HOME 予防法務
話合いによる問題解決 衝撃の同席調停 大阪研究会 同席合意形成と法律業務 ニューヨークのMediation
LANCIA FORREST おまけ
テクノ企業法務日誌50 弁護士大澤恒夫
顧客情報の価値とリスクー緊急を要するセキュリティ体制
◆驚愕の悲しい事件
小学校4年生の女の子が給食時間中に別の教室に呼ばれ、同級生の女の子にカッターナイフで首を切られて亡くなったという事件がありました。二人とも優秀で仲の良い友達同士だったそうですが、インターネットを通じた話のやり取りや掲示板での発言などをめぐって、爆発行動に及んだようなことが報道されていました。本当に悲しく、やりきれない事件でした。これはいわゆる「非行少年・少女」の事件ではないですね。優等生がある日突然キレて殺人に及ぶという、一種不可解な事件のように周囲には見えます。でも、本人にとっては、その瞬間まではある種不可避な行動だったのかもしれません。世の中、物理的には便利を極め、コインを入れればジュースがガチャンと出てくるような、自分の思いどおりになる環境にどっぷり浸かっていると、お互いに葛藤が生じる人間関係に直面したとき、思いどおりにならない相手に対して、どのように対応してよいか分らなくなって、物理的な力で思いどおりにするという方向に短絡してしまうということが、あるのかもしれません。個人個人がお互いを違う存在として認め合って、尊重し合うとうことが、心の底から理解されないと、大変なことになるでしょうね。これは大人の世界でもなかなか理解されていないことで、ヒトゴトだと済ますことはできない重大な課題ですが・・・・・
◆大規模デジタル・データ漏出の衝撃
あまりのショックな事件のことで、つい横道にそれてしまいました。当社は従業員30名ほどでソフトウェア開発などを行っている会社で、私は総務や経理などを担当しております。最近は衝撃的な事件が多くて嫌になってしまいますが、とりわけ、わたしどもの業界にかかわるものとして、大手のブロードバンド・サービス事業者のお客さんの460万人分のデータや、石油元売大手会社のガソリンカード会員のデータ220万人分が、外部に流れ出してしまったという事件がありました。ブロードバンドの顧客データの事件では、派遣社員から情報が漏れたというようなことも聞きますし、事件の対応でもう数十億円もかかったとか、会員から裁判も起こされているようなことも聞きました。当社は、大手さんも含め、外注を受けてデータベースのメンテナンス作業をやったりもしていて、このような事件はヒトゴトのように思えません。社長から、当社としてこんな重大事件に巻き込まれたりしないようにせよ、という厳命が下りまして、まずは法律的な基本を知ることが先決だということで、とりあえず社長が知人から紹介されたL弁護士に話を聞いてみようということになりました。
◆L弁護士に聞く
「Lさん、今回のブロードバンドの顧客データの事件は怖いですね。」
「そうですね。流出したデータの大きさもすごいですが、これが流出した経路が判明して逮捕者が出たときの報道を見ると、重要なデータに対するセキュリティ体制の実態が露わになって驚かされました。大なり小なり、どの企業でも振り返ってみて、ぞっとするのではないでしょうか。」
◆ID、パスワードの付与と管理
「具体的にはどういう点ですか。」
「まず驚かされたのが、顧客データベースのサーバーにアクセスを可能にするIDやパスワードの発行ですが、その事件では派遣社員の作業者を含めて130以上のアカウントが発行されていたそうです。それで、内部ではそれらが複数の作業者間で使い回しされていたともいわれています。」
「ほうー・・・・・」
「しかも、パスワードは変更されないで、情報漏出の元になった派遣社員が退職した後にも、そのパスワードが生きていて、相変わらずそのパスワードでサーバーにアクセスできたということです。」
「確かに大規模な作業が必要なシステムなどでは、多数の人が関与するため、IDも沢山発行することがありますね。使い回しとか、外部からアクセス可能とか、パスワード変更無しとか、われわれも冷や汗が出ます。」
◆外部からのアクセスの許容
「それだけでなくて、その事件では、発行されたID、パスワードを使って作業者の自宅からも会社のサーバーにアクセスできて、自宅にいても会社サーバーのデータベースのメンテナンス等ができるようになっていたようです。」
