区分所有建物と財産管理4

今日も本ブログをご覧いただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

今回からは、相続財産清算人が管理する財産に、区分所有建物が含まれている場合についてのお話を記していきます。

 

区分所有建物に限ったことではありませんが、まずは、不動産の現地調査を行います。

 

私が経験したケースにおいては、管理対象の区分所有建物は、家族用の規模のマンションでした。

 

マンションの入り口に管理人室があり、管理人の方がいらっしゃったので、居住者の方(管理組合の組合員)がお亡くなりなられたこと、相続人不存在であったため自分が選任されたことなどを説明しました。

 

管理人の方は、管理組合から委託を受けている管理会社の担当者でした。
こちらの身分と連絡先を伝えるとともに、管理会社の担当者の方の連絡先等もうかがっておきます。

 

今後の区分所有建物の管理や売却の手続きなどの際、管理会社に連絡をすることも多いので、できるだけ早めに関係を築いておくとよいです。

 

例えば、かなり細かいことですが、管理費や修繕積立金の支払方法の調整が挙げられます。
私が管理したマンションにおいては、管理費や修繕積立金は被相続人の口座から引き落とされていました。

 
財産管理のため、被相続人の口座は解約し、預金は管理口座に移しますので、管理費と修繕積立金の支払方法も変える必要がありました。
管理会社と相談をしたところ、本来は引き落としのみとのことでしたが、銀行が指定されているとのことでしたので、請求書方式に代えてもらうことができました。

区分所有建物と財産管理3

本日も本ブログにアクセスしていただき、ありがとうございます。

 

弁護士・税理士の鳥光です。

 

前回、空き家を法律的に管理する方法について述べました。

 

所有者不明となっている区分所有建物と、管理不全となっている区分所有建物の管理については、現状として、これらの特化した財産管理制度はありません。

 

区分所有建物ではない戸建ての空き家においては、令和5年4月に施行された、所有者不明土地・建物管理制度、管理不全土地・建物管理制度による管理が可能です。

 
しかし、これらの制度は、区分所有建物には適用されません。

 

この状態を踏まえ、2024年2月15日の法制審議会における区分所有法の改正要綱が採択されたことから、区分所有建物の管理に特化した財産管理制度が成立する可能性があります。

 

所有者不明となっている区分所有建物の管理については、共用部分の扱いや、建て替え決議における議決権行使などの点において、民法の所有者不明建物管理制度とは異なります。

管理不全となっている区分所有建物の管理については、さらに管理不全専有部分と、管理不全共有部分の管理制度があります。

管理不全専有部分の管理制度は、専有部分内の残置物・廃棄物、腐食した配管の管理などが想定されています。

管理不全共有持分の管理制度は、共有部分である外壁が損傷している場合や、廊下などにゴミがたくさん置かれている場合の対応を想定しています。

区分所有建物と財産管理2

今回もブログにアクセスしていただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

今回は、共同住宅の空き家を管理する手段についてです。

 

共同住宅という言葉の意味は広いため、ここからは区分所有建物という言葉を用います。

 

区分所有建物とは、区分所有法第1条によれば「一棟の建物に構造上区分された数個の部分で独立して住居、店舗、事務所又は倉庫その他建物としての用途に供することができるものがあるとき」の「各部分」のことです。

 

一般的なイメージとしては、分譲マンションにおけるマンションの1室です。

 

財産管理の観点から、空き家となっている区分所有建物を、次の3つに分けてみます。

 

①相続人不存在となっている区分所有建物
②所有者不明となっている区分所有建物
③管理不全となっている区分所有建物

 

①は、持ち主が亡くなり、相続人の存在が判明しないものです。
法的に所有者がいない状態となります。
元々相続人がいなかったという場合と、相続人がいたものの全ての相続人が相続放棄をした場合があります。
この状態になっている空き家は、相続財産清算人による管理、処分をすることになります。
管理、処分の対象は、空き家以外のすべての相続財産に及びます。

