「守れないルールは傷口を広げるだけ」――判例に見るセキュリティ対策のキモ

JPCERT/CCとIPATelecom-ISAC Japanは2月14日、都内にて「重要インフラセキュリティセミナー」を開催した。

[ITmedia]

　JPCERTコーディネーションセンター（JPCERT/CC）と情報処理推進機構（IPA）、テレコム・アイザック推進会議（Telecom-ISAC Japan）は2月14日、都内にて「重要インフラセキュリティセミナー」を開催した。

　ビジネス、プライベートを問わず、社会経済活動のインターネットへの依存度は高まるばかりだ。セミナーではそうした状況を踏まえ、情報通信をはじめ、金融や運輸、電力などの重要インフラのセキュリティ確保に向け取り組みはどうあるべきかが、さまざまな角度から語られた。

　例えば、日本経済団体連合会（経団連）産業第2本部情報グループ長の上田正尚氏は、米国における情報セキュリティに関する視察結果を踏まえ、「米国の仕組みをそのまま持ってくるのではなく、日本の実情に合わせてセキュリティ強化を図るべき」と述べた。

　経団連では2005年3月に、経営層の意識改革やIT投資促進税制の延長などのインセンティブ付与、情報セキュリティ人材の育成といった項目を盛り込んだ「企業の情報セキュリティのあり方に関する提言」を発表している。

　「政策面ではこれらの取り組みはかなり進んだ。あとは実装の面だ」と上田氏。今後は一連の取り組みをさらに推進するとともに、日本版FISMA（Federal Information Security Management Act of 2002：連邦情報セキュリティマネジメント法）の導入や情報セキュリティ対策についてのインセンティブ付与、リスクの可視化／定量化、国際協力や官民連携の推進といった項目が求められると述べた。

「ルール」は作るだけでは意味がない

　また「最近の情報セキュリティ関連裁判例について」と題するプログラムでは、弁護士で国立情報学研究所客員教授の岡村久道氏が、情報漏えいや私用メールの送受信、データの紛失など、情報セキュリティをめぐって裁判所で争われた事件のあらましと、そこから得られた教訓を紹介した。

　岡村氏が講演の中で強調したのは、まず企業が情報というものをどのようにとらえ、どう保護するかという「ルール」を作ること。そして、そのルールに「実効性」を持たせ、必要な保護策を講じること。そして作ったルールを社員にも「周知」することの重要性だ。これまでに争われた判例では、こうした部分が未整備だったために、企業にとって不利な判決が下されケースも見受けられるという。

　1つめの例として挙げられたのは、北海道警察江別署の巡査の私有PCがウイルスに感染し、Winnyネットワーク上に捜査情報が漏えいしてしまったケースだ。第一審の判決では北海道側に、慰謝料40万円の支払いが命じられている。

　当時警察側では、「私有PCを持ち込む際には上司の許可を得る」「持ち込んだPCのHDDに捜査情報は保存しない」「PC持ち帰り時には上司のチェックを経る」といったルールを定めていた。しかし、捜査員1人ひとりにPCを配布するだけの予算がなかったこともあり、むしろPCの持ち込みが奨励される状態で、第一の項目からして事実上骨抜きになっていたという。

　「そもそも守れないルールを作っていた。ルールを作ったとしても、それが実務実効的に考えられたものでなければ、かえって傷口を広げることになる」（岡村氏）

　次に紹介されたYahoo! BBの情報漏えい事件では、顧客情報を格納していたサーバが不正アクセスを受け、外部に漏えいすることとなった。大阪地裁では被告のBBテクノロジーに対し、必要な注意義務を怠った過失があるとする判決を下している。この事例では、そもそもリモートメンテナンス用サーバのID／パスワードが複数の管理者に共有されていたうえ、退職者が出ても変更されることなくそのまま利用されており、企業側に賠償責任が生じることになった。

　最も非があるのは実際に不正アクセスを行った人物ということになるだろうが、「損害賠償を請求しようにも、犯人はそもそもお金がないから悪いことをしている。（損害賠償分は）実質上、管理していた企業の負担になる」と岡村氏。各種セキュリティ標準に沿って対策を進めるなど、きちんと管理しておかなければ、いくら利益を上げても損害賠償などでそれが吸い取られる結果に終わるだろうと警告する。

　また、データの消失／紛失について争ったいくつかの判例からは、ユーザー側もデータの重要性に応じて保護策を講じるべきであるという考え方が示されているという。

　「運送業者に預けたデータが紛失した」「レンタルサーバ内のファイルが消失した」といった事故をめぐり、損害賠償を求める裁判がいくつか起こされている。こうした事故が起こるそもそもの原因は、預ける側、預けられる側がともに適正にバックアップを取っていないことだ。データ紛失をめぐって争われた裁判では、業者側に損害賠償を求めるとともに、「それなりに重要なデータならば、ユーザーもバックアップをとるべき」という考え方に立って、原告側にも5割の過失相殺を認めているという。

　「少なくともユーザー側（委託する側）にとっても、それなりに情報セキュリティ対策を図る義務はあるはずという考え方が、バックアップを取るという形で現れている」（岡村氏）

　岡村氏が最後に紹介したのは、企業はただルールを定めるだけでなく、それを従業員に周知すべきであるという考え方を示した判例だ。

　具体的には社員がやり取りする私用メールの可否、その検閲の可否をめぐる裁判例だが、いずれも「私用メールに関する社内ルールが定められていなかったため、処分を下そうとしたところ会社側が弱い立場に立たされることになった」（岡村氏）。逆に、従業員規則などの中にそれなりのルールを定めていたことによって、Web上で情報を公開した社員を処分できた、といった例もあったという。

　今後は、プライバシーの観点からのモニタリングの可否、また誹謗中傷などのインシデントが起こったときの事情調査はどのくらい許されるのかといった部分が争点になってくるだろうという。

　岡村氏によればすでに、キーロガーやフィッシングといった事柄までが裁判で争われ、判決が出る時代になっている。「情報セキュリティやSOX法対応といった事柄は、もはや抽象論ではない。現場でどうやっていくのか、どうやれば実効性を持てるのかといった部分の議論に来ている」（同氏）