「はあー・・・・・」
「で、派遣社員が外部からサーバーにアクセスできることをTという友人、これはハッカー仲間だと報道されていましたが、そのTに自慢して実演して見せていたところ、Tは派遣社員が打ち込むIDやパスワードを記憶して、それを使って外部からサーバーにアクセスしたというのです。」
「怖いですね。」
◆悪用されたインターネット・カフェ
「それから更に怖いのが、外部からの不正なアクセスというのが、新宿のインターネットカフェからなされていたというんです。この事件はもともと、顧客情報を持っているという人物が会社に数十億円のお金を出すように恐喝行為をしたことで逮捕者が出たのですが、はじめの内は漏出した経路が分らなかったのです。データが膨大ですから、簡単にはコピーができないはずで、内部の者が高速の読み取り機でDVDに落として、外部に持ち出したのでは?と推測されたりしていたようです。ところが、実際はインターネットカフェから悠々とデータが吸い取られていたということが分り、これも大きな衝撃だったと思います。」
「ますます怖くなりました・・・・・」
◆採られたセキュリティ対策
「会社はすぐに、アクセス権限のある者を3人に限定し、それからアクセスも限定されたセキュリティ・エリアで認証を受けたアクセス権限者が所定の端末を使用してでないと為しえないようにするなど、セキュリティ体制を改善したということです。」
「やっぱり厳格にやらないといけないんですね。」
◆膨大な数の苦情への対応
「この事件で会社が直面した問題は、これだけに限られませんでした。」
「といいますと・・・・・」
「会社は顧客情報漏出が判明して間もなく、当時の全顧客約380万人に1人500円の商品券を送りました。これだけで単純計算で20億円近い金額ですね。」
「これは大変ですね。」
「更に会員からは数千件を超える苦情や質問が寄せられ、それに対する対応も非常に大変だと思います。会員にしてみれば、なぜこのようなことが起きたのか、どうしてくれるのか、もしデータが不正なことに使われたらどう責任を取るのか、などなど、疑問が生じるのは当然でしょう。対応マニュアルを作ったとしても、1人数分で済む話ではありません。これは大変なことです。」
「最近では個人情報を悪用した架空請求の被害なども多くなっていて、会員も大きな不安を感じるでしょうし・・・・・」
◆総務省の公表した措置と改善策
「それから、総務省はその会社に対する措置というのを発表しまして、アクセス管理とデータの持ち出し制限が不十分であることから、『電気通信事業における個人情報保護に関するガイドライン』という指針の違反があったと指摘しました。具体的には先ほどの点のほかに、アクセスログの保存期間が1週間しかない、セキュリティエリアへの入退室認証・本人確認がなされていない、外部記憶媒体への記録やプリントアウトが可能になっている、データベースへのアクセス可能端末からのメール監視がない、といった点です。会社はこれらについて直ちに改善策を講じました。」
「個人情報の保護ですね。」
◆個人情報保護法との関係
「そのとおりです。個人情報の保護が問題になります。」
「でも、たしか個人情報保護法は、民間企業についてはまだ施行されていないんですよね。」
「そうですね。民間の企業で個人情報データベース等を保有する個人情報取扱事業者が負う公的な義務等については、来年(2005年)4月1日からの施行になります。」
「ということは、現時点では民間企業では個人情報の保護は法律上の問題にはならないんですね。」
「それは違います。来年施行される個人情報保護法は、あくまでも公的な義務として、個人情報の利用目的の特定、利用目的による制限、適正な情報取得、取得に際しての利用目的の通知等、データ内容の正確性の確保、安全管理措置、従業者の監督、委託先の監督
情報の第三者提供の制限、開示、訂正等、利用停止等、適正な苦情の処理などを行わなくてはならないということと、これに反した場合主務大臣による勧告・命令がなされ、罰則の適用もありうることを定めているのです。個人情報の不適切な扱いに起因して他人に損害を与えたような場合の損害賠償責任などは、個人情報保護法以前の問題として、民法の債務不履行とか不法行為の成否ということで判断されます。」
