「サイバーセキュリティと企業法務《第2回》」の版間の差分
ナビゲーションに移動
検索に移動
細
編集の要約なし
>スイーツマフィア |
>スイーツマフィア 細編集の要約なし |
||
| 25行目: | 25行目: | ||
主要な争点としては,不法行為責任(民法709条)の場合には個人情報所得者が負う個人情報の機密性を保持する義務の内容および予見可能性を中心とした過失の有無,使用者責任(同法715条)の場合には指揮監督関係の有無があげられる。また,以下に検討する裁判例には,個人情報所得者が地方自治体の場合を含み,その場合には訴訟物が国家賠償法1条1項に基づく損害賠償請求権となるが,その要件・効果は使用者責任とほぼ共通しているため,ここであわせて紹介する。 | 主要な争点としては,不法行為責任(民法709条)の場合には個人情報所得者が負う個人情報の機密性を保持する義務の内容および予見可能性を中心とした過失の有無,使用者責任(同法715条)の場合には指揮監督関係の有無があげられる。また,以下に検討する裁判例には,個人情報所得者が地方自治体の場合を含み,その場合には訴訟物が国家賠償法1条1項に基づく損害賠償請求権となるが,その要件・効果は使用者責任とほぼ共通しているため,ここであわせて紹介する。 | ||
==== (ア)宇治市住民基本台帳データ漏えい事件<ref>2 京都地判平13.2.23判例地方自治265号17頁および大阪高判平13.12.25判例地方自治265号11頁。</ref> ==== | ===== (ア)宇治市住民基本台帳データ漏えい事件<ref>2 京都地判平13.2.23判例地方自治265号17頁および大阪高判平13.12.25判例地方自治265号11頁。</ref> ===== | ||
;① 事件の特徴 | ;① 事件の特徴 | ||
{| class="wikitable" | {| class="wikitable" | ||
| 35行目: | 35行目: | ||
| 個人情報提供者である住民(原告)の個人情報取得者である宇治市(被告)に対する民法715条または国家賠償法1条1項に基づく損害賠償請求。 | | 個人情報提供者である住民(原告)の個人情報取得者である宇治市(被告)に対する民法715条または国家賠償法1条1項に基づく損害賠償請求。 | ||
|} | |} | ||
;② 判旨の特徴 | ;② 判旨の特徴 | ||
;a.個人情報の機密性を保持する義務 | ;a.個人情報の機密性を保持する義務 | ||
| 50行目: | 48行目: | ||
:個人情報取得者の立場からすると,直接の契約関係にないシステム開発再受託者の従業員に起因する情報漏えいまで使用者責任が肯定されうる点には注意が必要である。 | :個人情報取得者の立場からすると,直接の契約関係にないシステム開発再受託者の従業員に起因する情報漏えいまで使用者責任が肯定されうる点には注意が必要である。 | ||
==== (イ) 北海道警察探査情報漏えい事件<ref>3 札幌地判平17.4.28判例地方自治268号28頁および札幌高判平17.11.11(LEX/DBインターネット28102361)。</ref> ==== | ===== (イ) 北海道警察探査情報漏えい事件<ref>3 札幌地判平17.4.28判例地方自治268号28頁および札幌高判平17.11.11(LEX/DBインターネット28102361)。</ref> ===== | ||
;① 事案の特徴 | ;① 事案の特徴 | ||
{| class="wikitable" | {| class="wikitable" | ||
| 74行目: | 72行目: | ||
