不作為は「罪」──ベネッセの個人情報漏洩事件から、セキュリティにおける発注者・受注者の責務を考える

顧客情報の流出は予見できたか、対策は十分だったか？

　この裁判は、個人情報を漏洩された被害者の家族が起こしたのではありません。顧客情報の管理を委託した企業が、漏洩を起こした委託先企業の管理の不備を訴えたものです。ただ、裁判では委託元の企業の体制やプロセスについても争われたため、結果的には双方の責任が争われたことになります。委託元と委託先は情報管理にあたって、どんなリスクを予測し、どのような備えをすべきだったかが問題になったわけです。

　原告であるベネッセは、情報漏洩に利用されたMTPモードというパソコンの設定を問題にしました。MTP（メディア転送プロトコル）とは、メディア転送専用デバイスとして認識させる接続方式であり、簡単に言えば、スマートフォンをUSBでパソコンに接続し、その中にあるデータをコピーできる仕組みです。

　これは通常であれば便利な機能ですが、機密性のある情報を記録したパソコンをMTPモードにしておくのは当然に危険であり、情報処理に関する各種のガイドラインでも指摘されていました。しかし、この事例で委託元から委託先に示された運用の要件には、特にそうした記述はなかったようです。

　ただ、委託元であったベネッセは「MTPモードの危険性は、当時の技術者であれば当然に予見可能であり、これを回避する義務が委託先であるシンフォームにはあった」と主張しました。加えて、委託先の派遣社員に対して適切なアクセス制御や外部媒体制限を行っていなかったこと、業務委託契約に基づく義務の履行として情報保護が徹底されていなかったことも指摘しました。

　一方シンフォームは、事件当時の業界水準や社会通念に照らして、「MTPモードの悪用リスクが広く認識されていたとは言い難く、通常の注意義務を果たしていた」と反論しました。また、直接の実行者が派遣社員であり、日常的に信頼性のある業務を行っていた人物であった点を強調し、個別の悪意による犯罪を完全に防ぐことは困難であるという立場をとりました。

　両者の主張を通じて明らかになったのは、システムの構築とその運用設計において、当時の技術水準に照らしてどれだけの「バッドストーリー」を想定し、対策を講じたのかという点です。その対策は単に技術的な観点だけでなく、各種のプロセスや制度・基準にも及びます。また、対策を定めてもそれがきちんと履行されているかを監視することが大切ですし、日々進化する情報漏洩の手口に合わせて継続的に改善していくことも必要です。

　では、これらについて委託先であるシンフォームの対策は十分だったのでしょうか。裁判所の判断を見てみましょう。