マヨケーがポアされたため、現在はロシケーがメインとなっています。

「サイバーセキュリティと企業法務《第2回》」の版間の差分

ナビゲーションに移動 検索に移動

サイバーセキュリティと企業法務《第2回》 (ソースを閲覧)

2019年2月14日 (木) 21:24時点における版

12 バイト除去 、 2019年2月14日 (木)
→‎(ウ) Yahoo!BB顧客情報漏えい事件4 大阪地判平18.5.19判時1948号122頁及び大阪高判平19.6.21判例集未登載。
>スイーツマフィア
>スイーツマフィア
75行目: 75行目:


==== (ウ) Yahoo!BB顧客情報漏えい事件<ref>4 大阪地判平18.5.19判時1948号122頁及び大阪高判平19.6.21判例集未登載。</ref> ====
==== (ウ) Yahoo!BB顧客情報漏えい事件<ref>4 大阪地判平18.5.19判時1948号122頁及び大阪高判平19.6.21判例集未登載。</ref> ====
'''① 事案の特徴'''
;① 事案の特徴
{| class="wikitable"
{| class="wikitable"
! style="white-space:nowrap" |  漏えい原因
! style="white-space:nowrap" |  漏えい原因
83行目: 83行目:
| 個人情報提供者である顧客(原告)の個人情報取得者(被告)に対する不法行為に基づく損害賠償請求。
| 個人情報提供者である顧客(原告)の個人情報取得者(被告)に対する不法行為に基づく損害賠償請求。
|}
|}
'''② 判旨の特徴'''<br>
;② 判旨の特徴
;a.個人情報の機密性を保持する義務


a.個人情報の機密性を保持する義務
: 第一審判決および第二審判決はともに,個人情報取得者および電気通信事業法の電気通信事業者および個人情報保護法上の個人情報取扱事業者であることを前提に,電気通信事業における個人情報保護に関するガイドライン5条4項および個人情報保護法20条の規定を考慮して,「情報への不正なアクセスや当該情報の漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずべき注意義務を負っていた」とした。<br> さらに,第一審判決はリモートアクセス固有のリスクをふまえ,「リモートアクセスを可能にするに当たっては,不正アクセスを防止するための相当な措置を講ずべき注意義務を負っていた」とした。<br> すなわち,被告の主体の属性,個人情報保護法およびそのガイドラインという公的規範の存在ならびにリモートアクセスという情報システムに内在するリスクをふまえて,注意義務が導かれた。<br>


 第一審判決および第二審判決はともに,個人情報取得者および電気通信事業法の電気通信事業者および個人情報保護法上の個人情報取扱事業者であることを前提に,電気通信事業における個人情報保護に関するガイドライン5条4項および個人情報保護法20条の規定を考慮して,「情報への不正なアクセスや当該情報の漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずべき注意義務を負っていた」とした。<br>
;b.過失
 さらに,第一審判決はリモートアクセス固有のリスクをふまえ,「リモートアクセスを可能にするに当たっては,不正アクセスを防止するための相当な措置を講ずべき注意義務を負っていた」とした。<br>
 すなわち,被告の主体の属性,個人情報保護法およびそのガイドラインという公的規範の存在ならびにリモートアクセスという情報システムに内在するリスクをふまえて,注意義務が導かれた。<br>


b.過失
: 第一審判決および第二審判決はともに,個人情報取得者(被告)の過失を肯定している。第一審判決は,予見可能性および結果回避可能性に分け,前者につき個人情報取得者がXに行わせていた業務の内容および与えていた権限の内容等を考慮のうえ,「Xが業務を終えた後に,業務中に知り得たパスワード等の情報を用い……ることによる不正アクセスについては,予見可能であった」とし,続いて後者につき,「アカウントを含むユーザー名,パスワードの適切な管理等,不正アクセスを防止するための相当な措置を採っていれば防ぎ得たといえるから,結果回避可能性も認められる」とした。第二審判決は,結果回避可能性について,さらに具体的に「Xが退職した後に,本件アカウントを含め,Xが知り得たユーザー名を削除したり,パスワードを変更するなどの措置を採るべきであった」として代替手段の存在を理由に結果回避義務違反を肯定した・


 第一審判決および第二審判決はともに,個人情報取得者(被告)の過失を肯定している。第一審判決は,予見可能性および結果回避可能性に分け,前者につき個人情報取得者がXに行わせていた業務の内容および与えていた権限の内容等を考慮のうえ,「Xが業務を終えた後に,業務中に知り得たパスワード等の情報を用い……ることによる不正アクセスについては,予見可能であった」とし,続いて後者につき,「アカウントを含むユーザー名,パスワードの適切な管理等,不正アクセスを防止するための相当な措置を採っていれば防ぎ得たといえるから,結果回避可能性も認められる」とした。第二審判決は,結果回避可能性について,さらに具体的に「Xが退職した後に,本件アカウントを含め,Xが知り得たユーザー名を削除したり,パスワードを変更するなどの措置を採るべきであった」として代替手段の存在を理由に結果回避義務違反を肯定した・
;c.コメント


c.コメント
: アカウント情報の管理を含むアクセス権限の適切な管理は,サイバーセキュリティにおける基本事項である<ref>5 情報システム安全対策指針(平成9年国家公安委員会告示第9号)はネットワークおよびホストへのアクセスについて「ログインに際し,識別及び認証を行うこと」と規定する。</ref>。管理画面からアカウント情報を入力してデータにアクセスすることができれば,高度な技術力がなくともサイバー攻撃は可能となるからである。<br> そうすると,企業としては,アカウント情報が簡単に推測または利用されない体制整備がまずもって重要であり,これを怠った場合には,比較的緩やかに過失が肯定される点に注意が必要である。<br>
 
 アカウント情報の管理を含むアクセス権限の適切な管理は,サイバーセキュリティにおける基本事項である<ref>5 情報システム安全対策指針(平成9年国家公安委員会告示第9号)はネットワークおよびホストへのアクセスについて「ログインに際し,識別及び認証を行うこと」と規定する。</ref>。管理画面からアカウント情報を入力してデータにアクセスすることができれば,高度な技術力がなくともサイバー攻撃は可能となるからである。<br>
 そうすると,企業としては,アカウント情報が簡単に推測または利用されない体制整備がまずもって重要であり,これを怠った場合には,比較的緩やかに過失が肯定される点に注意が必要である。<br>


==== (エ) TBC事件<ref>6 東京地判平19.2.8判タ262号270頁および東京高判平19.8.28判タ1264号293頁。</ref> ====
==== (エ) TBC事件<ref>6 東京地判平19.2.8判タ262号270頁および東京高判平19.8.28判タ1264号293頁。</ref> ====
https://krsw-wiki.in/wiki/特別:携帯機器差分/19008」から取得

案内メニュー