 

②は、法的には所有者がいるものの、行方がわからずまったく連絡をとることもできないものです。
これについては、現在の法律上は不在者財産管理人による管理、処分での対応が見込まれます。
ただし、相続財産清算人の場合と同様に、不在者のすべての財産を対象とする必要があります。

 

③は、所有者がいるにもかかわらず、適切な管理が行われていないものです。
ゴミ屋敷状態になっているものや、放置されて荒れ放題になってしまっているものなど、他の住民等に被害が及ぶ(またはその可能性がある)空き家が挙げられます。
このような空き家への対応は、現行法上は所有権に基づく妨害排除・予防請求権の行使や、共同利益は違反行為に対する措置が考えられます。
しかし、いずれも、管理不全となっている空き家を直接管理することはできません。

区分所有建物と財産管理1

本ブログをご覧いただき、誠にありがとうございます。

 

弁護士・税理士の鳥光です。

 

今回からは、区分所有建物と財産管理についてのお話を書いていきます。

 

昨年から今年にかけて、相続人不存在となったマンション(区分所有建物)の管理・清算をしました。
先日、相続財産清算人としての手続きをすべて終え、財産を国庫に納めたところです。

 

相続財産清算人(旧:相続財産清算人)として区分所有建物を扱ったのは、初めてでした。

 

これまでに行った相続財産清算人の業務は、自治体が居住用の土地の有効活用を目的とした空き家対策や、隣接地に生じた危険を排除するために申し立てられたものでした。
そのため、管理、清算の対象はベッドタウンの一軒家でした。

 

しかし、実際には、マンションなどの共同住宅の方が空き家が多いのです。
総務省の発表によれば、2023年10月時点において、全国に899万5200戸ある空き家のうち、マンションやアパートが502万3500戸を占めています。

 

参考リンク:e-Stat(政府統計の総合窓口)
https://www.e-stat.go.jp/dbview?sid=0004015763

 

特に、都市部の方が、共同住宅の空き家の割合が高い傾向にあるように見受けられます。
東京都においては、空き家の総数は96万7800戸であるところ、そのうち共同住宅の空き家は84万700戸となっています。

 

もちろん、共同住宅の空き家すべてが所有者不存在、所有者不明、管理不全に陥っているわけではありません。
それでも、居住者の高齢化が進むにつれ、このような状態になってしまう共同住宅も増えていってしまうと考えられます。

 

次の記事では、現時点での空き家管理手段についてお話しします。

情報セキュリティの話22

今回もアクセスしていただき、誠にありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

今回は、情報セキュリティに関するお話の最終回となります。

 

これまで21回に渡り、情報漏洩が法的な問題となった事例、システム面・人的な面における情報セキュリティ維持、企業・組織に属している人のセキュリティリテラシー向上等について説明をしてきました。

 

情報セキュリティの維持・向上は、基本的には、それ自体が直接利益を生むものではないので、意識の面においても投資の面においても、優先度が下がりがちになります。

 

情報セキュリティは安全の一種でもありますので、タダでは手に入らないというのが現実であると考えられます。

 

実際に重大なセキュリティインシデントが発生してきたこともあり、行政としても、情報セキュリティを担う人材育成を推進する動きがあります。

 

参考リンク:独立行政法人情報処理推進機構(PDFファイル)
https://www.ipa.go.jp/archive/files/000039528.pdf

 

また、海外においては、専任のセキュリティ責任者を設置している企業や、情報セキュリティを専門とする企業にセキュリティ診断やセキュリティ業務の標準化を委託している企業もあるとされています。

 

これまでの記事を通じて、情報セキュリティに関する認識をより高めるとともに、情報セキュリティスキル・人材の価値向上に貢献できれば幸いです。

情報セキュリティの話21

今日も本ブログにアクセスしていただき、ありがとうございます。

 