:サイバーセキュリティの確保にあたっては,経営判断として費用対効果を考慮せざるをえない。第二審判決は,ウイルスによる損害発生についての具体的危険が予見不可能な場合にその過失を否定している点で,日々登場するあらゆる驚異に対して万全のサイバーセキュリティの確保を要求するものではないということを示すものである。<br>ただし,新たな手法によるサイバー攻撃であっても,大々的に報道されているサイバー攻撃については,損害発生についての予見可能性が認められうるので早急に対策を講じる必要がある。 | :サイバーセキュリティの確保にあたっては,経営判断として費用対効果を考慮せざるをえない。第二審判決は,ウイルスによる損害発生についての具体的危険が予見不可能な場合にその過失を否定している点で,日々登場するあらゆる驚異に対して万全のサイバーセキュリティの確保を要求するものではないということを示すものである。<br>ただし,新たな手法によるサイバー攻撃であっても,大々的に報道されているサイバー攻撃については,損害発生についての予見可能性が認められうるので早急に対策を講じる必要がある。 | ||
==== (ウ) Yahoo!BB顧客情報漏えい事件<ref>4 大阪地判平18.5.19判時1948号122頁及び大阪高判平19.6.21判例集未登載。</ref> ==== | ===== (ウ) Yahoo!BB顧客情報漏えい事件<ref>4 大阪地判平18.5.19判時1948号122頁及び大阪高判平19.6.21判例集未登載。</ref> ===== | ||
;① 事案の特徴 | ;① 事案の特徴 | ||
{| class="wikitable" | {| class="wikitable" | ||
| 96行目: | 94行目: | ||
: アカウント情報の管理を含むアクセス権限の適切な管理は,サイバーセキュリティにおける基本事項である<ref>5 情報システム安全対策指針(平成9年国家公安委員会告示第9号)はネットワークおよびホストへのアクセスについて「ログインに際し,識別及び認証を行うこと」と規定する。</ref>。管理画面からアカウント情報を入力してデータにアクセスすることができれば,高度な技術力がなくともサイバー攻撃は可能となるからである。<br> そうすると,企業としては,アカウント情報が簡単に推測または利用されない体制整備がまずもって重要であり,これを怠った場合には,比較的緩やかに過失が肯定される点に注意が必要である。<br> | : アカウント情報の管理を含むアクセス権限の適切な管理は,サイバーセキュリティにおける基本事項である<ref>5 情報システム安全対策指針(平成9年国家公安委員会告示第9号)はネットワークおよびホストへのアクセスについて「ログインに際し,識別及び認証を行うこと」と規定する。</ref>。管理画面からアカウント情報を入力してデータにアクセスすることができれば,高度な技術力がなくともサイバー攻撃は可能となるからである。<br> そうすると,企業としては,アカウント情報が簡単に推測または利用されない体制整備がまずもって重要であり,これを怠った場合には,比較的緩やかに過失が肯定される点に注意が必要である。<br> | ||
==== (エ) TBC事件<ref>6 東京地判平19.2.8判タ262号270頁および東京高判平19.8.28判タ1264号293頁。</ref> ==== | ===== (エ) TBC事件<ref>6 東京地判平19.2.8判タ262号270頁および東京高判平19.8.28判タ1264号293頁。</ref> ===== | ||
;① 事案の特徴 | ;① 事案の特徴 | ||
{| class="wikitable" | {| class="wikitable" | ||
| 120行目: | 118行目: | ||
: 一般的に,個人情報を含む電子データを管理する情報システムの開発および保守に関する業務について,それらの全部または一部を外部に委託することも珍しくない。<br> たしかに,情報システムの専門的技術的知識が十分ではないためシステム開発受託者の業務を詳細に把握することは容易ではないとしても,専門的技術的知識の不足をもって,指揮監督を免れるわけではないことに注意が必要である。<br> | : 一般的に,個人情報を含む電子データを管理する情報システムの開発および保守に関する業務について,それらの全部または一部を外部に委託することも珍しくない。<br> たしかに,情報システムの専門的技術的知識が十分ではないためシステム開発受託者の業務を詳細に把握することは容易ではないとしても,専門的技術的知識の不足をもって,指揮監督を免れるわけではないことに注意が必要である。<br> | ||
