マヨケーがポアされたため、現在はロシケーがメインとなっています。

「サイバーセキュリティと企業法務《第2回》」の版間の差分

ナビゲーションに移動 検索に移動
編集の要約なし
>スイーツマフィア
編集の要約なし
>スイーツマフィア
編集の要約なし
25行目: 25行目:
 主要な争点としては,不法行為責任(民法709条)の場合には個人情報所得者が負う個人情報の機密性を保持する義務の内容および予見可能性を中心とした過失の有無,使用者責任(同法715条)の場合には指揮監督関係の有無があげられる。また,以下に検討する裁判例には,個人情報所得者が地方自治体の場合を含み,その場合には訴訟物が国家賠償法1条1項に基づく損害賠償請求権となるが,その要件・効果は使用者責任とほぼ共通しているため,ここであわせて紹介する。
 主要な争点としては,不法行為責任(民法709条)の場合には個人情報所得者が負う個人情報の機密性を保持する義務の内容および予見可能性を中心とした過失の有無,使用者責任(同法715条)の場合には指揮監督関係の有無があげられる。また,以下に検討する裁判例には,個人情報所得者が地方自治体の場合を含み,その場合には訴訟物が国家賠償法1条1項に基づく損害賠償請求権となるが,その要件・効果は使用者責任とほぼ共通しているため,ここであわせて紹介する。


===== (ア)宇治市住民基本台帳データ漏えい事件<ref>2 京都地判平13.2.23判例地方自治265号17頁および大阪高判平13.12.25判例地方自治265号11頁。</ref> =====  
===== (ア) 宇治市住民基本台帳データ漏えい事件<ref>2 京都地判平13.2.23判例地方自治265号17頁および大阪高判平13.12.25判例地方自治265号11頁。</ref> =====  
;① 事件の特徴
;① 事件の特徴
{| class="wikitable"
{| class="wikitable"
36行目: 36行目:
|}
|}
;② 判旨の特徴
;② 判旨の特徴
;a.個人情報の機密性を保持する義務
;a.個人情報の機密性を保持する義務


:第一審判決は,指揮監督関係を論じる前提としてではあるが,住民基本台帳の「データが,……個々の住民のプライバシーに属する情報である以上,被告は,その秘密の保持には万全を尽くすべき義務を負う」として,プライバシーに属する情報」であるという所得情報の性質をふまえ,個人情報取得者が「秘密の保持には万全を尽くすべき義務」を負うとした。
:第一審判決は,指揮監督関係を論じる前提としてではあるが,住民基本台帳の「データが,……個々の住民のプライバシーに属する情報である以上,被告は,その秘密の保持には万全を尽くすべき義務を負う」として,プライバシーに属する情報」であるという所得情報の性質をふまえ,個人情報取得者が「秘密の保持には万全を尽くすべき義務」を負うとした。


;b.指揮監督関係
;b.指揮監督関係


:第一審および第二審を通して,個人情報取得者は,Xが宇治市の職員でないため,指揮監督する権限はなかったと主張した。第二審判決は,この点につき「実質的な指揮・監督関係の有無によって決するのが相当」としたうえで,Xが個人情報取得社の担当者との打ち合わせに参加していたこと(協議の存在),およびXが個人情報取得者の庁舎内で作業を行っていたこと(作業場所)を考慮のうえ,実質的な指揮監督関係を肯定した。
:第一審および第二審を通して,個人情報取得者は,Xが宇治市の職員でないため,指揮監督する権限はなかったと主張した。第二審判決は,この点につき「実質的な指揮・監督関係の有無によって決するのが相当」としたうえで,Xが個人情報取得社の担当者との打ち合わせに参加していたこと(協議の存在),およびXが個人情報取得者の庁舎内で作業を行っていたこと(作業場所)を考慮のうえ,実質的な指揮監督関係を肯定した。
86行目: 86行目:
: 第一審判決および第二審判決はともに,個人情報取得者および電気通信事業法の電気通信事業者および個人情報保護法上の個人情報取扱事業者であることを前提に,電気通信事業における個人情報保護に関するガイドライン5条4項および個人情報保護法20条の規定を考慮して,「情報への不正なアクセスや当該情報の漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずべき注意義務を負っていた」とした。<br> さらに,第一審判決はリモートアクセス固有のリスクをふまえ,「リモートアクセスを可能にするに当たっては,不正アクセスを防止するための相当な措置を講ずべき注意義務を負っていた」とした。<br> すなわち,被告の主体の属性,個人情報保護法およびそのガイドラインという公的規範の存在ならびにリモートアクセスという情報システムに内在するリスクをふまえて,注意義務が導かれた。<br>
: 第一審判決および第二審判決はともに,個人情報取得者および電気通信事業法の電気通信事業者および個人情報保護法上の個人情報取扱事業者であることを前提に,電気通信事業における個人情報保護に関するガイドライン5条4項および個人情報保護法20条の規定を考慮して,「情報への不正なアクセスや当該情報の漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずべき注意義務を負っていた」とした。<br> さらに,第一審判決はリモートアクセス固有のリスクをふまえ,「リモートアクセスを可能にするに当たっては,不正アクセスを防止するための相当な措置を講ずべき注意義務を負っていた」とした。<br> すなわち,被告の主体の属性,個人情報保護法およびそのガイドラインという公的規範の存在ならびにリモートアクセスという情報システムに内在するリスクをふまえて,注意義務が導かれた。<br>