弁護士・税理士の鳥光です。

 

今回は、情報セキュリティに関するお話しの21回目です。

 

企業・組織に属している人々の情報セキュリティリテラシーの強化の方法のうち、「採用時の確認」について説明します。

 

応募者の方が、入社前段階でどの程度のセキュリティリテラシーを有しているかを確認する方法のうち、最も典型的なものは採用段階でペーパーテストを行うというものです。

このペーパーテストは、あくまでも採用の可否を決めるものではなく、採用前時点でどの程度のセキュリティリテラシーがあるかを確認するために用います。
セキュリティリテラシーが一定水準以上であれば入社後の内部教育は少なくし、水準に満たない場合には入社後に内部教育をしっかり行うという選別をします。

 

また、募集要項に、IT系の資格や職務経験、研究経験がある場合には履歴書や応募フォームに記載してもらうよう記すのも、ひとつの手であると考えられます。
そのうえで、面接時にセキュリティについて確認をすることで、セキュリティリテラシーの程度を計ります。
ITにも様々な分野が存在していますので、IT系の資格や職務経験等があっても、必ずしもセキュリティリテラシーが高いとは限らないためです。

情報セキュリティの話20

今回もご覧いただき、誠にありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

今回は、情報セキュリティに関するお話の20回目です。

 

前回に引き続き、企業・組織に属している人々の情報セキュリティリテラシー強化の方法のうち、「内部教育」について説明します。

 

内部教育は、いわゆる座学研修が基本となります。
セキュリティに関する一定の知識を有する社内担当者が講師になるか、外部の専門業者に依頼をする、またはこれらを組み合わせる形で行います。

 

個人的には、「用語の意味」の理解に重点を置くことと、「実例」を用いることが大切であると考えております。

 

セキュリティに関する教材などに登場する言葉の中には、どうしても「マルウェア」「有線LAN」「SSL」などの、ITエンジニア用語が含まれてしまいます。

 

まずこれらの意味を知ってもらわないと、いくら研修を行っても、セキュリティ対策に関する理解が進まないということになります。

 

また、セキュリティに限らず、ITに関する理解を進めるためは、実際に操作をしてみるということが大切です。

 

有線LANの抜き方や、データをウィルス対策ソフトで検査する操作などについては、実機で行ってみると一気に理解が進むこともあります。
不正なファイルや不正なリンクが付されたメールについては、実物を使用すると危険ですので、スクリーンショットなどの画像を使用して説明するとよいと考えられます。

 

座学研修と並行して、ITに関する基礎的な資格取得を奨励するという方法もあります。
一番の目的は、IT用語に馴染んでもらうことです。
そのため、高度な資格までは不要と考えられます。
例えば、独立行政法人情報処理推進機構(IPA)が実施しているITパスポート試験の受験が挙げられます。

情報セキュリティの話19

本日も本ブログにアクセスしていただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティに関するお話しも19回目となりました。

 

今回は、企業・組織に属している人々の情報セキュリティリテラシーの強化の方法について、その概要を説明します。

 

企業・組織内部でのセキュリティインシデントの発生は、故意によるものを除き、過失か、そもそも情報セキュリティに関する説明を理解できていないことが原因で起きると考えられます。

 

まず、情報セキュリティに関する説明が理解できているかどうかという点に焦点を合わせる必要があります。

 

例えば、マルウェア感染時の基本的かつ重要な初動対応である、「LANケーブルを抜く」という作業ひとつとっても、そもそも「LANケーブル」が具体的にどのようなものか、PCのどこに接続されているのか、どうやって抜くのか(一般的には抜け防止のためツメがあり、ツメを押しながら出ないと抜けない)がわからないということもあります。

(自分で書いておいてというところもありますが、「マルウェア」という言葉も、どちらかというとエンジニア側の用語であり、「コンピューターウィルス」を含む言葉であると考えられています)

 

