反が存在したとして、原告（漏洩した顧客情報に含まれていた顧客）に対し、情報漏洩による損害が発生したといえるかという問題があります。

　

具体的には、顧客情報（子及び親の氏名、性別、生年月日、郵便番号、住所、電話番号等）が漏洩しただけで、不法行為に関する責任を定めた民法７０９条における、「法律上保護される利益を侵害した」といえるかという問題です。

　

【参考条文】
（不法行為による損害賠償）
第七百九条　故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う。

　

これについては、最判平成２９年１０月２３日は次のように判示して差し戻し、差し戻し審において損害が認められました。

　

「本件個人情報は，上告人のプライバシーに係る情報として法的保護の対象となるというべきであるところ（最高裁平成１４年（受）第１６５６号同１５年９月１２日第二小法廷判決・民集５７巻８号９７３頁参照）、上記事実関係によれば、本件漏えいによって、上告人は、そのプライバシーを侵害されたといえる。」

　

なお、最高裁平成１４年（受）第１６５６号同１５年９月１２日第二小法廷判決は、憲法判例百選にも掲載されている有名な判例で、プライバシーにかかわる情報が法的保護の対象になることを示したものです。

　

顧客情報を漏洩させたこと自体が損害を発生させたといえるとして、今度はどの程度の損害が生じたといえるかという問題を検討する必要があります。
この点については、次回お話いたします。

本ブログをご覧いただき、ありがとうございます。

　

弁護士・税理士の鳥光でございます。

　

情報セキュリティに関するお話の７回目です。

　

今回からは、セキュリティにかかわる法的な話題について取り上げます。

　

セキュリティに関する法的な問題が生じる場面には様々なものがありますので、情報漏洩が起きた際の企業の責任という論点について述べていきます。

　

題材としては、一般的にも有名な事件である、ベネッセの顧客情報漏洩事件を取り扱います。

　

ベネッセの顧客情報漏洩に関する裁判例、判例は多数ありますが、企業の過失についての論点が含まれる東京高判令和３年５月２７日の裁判例をもとに、システム面、人的な面におけるセキュリティ対策を考えてみます。

　

ベネッセの顧客情報漏洩事件の内容は、要約するとベネッセのIT業務を委託されていた会社において、業務を委任されていた人物が私物スマートフォンを業務用PCに接続してMTP方式で顧客情報を抜き取り、名簿業者に売却したというものです。

　

そして、流出した顧客情報の中に含まれていた顧客が原告となり、ベネッセと、ベネッセのIT業務を委託されていた会社に損害賠償を求めた事件です。

　

ベネッセのIT業務を委託されていた会社にも注意義務違反があったとして損害賠償責任が認められ、その注意義務違反の内容は、次の２つです。

　

ひとつは、執務室内への私物スマートフォンの持込禁止措置を施さなかったことです。
執務室内への私物スマートフォンの持込禁止は、人的な側面におけるセキュリティ対策であり、簡便かつ確実に行うことができる情報漏えい防止の方法といえます。
大量の顧客情報を扱う会社において、この対策が行われていないことについて注意義務違反があったとされました。
（なお、業務への支障があるとして、私物スマートフォンの持ち込みを禁止することができない事情があったという反論もなされましたが、私物スマートフォンの持ち込みには情報漏洩を防止することを上回る利益はないとされました。）

　

もうひとつは、業務PCにおいて、私物スマートフォンへのデータ転送を防ぐセキュリティ設定がなされていなかったことです。
より正確には、業務PCにはセキュリティソフトが導入されており、スマートフォンへのデータ転送を防ぐ設定がなされていなかったわけではありません。
しかし、スマートフォンへのデータ転送放棄にはMSC方式とMTP方式というものがあるうちの、MSC方式のみデータ転送を禁止する設定がなされていました。
当時はMSC方式が主流であったものの、MTP方式の利用も増えており、MTP方式によるデータの抜き出しは予見できたとされ、MTP方式によるデータ転送を禁止する設定を施していなかったことにつき、注意義務違反があったとされました。
これは、システム面におけるセキュリティ対策を施さなかったことについての注意義務違反です。

　

なお、ベネッセについても、IT業務の委託先を適切に監督し、個人情報が漏えいしないように、少なくともセキュリティソフトの設定が適切に行われているか否かの確認を行う義務があったとされ、この義務を果たしていなかったことにつき注意義務違反があるとされました。

