委託先管理の限界は仕方ないが事故発生後の主体的な対応が肝心
日本IBMは、神奈川県公立高校の生徒やその保護者及び神奈川県に対して責任を負うべき立場にあり、そのリカバリーのすばらしさを褒めるわけにはいかないが、委託先管理にどの程度の落ち度があったかというと同業他社のレベルを下回るほどのものは見あたらない。
その意味では委託先管理にも限界があり、どの委託元も同種の事件に巻き込まれるリスクに備えることを検討しておかざるを得ない。
特に、本件のように、愉快犯以上に悪質な執念深い再放流者などに狙われた場合には、その対応は困難を極めることになる。
神奈川県は、現行法では、流出した個人情報を意図的に拡散することに対する規制が不十分なことから法制化に向けて早急に国に対し強く求めていくと述べている。この点は、研究者においても立法政策的課題として検討し必要に応じて国に提言していくことが必要であろう。
なお、最後に苦言を呈するなら、神奈川県は情報漏えいの当事者であり、被害者に対する一次的な責任を有する立場にある。
技術的な対応に暗いとはいえ、委託先の対応力の高さに期待するのではなく、ISPに対する開示請求を自らの名で行うなど必要な法的対応に率先して取り組むべき責任があったのではないか。
日本IBM名での開示請求に応じるISPがないのは当然であるが、神奈川県は、自らのデータベース著作権が侵害された当事者であり、その事実をもって神奈川県の名前で開示請求するのであれば、権利侵害が明白であることをもって開示に応じるISPも存在した可能性が高く、より迅速に再放流者の特定をなしえたようにも思われる。
データベース著作権の侵害を立証できるかという論点もあり得るが、いずれにせよ法的対応は、委託先に指示するだけではなく自ら率先して主体的に動くべきであったといえよう。