企業・組織の事業所においては、コスト等の関係で今でもデスクトップPCを使用しているところも珍しくありませんが、近年では、私生活において使用するIT機器はスマホがメインになっていて、デスクトップPCになじみがない方も増えています。

 

メールに添付されたデータや、メディアを介して受け取ったデータはウィルス対策ソフトで検査することが大切ですが、使い方がよくわからないがために面倒で省いてしまうということも起き得ます。
(なお、「メディア」という言葉もやはりエンジニア寄りの言葉であり、「USBメモリ」「CD-R」「DVD」など、具体例を挙げないと通じない可能性もあります)

 

企業・組織に属している人々の情報セキュリティリテラシーを強化する方法としては、「内部教育」と「採用時の確認」が挙げられます。

 

次回以降、これらについて説明します。

情報セキュリティの話18

今回も本ブログをご覧いただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティに関するお話の18回目です。

 

今回は、企業・組織に属している人々の情報セキュリティリテラシーが低いと起き得ることについて、具体的に説明します。

 

まず、典型的なセキュリティインシデントではありますが、メールに添付された不正なファイル(マルウェア)を開いてしまうことや、メールに記載された不正なリンク先にアクセスしてしまうというものです。
古典的なものではありますが、今でも時折発生していることからすると、理論上の対策は簡単ではあるものの、現実に完全な対応をすることはとても難しいセキュリティインシデントのひとつであると考えられます。

 

次に、仮にマルウェアに感染した場合の対応に遅れが生じる可能性があります。

 
マルウェア感染が疑われたら、すぐに有線LANを物理的に遮断したり、しかるべき連絡先等に報告をすることができなかったり、そもそもマルウェアに感染していることに気付くことができないということもあります。
その結果、マルウェア感染の範囲が拡大してしまったり、より多くのファイルサーバ等のデータが破壊または暗号化されてしまうという事態が生じてしまいます。

 

そのほか、かつてメーリングリストの設定を誤ったことで、センシティブな情報が公開されてしまい、深刻なセキュリティインシデントが発生したということもあります。

 
近年ではリモートワークの普及もあり、複数の人がクラウドシステム上に保存されたデータにアクセスして業務を進めることも増えました。
このとき、クラウドシステム上に保存されたデータの共有設定を誤ると、本来データへアクセスさせることを想定していない人にデータが渡ってしまう可能性もあるので注意が必要です。

情報セキュリティの話17

いつも本ブログをご覧いただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

今回は、情報セキュリティに関するお話しの17回目となります。

 

前回までは、企業の情報管理を外部の事業者に依頼する場合に提示すべき要件について説明しました。

 

そして、今回からは企業や組織の内部にフォーカスし、企業・組織に属している人々の情報セキュリティリテラシーの強化について説明していきます。

 

企業・組織に属している人々の情報セキュリティリテラシーの強化は、カテゴリーでいえば人的側面における情報セキュリティ対策となります。

 

情報セキュリティに関するリテラシーが低いと、情報漏洩を含むセキュリティインシデントが発生する可能性が高まりますし、セキュリティインシデント発生後の対応が遅れ被害が広がってしまう可能性があります。

 

企業・組織内部でのセキュリティインシデントの発生は、故意によるものを除けば、過失によるものか、そもそも情報セキュリティに関する説明を理解できていないことが原因で起きると考えられます。

 

次回以降、情報セキュリティに関するリテラシーが低いと起き得ることや、企業・組織内部の情報セキュリティリテラシーの強化について説明していきます。

情報セキュリティの話16

今回も本ブログをご覧いただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

今回は情報セキュリティに関するお話の16回目となります。

 

前回に引き続き、顧客情報など機密性の高い情報を外部の事業者等の管理下に保管する場合に、相手となる事業者等に提示すべきセキュリティ要件のうち、人的な側面に関するものについて説明します。

 