◆会員からの提訴
「ややこしいですね。」
「民事責任は現時点でも厳しく追及されるということです。現に、ブロードバンドの顧客情報流出事件でも、早速、3人の会員が大阪地裁にそれぞれ10万円の慰謝料を請求する訴えを起こしたと報道されています。合計30万円というと大したことがないように見えますが、380万人全員と考えると、実に3800億円にもなります。」
「うわ、大変なことですね。」
◆宇治市住民基本台帳データ漏出事件
「過去の裁判例を見てみますと、宇治市の住民基本台帳データが漏洩した事件で、裁判所が原告の住民について慰謝料1人1万円と弁護士費用5000円を認めたケース(大阪高裁平成13年12月25日判決)があります。その事件では、宇治市が住民基本台帳のデータを使用して乳幼児検診システムを開発するということで、その開発業務を民間業者に委託したところ、その業務が更に外注され、その外注先のアルバイトの従業員がデータを不正にコピーして名簿販売業者に販売してしまったということでした。そこで、住民が、データの流出により精神的苦痛を被ったと主張して、宇治市に国家賠償(不法行為)責任を追及したのです。」
「実際にそういう裁判事件があるんですね。」
「事実関係が違いますから一概には言えませんが、ブロードバンドの事件で仮に一人1万円の慰謝料が認められるとしたら、380万人分は380億円にも上ります。現在の日本では単発的な訴訟になっていますが、アメリカのようにクラスアクションという訴訟のやり方が認められ、被害者の一部が訴訟を起こして勝てば他の被害者も同様の救済を受けられることになれば、莫大な金額が現実的な脅威となる可能性があります。」
「なるほど・・・・」
◆企業の重要資産としての情報
「それから、今回の事件の報道のなかに、更にとても気になる部分がありました。それは、IDとパスワードを入手した犯人が、顧客情報データベースにアクセスしていただけでなく、会社の経営情報にもアクセスしていた可能性があるという点です。」
「といいますと・・・・」
「顧客情報ももちろん重要な会社の資産なのですが、会社にはそのほかに経営戦略とか営業計画、人事・財務・経理など多方面にわたる秘密の情報がありますし、技術開発をしている会社であれば、その面での機密情報もある訳です。これらの情報は会社の重要な財産で、これらが外部に漏出すれば当然その会社の競争力は低下してしまいます。」
「それはそうですね。」
「顧客情報の漏出が問題とされるとき、個人情報の保護という側面が話題になりますが、それだけではなくて、会社の重要な情報資産の保護という面も十分留意しておく必要があります。」
◆不正競争防止法による営業秘密の保護
「具体的にはどういった点を注意すべきでしょうか。」
「不正競争防止法という法律が『営業秘密』の保護を定めているのですが、その保護を受けるためには、@秘密としての管理がなされていること、A事業活動にとって有用であること、B社外に公然と知られていないこと、が必要です。このなかで実際上一番問題となるのは、秘密管理性です。」
「どういうことでしょうか。」
◆秘密管理の重要性
「個人情報問題でのセキュリティと共通する部分が多いのですが、秘密の情報として保護を受けるためには、情報をきちんと区分し、保管場所を特定し、施錠したり、パスワードを設定し適時に変更する、また情報へのアクセスを限定された権限者に制限する、従業員や外注先などと秘密保持の合意をきちんとする、秘密管理者などの責任者を配置して、従業員への教育も行うといった管理を行うことが要請されるということです。そのためにはTQCでいわれるところのPDCA(Plan, Do, Check, Action)のサイクルを回して、地道に対応することが必要になります。」
****************************************
当社も社内外の重要なデジタル情報に日常的に接する業務を行っていますので、重大な責任問題に巻き込まれるリスクがあることが、よく分りました。きょうの話を参考にして、2005年4月1日の個人情報保護法全面施行への対応を含め、社内の体制を見直し、適切なものに改善してゆきたいと思います。
(おわり)
©2004 Tsuneo
Ohsawa. All rights reserved