ITと社会 識者の視点―新潟大学法科大学院実務法学研究科教授 鈴木 正朝氏 http://itbiz-j.com/suzuki Thu, 19 Mar 2015 03:30:05 +0000 ja hourly 1 ケーススタディ2 宇治市個人データ漏えい事件を考える http://itbiz-j.com/suzuki/archives/25 http://itbiz-j.com/suzuki/archives/25#comments Tue, 25 Mar 2014 05:02:08 +0000 admin http://itbiz-j.com/suzuki/?p=25 ケーススタディ2 宇治市個人データ漏えい事件を考える

 前回の神奈川県の事例では、被害者である生徒及びその法定代理人(保護者)から損害賠償訴訟などが提起されることがなかったが、ここでみる宇治市では使用者責任を問われ、被害住民から訴えられている。他の自治体、企業のセキュリティ意識に大きな影響を与えた事件を振り返ってみよう。

事件の概要-委託先漏えい事例

 宇治市は、健康管理の総合システム構築を計画し、乳幼児検診システムの開発業務をA社に委託した。A社はすでに同システムの開発実績のあるB社に再委託し、B社はその業務の一部をC社に再々委託した。C社は大学院生Pをアルバイト従業員として雇い本件業務に従事させていた。

 C社の正社員O及びアルバイト従業員Pは、宇治市庁舎内で作業していたが時間内に作業が終らなかったため、宇治市担当職員の口頭の承諾を得て、住民の住民票を世帯ごとに編成した住民基本台帳等のデータ(本件データ)を光磁気ディスク(MO)にコピーしC社の社屋内で作業するようになった。ところがアルバイト従業員Pは、C社内で、本件データを自己のパソコンのハードディスクにコピーし自宅に持ち帰った。

 そしてさらにこれを自己のMOにコピーし名簿販売業者であるD社に25万8000円で売却した。D社はそれを複数の事業者に販売し、購入した事業者が、一定期間インターネット上でその購人を勧誘する広告を掲載し、この広告がきっかけで新聞報道され本事件が発覚したものである。
 ちなみに、本件データは、住民記録が18万5800件、外国人登録関係が3297件、法人関係が2万8520件の合計21万7617件あり、住民記録の内容は、個人連番の住民番号、住所、氏名、性別、生年月日、転入日、転出先、世帯主名、世帯主との続柄等の個人データであった。

・宇治市の民事責任(使用者責任)

 宇治市は、宇治市の市民Xらから使用者責任(民法715条)に基づき損害賠償を請求された。この事件では、使用者が宇治市であり、現実に損害を生じさせた被用者はC社のアルバイト従業員Pである。Pは当時大学院生であった。

]]> http://itbiz-j.com/suzuki/archives/25/feed 0 ケーススタディ1 神奈川県公立高校個人データ漏えい事件を考える http://itbiz-j.com/suzuki/archives/17 http://itbiz-j.com/suzuki/archives/17#comments Tue, 25 Feb 2014 03:25:48 +0000 admin http://itbiz-j.com/suzuki/?p=17 ケーススタディ1 神奈川県公立高校個人データ漏えい事件を考える

 個人情報保護法施行から5年。情報システムを仲介とした常連客育成手法としてCRMが注視されており、顧客の個人情報と取引履歴の蓄積はまさにビジネスの心臓部とも言える。
これが外部に漏洩した場合に失われる企業価値は計り知れないが、本稿で取り上げる日本IBMの事例は、Winnyへの再放流者との対処が、極めて示唆に富んでいる。
EC事業者にとって、個人情報保護法についての社内体制をもう一度見つめ直す良い機会のはずだ。

事件の概要-委託先漏えい+悪質な再放流者の介在事例

 平成20年11月11日、神奈川県は、神奈川県授業料徴収システムに係る個人データ(公立高校の生徒約11万人分)の流出のおそれがあること、同13日には、のべ約2,000人分の個人情報流出が既に確認されていることについて発表し、事件は一気に世間の知るところとなった。
そして、平成21年1月8日には、インターネット(ファイル共有ソフトWinny(ウィニー))上にそれが流出していることが確認され、多数の個人データが不特定多数のウィニー利用者の手に渡るという事態に発展したのである。

 なお、直接の漏えい元は、同システムの開発運用を県から委託された日本IBMである。
日本IBMの委託先(神奈川県の再委託先)従業員がこれらのデータが格納されたパソコンを自宅に持ち帰ったところ、家族がウィニーをインストールし、その後、暴露ウイルスに感染したことによって、その全データがウィニー・ネットワーク上に流出してしまったものである。
なお、本件では、漏えいした個人データをネット上に再放流する悪質な者が介在し、著作権法違反などの名目で逮捕され罰金刑に処されている。 ちなみに流出した個人データは、平成18年度神奈川県立高等学校在籍生徒に関する情報である。

 個人情報の項目は、学校・課程・学科コード、郵便番号、住所、氏名、電話番号、授業料振替口座情報(金融機関コード、支店・預金科目コード(ゆうちょ銀行は通帳記号)、口座番号、口座名義)であった。これだけの項目が揃うと、生徒の「個人情報」であると同時に、生徒の「プライバシーの権利に属する情報」(プライバシー情報)ということになる。

・ポイント1 神奈川県の対応

 神奈川県の対応は迅速であった。①相談窓口を平日、土日等9:00〜20:00まで専用ダイヤルを継続設置し、②被害者である生徒本人及び保護者への通知を行い、③流出が確認された全ての生徒、保護者に対しては、書面をもって流出のおそれがあることについてのお詫びと振替口座の変更の検討の依頼等を行った。
 また、本システムの委託先であり、今回の流出の直接の原因者である日本IBMに対しては、情報が流出した被害者及び流出のおそれのある生徒及び保護者に対する謝罪と流出情報の削除等についての法的措置、技術的対応等を要請した。

