セキュリティの論点

情報漏えいはなぜ「まずい」のか再考する(後編) - (page 3)

中山貴禎(ネットエージェント)

2013-10-07 07:30

 まず、過失による「事故」であれば、その過失の度合いにもよりますが、「加害者」は犯罪者ではないので、基本的にはその組織内の規定などに基づいて対応が取られるに過ぎず、被害者や社会全般への対応も、事件(流出した情報)の内容に応じて前述のように行います。

 もし故意による犯行であれば、取るべき措置は基本的に先の「悪意を持った外部の人間や組織等」と同じです。ただし、現実にはその流出した情報の内容や、その組織の考え方次第で対応が変わるものです。

 民事は言うまでもありませんが、刑事においても、営業秘密侵害罪、著作権侵害等を含め、罪責が比較的軽微または当事者間で解決すべき犯罪や、事件の存在や事実が公になると被害者に不利益が生じるおそれのある犯罪などは、日本では「親告罪」とされ、被害者側からの告訴を必要とします。つまりこの場合、表沙汰にするかどうかは被害者である組織の考え一つなわけです。

※窃盗、不動産侵奪、詐欺、恐喝、横領罪など金銭や暴力行為等が絡む犯罪は基本的に非親告罪ですので、原則として第三者の告発や警察独自の判断による捜査にて起訴され、刑事責任を問われます。

 よって、組織にとって流出した情報による損失よりも加害者の持つ特別なスキルやノウハウ等の方が重要である、もしくは情などの理由によって、率先的にしろ止むを得ずにしろその加害者を組織に残すと判断した場合は、必ずしも公訴されるとは限らず、あくまで社内規定の範疇で内々に処理する事もあり得るわけです。ただしその場合も当然、被害者や社会に対しての責任を組織としてきちんと果たさなくてはなりません。 逆に、故意による「犯行」であれば、その「犯人」を告発し、その処分を含めて情報開示と対応策の提示を行うべきケースも少なくありません。ただ、あまり「○○の犯行=○○が原因であって組織は悪くない」という方向に依り過ぎてしまうと、因果関係や経緯の把握、再発防止策の検討などが疎かになり、再発の危険が残る状況が改善されない可能性もあるので要注意です。

 また、こういう対応に依り過ぎると、CSR的にも悪い評価を下される可能性が高く、その後の組織の活動に少なからず影響を及ぼしてしまいます。まず、過失による「事故」であれば、その過失の度合いにもよりますが、「加害者」は犯罪者ではないので、基本的にはその組織内の規定などに基づいて対応が取られるに過ぎず、被害者や社会全般への対応も、事件(流出した情報)の内容に応じて前述のように処理します。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]