Enterprise Watch
最新ニュース

牧野弁護士「人間系のセキュリティ対策が重要」

~セキュリティ・ソリューション フォーラム in Security Solution 2003 講演~

弁護士 牧野二郎氏
 東京ビッグサイトで開催されている「セキュリティ・ソリューション フォーラム in Security Solution 2003」において10月23日、インターネットに関する法律問題で著名な弁護士の牧野二郎氏が「セキュリティの観点から見た個人情報保護対策」と題した講演を行った。

 2003年5月に可決・成立した個人情報保護法は2005年4月にも施行される予定である。企業にとってこの法案は、個人の顧客情報の取り扱いに大きく関わる。名前や住所はもちろん電子メールアドレスやクレジットカード番号など、5,000人以上の個人の特定が可能な情報を持つ企業は、それらの利用制限や安全管理義務などさまざまな義務を負い、もし漏洩などの義務違反が発生した場合は行政処罰の対象となる。これについて牧野氏は「5,000件以下でも民事の対象となるが、数よりも情報の質が重要ではないかと思う」と述べた。また、個人よりどのような情報を持っているかの開示を請求された場合に、これに応じなければならないという。

 では、企業はこれらの情報のセキュリティ対策をどのように行えばよいか。牧野氏は「人間系の対策とシステム系の対策があるが、特に人間系の対策は重要」とした。人間系の対策とは従業員、退職者、外部人員や企業への対策である。人員に対しては秘密保持契約や誓約書などにより情報の漏洩を防止する契約を行う。ただし「社内で自由にアクセスできる状態であった場合、保持契約をした社員が情報を漏洩した場合でも企業に責任が課せられる」(牧野氏)という。


宇治市住民基本台帳掲載情報漏えい事件の流れ

漏えい事件が発生した場合の損害額の推定
 また、派遣や委託によって外部企業と個人情報を共有しているとき、外部企業の過失により漏えいなどが発生した場合、責任は企業に課されるという。牧野氏は1999年5月ごろに発生した宇治市住民基本台帳掲載情報漏えい事件の判例を例に挙げた。それは宇治市の外部委託先の民間事業者の、そのまた下請け業者にいたアルバイト学生から名簿業者に掲載情報が流れた事件だが、裁判所は宇治市にこのアルバイト学生に対する実質的指揮監督関係があるとして、民法で定める使用者責任を認めたという。

 この判例では宇治市に対して、住民一人あたり損害額10,000円、訴訟費用5,000円で15,000円。住民21万人で合計推定31億5,000万円の支払いが命じられたという。企業でこのような事件が発生した場合、どれくらいの損害になるか。牧野氏によると「過去の例の平均で、支払い命令など直接的な損害で2億4,036万円、株価や風評被害など中長期的損害で27億5,000万円と非常に高額」だという。

 では委託先の管理は具体的にどのようにすればいいか。牧野氏によると「1つ目に情報の種類、保管場所、取り扱う人間、利用方法、禁止事項などを明確にした秘密保持契約書を交わすこと。2つ目に契約の打ち合わせ議事録を作成し、事後にチェックすること。3つ目に事後にバックアップデータを消したという誓約書を作成させる」と、委託先の管理を徹底する必要があるとした。

 最後に牧野氏は議論の必要がある課題として、クッキーとアクセスログについてふれた。クッキーはプライバシー情報であるためWebページにプライバシーポリシーを明記するべきという指導が警察から出されているという。牧野氏は「時としてクッキーも個人情報になりうる」として指導を順守するべきとした。またアクセスログについても「クラッキングなどの被害があった場合に開示する必要が発生することも予想されるので、取り扱いについて議論したい」として、講演を締めくくった。



URL
  牧野法律事務所
  http://www.makino-law.jp/
  NPO 日本ネットワークセキュリティ協会
  http://www.jnsa.org/
  Security Solution 2003
  http://expo.nikkeibp.co.jp/secu-ex/


( 朝夷 剛士 )
2003/10/23 18:15

Enterprise Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.