ITプロセスコンサルタント
まずは「予備知識」から。冒頭に細川氏は不正アクセス防止法を挙げた。不正アクセス行為に対する罰則や再発防止について定めており、一定の歯止めにはなるだろう。ただし、である。
「アクセス制御が不十分なコンピュータは法律でも守られません」と細川氏はくぎを刺す。
条文を見ると、法律が保護するのは「アクセス制御機能を有する特定電子計算機に」とある。コンピュータがパスワードなり指紋認証なり、アクセスを制御できる仕組みを施していれば保護の対象となるということ。ところがディスプレイにパスワードをメモした付せんが貼られているようなコンピュータでは「アクセスが制御されている」とはみなされない。基本的なことだが、アクセス制御がきちんと機能するような運用状態も大事である。
なかには「不正アクセスは情報を盗むのだから窃盗罪ではないか」と考える人もいる。細川氏によると、この考えは正しくない。なぜなら刑法での窃盗とは所有者の手元から財物が失われることで成立するため、不正アクセスでコピーを取るなど、所有者の手元にデータが残っていれば窃盗とみなされない。
個人情報は1人あたりいくらになるか?
個人情報を流出させると損害賠償を請求されるリスクを抱えることになる。近年では情報漏えいを起こした企業が顧客におわび(お見舞い)として500円程度のプリペイドカードを送付するケースが見られる。しかしどのくらいの金額が適切かは項目にもよる。慰謝料の金額がつり上がった例を見てみよう。
2007年、あるエステティックサロンがアンケートで収集した個人情報をWebから閲覧できる状態になっており、情報が第三者に流出してしまった。流出したのは顧客の身体的な情報だったため、情報流出の被害者らが1人あたり100万円の慰謝料を求めて提訴した。慰謝料の金額が高いのはそれだけ原告らにとって「(女性として)見られてはイヤ」な情報だったからだ。
結果的には「1人当たり3万円の損害賠償を命じる」という判決が下された。この金額が妥当かどうかはさておき、100万円の請求に対して3万円である。原告らが「これっぽっち?」と不満を抱くのは想像に難くない。原告はじめ顧客からの信用を失うことは大きい。実際にこのエステティックサロンは裁判後に顧客が離れ、経営的に大きなダメージを被ったという。
「全て」は無理、「必要」な範囲をタイムリーに
近年では外部からの攻撃であろうと内部不正であろうと、個人情報漏えいを起こした企業は加害者であるかのように批判にさらされてしまう。これもまた大きなリスクである。企業は「うちは被害者なのに」と思うかもしれないが、セキュリティ対策を怠ることは「プライバシー侵害という不法行為」とされることがある。個人情報を預かる企業であれば、情報セキュリティの専門家としてやるべきことをしなくてはならないということだ。
ある裁判では情報漏えいを起こした被告が「セキュリティ対策を全てやるのは(経営的な観点から見て)合理的ではない」と主張した。より乱暴に言えば「あれもこれも全てなんて、やってられない。それではうちの商売が成り立たない」と。
しかし裁判所はこの意見を認めなかった。大ざっぱに言えば「だったら、そんなビジネスするな」と。細川氏は「必要なセキュリティ対策を施すことでビジネスが成り立たなくなるなら、そのビジネスはすでに破綻しています」と厳しく指摘する。ビジネスにおいて個人情報を保有するなら、必要なセキュリティ対策を施したうえで成立するようなビジネスモデルにしなくてはならないということだ。
もちろん「全ての」セキュリティ対策をがちがちに施していたら「商売あがったり」になるのも事実だ。大事なのは「必要な」対策だ。「全て」ではなく「必要」をきちんと見定め、メリハリある対策を施すことが重要になる。
何をどのくらいするべきか。直近では東京地方裁判所 平成25年(2013年)3月19日判決にて「十分なセキュリティ措置」について触れられたことがある(ただしここは争点にはなっていない)。細川氏によると、企業がセキュリティ対策で何をすべきかは「その時点で必要だとされる対策」とされている。同じ事件でも10年前なら「十分すぎる」かもしれないし、10年後なら「不十分」とされるかもしれない。時代によって変わるのだ。
「大切なのはタイムリーな仕組みです」と細川氏。セキュリティ情報提供サイトや各種メディアで周知されている対策を常に把握し、時流に合わせた対策を導入していることが必要とされる。
