企画広告

情報漏洩で炎上? そのときあなたの会社はどう動けるか 高橋郁夫弁護士が指南する、事案対応のポイント - (page 2)

ZDNET Japan Ad Special

2022-12-27 16:00

改正個人情報保護法など、法的論点にも留意を

 最後に高橋弁護士は、インシデントレスポンスにおける法的要求事項について、「インシデント開示の要請」と「デジタル証拠」という二つの側面から説明した。

 インシデントの開示は、個人情報の漏洩時はもちろんだが、たとえば防衛装備品に関する情報、あるいは医療情報など機密性が高い情報、機微な情報が漏洩した際にも影響してくるポイントだ。「情報の性質によって、利害関係者への連絡が必要になります」(高橋弁護士)

 最近の動きで注目すべきは改正個人情報保護法との関係で、26条1項において開示の要件が明確化されている。具体的には、「個人の権利利益を害する恐れが大きい場合」には個人情報保護委員会への報告が必要な上、情報漏洩による被害を最小化するため、情報主体本人への通知も求められる。

 ここで注意すべきはサプライチェーン全体での対策だ。「サプライチェーンのセキュリティがフォーカスされていることが、今年の流れとなっています」(高橋弁護士)

 経済産業省と公正取引委員会が出したガイダンスにおいては、取引先が互いにサイバーセキュリティ責任者を指定し、漏洩などが起きた場合には調査・対応を進めることを互いに企業の代表者の名前の元に宣言する『サイバーセキュリティ構築宣言』が提唱されている。この流れで、もし情報漏洩が発生した際には、契約当事者として取引先にも明らかにすることが、契約の要件に含まれる可能性もあるだろう。

 ただ、それでめでたしめでたしかというと、そう単純な話ではない。取引先に過大なサイバーセキュリティ対策を要求することが「優越的地位の濫用」に該当する可能性もあるからだ。契約交渉に手間暇がかかり、取引コストがかかるのをいいことに搾取をするような関係は許されない。「通常やるべきことを明確化するのであれば優越的な地位の濫用に該当しないでしょうが、こういった法的論点もあることは念頭に置いておくべきでしょう」(高橋弁護士)

 また、高橋弁護士の専門分野であるデジタル証拠、いわゆる「デジタルフォレンジックス」に関しても、いくつか留意すべき論点がある。

 「インシデントが起きた際、企業が一定の『調査権』を持つのは当然であるということが、富士重工の最高裁判決で示されています。ただ、その際、従業員の私物から情報処理が行われる場合もあります。では、その私物を調査できるかというと、一般論としては必要な調査ならば可能ですが、必要最小限でなくてはならないとされています」(高橋弁護士)。さらに、その調査を強制的にできるのか、できないならばどのように本人の同意を取るのか……といった具合に、留意すべき事柄は実は多々あることに注意が必要だ。

 このように、セキュリティ事案への対応には検討すべき事柄が多岐にわたる。高橋弁護士は最後に「Forewarned is forearmed, to be prepared is half the victory」、つまり「備えあれば憂いなし」という言葉を掲げ、もし自社でこんなシナリオが発生したら、データガバナンスを構成するどのプログラムのどこを実行するかを説明できるかを問い直し、関連する法的論点に留意しながら検討してほしいとした。

講演アーカイブ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

マイナンバーカードの利用状況を教えてください

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]