情報セキュリティと管理責任

〜情報犯罪、情報事故の法的評価と管理者の管理責任の拡大〜

牧野総合法律事務所 牧野 二郎
[目次] [|←先頭ページ] [←前ページ] [次ページ→] [最終ページ→|] [プレゼン資料] [PDF形式] [質疑応答]
■講演内容
  1. 情報犯罪・情報事故の実態
  2. 法的課題 管理責任の有無とレベル
  3. 電子メールの監視と検閲
  4. 監視とモニタリング問題
牧野総合法律事務所
牧野 二郎
サマリ

情報関連事故が多発しています。事故や犯罪を起こした人に対する法的な責任追及も重要なのですが、さらに情報事故は広範囲に大きな悪影響を与えることから、その管理責任が強く問われています。
管理者として何をなすべきか、現場サイドではどのようなセキュリティ対策が必要なのか。法的な管理、善管注意義務のレベルとは何か、を検討します。また情報事故や犯罪についてはその痕跡を確実に取っておくことが必須なのですが、現在その視点が欠落していることが多く信頼の基礎が揺らぐケースがあります。フォレンジック(データ保全)の必要性、その効果を明確にして、なすべき情報セキュリティ対策を明確にします。
  1. 情報犯罪・情報事故の実態

    (1)不正アクセス禁止法違反事件(ACCS事件)

    事件の概要

    コンピュータ・セキュリティ・カンファレンスで、コンピュータソフトウェア著作権協会(ACCS)のサーバにセキュリティホールがあることを発見した京大研究員がコンピュータ・セキュリティの公開研究会で脆弱性を指摘したところ、そのサーバの閲覧者の個人情報の一部が流出。その後、不正アクセス禁止法違反容疑で京大研究員が逮捕・起訴された事件。現在、東京地裁で第1審の公判中である。

    (2)著作権違反事件(Winny事件)

    事件の概要

    P2P方式のファイル共有ソフト「Winny」の開発者である東大研究員が2004年5月、著作権法違反幇助容疑で逮捕・起訴された事件。現在、京都地裁で第1審の公判中。P2ソフトの開発者が権利者側から民事訴訟を起こされた例はあるが、「著作権法違反を幇助した」などとして刑事事件の対象になるのは世界的にも極めて異例で、大きな注目を集めている。

    (3)個人情報漏洩事件(早稲田大学江沢民講演会事件)

    事件の概要

    1998年11月中国の江沢民国家主席が早稲田大学で講演した際、大学側が講演会に出席予定の学生ら約1,400人分の名簿を同意を得ずに事前に警視庁に提出した事件。その後、学生が大学に対して不法行為に基づく損害賠償請求訴訟を提起した。訴訟では、大学の名簿提出がプライバシー侵害にあたるかどうかが争われた。

    判決の概要

    2003年9月の最高裁判決は、学籍番号,住所,氏名,電話番号など「個人識別のための単純な情報」も「法的保護の対象で無断開示は違法」と初めて位置づけ、「承諾を求めることが困難だった事情はうかがえないのに同意の手続きを取っておらず、情報の適切な管理についての期待を裏切った開示はプライバシーの侵害で不法行為となる」との判断を示した。当時学生だった3人の損害賠償請求を退けた2審判決を破棄し、審理を東京高裁に差し戻した。差戻審で、東京高裁は大学側に1人5千円の損害賠償を命じた。また、同じ事件で学生6人が提訴していたもう1つの事件は、1人1万円の損害賠償を命じた東京高裁判決を最高裁が支持し、大学の敗訴が確定している。

    (4)フィッシング事件

    案件の概要

    フィッシングとは、企業からの電子メールを装って、クレジットカード情報や銀行口座情報を盗み出そうとする巧妙なネット詐欺のこと。シティバンクやアマゾンなど有名企業からの発信を装って、不特定多数のコンピューター利用者にメールを送りつけ、特定のホームページに受信者を誘導。その企業のホームページを装った偽ページ上で、受信者の電子メールアドレスとパスワードを入力させる、というやり方などで受信者の情報を盗む。欧米を中心に被害が急激に増えており、日本でも警戒意識が強まっている。

