「(裁判所は)情報セキュリティについて知らなくても、常識的な判断を下している」──そう語るのは、独立行政法人 情報処理推進機構(IPA)とJPCERT コーディネーションセンター(JPCERT/CC)が開催したイベントに登場した、弁護士で国立情報学研究所客員教授の岡村久道氏だ。岡村氏は、過去の裁判例から情報セキュリティで必要な対策について講演。国内の重要インフラ事業者などのコンピュータシステム管理者や、技術者らを主な対象とした「重要インフラ情報セキュリティフォーラム2008 〜重要インフラ関係者の情報共有〜」で説明した。
岡村久道氏
岡村氏は、まず2006年に地裁判決が出たYahoo!BB情報漏えい事件の判決を採り上げ、漏えいした情報が個人のデータであれば個人情報保護法違反になるとともに、プライバシー権の侵害も問われる点を指摘。個人情報保護法違反は行政処分の対象となるだけだが、この場合、プライバシー権は情報が漏えいした個人と企業との関係によるとされるため、被害者は差止請求・損害賠償請求ができる(これに加えて業法違反が問われる場合もある)のだという。「個人情報保護法違反があれば、損害賠償もやむを得ない」と裁判所が判断する場合もあるため、両者は連動するものの、あくまで別々の責任だと考えられているわけだ。
続いてエステティックサロンTBCの情報漏えい事件の判決(2007年東京地裁)では、情報漏えいの原因を作ったとされるTBCの委託先企業に対し、TBCが実質的に指揮・監督していたと認定、損害賠償責任を認めた。このように、使用者責任の判断の分かれ目は雇用関係ではなく指揮・監督関係で、その上、委託元企業は委託先の選定・監督に落ち度がないとことを立証しなくてはならず、「一般的に考えて(立証は)まず無理」(岡村氏)だという。
個人情報の再委託、再々委託先のような下請けへの対応も必要だ。これについて岡村氏は京都府宇治市で起きた情報漏えい事件を紹介。この事件では、宇治市の委託先企業の孫請けで働いていた学生アルバイトが住民基本台帳データを持ち出して名簿業者に販売していたとされるもので、最高裁まで争ったが宇治市の使用者責任を認めて宇治市敗訴の判決が確定している(2002年)。
TBCと同様に使用者責任が認められた事例だが、岡村氏は「委託の連鎖は困難な問題」と強調し、これをふまえた契約を締結することの重要性を訴える。委託先企業にとっては純粋な従業者管理の問題で、個人情報保護法の第21条で監督義務が課せられており、各省庁のガイドラインでも(1)従業員からの誓約書・覚書などの徴収、(2)内部規定の整備、(3)順守状況の確認、(4)教育・啓発――が求められている。
すでにこうした対策をしている企業もあるが、誓約書・覚書に関して岡村氏は「たくさんの問題がある」と指摘。まず、「守秘義務の範囲が荒っぽすぎる」(同)問題があり、あらゆる情報を守秘義務にすると「不正競争防止法の営業秘密の保護が受けられなくなる」可能性を指摘する。つまり「秘密管理のラベリングの仕方が悪い」(同)のだ。
さらに、契約を守らせるための罰則規定では、懲戒処分を決める場合に企業は就業規則で定めなくてはならず、就業規則にない処分は行えない。規則がないと「裁判所が非常に困る」(同)場合があり、懲戒権の乱用に当たると判断されることもあるそうだ。損害賠償の規定を定めると労働基準法違反になる可能性もあり、「やみくもに(契約を)決めればいいわけではなく、逆にコンプライアンス(法令順守)違反になる可能性もある」(同)という。岡村氏は、システム部門だけで罰則を考えるのではなく、きちんと人事・労務部門と相談することを推奨する。
従業員と個人情報保護関連で結ばれた誓約書・覚書などの締結状況。保有している個人情報が多い事業者ほど締結している割合が多いのだが……
その内容には、業務上知り得た情報に関する守秘義務と、漏えいなどによって発生した損害賠償に関するものが含まれている
また、派遣労働者に対して誓約書・覚書を締結すると「二重雇用関係が生じるので職安法違反になる、というのが厚生労働省の見解」(同)なので、派遣元の企業と契約を結び、派遣元企業が派遣労働者と契約を結ぶ、という二段構えが必要になるのだそうだ。
岡村氏は、「現在は総論の時代ではない」と強調。現場での情報管理の実効性を保つためには具体論が必要になっていると話す。法務・労務部門などと一丸になって取り組まなければ、裁判で問題とされる危険性があるのだと警告する。
この象徴的な例が部下の私用メールを監視した上司が訴えられたF社Z事業部(2001年東京地裁)と、就業時間中に私用メールを行ったことなどで解雇された労働者側の訴えによる事例(2003年東京地裁)で、会社のメールシステムの私的利用が許されるかどうかの判断が示された。いずれのケースでも就業規則では私的利用に関して禁止されていなかった、または禁止が周知徹底されていなかった点を重視。地裁は一般論に照らし合わせて判断した結果、就業規則で定められていなければ一定の私的利用が認められると判断した。
これらの判決は、就業中の私的メールは、職務遂行上の支障になるかどうか、会社の経済的負担がどの程度か、という基準をもとに、社会通念上認められるかどうかというポイントで判断されたが、岡村氏は、企業で内部規定がしっかり定められていなかったからだと指摘。きちんと内部規定を整備しておけば処分しても訴えられることはなかったと推測する。
企業のモニタリングの実施状況。モニタリング自体が問題なのではなく、きちんと規則で定め、周知徹底しないと問題となりうるという
とはいえ、内部規定をただ作ればいいというわけではない。北海道警江別署の捜査情報漏えい事件では、江別署が定めていた内部規定にそもそも無理があったとされる点が問題になった。「(守るのが)無理なルールは有名無実になる」(同)うえ、そうしたルールを定めたことで過失が認定される結果にもなりかねない。
さらに、内部規定自体はきちんと整備されても、それを周知徹底し、従業員の教育・啓発活動を行わない場合も問題視されてしまう。これは1986年に地裁判決、87年に高裁判決が出た前橋信用金庫の事例で争われており、内部規定が有名無実化していると判断した地裁に対し、高裁は有名無実化していることは認めつつ、信金側が周知徹底して守らせようと努力を始めていたと認定し、判決が分かれた事例だ。「教育・啓発活動が天下分け目になる」(同)。このように、内部規定を日ごろからきちんと教育・啓発するようにしないと、規定の実効性が保てないというわけだ。
企業はこうした問題に対してISMS認証基準の国際規格を取得するなどして対応しようとしているが、岡村氏は国際基準だけでなく国内法をクリアする必要性も訴える。各省庁が関係するガイドラインを出しており、たとえばメールのモニタリングに関しては経産省と厚労省が共同でガイドラインを提供するほか、今年3月から施行される労働契約法も、過去の最高裁判例を盛り込んでいるという。
「(裁判所は)情報セキュリティについて知らなくても、常識的な判断を下している。きちんとしていない企業は裁判所でも邪険な扱いを受けるし、きちんとしていれば守ってもらえる」と岡村氏は話している。
