会社・取締役が法的義務を負っている情報セキュリティのレベルとは
IT・情報セキュリティ情報セキュリティについては様々な対応策やソリューションが存在します。会社あるいは取締役の法的義務として、何を基準にして情報セキュリティ対策を講ずるべきでしょうか。
まず、省庁等が公表している各種のガイドライン等は、「その当時の技術水準」を示すものとして法的義務を構成することになりますから、これに準拠する必要があります。また、システムに脆弱性や瑕疵が残ることは避けられませんので、それを前提に、システム外で対策を講じておくことも法的義務を構成することになります。
解説
目次
会社・取締役が負う可能性のある法的責任とは
会社の責任
情報セキュリティに問題があり情報が漏えいするなどした場合、会社としては、漏えいした情報の「本人」から、債務不履行責任や不法行為責任を追及される可能性があります。
取締役の責任
また、取締役個人としては、情報セキュリティを向上させなかったこと、あるいは情報セキュリティに問題がある状態のままにしておいたことが取締役としての善管注意義務に違反しているとして、情報漏えいにより会社が被った損害について責任追及されたり、システム障害で会社の業務が滞ったことにより会社に損害が発生したとして責任追及されたりする可能性があります(詳細は「サイバー攻撃で情報漏えいが発生した際に負う法的責任とは」をご参照ください)。
情報セキュリティと法的責任についての裁判例
以上のとおり、情報セキュリティ対策を講じることは、様々な場面で法的義務を構成することになります。とすると、何を基準にして、どの程度のセキュリティ対策を講じておくことが法的な義務といえるのかが問題になります。
この点については、以下の2つの裁判例が参考になります。
裁判例①:「その当時の技術水準」に従ったセキュリティ対策が問われた事例
この事件は、ある会社(発注者)が、商品の受発注システムの構築をベンダに依頼したところ、そのシステムに情報セキュリティ上の脆弱性があり、顧客のクレジットカード情報が流出してしまったため、発注者がベンダに対して債務不履行に基づく損害賠償請求をした事件です(東京地裁平成26年1月23日判決・判時2221号71頁)。
この事件で、東京地裁はベンダの責任を一部認めましたが、争点となったシステム上の問題点は2つありました。
問題点1:SQLインジェクション攻撃への対応策
1つ目の問題点が、クレジットカード情報の流出原因として認められた「SQLインジェクション攻撃」という攻撃1に対する対応策ができていなかったことです。
この点について、東京地裁は、以下のとおり判示し、ベンダの責任を認めました。
本件では、セキュリティについて詳細な要件が契約書等に記載されていませんでしたが、「その当時の技術水準」に従ったセキュリティ対策を施すことが、当然に、合意の内容を構成していたと認定したのです。
この判示から分かることは、情報セキュリティ対策については、明示的な合意がなくても、「その当時の技術水準」に従った対策を講じることが、法的な義務であるとされる可能性があるということです(それが、この事件では、契約上の債務の内容として認定された、ということになります)。
すると、次に問題となるのは、「その当時の技術水準」とは何か、という点です。この点について、東京地裁は、以下のとおり判断しました。
経済産業省は,平成18年2月20日,「個人情報保護法に基づく個人データの安全管理措置の徹底に係る注意喚起」と題する文書において,SQLインジェクション攻撃によってデータベース内の大量の個人データが流出する事案が相次いで発生していることから,独立行政法人情報処理推進機構(以下「IPA」という。)が紹介するSQLインジェクション対策の措置を重点的に実施することを求める旨の注意喚起をしていたこと,IPAは,平成19年4月,「大企業・中堅企業の情報システムのセキュリティ対策~脅威と対策」と題する文書において,ウェブアプリケーションに対する代表的な攻撃手法としてSQLインジェクション攻撃を挙げ……SQLインジェクション対策をすることが必要である旨を明示していたことが認められ,これらの事実に照らすと,被告は,平成21年2月4日の本件システム発注契約締結時点において,本件データベースから顧客の個人情報が漏洩することを防止するために,SQLインジェクション対策として,バインド機構の使用又はエスケープ処理を施したプログラムを提供すべき債務を負っていたということができる。
つまり、経済産業省やIPA(独立行政法人情報処理推進機構)が注意喚起したり「対策をすることが必要である旨を明示」していたことをもって、SQLインジェクション攻撃に対する対策をすることが「当時の技術水準」だったと判断したのです。
ここから分かることは、省庁等が公表しているガイドラインや各種の文書で対応の必要性が説かれていることをもって、それが「当時の技術水準」であるとされ、法的な義務の内容を構成することがある、ということです。
問題点2:情報の暗号化
2つ目の問題点は、ベンダがクレジットカード情報を暗号化せずに保存していた点です。この点については、東京地裁は以下のとおり述べ、暗号化することは債務の内容を構成していなかったと判断しました。
……厚生労働省及び経済産業省が平成19年3月30日に改正した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(同日厚生労働省・経済産業省告示第1号)では,クレジットカード情報等(クレジットカード情報を含む個人情報)について特に講じることが望ましい安全管理措置として,利用目的の達成に必要最小限の範囲の保存期間を設定し,保存場所を限定し,保存期間経過後適切かつ速やかに破棄することを例示し,IPAは,同年4月,前記「大企業・中堅企業の情報システムのセキュリティ対策~脅威と対策」と題する文書において,データベース内に格納されている重要なデータや個人情報については暗号化することが望ましいと明示していたことが認められる。しかし,上記告示等は,いずれも上記対策を講じることが「望ましい」と指摘するものにすぎないし,上記IPAの文書においては,データベース内のデータ全てに対して暗号化の処理を行うとサーバー自体の負荷になることがあるので,特定のカラムだけを暗号化するなどの考慮が必要であるとも指摘されている……ように,暗号化の設定内容等は暗号化の程度によって異なり,それによって被告の作業量や代金も増減すると考えられることに照らすと,契約で特別に合意していなくとも,当然に,被告がクレジットカード情報を本件サーバー及びログに保存せず,若しくは保存しても削除する設定とし,又はクレジットカード情報を暗号化して保存すべき債務を負っていたとは認められない。