今日も本ブログにアクセスいただき、誠にありがとうございます。

　

弁護士・税理士の鳥光でございます。

　

情報セキュリティのお話の６回目となります。

　

前回は入口対策についてお話をしましたので、今回は出口対策について説明します。

　

入口対策は外部のネットワークからの侵入やマルウェアの持ち込みを防ぐものであるのに対し、出口対策は社内ネットワークから外部へのデータの流出や不正サイトへのアクセスを防止するためのものです。

　

業務等でインターネットから情報を取得することがある以上、正規の通信の形式で社内ネットワークに入り込むデータを遮断するわけにはいきません。

　

典型的なものとしては、不正なリンク先を記載したメールや、圧縮形式のファイルとなっているマルウェアを添付したメールなどが挙げられます。

　

これらの目的は、個人情報を不正に入力させるサイトへの誘導や、社内ネットワーク上のデータの外部送信です。

　

そこで、社内ネットワークからインターネット方向への通信を監視し、不正と考えられる通信を遮断することができれば、情報流出を防止することができます。

　

これが出口対策です。

　

システム面における出口対策は、社内ネットワークとインターネットとの間に、ゲートウェイを設置し、不正なインターネット向け通信を検知した場合に遮断することです。

　

より具体的には、社内ネットワークからの不正なアクセス先のURLやIPアドレスを検知した場合に、通信を遮断することが基本となります。
これらのURLやIPアドレスの情報については、パターンファイルを随時更新する形で取得します。
（そのため、発生して間もない不正サイトについては対応しにくいという問題もあります（ゼロデイエクスプロイト））。

　

人的な面における出口対策は、セキュリティ対策の基本でもありますが、不審なメールに記載されたURLリンクをクリックしないことや、添付ファイルを開かないことです。
他には、社内ネットワークとは別経路でインターネットに接続可能なPC等を社内ネットワークに接続してはならない旨の規定を定め、守らせることが挙げられます。

今回も本ブログにアクセスいただき、ありがとうございます。

　

弁護士・税理士の鳥光でございます。

　

今回は、情報セキュリティに関するお話の５回目となります。

　

セキュリティ対策の概念のひとつとして、入口対策と出口対策というものがあります。

　

まず、入口対策についてお話しします。

　

入口対策というのは、インターネットなど、外部から社内ネットワークへの侵入（入口からの侵入）を防ぐというセキュリティ対策です。

　

入口対策は、社内ネットワークという概念ができてから、それほどに時間を経ずになされてきた、基本的なセキュリティ対策です。
現在においては、論じるまでもなくなされているセキュリティ対策と言っても過言ではないと考えられます。

　

具体的には、インターネットと社内ネットワークの間にファイアウォールを設置し、リモートワーク用のVPNゲートウェイ経由の接続など、社内ネットワーク外部からの接続については限定された通信のみが通過できるようにするというものがあります。

　
そのほかにも、マルウェアが添付されたメールがメールサーバーに届く前に遮断するというものや、ファイアウォールで侵入（および侵入の試みと考えられるアクセス）を検知した場合にセキュリティセンターにアラートが上がる仕組みを構築するというものが挙げられます。

　

このように、入口対策は、システム面での対応が基本となります。

　

もっとも、人的な面での対策が不要というわけではありません。

　

最近ではメールサーバーの進化等によって減りましたが、メールに不審なファイル（特に実行ファイル）が添付されている場合には、当該ファイルを開かないように社内教育をすることは今でも大切なセキュリティ対策となります。

　

また、コロナウイルスによってリモートワークが普及したために発生した新たな問題もあります。

　
リモートワークは、ネットワーク通信の観点から見ると、外部からインターネットを経由して、社内ネットワークにアクセスをすることになります。
IDやパスワードなど、リモートワークをする際の接続に関する情報を社外の人に知られてしまうと、不正侵入を許してしまう可能性があります。
これは一種のなりすましでもあるので、システムでは不正な侵入として遮断することができません。

　
そのため、リモートワークに関する接続情報は決して外部の人に知られないよう、しっかりと社内教育をしておく必要があります。

本ブログにアクセスいただき、ありがとうございます。

　

弁護士・税理士の鳥光でございます。

　

情報セキュリティのお話の４回目となります。

　