・ポイント2 委託先企業(日本IBM)の対応

 本事例が多くの企業の教訓となるところは、日本IBMの対応であろう。
日本IBMは情報管理の先頭を走る企業である。こうした企業においても起きてしまう現実に多くの企業は、正直どこまで有効な対策を講じることができるのか不安にかられるところでもある。

]]> http://itbiz-j.com/suzuki/archives/17/feed 0 情報漏えい事件ケーススタディ集 個人情報保護法の先の情報セキュリティ http://itbiz-j.com/suzuki/archives/1 http://itbiz-j.com/suzuki/archives/1#comments Sat, 25 Jan 2014 04:09:11 +0000 admin http://itbiz-j.com/suzuki/?p=1 情報漏えい事件ケーススタディ集 個人情報保護法の先の情報セキュリティ

いつ自社が個人情報漏えい事故に遭遇するかわからない状況では、普段から漏えいけしからんと他社に対してあまり威勢のいいことを言ってばかりもいられない。実際、携帯電話やUSBの紛失や電車、タクシー等への置き忘れ、盗難など、企業の管理部門も対策に頭を抱えるヒューマンエラーを原因とするものは、日々どこかで起きている。

さらに、組織は人と人との信頼関係を拠り所に成立しているが、肝心要の管理職の背信行為によって情報が漏えいしてしまう事件までおきると、どのような対策をどこまでやるべきか、トップも暗澹たる思いにならざるを得ない。従業員に匕首を突きつけるような、または相互監視的な部分を増やすことがはたして健全な企業体なのかという思いに悩まされることになるだろう。自社や同業他社における事件を目にするまでは決心が鈍るのもわからないではない。このように情報管理の問題はやがて労務管理の問題等へと波及していくのである。こうした問題を考えていくには、ケーススタディが有効であろう。特に実際の生の事件でなければならない。そのことから本稿では、あえて主要企業名を紹介することとした。

鈴 木 正 朝(すずき まさとも)

新潟大学法科大学院実務法学研究科教授。中央大学大学院法学研究科博士前期課程修了。情報セキュリティ大学院大学情報セキュリティ研究科博士後期課程修了。社団法人情報サービス産業協会、ニフティ株式会社(法務部・情報セキュリティ推進室)を経て2005年より現職。主に個人情報保護法制や情報マネジメントシステムに関する研究を行う。岡村久道弁護士との共著『これだけは知っておきたい個人情報保護』(2005年日本経済新聞社刊)は86万部発行のベストセラー。

個人情報保護法が提起するもの

863万件の個人情報が流出し、謝罪会見をおこなう大日本印刷北島義俊社長。元社員が顧客の個人情報をMOディスクなどで持ち出し、犯罪グループに売却していた 写真提供/共同通信

 「個人情報の保護に関する法律」(以下「個人情報保護法」という)が内閣府の消費者庁に移管され、今春から法改正が議論されるようである。同法に対する評価は、さまざまであろうが、まず立法化の良かった点を強いてあげるとするならば、個人情報保護法の全面施行(平成17年4月1日)を契機に企業の情報管理の意識が高まり、経営者の情報セキュリティ投資を促進したことであろう。
情報管理の対策の要は、社員ひとりひとりの意識にあるということも否定はしないが、その前提として、安全管理措置等にかける予算額の問題に帰着することが多い。大和魂だけで戦争遂行ができないように、経営資源(ヒト・モノ・カネ)を事前に、そして恒常的にどれだけ投下するかにかかっているのである。
ただし、この情報管理コストは国の防衛予算同様に際限なく投資しかねない面をもっている。また、一方、非武装中立論のように何もしないのが対策とばかり、でたとこ勝負を決め込む非現実的な判断もまかり通る面も有している。

 いずれにしても、個人情報保護法の全面施行をマスコミが喧伝してくれたおかげで、社長の財布の紐が多少ゆるんだことは確かであろう。
景気が今ひとつの中、直接の利益を生まない情報管理に一定額の予算を費消したことは、企業全体の個人情報保護レベル、情報セキュリティレベルを引き上げる効果をもたらしたと総括することができるように思うのである。

業種・規模を問わない一律規制

 しかし、これはいわばショック療法というもので、民間企業の業種も事業規模も問わない包括的な一律規制は、乱暴な法政策である。
情報セキュリティ対策に関する義務規定などは、「必要かつ適切な」保護レベルをつきつけられるのである。これほど抽象的な規制はない。道交法になぞらえて言うならば、交通安全に気をつけて運転しなさいというようなものである。
取り締まる者の裁量でいかようにも反則切符が切られてしまう状況でドライバーはどのように運転しろというのか。法の支配も相当アバウトといわなくてはならないだろう。

 法の規制内容は、過度に抽象性が高い文言で表記されているが、そこは主務大臣がガイドラインを告示することで、より具体的な規制内容が示されるのだと、心配はご無用だということになるのであろうが、ガイドライン案を起草させられる方もたまらない。
国会の丸投げ案件をどうさばくのか、多数の紙幅をさきながら、そこに踊る文字は、物理的安全管理措置、組織的安全管理措置、人的安全管理措置、技術的安全管理措置であり、それぞれに留意すべき様々な事項が列記されるのである。こうした一般論は、まさに教科書的で文句はつけられない。
法ではわずか数文字の「必要かつ適切な安全管理措置」は、告示段階では、A4で11頁近くまで詳細に記述されているわけである。技術と現場に暗い法学者は、これをもって法の運用に支障のない程度に指針が明らかになっていると、各企業はPDCAを回しながらよろしく管理いただきたいと締めくくって退散である。

]]> http://itbiz-j.com/suzuki/archives/1/feed 1