ランサムウェアへの感染被害により生じる取引先への契約責任と不可抗力条項の定め方
ランサムウェア攻撃の特徴 ランサムウェアと呼ばれるマルウェアによるサイバー攻撃が増加傾向にあります。ランサムウェアに感染すると、端末内のデータが暗号化されて利用できなくなり、復号(復旧)の対価として身代金(ランサム)が要求されます。 昨今では、データの暗号化に加えて、データを窃取したうえで、そ...
「IT・情報セキュリティ」に関する実務Q&A一覧 - 3ページ
すべての実務Q&A
41〜60件を表示 全196件
システムエンジニア(SE)の偽装請負に関する判断基準とリスク
システム開発におけるSEの勤務形態と偽装請負 偽装請負とは、一般に、形式上は請負契約・準委任契約の形態を取っているものの、その実質は労働者派遣・労働者供給に該当するものをいいます。 システム開発等を行うベンダ企業(以下「ベンダ」といいます)がユーザ企業(以下「ユーザ」といいます)との間でSES...
ECサイトへのサイバー攻撃でクレジットカード情報が流出した場合の法務・情シスの実務対応
クレジットカード情報の漏えい事案の概要 ECサイトの普及により、クレジットカードに係る情報(以下「クレジットカード情報」といいます)の漏えい事案が増えています。 ここでのクレジットカード情報の漏えい事案とは、ECサイトで商品を購入するうえで、決済画面でクレジットカード情報を入力して決済を行う場...
システムエンジニア(SE)への専門業務型裁量労働制の導入要件と留意事項
はじめに ソフトウェアベンダにおける開発コストの大部分はSEの人件費が占めていることから、ソフトウェアベンダにおいては、利益率を向上させるため、SEの労働時間を抑えようとするインセンティブが働きます。他方で、近年では労働時間管理が厳格化される傾向にあり、また、サービス残業等に対するレピュテーショ...
データ利活用の契約時におけるデータの保証条項の定め方
データの保証条項 データの利活用に関する契約において、データの保証条項は、当事者間における利害関係の対立が先鋭化しやすい条項の1つです。実務においては、データの取得経緯や品質などについて、データ提供者(データ開示者)が保証をするか否か、仮に保証する場合には、その具体的な保証範囲などが議論の対象に...
事業継続のためにチェックすべきクラウドサービス(SaaS)利用契約の4つのポイント
日々の業務における事業継続 顧客管理システムやクラウド型ERPシステムのように、業務上重要なデータの取扱いを含むクラウドサービス(SaaS)を利用する場合において、日々の業務で事業に支障が生じないようにするためには、当該サービスが停止しないことが重要となります。 そのためには、SLA(Ser...
緊急措置的に導入したテレワークを恒常施策とする際の留意点 - セキュリティ対策、教育・研修等の実施方法
テレワークの導入プロセス 前稿でも解説したとおり、恒常的な施策としてテレワークを導入するにあたっては、本来の導入プロセスを前提として、たとえば、下図のような導入プロセスを踏まえることが考えられます。具体的には、必要なルールの策定や、ICT環境を整備するなどの準備検討とともに情報漏えい等のリスクに...
緊急措置的に導入したテレワークを恒常施策とする際の留意点 – テレワークの実施範囲・ICT環境の精査方法
テレワークの導入プロセス 別稿 1 では、コロナ禍を機に緊急措置として導入したテレワークの運用見直しや恒常施策への切り替えに際する準備作業として検討すべき調査項目について、主にセキュリティ対策の面から解説しました。 もっとも、本来、テレワークの導入に際しては、情報漏えい等のリスクに対処するた...
DXに取り組むうえで知っておきたい7つの政府施策・制度
DXに関する政府の施策 政府は、競争力の維持・強化のために、企業のDXの推進を、企業内面への働きかけと、市場整備という企業外面からの働きかけの両面から、政策として行ってきました。 経済産業省は、2018年9月に「DXレポート ~ITシステム「2025年の崖」の克服とDXの本格的な展開~」を公表...
注目度が高まるAI倫理と個人情報保護の関係 - カメラ画像の利活用を題材に
はじめに 技術の進歩によりカメラ画像における顔認識・認証技術の利活用の有用性はより一層増しています。たとえば、カメラ画像を解析・顔認証することであらかじめ設定しているVIPを瞬時に判別し、特別なサービスを提供すること、セキュリティゲートを顔認証で通過することや、指名手配犯など要注意人物・危険人物...