前回に引き続き、セキュリティ事故とヒューマンエラー対策についてのお話となります。

　

会社等の組織における代表的なセキュリティ事故としては、データが入ったメディアの紛失（置き忘れなど）、データの誤送信（メール、ＦＡＸなど）、メール操作の誤りによるマルウェア感染が挙げられます。

　

今回は、データが入ったメディアの紛失（置き忘れなど）の対策について説明します。

　

データが入ったメディアの紛失の典型的な例としては、職務上のデータが保存されたＵＳＢストレージやノートＰＣ、スマホを、職場以外の場所に落としたり置き忘れてしまったりし、その後見つからなくなってしまうというものが考えられます。

　

これらのメディアが第三者に渡ってしまった場合、その第三者が警察や建物の管理者等に届けてくれない限りは、回収は困難となり、メディア内部の情報を見られてしまう可能性があります。

　

１つめの対応策としては、そもそもメディアを外部に持ち出す必要がない業務設計をする、ということが挙げられます。
大切なのは、メディアを外部に持ち出さないというルールを定めることではなく、メディアを外部に持ち出さなくても円滑に業務が遂行できるようにすることです。
紛失のリスクを負ってまで、業務上のデータが入ったメディアを持ち歩きたい人は、通常いないと考えられます。
黙示のものを含め、現場の担当者では抗えない何らかの事情があり、やむなく持ち出しているということも多いです。

　

２つめの対応策としては、万一メディアを紛失しても、第三者がその中身にアクセスできないようにすることです。
具体的には、パスワードによるロック（できればハードウェアレベルの暗号化）、生体認証によるアクセス制限、遠隔操作によるデータ消去が挙げられます。
ただし、これらの対応策の効果は絶対的なものではありません。
高いデータ復元技術を持つ第三者が操作することで、情報が漏洩してしまう可能性も、ないとまでは言い切れないという点には注意が必要です。

　

結論としては、できる限り外部にメディアを持ち出さなくても済む業務設計をし、どうしてもメディアを持ち出さなければならない事態に備えて、データへのアクセス制御を施すことが、データが入ったメディアの紛失（置き忘れなど）への有効な対策となります。

本ブログをご覧いただき、ありがとうございます。

　

弁護士・税理士の鳥光でございます。

　

情報セキュリティのお話の３回目となります。

　

今回は、過失によるセキュリティ事故防止について述べます。

　

これは、人的な面でのセキュリティ対策に属するものであり、主にシステム担当者ではない一般的な従業員等の挙動に着目した対策です。

　

まず、重要な前提として、ヒューマンエラーは発生しうるという概念を念頭に置く必要があります。

　

これは、何らかの作業をする人が、どれだけ誠実な性格を持っていたとしても、そしてどれだけ細心の注意を払いながら作業をしていたとしても、確率論的にミスは生じるという考え方です。

　

筆者は、航空会社に勤めていたことがあり、この考え方は、航空機の整備部門では古くから取り入れられている考え方であると教わったことがあります。
航空機の整備においては、ひとつのミスが大きな危険を生んでしまうことがありますが、それを望んで整備をする方などはいるはずがないのです。
むしろ、これ以上ないくらい緊張感を持って作業をしているにもかかわらず、小さなものも含め、危険が生じてしまうことがあります。

　

ヒューマンエラーの発生は、その作業をした方個人の自助努力だけでは防ぎようがありません（上述の前提は、このように言い換えられます）。
そのため、ヒューマンエラーが実際の事故につながることを抑制するためには、組織的な対応により、セーフティネットを設ける必要があります。
そのような対策をしておらず、ヒューマンエラーによる事故の責任まで個人に負わせる組織は客観的にみても危険であり、従業員の観点からしても、信用できない就労環境であるともいえます。

　

次回以降、代表的なセキュリティ事故と、ヒューマンエラー対策について説明します。

本ブログにアクセスいただき、ありがとうございます。

　

弁護士・税理士の鳥光でございます。

　

情報セキュリティのお話の２回目となります。

　

前回は、外部からの不正アクセス対策における、システム面、人的な面での対策について書きました。

　

今回は、組織内部からのアクセス対策について書いていきます。

　