2つめの人的要件は、機密情報に携わる従業員等のセキュリティリテラシーです。

 

一般的には、システムの開発や保守運用に関わる従業員は、ある程度のセキュリティリテラシーを有していると考えられます。
しかし、ネットワーク技術者なのか、アプリケーションエンジニアなのかといった、取り扱い分野によってセキュリティリテラシーの程度は変わることはあります(セキュリティリテラシーが高い分野とそうでない分野がある)し、入社して間もない方と長年業務にあたっている方とでもセキュリティリテラシーのレベルは違うと考えられます。

 

IT技術者でない従業員も機密情報を扱う可能性がある場合には、よりセキュリティリテラシーレベルを一定以上のものに保つことが重要となります。

 

そこで、機密情報に携わるすべての従業員等に対するセキュリティ教育を施し、全員が一定程度以上のセキュリティリテラシーを有するようにしていることを要件とすることが考えられます。

情報セキュリティの話15

今回も本ブログにアクセスしていただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティに関するお話しの15回目です。

 

今回からは、顧客情報など機密性の高い情報を外部の事業者等の管理下に置く場合に提示すべき要件のうち、人的側面に関するものについて説明していきます。

 

まずは、入退館管理についてです。

 

ベネッセの情報漏洩事件においては、業務の委託を受けていた人物が業務PCに私物のスマートフォンを接続し、機密情報を抜き出しました。

 

そして、裁判所は、私物スマートフォンの持ち込みを制限していなかったことにつき、注意義務違反があるとしました。

 

大きなデータセンターなどにおいては、入退館の際の身元確認だけでなく、改札機を使用して物理的な入退館を制限し、かつ警備員等が目視している状態でカバンや持ち物をロッカーに預けないとサーバールームに入れないという運用を設けていることもあります。

 

サーバールームではなく、通常のオフィスからコンソールアプリケーションを使用してリモートアクセスをするケースにおいても、裁判例を踏まえると、機密情報を扱う業務にあたる従業員に対しては、執務室に持ち込める物品の制限を設ける必要もあります。

 

これらのことを踏まえると、入退出管理についての要件として、入退館時の身元確認、持ち込める荷物の制限を設けていることを提示することが考えられます。

情報セキュリティの話14

本ブログにアクセスしていただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティに関するお話の14回目となります。

 

今回は、顧客情報など機密性の高い情報を外部の事業者等の管理下に保管する場合に、相手となる事業者等に提示すべきセキュリティ要件のうち、技術動向の把握・タイムリーな適用について説明します。

 

ベネッセの情報漏洩事件において認定された注意義務違反のひとつとして、業務用PCからのMTP方式によるデータ転送を制限する設定がなされていなかったというものがあります。

 

より詳しく説明しますと、業務用PCからスマートフォンへデータを転送する方式にはMSC方式とMTP方式があり、当時主流であったMSC方式のみデータ転送を禁止する設定がなされていました。

 

しかし、MTP方式によるデータ転送も増えつつあったことから、その技術動向を把握し、MTP方式によるデータ転送を制限する設定をすべきであったとされました。

 

このことを踏まえると、提示すべき要件としては、技術動向の把握とタイムリーな適用ができるセキュリティ対策体制を設けていることが挙げられます。

 

具体的には、セキュリティ対策専門の部門または要員を設けていることや、適用すべき設定等を認識した場合には〇日以内にリリースする運用としていることなどが挙げられます。

 

これらについては、少なくとも体制図と運用要領の提示を求めることが有用です。

情報セキュリティの話13

ブログご覧いただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

今回は、情報セキュリティに関する13回目のお話しとなります。

 

前回は、顧客情報など機密性の高い情報を外部の事業者等の管理下に置く場合に提示すべき要件のうち、ネットワーク・サーバー構成について説明しました。

 

今回は、アクセス制御・ログ取得についてお話しします。

 