以上からすれば,被告には債務不履行の責任は認められない。
つまり、個人情報保護法の経済産業分野ガイドライン等を引用し、暗号化については「望ましい」としているだけであるから、債務の内容を構成していないとしたのです。
以上から分かることは、各種のガイドラインや文書で、対策が「必要である」とされていれば、それが「当時の技術水準」として法的な義務を構成し、対策が「望ましい」とされているに過ぎなければ法的な義務を構成しない、という発想があるということです。
情報セキュリティ対策を講じる際には、現在公表されている各種のガイドライン等を読み、そこで何が「必要である」とされているかを把握する必要があることが分かります。
裁判例②:システム外での対策が問われた事例
2つ目に参考となる裁判例は「ジェイコム株式誤発注事件」として有名な事件の高裁判決です(東京高裁平成25年7月24日判決・判時2198号27頁)。この事件は、みずほ証券の従業員が顧客から委託を受け、ジェイコム株式会社の株式を「61万円で1株」と売り注文すべきところ、誤って「1円で61万株」と端末に入力し、400億円を超える売却損が生じた事案です。
みずほ証券は、途中で誤りに気付いて注文の取消処理を行いましたが、東京証券取引所のシステムのバグにより、取消処理が受け付けられず、次々と売り注文が成約し、400億円を超える損害が生じてしまいました。
したがって、この事件では、システムにバグが存在したこと自体には争いがなく、そのバグを発見することが容易にできたのか(例えば、テストの手法やテストケースの網羅性等が問題となります)が、技術上の争点になりました。
しかし、東京高裁は、以下のとおり述べ、バグを発見することが容易にできたかどうかは技術的な問題であるから裁判所には分からない(「甲乙つけがたいものである」)、と正面から認めたのです。
この争点は、科学的・技術的争点であるが、当事者双方が提出する専門家意見書が相反するものであり、甲乙つけがたいものである。
このように「甲乙つけがたいものである」ということは、民事訴訟法上は、以下のとおり、バグの発見が容易であった(すなわち東証側に重過失があった)ことの立証に失敗した、ということを意味します。
バグの発見・修正が容易であったとも認めることができない。
その上で、結論として、裁判所は、以上のとおりシステム上のバグについては重過失を認めませんでしたが、一定の時点以降は、東京証券取引所側も異常な取引が行われていることに気付いていたにもかかわらず、売買を停止しなかったことをもって不法行為(重過失)が成立するとし、30%の過失相殺をした上で、その時点以降の約定による売却損の賠償(約107億円)を認めました。
ここから分かることは、裁判所で、システム上の問題点について争うところまで争うと、裁判所には判断できないという心証に至ることがあり、結局、システム外で何をすべきだったのか、という点で判断されることがあり得るということです。
まとめ
各種ガイドライン等が「その当時の技術水準」になる
裁判例①のとおり、経済産業省やIPAが注意喚起したり、「対策をすることが必要である旨を明示」することなどが、「その当時の技術水準」として求められ、情報セキュリティ対策がこの水準に達していないと、債務不履行責任を問われたり、善管注意義務違反を問われたりする可能性があることになります。
したがって、近時、様々なガイドライン等が公表されていますが、担当者としてはこれらに目を通して何が「必要である」とされているのかを把握し、それについては適切に対応していく必要があります。
各種ガイドライン等は、「その当時の技術水準」を示して法的義務を構成する。何が「必要である」とされているかを把握する必要がある。
「企業経営のためのサイバーセキュリティの考え方」(内閣サイバーセキュリティセンター(NISC)):2016年8月2日
「情報セキュリティ管理基準(平成28年改正版)」(経済産業省):2016年3月1日
「サイバーセキュリティ経営ガイドライン」(経済産業省):2015年12月28日
「クラウドセキュリティガイドライン改訂版」(経済産業省):2014年3月14日
「システム管理基準 追補版(財務報告に係るIT 統制ガイダンス)」(経済産業省):2007年3月30日
「事業継続ガイドライン 第3版」(内閣府):2013年8月
「個人情報の保護に関する法律についてのガイドライン」(個人情報保護委員会)(2016年)
システム外の対策も重要
また、裁判例②のように、システム上の瑕疵や脆弱性について裁判所で争いになり、その争点について争い尽くすと、裁判所には「甲乙つけがたい」ことになり、結局、システム外で何をすべきだったのかという点で判断されることがあります。
つまり、システムが「その当時の技術水準」を満たすことが重要であることは上記のとおりですが、システムの脆弱性・瑕疵をゼロにすることはできませんので、システムに問題があることを前提に、システム外で何をすべきかをあらかじめ決めておくことも重要です。例えば、システムが停止したときにも顧客へサービスを提供できるように、手作業でのサービス提供について定期的に訓練を行っておくことがこれにあたります。
システム上の情報セキュリティ対策と、システム外での情報セキュリティ対策は、両輪になって法的義務を構成すると考えるべきでしょう。
システムに問題があることを前提に、システム外で対策を講じておくことも法的義務を構成する
-
データベースに対する攻撃手法である。SQLとはデータベースを操作するために使用される代表的なプログラミング言語であり、通常想定しないSQL文を実行させることによりデータベースに不正アクセスする手法である。 ↩︎
牛島総合法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 知的財産権・エンタメ
- 危機管理・内部統制
- 訴訟・争訟
- ベンチャー