まずシステム面における対策については、センシティブな情報が保存されたデータベースへのアクセス制御があります。
具体的には、顧客名、顧客の住所、顧客の連絡先（電話番号）などが保存されているデータベースについては、ローカルネットワークに設けられたファイアウォールの内側に設置し、業務においては特定のアプリケーションサーバーのみがアクセスできるように厳格なアクセス制御をします。
言い換えれば、社内ＰＣ等からはアクセスができないようにしておき、顧客のデータをまとめて抜き出すことができない仕組みにしておきます。

　

もっとも、システムである以上、保守運用の際には端末ＰＣからコンソールを使ってアクセスしなければなりません。

　
そこで人的な面での対策として、顧客データの抜き出しを防止するため、ログイン、ログアウト履歴だけでなく、入力コマンドなどの操作全てを記録するゲートウェイを、データベースとコンソールとの間に設置することがあります。
これにより、不正なデータの持ち去りを抑止することができます。
また、操作ミスなど、何らかの過失によって顧客データが消失した際の原因究明にも役立ちます（単なるデータ消失なのか、不正なデータ持ち去り後の隠蔽工作であるかを切り分けることもできます）。

　

顧客データをクラウドサービス上で使用する場合には、サービス提供プロバイダに対して、上述のようなシステム構成とするよう要件定義をし、システム構築段階でサーバー、ネットワーク構成をチェックするとともに、リリース前には、特定のアプリケーションサーバーおよびコンソール以外からのアクセスができないことのテスト結果を確認するということも大切です。

いつも本ブログをご覧いただき、ありがとうございます。

　

弁護士・税理士の鳥光でございます。

　

今回からは、情報セキュリティのお話を載せていきます。

　
以前にも何回か情報セキュリティのブログを書きましたが、２年以上前のことなので、改めて記事を書いていく所存です。

　

情報セキュリティは、どのような業務であっても、とても大切な分野であることに異論はないと思います。

　

弁護士など士業の世界も例外ではなく、むしろ依頼者の方のご住所などの身上に関する情報、財産に関する情報など、非常にセンシティブな情報を扱うことから、厳格なセキュリティ対策が求められるといえます。

　

私は前職において、情報セキュリティに関係する業務に就いていたことがあります。

　

IPAが主催する、情報セキュリティスペシャリスト（現在の情報処理安全確保支援士に近いもの）試験にも合格しています。

　

当時は、外部からの不正アクセス対策、組織内部からのアクセス対策、そしてマルウェア（一般的にコンピューターウイルスと呼ばれるもの）対策を行っていました。

　

いずれの対策においても、システム面での対策と、人的な面での対策が必要となります。

　

そして、この２つの面における対策は、車の両輪のようにつながっており、どちらか一方のみ対策をしても、高い効果は望めません。

　

まず、外部からの不正アクセスについては、ファイアウォールの設置（ポリシー設計）や、ＶＰＮシステム設置・管理など、システム面での対策が基本になると考えられます。
外部ベンダーのデータセンター（いわゆるクラウド）を使用する場合には、セキュリティに関する詳細な要件定義をするとともに、設計のレビュー、システムテスト結果の確認を行い、外部からの不正アクセスを防止できる作りになっているかの確認も必要になります。

　

そして、人的な面での対応としては、過失による設定ミスの予防、発生時の早期対応ができるようにしておくことが必要となります。
システムに限らず、たとえ誠実で真面目な人が作業を行ったとしても、ヒューマンエラーは確率論的に起き得るということを前提にします。
設定変更は２名以上の体制で行い、かつ作業時の入力コマンドの履歴を残す、変更後の設定データのスクリーンショットを撮るなどし、リリース作業内容に間違いがないかを逐一確認するようにします。
また、設定ミスが放置されることを防ぐため、定期的なペネトレーションテストを行い、不正アクセスが可能な状態になっていないかも確認します。

　

システム面、人的な面のいずれかにおいて、故意または過失があり、損害が生じた場合、誰がどのような責任を負うのかが問題となります。
一般的に、システムに関する法的なトラブルは、責任の所在がとても複雑になります。
そのため、開発、保守運用の契約において、ユーザーとベンダーの役割分担などを明確にしておく必要があります。
リリース体制や作業内容の履歴を記録することも、故意や過失の発生を防止するとともに、もし損害が発生した場合の調査を可能にしてくれます。

　

次回は、組織内部からのアクセス対策について書いていきます。