不作為は「罪」──ベネッセの個人情報漏洩事件から、セキュリティにおける発注者・受注者の責務を考える

セキュリティリスクへの備えは“協業”である

　判決文はごく簡単にしか述べられていませんが、この中にある「制御」という言葉には様々な示唆が含まれています。この判決の最大のポイントは、「予見できたリスクに備えていなかった」点です。これには、特定の技術的な問題ではなく、情報管理に対する基本姿勢やシステム運用プロセスの問題も含まれており、それらすべてがこの「制御」という言葉には含まれていると考えられます。

　そして、判決は委託先であるシンフォームに対してのものでしたが、この「制御」には委託元であるベネッセも一定の責任を持つべきであったとも考えられます。そうでなければ、広く一般の顧客に対して「情報を管理する」責任を負っているとはいえないからです。この判決も参考に双方の責任を考えてみましょう。

　まず委託先としては、顧客の指示通りに構築・運用しているだけでは当然不十分であり、情報セキュリティに関する最新の知見やガイドラインを継続的に収集・反映し、ユーザーに対してリスクを説明しなければなりません。場合によっては「そのままでは危険です」と指摘する勇気も必要です。

　また、対策を「設計」して終わるのではなく、「運用上もそれが機能しているか」を点検するプロセス（例：操作ログの確認、端末・媒体の抜き打ち監査、現場ヒアリングなど）を組み込むことが求められます。技術と運用の両輪が回らなければ、どれほど高機能なセキュリティでも無力化されてしまうからです。

　さらにベンダー自身も、情報資産のリスクに対して事前に「分析と対応策のレパートリー」を持つことが重要です。たとえばBCP（事業継続計画）と連携したインシデント対応フローや、内部通報制度、人的信頼性の評価制度など、システム外の統制も視野に入れた統合的なガバナンス体制が必要となります。

　委託元としては、単に開発や運用を外部に委託するだけでなく、その委託先がどのような管理体制やセキュリティポリシーを有しているか、どのような教育・訓練が行われているかを把握し、必要に応じて改善を要求することが重要です。契約段階でのセキュリティ要件の明確化、定期的な監査やレビュー、そして情報資産に対する責任分界と可視化が求められます。加えて、委託先が再委託を行う場合には、そこに至る監督責任と契約管理の徹底も必須ということになるでしょう。

　東京地方裁判所 平成16年3月10日判決では、「情報システムの開発は発注者と受注者の協業である」との主旨が述べられていますが、本件の例からすると、情報セキュリティの維持もやはり“発注者と受注者の協業”ということになると私は考えています。