セキュリティの確立を義務づける「守りなさい」
一つ目の分類「守りなさい」では、法律がセキュリティの確立を義務づける。代表的なのは個人情報保護法の安全管理措置の規定だ。番号法にも同様なものがある。
加えて法律と技術の世界をまたぐ内部統制というものがあり、一般的にはJ-SOX、金融商品取引法が代表的なものとして知られている。会社法にも「業務の適正を確保するための体制」が規定されている。最も注意すべきなのは、裁判所が内部統制の構築・運用を経営者の義務と考えていることで、きちんと構築・運用していないと、そのせいで会社に問題が生じたときに「株主に対する受託責任を果たしていない」として株主代表訴訟で取締役や監査役が損害賠償責任を問われることになる。
具体的な体制の内容だが、法令遵守体制、リスク管理体制、情報保存管理体制、業務の効率性を確保する体制、企業集団の内部統制、監査役監査の実効性確保体制が内部統制の中身であると言われている。
この中にセキュリティが入ってくる。特にリスク管理、損失危険管理体制が重要で、たとえば情報漏えいが発生すると、大きな損害が生じることになる。また情報保存管理体制も重要だ。
加えて、法令ではないが「守りなさい」の中には各種ガイドラインがある。たとえば「企業等が安心して無線LANを導入・運用するために」(2013年総務省)は、企業が無線LANを導入・運用する際の注意事項を記載したものだが、法令ではないので遵守しなくても直接に法的責任が生じるわけではない。しかし紛争、特に民事訴訟の場面で「ガイドラインに準拠していなかった」ということを責任の根拠にされる可能性は残っている。
最新の事例として紹介されたのは、2016年7月に策定された「IoTセキュリティガイドラインver1.0」。想定読者は、IoTサービスの提供者と利用者の双方だ。
同ガイドラインは、4章で構成されており、第1章は背景と目的、第2章では提供者の取るべき対策を 次のように定義している。
【セキュリティに関する各種ガイドライン―IoTセキュリティガイドライン】
第1章 背景と目的
- IoTとは…PC、スマホとの違い第2章 提供者の取るべき対策
‐ 指針1:IoTの性質を考慮した基本方針を定めること
‐ 指針2:IoTのリスクを認識すること。
‐ 指針3:守るべきものを守る設計を考えること。たとえば、個々の機器/システムと上位機器/システムの両方で守る設計を考える。
‐ 指針4:ネットワーク上での対策を考えること。機器のみにセキュリティ対策をするのではなく、機器/システムとネットワークの両面からセキュリティ対策を考える。
‐ 指針5:出荷・リリース後も安全な状態を維持すること。
第3章では、「一般利用者のとるべきIoTのセキュリティ対策」ということで以下の四つのルールが書かれている。
- 問い合わせ窓口やサポートが無い機器、サービスの購入を控える。
- 初期設定に気をつける。
- 使用しなくなった機器の電源を切る。
- 機器を手放すときはデータを消去する。
第4章は今後の検討事項がテーマで、法的な責任に関する問題は、今後の検討事項とされている。