;b.過失
;b.過失


: 第一審判決および第二審判決はともに,個人情報取得者(被告)の過失を肯定している。第一審判決は,予見可能性および結果回避可能性に分け,前者につき個人情報取得者がXに行わせていた業務の内容および与えていた権限の内容等を考慮のうえ,「Xが業務を終えた後に,業務中に知り得たパスワード等の情報を用い……ることによる不正アクセスについては,予見可能であった」とし,続いて後者につき,「アカウントを含むユーザー名,パスワードの適切な管理等,不正アクセスを防止するための相当な措置を採っていれば防ぎ得たといえるから,結果回避可能性も認められる」とした。第二審判決は,結果回避可能性について,さらに具体的に「Xが退職した後に,本件アカウントを含め,Xが知り得たユーザー名を削除したり,パスワードを変更するなどの措置を採るべきであった」として代替手段の存在を理由に結果回避義務違反を肯定した・
: 第一審判決および第二審判決はともに,個人情報取得者(被告)の過失を肯定している。第一審判決は,予見可能性および結果回避可能性に分け,前者につき個人情報取得者がXに行わせていた業務の内容および与えていた権限の内容等を考慮のうえ,「Xが業務を終えた後に,業務中に知り得たパスワード等の情報を用い……ることによる不正アクセスについては,予見可能であった」とし,続いて後者につき,「アカウントを含むユーザー名,パスワードの適切な管理等,不正アクセスを防止するための相当な措置を採っていれば防ぎ得たといえるから,結果回避可能性も認められる」とした。第二審判決は,結果回避可能性について,さらに具体的に「Xが退職した後に,本件アカウントを含め,Xが知り得たユーザー名を削除したり,パスワードを変更するなどの措置を採るべきであった」として代替手段の存在を理由に結果回避義務違反を肯定した・


;c.コメント
;c.コメント


: アカウント情報の管理を含むアクセス権限の適切な管理は,サイバーセキュリティにおける基本事項である<ref>5 情報システム安全対策指針(平成9年国家公安委員会告示第9号)はネットワークおよびホストへのアクセスについて「ログインに際し,識別及び認証を行うこと」と規定する。</ref>。管理画面からアカウント情報を入力してデータにアクセスすることができれば,高度な技術力がなくともサイバー攻撃は可能となるからである。<br> そうすると,企業としては,アカウント情報が簡単に推測または利用されない体制整備がまずもって重要であり,これを怠った場合には,比較的緩やかに過失が肯定される点に注意が必要である。<br>
: アカウント情報の管理を含むアクセス権限の適切な管理は,サイバーセキュリティにおける基本事項である<ref>5 情報システム安全対策指針(平成9年国家公安委員会告示第9号)はネットワークおよびホストへのアクセスについて「ログインに際し,識別及び認証を行うこと」と規定する。</ref>。管理画面からアカウント情報を入力してデータにアクセスすることができれば,高度な技術力がなくともサイバー攻撃は可能となるからである。<br> そうすると,企業としては,アカウント情報が簡単に推測または利用されない体制整備がまずもって重要であり,これを怠った場合には,比較的緩やかに過失が肯定される点に注意が必要である。<br>
106行目: 106行目:
;② 判旨の特徴
;② 判旨の特徴


;a.個人情報の機密性を保持する義務
;a.個人情報の機密性を保持する義務


: 第一審判決は,OECDおよび電子計算機処理に係る個人情報保護に関するガイドラインで要請されている「個人情報保護の必要性にかんがみると,……個人情報を取り扱う企業に対しては,その事業内容等に応じて,個人情報保護のために安全対策を講ずる法的義務が課せられていた」とした。
: 第一審判決は,OECDおよび電子計算機処理に係る個人情報保護に関するガイドラインで要請されている「個人情報保護の必要性にかんがみると,……個人情報を取り扱う企業に対しては,その事業内容等に応じて,個人情報保護のために安全対策を講ずる法的義務が課せられていた」とした。


;b.指揮監督関係
;b.指揮監督関係


: ウェブサイトの制作・保守についての専門的技術的な知識がないためシステム開発受託者に対し実質的に指揮監督する地位になかったという被告の主張について,第一審判決は,「本件ホームページ制作保守契約においては,本件ウェブサイトのコンテンツの内容等は被告が決定し」,システム開発受託者は,「その決定された内容を実現するために専門的技術的知識を提供するにすぎ」ないとして,指揮監督関係を肯定した。
: ウェブサイトの制作・保守についての専門的技術的な知識がないためシステム開発受託者に対し実質的に指揮監督する地位になかったという被告の主張について,第一審判決は,「本件ホームページ制作保守契約においては,本件ウェブサイトのコンテンツの内容等は被告が決定し」,システム開発受託者は,「その決定された内容を実現するために専門的技術的知識を提供するにすぎ」ないとして,指揮監督関係を肯定した。


;c.コメント
;c.コメント


: 一般的に,個人情報を含む電子データを管理する情報システムの開発および保守に関する業務について,それらの全部または一部を外部に委託することも珍しくない。<br> たしかに,情報システムの専門的技術的知識が十分ではないためシステム開発受託者の業務を詳細に把握することは容易ではないとしても,専門的技術的知識の不足をもって,指揮監督を免れるわけではないことに注意が必要である。<br>
: 一般的に,個人情報を含む電子データを管理する情報システムの開発および保守に関する業務について,それらの全部または一部を外部に委託することも珍しくない。<br> たしかに,情報システムの専門的技術的知識が十分ではないためシステム開発受託者の業務を詳細に把握することは容易ではないとしても,専門的技術的知識の不足をもって,指揮監督を免れるわけではないことに注意が必要である。<br>

案内メニュー