クラウドサービス(SaaS)利用契約の損害賠償条項に関する留意点と、利用是非の検討ポイント
債務不履行に基づく損害賠償 クラウドサービス(SaaS)の利用者は、クラウドサービス(SaaS)利用契約に明記されているか否かにかかわらず、クラウドサービス(SaaS)事業者の債務不履行(民法415条)に基づいて、損害賠償を請求することができます。債務不履行に基づく損害賠償の範囲については民法4...
システム開発における契約不適合責任
<編注> 2021年3月4日:「民法の一部を改正する法律」(平成29年法律第44号)の施行を踏まえ、記事の一部を加筆、修正しました。 契約不適合責任とは 契約不適合責任の内容 契約不適合責任とは、請負契約の仕事の目的物について、その種類または品質が契約の内容に適合しないときに、請負人が負...
サイバーセキュリティポリシーの策定方法と、情報セキュリティポリシーとの違い
サイバーセキュリティポリシーを策定すべき理由 従来、情報セキュリティの強化策として、ISMS(情報セキュリティマネジメントシステム)を取得する企業が多く見られました。これは、組織内での「情報」の取り扱いについて、機密性、完全性、可用性を一定の水準で確保するための仕組みが整っていることを認証するも...
リスクベースで行う社内セキュリティ教育の前提知識
2020年に急増したサイバー攻撃の手口 コロナ禍により、一時的に経済活動が停滞したことで、影響を受けたのは企業や個人だけではありません。サイバー犯罪者にとっても、「以前までの標的や手口でサイバー攻撃をしにくくなった」ことなどにより、一時的に(2020年4月)サイバー攻撃被害が少なくなりました 1...
デジタルトランスフォーメーション(DX)に向けてAIソフトウェアの開発契約を締結する際の留意点
AIソフトウェアの特徴 現在、主に機械学習を利用したAI技術を利用したソフトウェア(以下「AIソフトウェア」)について、多くの企業が開発・活用に取り組んでいます。 最近のAI技術の核となる機械学習は、データから結論を推論するという帰納的なものであり、プログラムを条件と命令で記述する従来型の演...
クラウドサービス(SaaS)の利用時にサービス事業者へ個人データを送信する際の留意点
個人データの「提供」に該当しない場合 クラウドサービス事業者が国内の事業者であるか、国外の事業者であるかを問わず、クラウドサービス事業者に対して、個人データを送信する場合において、当該クラウドサービス事業者が、当該個人データを取り扱わないこととなっているときは、当該個人情報取扱事業者は個人データ...
サイバー攻撃により情報を窃取したハッカーから金員の支払いを要求された場合の米国法上の留意点
サイバー攻撃に伴う身代金の要求 サイバー攻撃により企業から情報を窃取したハッカーが金員の支払いを要求する事例が増えています。 代表例としてランサムウェアがあります。ランサムウェアというマルウェアに感染すると、端末内のデータが暗号化されて利用できなくなり、復号(復旧)の対価として身代金(ランサム...
データ利活用の契約時にデータの返還・削除条項はどのように定めればよいか
廃棄・削除条項 契約に基づき提供されたデータについて、契約上、その使用または利用(以下「利用」といいます。)を、開示者の都度の指示、契約の終了を含む期間の満了あるいは目的の達成などの事由の発生により制限している場合、これらの事由が発生した際のデータの取扱いは、データの廃棄・削除条項で定めることが...
インターネット上の違法行為に対する米国の証拠開示制度(ディスカバリー)の活用状況と国内手続との比較
本稿の概要 別稿「サイバー犯罪における米国の証拠開示制度(ディスカバリー)の活用」において、米国の証拠開示制度(ディスカバリー)の一般的な要件および利点をご紹介しました。 本稿では、まず同制度の具体的な活用状況を紹介のうえ、次に2020年8月31日改正で開示対象に「発信者の電話番号」が追加され...
クラウドサービス(SaaS)の利用契約においてSLAとして規定すべき項目と留意点
SLAとは 近時、クラウドサービス(SaaS)の利用が急速に進んでいます。クラウドサービス(SaaS)の品質に関しては、SLA(Service Level Agreement)が重要になります。SLAとは、提供されるサービスの範囲・内容・前提事項を踏まえたうえで「サービス品質に対する利用者側の要...
