 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
牧野弁護士「人間系のセキュリティ対策が重要」 |
||||||||||||||||
|
||||||||||||||||
|
~セキュリティ・ソリューション フォーラム in Security Solution 2003 講演~
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
2003年5月に可決・成立した個人情報保護法は2005年4月にも施行される予定である。企業にとってこの法案は、個人の顧客情報の取り扱いに大きく関わる。名前や住所はもちろん電子メールアドレスやクレジットカード番号など、5,000人以上の個人の特定が可能な情報を持つ企業は、それらの利用制限や安全管理義務などさまざまな義務を負い、もし漏洩などの義務違反が発生した場合は行政処罰の対象となる。これについて牧野氏は「5,000件以下でも民事の対象となるが、数よりも情報の質が重要ではないかと思う」と述べた。また、個人よりどのような情報を持っているかの開示を請求された場合に、これに応じなければならないという。 では、企業はこれらの情報のセキュリティ対策をどのように行えばよいか。牧野氏は「人間系の対策とシステム系の対策があるが、特に人間系の対策は重要」とした。人間系の対策とは従業員、退職者、外部人員や企業への対策である。人員に対しては秘密保持契約や誓約書などにより情報の漏洩を防止する契約を行う。ただし「社内で自由にアクセスできる状態であった場合、保持契約をした社員が情報を漏洩した場合でも企業に責任が課せられる」(牧野氏)という。
この判例では宇治市に対して、住民一人あたり損害額10,000円、訴訟費用5,000円で15,000円。住民21万人で合計推定31億5,000万円の支払いが命じられたという。企業でこのような事件が発生した場合、どれくらいの損害になるか。牧野氏によると「過去の例の平均で、支払い命令など直接的な損害で2億4,036万円、株価や風評被害など中長期的損害で27億5,000万円と非常に高額」だという。 では委託先の管理は具体的にどのようにすればいいか。牧野氏によると「1つ目に情報の種類、保管場所、取り扱う人間、利用方法、禁止事項などを明確にした秘密保持契約書を交わすこと。2つ目に契約の打ち合わせ議事録を作成し、事後にチェックすること。3つ目に事後にバックアップデータを消したという誓約書を作成させる」と、委託先の管理を徹底する必要があるとした。 最後に牧野氏は議論の必要がある課題として、クッキーとアクセスログについてふれた。クッキーはプライバシー情報であるためWebページにプライバシーポリシーを明記するべきという指導が警察から出されているという。牧野氏は「時としてクッキーも個人情報になりうる」として指導を順守するべきとした。またアクセスログについても「クラッキングなどの被害があった場合に開示する必要が発生することも予想されるので、取り扱いについて議論したい」として、講演を締めくくった。 ■ URL 牧野法律事務所 http://www.makino-law.jp/ NPO 日本ネットワークセキュリティ協会 http://www.jnsa.org/ Security Solution 2003 http://expo.nikkeibp.co.jp/secu-ex/
( 朝夷 剛士 )
|
|
|
|
|
|
|