「やりすぎてはダメ」情報セキュリティの確立が法令違反に?
三つめの分類は「やりすぎてはダメ」。厳密に言うと、やり過ぎというよりは、情報セキュリティを高めようとすると、他の目的を持つ法律に引っかかってしまうということだ。
一般の事業会社の場合、以下の三つのパターンで引っかかる事がある。
従業員をシメる
情報漏えいをふせぐためにモニタリングなど行うと、従業員のプライバシー侵害となる可能性がある。労働関係法令の違反となる可能性もある。
委託先をシメる
独禁法(下請法)の違反になる場合がある。
委託先社員に直接指導しようとする
労働者派遣法の違反になる場合がある。
弁護士法人英知法律事務所 森 亮二氏 Security Online Day 2016 講演資料より
労働法の問題として、セキュリティの内規違反行為に対する懲戒処分が厳しすぎれば、無効になる点にも注意を要する。誓約書の要求も、やり方によっては違法になる。中小企業の経営者の感覚からすれば、裁判所は、労使の訴訟においては常に労働者の味方ということになる。私用メールの禁止やメール・PCのモニタリングに関しては、数多くの裁判例があるが、これもきちんとした手続きでやらないといけない。
退職従業員に、どのように秘密保持義務や競業避止義務を課するかという問題もある。就業規則に書いても在籍中にしか効力が無いので、退職前かつ特定の機密情報に触れる前に秘密保持について一筆入れてもらうのがいいだろうと言われている。
次に独禁法の問題だが、委託先の監督は必要で、個人情報保護法第22条の安全管理措置にも「必要である」と書かれている。しかし委託先にセキュリティ強化を求める際の費用負担や、セキュリティの懸念を理由として業務委託契約を解除するということになると、独禁法上の問題が起きてくる。
たとえば委託先への監視カメラ設置要求を費用負担と共に求めると、下請代金の減額や物の強制購入にあたるのではないかとかいう話になる。
これははっきりした解のない話ではあるのだが、森氏の意見は「通常レベルのセキュリティを求める要求は許されるのではないか」というものだ。
最後は労働者派遣法だが、「常駐する委託先の社員に対して、セキュリティに関する教育訓練をすることは可能か」という問題がある。これは偽装請負との関係で問題がある。
委託・請負では、必ず雇用関係のある元の会社が委託先従業員に対してケアをする。「発注者側はその人を触らない」というのが原則だ。触っていいのは、委託・請負ではなく派遣で来ている場合だけになる。
「やりすぎてはダメ」の問題の一環として、セキュリティのプロに固有の問題がある。情報セキュリティを高めようとして、様々な取り組みをすることが、通信の秘密の侵害、著作権の侵害、不正アクセス禁止法違反になる可能性がある。
まず通信の秘密の侵害の問題だが、セキュリティと通信の秘密に関しては、様々なガイドラインがある。たとえば総務省の「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」の取りまとめとか、それを事業者側でまとめたガイドラインなどだ。
ここでは、必要とされるセキュリティ対策が外形上、通信の秘密の侵害にあたる場合の考え方を整理している。外形上は通信の秘密の侵害に当たるが、必要で、相当な対策であれば、適法に実施できる場合があるということを説明している。
たとえばDNSAmp攻撃に対して、ネットワーク事業者はパケットの様子を見る事で、攻撃を防止することができるか、という問題がある。これは外形上、通信の秘密の侵害にはあたるが、違法性阻却事由の中の正当行為として違法ではなくなると整理されている。
二番目は著作権侵害。マルウェアの解析をする際、少なくともコードの複製は必ず行われている。それが「著作権侵害なのではないか」という話だ。
マルウェアに限らずリバースエンジニアリング全般の適法性の問題として、議論されているのだが、著作権の権利制限について権利者側は非常に嫌がるので未解決の問題となっている。しかしマルウェア解析は堂々と行われていて、だれも文句を言う人もいないので、問題意識としては低い。日本の著作権法にも米国流の一般的なフェアユース規定を入れればいいのではないかという話も出ている。それが正しい方向だと思う。
最後に、不正アクセス禁止法が禁止する不正アクセス罪についても、そのせいで対策ができないのではないかといわれている。この法律が禁止しているのは、コンピュータネットワークに接続されているコンピュータに対して行われる不正なアクセスだ。
システムの脆弱性などを調べるなどのため、他人のID、パスワードを入力して使えるようにすると形式的には、本罪の違反になることがある。この問題は未解決であり、問題意識としても重要な論点だ。通信の秘密のように、不正アクセスについても所管する警察などが検討して、適法に必要なセキュリティ対策ができるガイドラインを整理すべきではないか。
最後に森氏は、「本日ご紹介した3分類を使って、自社の事業運営に関係のある法令を整理して、法の求めるセキュリティを実現していただきたい」と述べ、講演を終えた。