機密情報が保管されているストレージやデータベースは、ファイアウォールを用いて内部ネットワークからのアクセス制御をし、限定された端末やサーバーからのみ接続可能とすべきです。
そして、保守作業等によってコンソール端末からアクセスする際には、ログイン履歴と操作ログを取得することも必要です。

 

情報漏洩が発生した際、誰がいつデータベースにアクセスしたかを調査することは、セキュリティ事故対応の基本となります。

 

そして、一定期間内に複数の保守員等がデータベースにアクセスしている場合には、誰がどのような操作を行ったかを知るために、操作ログがあると助かります。

 

操作ログがあると、保守員等が意図的に機密情報を持ち出した場合だけでなく、保守員等が認識していないものも含む操作ミスによる情報漏洩の原因追及にも役立ちます。

 

また、すべての操作ログを取得していることを組織内に周知しておくことで、良い意味での緊張感を生み、情報漏洩の抑止にもつながります。

情報セキュリティの話12

本ブログをご覧いただき、誠にありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

今回は、情報セキュリティに関するお話の12回目です。

 

前回に続き、顧客情報など機密性の高い情報を外部の事業者等の管理下に保管する場合に、相手となる事業者等に提示すべきセキュリティ要件についてお話しします。

 

まず、システム面における要件のうち、ネットワーク・サーバー構成についてです。

 

外部(インターネット)と接続されていないネットワーク環境である場合には、顧客情報や財務情報などの機密情報を格納したストレージやデータベースサーバーは、内部ネットワーク上の端末や他のサーバーからのアクセスを制限する環境に設置することが望ましいと考えられます。

 

具体的には、顧客情報や財務情報などの機密情報を格納したストレージやデータベースサーバーは、ファイアウォールで仕切られたネットワーク領域に設置するとともに、限定された端末等からのみの通信を許可するというのものです。
さらに、アクセスログ(できればすべての操作ログも)を取得するゲートウェイを経由する構成とするのが理想です。

 

もしウェブサイトを設置しているなど、インターネットからのアクセスが想定されている場合には、インターネットと内部ネットワークとの間にDMZを設け、インターネットとDMZ、およびDMZと内部ネットワークとの間にそれぞれファイアウォールを設けてアクセス制御を図る必要があります。
DMZ上のWEBサーバーを経由した、特定のアプリケーションサーバー等に対する、特定のプロトコルの通信のみを許可することで、内部ネットワークへの侵入を防止します。

 

要件を提示する場合には、少なくとも上述のようなネットワーク・サーバー構成を設けていることの保証を求めることが重要となります。
(実務上、さすがに詳細なネットワーク・サーバー設計の開示を求めることは現実的とはいえませんので)。

情報セキュリティの話11

本日もブログにアクセスしていただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティに関するお話の11回目となります。

 

前回までは、数回にわたり、ベネッセの情報漏洩事件を題材に顧客情報等を取り扱う組織側における、情報漏洩に関する注意義務についてお話をしました。

 

今回からは、この注意義務の内容を踏まえて、顧客情報など機密性の高い情報をベンダーのクラウド上のシステムに保存する場合や、提携先の組織に提供する際に、相手に求める要件について検討をしてみます。

 

情報漏洩が起きることは誰にとっても良いことはありませんし、責任追及には大きなコストがかかります。
そこで、紛争を予防するためにも、事前にシステム面、人的な面の両方で、事前にセキュリティ対策に関する要件を伝えるべきであると考えられます。

 

システム面においては、ネットワーク・サーバー構成、アクセス制御・ログ取得、技術動向の把握・タイムリーな適用についての要件を提示することが考えられます。

 

人的な面においては、データセンターやコンソール端末がある場所における入退出管理・持ち物管理、従業員や委託先のセキュリティリテラシー水準の確保、従業員や委託先の就業管理(誓約書等の作成による抑止効果)についての要件を提示することが考えられます。

 

