情報処理推進機構(IPA)とJPCERT コーディネーションセンター(JPCERT/CC)は20日、主に国内の重要インフラ事業者などのコンピュータシステムの管理者、技術者らを対象とした「重要インフラ情報セキュリティフォーラム2008 -重要インフラ関係者の情報共有-」を都内で開催した。午前中の講演には、弁護士で国立情報学研究所客員教授の岡村久道氏が登壇し、「裁判例から考える情報セキュリティ」と題した講演を行った。
弁護士で国立情報学研究所客員教授の岡村久道氏 |
岡村氏が取り上げた裁判例は、Yahoo!BB、TBC、京都府宇治市、北海道警江別署などで起きた個人情報漏えい事件や、F社Z事業部の私用メールに関する事例など。これらの事案の裁判例から、岡村氏は企業がどういう対策をしていれば情報セキュリティが確保できるかをひもといていった。
まず、個人情報の漏えいでは、個人情報保護法違反による行政処分だけでなく、プライバシーの侵害による差止請求や損害賠償請求に問われる点を指摘。個人情報保護法違反と損害賠償が連動することはあるものの、両者は別物であると強調する。
さらに、漏えいしたのが従業員であればその企業は使用者責任を問われるが、実際に雇用関係がなくても、実質的な指揮・命令関係があれば同様に責任が問われる。これは企業間の業務委託などでも同じで、この指揮・監督関係の有無で判決に明暗が分かれた判決もあったという。
この委託が難しい問題で、委託先が1社であればその企業と契約をきちんと締結すればいいが、IT業界でもよくあるように、委託先がさらに孫請けに再委託し、そこからさらに再委託され…というような「委託の連鎖は困難な問題」なのだ。岡村氏は京都府宇治市の事例のように、孫請けの従業員に対して宇治市が使用者責任を認められた例もあり、再委託なども踏まえた契約を結ぶ必要があると強調する。
岡村氏は、従業員や委託先への契約書や覚え書きをきちんと締結することを重要視するが、単に「すべての情報を漏らしてはならない」というような「守秘義務の範囲が荒っぽすぎる」場合や、就業規則にないのに従業員に対して懲戒処分を科したり、漏えいに対して損害賠償を求めるような契約書などは問題になると語った。さらに「始末書でも懲戒処分」になるため就業規則で別途定める必要があり、それがなければ懲戒権の乱用と見なされる場合もあるそうだ。賠償に関しては労働基準法違反の疑いもあり、契約自体がコンプライアンス違反になる可能性も指摘。従業員への契約や覚え書きでも人事・法務部門などとの連携が必要だと話す。
就業規則のような社内ルールをきちんと定めておかないと、就業中の私用メールをモニタリングしたり、私用メールを理由に解雇するといった処分も裁判で否定される可能性がある。実際の判決でも、社内ルールにないため「社会通念上、許容される範囲」として私用メールが認められていた。岡村氏はこうした判例について、逆にきちんとしたルールを定めておけば処分が不服でも訴えられなかったと見る。
このルールも、ただ決めればいいというわけではなく、守るのが無理と思われるような内容では企業側の過失が認められる場合も出てくる。さらに、ルールをきちんと周知徹底し、従業員への啓発・教育活動を行っていない場合も裁判で問題視されることがある。
岡村氏は、「総論ではなく、各論、具体論の時代になった」と指摘。経済産業省や厚生労働省などがガイドラインを出しているほか、裁判所判例を盛り込んだ労働契約法が3月から施行されることも踏まえた対策が必要との認識を示している。