    問題点

    米非営利団体「TRUSTe」などの推計では、フィッシング詐欺による米国内での過去1年の消費者の被害額は5億ドル(約550億円)に上るという。米調査会社ガートナーは、米国の銀行やカード会社の03年の損害額が12億ドル(約1,300億円)に達すると推計する。このようにフィッシングのメールを送りつけられる消費者だけでなく、銀行やカード会社などの企業に大きな損害を与えている。

    (5)スパム問題

    最近の問題点

    スパムとは、WWWなどを通じて手に入れたe-mailアドレスに向けて、営利目的のメールを無差別に大量配信すること。インターネットを利用したダイレクトメール。インターネットではメール受信のための通信料は受信者の負担になるため、SPAMメールのように受信者の都合を考慮せず一方的に送られてくるこうしたメールの悪質性が問題となる。また、SPAM行為は同内容のメールを一度に大量に配信するため、インターネットの公共回線に負荷がかかる点も問題。最近はiモード携帯電話など、インターネット接続機能を持つ携帯電話に対するSPAMが社会的な問題になっている。

  2. 法的課題 管理責任の有無とレベル

    (1)大学の管理責任

    大学が管理しているコンピュータ・ネットワーク上のホームページに名誉毀損表現が掲載された場合、直接掲載した者の責任だけでなく、大学の管理責任が問われることがある。リーディングケースである都立大学事件で、東京地裁はネットワーク管理者が責任を負う場合の基準として、「名誉毀損文書が発信されていることを現実に認識しただけでなく、その内容が名誉毀損文書に該当すること、加害行為の態様が甚だしく悪質であること、及び、被害の程度が甚大であることなどが一見して明白であること」などの基準を示した。

    (2)ネットワークの管理責任

    ネットワーク上の表現は匿名性が高いという特質があるため、名誉毀損やプライバシー侵害にあたる表現があった場合に、違法行為を直接行った表現者を特定できない場合が多い。そこで、ネットワークの管理者の責任を問う事件が急増している。これまでに訴訟で問題となった事件によると、ネットワーク管理者には一定の注意義務が認められ、その注意義務に違反した場合には、法的な責任を負わなければならないとされている。

    (3)企業の管理責任

    企業が管理している情報が漏洩した場合、その企業の管理責任が問われることがある。特に昨今のプライバシーに対する意識の高まりに伴い、企業がかかえる個人情報の漏洩事故に対する責任追及は年々高まっている。企業ではないが、事業者の管理責任が問われたケースとしては宇治市住民基本台帳データ流出事件がある。宇治市のシステム開発受託業務に関して、再々委託先のアルバイト従業員が情報を不正に流出させたことについて、大阪高裁は宇治市に対して住民1人あたり1万5千円の損害賠償を命じている。

  3. 電子メールの監視と検閲

    企業が従業員の電子メールをモニタリング(監視)する際には「営業秘密の保護」や「企業秩序の維持」といった企業の利益と、「従業員のプライバシー」という従業員の利益が衝突する。モニタリングの実施にあたっては、事前にポリシーを規定し、従業員に周知させることが重要である。

  4. 監視とモニタリング問題

    情報セキュリティのためのモニタリングとしては、電子メールの監視のほか、イントラネット、インターネットへのアクセスログの記録やビデオカメラ等による従業員の行動監視などがある。最近は従業員のモニタリングのために、ID・パスワードによる管理だけでなく、指紋認証や虹彩認証などのバイオメトリクス(生体認証)などの最新技術が活用されるようになっている。ここでも「企業の利益」と「従業員のプライバシーの利益」の対立をいかに調和するかが問題となる。

以上