次回以降、それぞれについて個別に説明します。

情報セキュリティの話10

ブログにアクセスいただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

今回で、10回目の情報セキュリティのお話ととなります。

 

前回、顧客個人情報が漏洩した際の損害論について、裁判例を元にお話をいたしました。

 

ベネッセの顧客情報漏洩事件においては、顧客情報に含まれていた顧客個人の損害が問題となり、個人情報が流出した以外の具体的な損害がなかったことから、個人情報流出自体が生じさせた損害額として1000~3000円の慰謝料が認められました。

 

もっとも、情報漏洩による影響の本質は、どの程度まで損害が広がるかがわからないというところにあると考えております。
また、様々な損害が発生したとして、情報漏洩と因果関係が認められるのはどこまでか、という問題もあります。

 

もし漏洩した情報が事業運営上重要な情報であり、漏洩によって大きな機会損失が生じた場合はどうなるか。
士業においては、顧客の身分や財産に関する重要な情報が漏洩し、これによって顧客やその親族等に社会的、財産的損害が生じた場合はどうなるか。

 

このように、情報漏洩による影響は、いくら検討しても予測しきれない部分が残ります。

 

企業間の契約書においても、損害賠償の範囲を限定する条文を設けることは一般的に行われていますが、私は「秘密保持に関する条文に違反した場合にはこの限りでない」という趣旨の但し書きを入れることがあります。

 

そのうえで、情報漏洩が起きた場合にどうするかという対策ももちろん大切ですが、とにかく情報漏洩は起こさないことを念頭に置いて経営資源を投入することが重要であると考えられます。
情報は一度漏洩してしまったら、拡散を止めることは事実上困難であるためです。

情報セキュリティの話9

本ブログをご覧いただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティに関するお話も9回目となりました。

 

今回は、顧客情報が漏洩した際の損害賠償責任に関するお話しの続きとなります。

 

顧客情報が漏洩したこと自体がプライバシーを侵害し、損害を生じさせると判示した最判平成29年10月23日の差し戻し審(大阪高判令和元年11月20日)において、慰謝料は1000円とされました。

 

その他の裁判例においても、ベネッセの顧客情報漏洩事件における損害額(慰謝料)は、概ね2000~3000円とされています。
(原告の事情や、ベネッセが500円相当のお詫び品の提供をしていることなど、諸般の事情が考慮されることにより、慰謝料の金額が変動しているものと考えられます)

 

訴訟で認められた慰謝料の金額は、金銭のみでなく、時間や労力など訴訟活動にかけたコストに見合ったものとは言い難いものではあります。

 

実際、ベネッセの顧客情報漏洩事件についての訴訟はいくつもありますが、本人訴訟も多く含まれています。
獲得が予想される経済的利益が小さく、代理人をつけることが困難であったという事情があったのではないかと考えられます。

 

漏洩した情報に自身の情報が含まれていた方には酷な結果ではあるものの、情報漏洩を起こした組織側に発生する負担は、慰謝料のみではありません。
むしろ、社会的信用を失うことによるダメージは、金銭には置き換えられないレベルのものであると考えられます。
士業においても同じことがいえることに加えて、懲戒処分の対象にもなり得、業務の継続が困難になることさえ考えられます。

 

事業運営側の立場としては、このような事態にも発展することを念頭に置いて、セキュリティ対策を講じる必要があります。

情報セキュリティの話8

いつも本ブログにアクセスしていただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

今回は、情報セキュリティのお話の8回目です。

 

前回はベネッセの顧客情報漏洩事件における、企業側の注意義務について、システム面と人的な側面から検討してみました。

 

次に、注意義務違反が存在したとして、原告(漏洩した顧客情報に含まれていた顧客)に対し、情報漏洩による損害が発生したといえるかという問題があります。

 

