「情報セキュリティは抽象論の時代から実効性があるのかという時代になっている」――都内で開催された重要インフラセキュリティセミナーで情報セキュリティに詳しい岡村久道弁護士はこう語り、情報セキュリティを確保するために具体的な対策が必要であると強調した。

傷口を広げるルールとセキュリティを確保する必要性

岡村弁護士は情報セキュリティ関連の裁判例を挙げながら現状の問題点と今後の課題を指摘。例えば2005年に判決が出た北海道警江別署の捜査情報が漏えいした事件では、暴露ウイルスAntinnyに感染した巡査の私有PCから捜査情報がWinnyネットワークに拡散した。

この時期、道警では情報セキュリティ対策として(1)私有PCの持ち込み時に上司の許可を得る(2)持ち込んだPCのHDD内に捜査情報を保存しない(3)私有PCを持ち帰る際には上司のチェックを経る――という3点の規則を定めていた。

しかし当時、道警は「経済的に豊かでなかった」(岡村弁護士)ために私有PCの持ち込みを容認していたのではなかったかとして、上司のチェックが働いていなかった。(2)に関しても、HDDに保存しない場合に、今時FDD搭載PCは少なく、またUSBメモリを使おうとしても、その方が紛失の危険が高い。さらに、署内LANに接続して保存しようとしても、結果的にウイルス感染したPCをLANに接続させることは不適切である。(3)についても、専門家でさえウイルススキャンなどで短時間のうちに処置するのが難しいところを、上司にITスキルがない場合は「事実上不可能に近い」といえる。

これらの点から道警は「守れないルールを作り、それを(そのルールを)守っていなかった」という状態だった。その結果、第1審の札幌地裁は道警の責任を認めて原告に慰謝料40万円の支払いを命じた(控訴審判決では責任は認められなかった)。

岡村弁護士は、ルールを定めても、それが守れないようなものだったら「かえって傷口を広げることになる」と指摘する。

2006年に地裁判決が出たYahoo!BBの情報漏えい事件では、情報が漏えいしたユーザーの損害賠償請求に関して企業側の責任を認めた。一般論としては、仮に企業が情報を盗んだ犯人に対して損害賠償を弁償させようとしても、犯人にその支払い能力がないので請求できないと岡村弁護士は語る。

情報を盗んだ犯人がいたとしても、結局損害賠償は企業が支払わざるをえないため、「損害賠償制度は企業の味方ではない」。岡村弁護士は、企業側は自主的にセキュリティを高めておかないと、情報漏えい事件が起きた際に「マスコミにたたかれ、判決でなじられ、お金の負担を余儀なくされる」とする。

バックアップとルール作り、実効性のあるセキュリティ

情報漏えい以外では、運送業者や引っ越し業者がデータやPCを紛失してしまったり、ショップが修理中のPCのデータを消失してしまったり、レンタルサーバーのデータをメンテナンス中に消失してしまうなどといった判例を紹介。

こうした場合に顧客から損害賠償を求められた、または損害賠償を求める場合、消失の判例ではバックアップの存在が重視されており、バックアップがない場合は顧客側にも5割の責任があるとされ、その分賠償額が減額されるという判決が出ている。

こうした判例から岡村弁護士は、「ユーザー側も情報セキュリティをそれなりに図る措置を行う義務がある」と話す。

この場合、データを維持するための実効性のある対策は「バックアップをとること」だが、適切なルール作りも重要だ。

例えば企業内の情報を社員が個人サイトに記載したり、社内で私用メールを利用したり、といった事例が起きた場合に、就業規則でそれを制限していない限りは企業側は処分できない場合がある。

具体的な例では、上司のセクハラ被害を受けたとする女性が、就業中に会社の外にいる夫にメールで相談。それを知った上司がそのメールをモニタリングして、それを女性側がプライバシーの侵害だと訴えた事件の判決で、その企業に明確なルールがなかった(就業規則はあったが周知徹底されていなかった)ために、「一定限度で私用メールが認められる」との判断がなされた。

社内ルールを定めていなかったり、きちんと周知していない場合は、問題が起きたときに処分を行おうとしても処分できないし、訴えても「弱い立場に立たされる」と岡村弁護士。

私用メールに関する判例について岡村弁護士は、(1)会社の職務遂行の支障となるか、会社の経済的負担はどの程度かという基準で判断、一定限度内であれば私用メールは許されるが、限度を超えれば懲戒処分できる(2)私用メールによる誹謗中傷や、会社のアドレスを使って出会い系サイトに登録するなどの名誉棄損事例――という2つの類型に分類。

私用メール禁止の規定がなければ処分できないわけではないが、処分は就業規則に懲戒事由として定められたもの、例えば職務専念義務違反などでなければならない。

実際、労働基準法では就業規則に懲戒処分に関する事項を定める必要性、懲戒理由も事前に定めておき、さらにそれを周知させることを求めているほか、ISO/IEC 17799:2005(JIS Q 27002:3006)でも情報資産の利用の許容範囲に関するルールを明確化し、文書化した上で、違反者には正式な懲戒手続きをとることを求めている。

こうしたことから、情報セキュリティは「抽象論の時代から、現場でどうやっていくのか、実効性があるのか、という時代に来ている」と岡村弁護士は話し、実効性のある、具体的な対策を確保しておかないと、問題に対処できないと警鐘を鳴らした。