(2) クレジットカード決済代行会社―個人情報取得者間 | ==== (2) クレジットカード決済代行会社―個人情報取得者間 ==== | ||
この紛争類型は,紛争当事者間に契約関係があることから契約責任が問題となる。 | この紛争類型は,紛争当事者間に契約関係があることから契約責任が問題となる。 | ||
==== (オ) クーポン購入サイトクレジットカード情報漏えい事件<ref>7 東京地判平25.3.19判例未登載。</ref> ==== | ===== (オ) クーポン購入サイトクレジットカード情報漏えい事件<ref>7 東京地判平25.3.19判例未登載。</ref> ===== | ||
'''① 事案の特徴''' | '''① 事案の特徴''' | ||
| 136行目: | 134行目: | ||
|} | |} | ||
;② 判旨の特徴 | |||
a.個人情報の機密性を保持する義務 | :a.個人情報の機密性を保持する義務 | ||
クレジットカード決済代行会社(原告)の約款に規定された個人情報取得者(被告)の「会員のカード情報等を第三者に閲覧されないように本件サイトを適切に管理する義務」を前提に,個人情報取得者(被告)がレンタルサーバを利用していたことをもって,同義務が履行されていたか否かが争われた。<br> | クレジットカード決済代行会社(原告)の約款に規定された個人情報取得者(被告)の「会員のカード情報等を第三者に閲覧されないように本件サイトを適切に管理する義務」を前提に,個人情報取得者(被告)がレンタルサーバを利用していたことをもって,同義務が履行されていたか否かが争われた。<br> この点につき「いかなる程度のセキュリティ対策を取るかについては,当該セキュリティ対策を取るために必要となる費用や当該サイトで取り扱っている情報の内容とそれに応じた秘密保護の必要性等の程度を勘案して,適切な程度のセキュリティ対策を取ることが必要というべきである」ところ,「本件サイトは,クレジットカードの情報という機密性の高い情報を扱うサイトであるから,それに応じた高度のセキュリティ対策が必要というべきであ」るが,被告が利用した「レンタルサーバ契約は,一般的なレンタルサーバに係るもににすぎ」ず,当該契約に「標準で付されているセキュリティ対策が,クレジットカードの情報という機密性の高い情報を扱うのに適した程度のもの……と推認することはできない」として義務違反が認定された。<br> | ||
この点につき「いかなる程度のセキュリティ対策を取るかについては,当該セキュリティ対策を取るために必要となる費用や当該サイトで取り扱っている情報の内容とそれに応じた秘密保護の必要性等の程度を勘案して,適切な程度のセキュリティ対策を取ることが必要というべきである」ところ,「本件サイトは,クレジットカードの情報という機密性の高い情報を扱うサイトであるから,それに応じた高度のセキュリティ対策が必要というべきであ」るが,被告が利用した「レンタルサーバ契約は,一般的なレンタルサーバに係るもににすぎ」ず,当該契約に「標準で付されているセキュリティ対策が,クレジットカードの情報という機密性の高い情報を扱うのに適した程度のもの……と推認することはできない」として義務違反が認定された。<br> | |||
b.コメント | ;b.コメント | ||
サーバのレンタルを含むいわゆるホスティングサービスには,セキュリティ対策も含まれていることがほとんどであるが,その内容は,利用料金によって異なる。<br> | :サーバのレンタルを含むいわゆるホスティングサービスには,セキュリティ対策も含まれていることがほとんどであるが,その内容は,利用料金によって異なる。<br> したがって,企業が外部のホスティングサービスを利用するにあたって,特にクレジットカード情報のような機密性の高い情報を扱う場合には,相応のセキュリティ対策が含まれたサービスを利用することが必要となる。<br> | ||
したがって,企業が外部のホスティングサービスを利用するにあたって,特にクレジットカード情報のような機密性の高い情報を扱う場合には,相応のセキュリティ対策が含まれたサービスを利用することが必要となる。<br> | |||
== 註釈 == | == 註釈 == | ||