具体的には、顧客情報(子及び親の氏名、性別、生年月日、郵便番号、住所、電話番号等)が漏洩しただけで、不法行為に関する責任を定めた民法709条における、「法律上保護される利益を侵害した」といえるかという問題です。

 

【参考条文】
(不法行為による損害賠償)
第七百九条 故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う。

 

これについては、最判平成29年10月23日は次のように判示して差し戻し、差し戻し審において損害が認められました。

 

「本件個人情報は,上告人のプライバシーに係る情報として法的保護の対象となるというべきであるところ(最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決・民集57巻8号973頁参照)、上記事実関係によれば、本件漏えいによって、上告人は、そのプライバシーを侵害されたといえる。」

 

なお、最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決は、憲法判例百選にも掲載されている有名な判例で、プライバシーにかかわる情報が法的保護の対象になることを示したものです。

 

顧客情報を漏洩させたこと自体が損害を発生させたといえるとして、今度はどの程度の損害が生じたといえるかという問題を検討する必要があります。
この点については、次回お話いたします。

情報セキュリティの話7

本ブログをご覧いただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティに関するお話の7回目です。

 

今回からは、セキュリティにかかわる法的な話題について取り上げます。

 

セキュリティに関する法的な問題が生じる場面には様々なものがありますので、情報漏洩が起きた際の企業の責任という論点について述べていきます。

 

題材としては、一般的にも有名な事件である、ベネッセの顧客情報漏洩事件を取り扱います。

 

ベネッセの顧客情報漏洩に関する裁判例、判例は多数ありますが、企業の過失についての論点が含まれる東京高判令和3年5月27日の裁判例をもとに、システム面、人的な面におけるセキュリティ対策を考えてみます。

 

ベネッセの顧客情報漏洩事件の内容は、要約するとベネッセのIT業務を委託されていた会社において、業務を委任されていた人物が私物スマートフォンを業務用PCに接続してMTP方式で顧客情報を抜き取り、名簿業者に売却したというものです。

 

そして、流出した顧客情報の中に含まれていた顧客が原告となり、ベネッセと、ベネッセのIT業務を委託されていた会社に損害賠償を求めた事件です。

 

ベネッセのIT業務を委託されていた会社にも注意義務違反があったとして損害賠償責任が認められ、その注意義務違反の内容は、次の2つです。

 

ひとつは、執務室内への私物スマートフォンの持込禁止措置を施さなかったことです。
執務室内への私物スマートフォンの持込禁止は、人的な側面におけるセキュリティ対策であり、簡便かつ確実に行うことができる情報漏えい防止の方法といえます。
大量の顧客情報を扱う会社において、この対策が行われていないことについて注意義務違反があったとされました。
(なお、業務への支障があるとして、私物スマートフォンの持ち込みを禁止することができない事情があったという反論もなされましたが、私物スマートフォンの持ち込みには情報漏洩を防止することを上回る利益はないとされました。)

 

もうひとつは、業務PCにおいて、私物スマートフォンへのデータ転送を防ぐセキュリティ設定がなされていなかったことです。
より正確には、業務PCにはセキュリティソフトが導入されており、スマートフォンへのデータ転送を防ぐ設定がなされていなかったわけではありません。
しかし、スマートフォンへのデータ転送放棄にはMSC方式とMTP方式というものがあるうちの、MSC方式のみデータ転送を禁止する設定がなされていました。
当時はMSC方式が主流であったものの、MTP方式の利用も増えており、MTP方式によるデータの抜き出しは予見できたとされ、MTP方式によるデータ転送を禁止する設定を施していなかったことにつき、注意義務違反があったとされました。
これは、システム面におけるセキュリティ対策を施さなかったことについての注意義務違反です。

 

なお、ベネッセについても、IT業務の委託先を適切に監督し、個人情報が漏えいしないように、少なくともセキュリティソフトの設定が適切に行われているか否かの確認を行う義務があったとされ、この義務を果たしていなかったことにつき注意義務違反があるとされました。