Embed Size (px)
Citation preview
情報セキュリティと法制度
経済産業省 商務情報政策局経済産業省 商務情報政策局
情報セキュリティ政策室
課長補佐 清水 友晴課長補佐 清水 友晴
情報セキュリティ政策の経緯
1
経済産業省「情報セキュリティ総合戦略」
2003年制定
「我が国で初めて策定された総合的な情報セキュリティに関する戦略」
「戦略」の基本目標を、経済・文化国家日本の強みを活かした「世界最高水準の「高信頼性社会」の構築」と位置付け
その要となる「情報セキュリティ対策」について、3つの戦略と42の施策項目を提言。
情報セキュリティ監査の実施やISMS 認証取得の促進情報セキュリティ格付けのあり方の検討
セキュリティマネジメントによる事前予防策
2
経済産業省「グローバル情報セキュリティ戦略」
2007年制定
ITが国内外の経済社会システムに融合化し、情報セキュリティに関する脅威も国際化傾向にある中、産業構造審議会情報セキュリティ基本問題委員会にて、次の3つの戦略からなる「グローバル情報セキュリティ戦略」を取りまとめたセキュリティ基本問題委員会にて、次の3つの戦略からなる「グロ バル情報セキュリティ戦略」を取りまとめた。
戦略1 我が国を真に「情報セキュリティ先進国」とするための取組み
戦略2 国際化する脅威に対応し、我が国の国際競争力を強化していく観点からの情報セキュリティ政策のグローバル展開
戦略3 国内外の変化に対応するためのメカニズムの確立
情報セキュリティ対策状況に係る情報開示を通じた民間格付けの促進等企業等の情報セキュリティ対策に係るベストプラクティス事例集等の提供情報セキュリティ対策実施状況確認のための標準フォーマットの策定企業や製品・サービス等に係る情報セキュリティ関連評価制度の拡充・強化オフショア・アウトソーシングに係る情報セキュリティリスク等の検討
セキュリティマネジメントによる事前予防策
保証型情報セキュリティ監査の普及
3
企業に対する情報セキュリティ政策の背景
我が国産業の競争力強化 ITを基盤とした情報の利活用は競争力の源泉
競争力強化を阻害する情報セキュリティに係る要因
しかし、企業の情報資産に対する脅威は増大の一途 ⇒ 事件・事故が多数発生
※ 情報セキュリティガバナンス:情報セキュリティの観点からガバナンスの仕組みを構築・運用
第二次情報セキュリティ基本計画にて「情報セキュリティガバナンス」を位置づけ [2009年2月 情報セキュリティ政策会議(議長:内閣官房長官)で決定]
情報セキュリティ基本計画に位置づけ
【 発生している事件・事故の具体例 (2006年~)】元A証券社員が全個人口座148万6651件の情報を無断で持ち出し一部を売却金融機関多数において伝票、名簿等の顧客情報を誤廃棄・紛失 (都市銀行、地方銀行 等)ファイル共有ソフト(Winny 等)による情報漏えい事件の多発 (ITベンダ、通信事業者、学校法人 等)
情報 キ リテ ナ 情報 キ リテ 観点 ナ 仕組み 構築 運用
【コンプライアンス問題の例】インサイダー(情報漏えい) (印刷業者、放送事業者 等)
【膨大な被害額】国内個人情報漏えい事件の想定損害賠償総額:2兆円超(2007年) [日本ネットワークセキュリティ協会調べ]不正アクセスによる被害規模(事例):数億円~数十億円/一件あたり(2006年)[(独)情報処理推進機構調べ]
【 第二次情報セキュリティ基本計画 】(計画期間 2009年度~2011年度)
企業における情報セキュリティ対策企業における情報セキュリティ対策の推進は、政府、重要インフラ、個人における対策とともに4本柱の一つ。「政府は企業における情報セキュリティ対策の実施状況を世界トップクラスの水準にすることを目指して最大限の努力を行う」
4
努力を行う」企業に係る第一の情報セキュリティ政策として「情報セキュリティガバナンスの経営の一環としての認識の定着とそれに応えられるツールの存在」を位置づけ。
情報セキュリティ確保のための施策
情報セキュリティの確保(=情報セキュリティガバナンスの確立)を実施する上で、企業経営者の抱えている課題を解決するための施策を実施
これま
2001年 情報セキュリティマネジメントシステム(ISMS)適合性評価制度」開始 ((財)日本情報処理開発協会(JIPDEC))2003年 情報セキュリティ監査制度開始(NPO日本セキュリティ監査協会(JASA))2005年 情報セキュリティ対策ベンチマークのサービス開始((独)日本情報処理推進機構(IPA))2008年 民間の情報セキ リテ 格付機関設立
企業の情報セキュリティに関する制度等
までの経緯
2008年 民間の情報セキュリティ格付機関設立
2001年 ISMS国際標準規格 ISO/IEC 17799:2000 に対応したISMS認証基準策定(JIPDEC)2003年 情報セキュリティ管理基準、監査基準(経済産業省告示)2005年 情報セキュリティ報告書モデル、事業継続計画(BCP)策定ガイドライン(書籍化)
制度・規定・ガイダンス等
2005年 情報セキュリティ報告書モデル、事業継続計画(BCP)策定ガイドライン(書籍化)2006年 財務報告書に係るIT統制ガイダンス (J-SOX対応版)2008年 情報セキュリティ管理基準、監査基準(改正)、ITサービス継続ガイドライン2009年 中小企業の情報セキュリティガイドライン(IPA)
企業の情報セキュリティを確立する上で解決されていない課題
(1)経営層が情報セキュリティの観点から何をすべきか不明確(2)ISMSを実装しようとしても法令との関係が分からない(3)業務委託先での情報漏えい対策等の実施方策が分かりにくい(4)実施状況の「見える化」のため信頼できる民間格付け機関が必要
今回の取
(1)情報セキュリティガバナンス導入ガイダンス(2)情報セキュリティ関連法令の要求事項集(3)アウトソーシング・セキュリティ対策ガイダンス
課題に対応して今回策定したガイダンス類取組
5
( )(4)情報セキュリティ格付機関の規律に関する基準
企業のセキュリティガバナンスに関する一連のガイダンス類の普及展開フェーズへ
情報セキュリティガバナンス関連ガイドライン等の体系
目的/担当
機密性の確保(情報漏洩対策等)
完全性の確保(情報改ざん対策等)
可用性の確保(IT障害への対策等)
経営者
情報セキュリティガバナンス導入ガイダンス(*1)情報セキュリティの観点からガバナンスの仕組みを構築・運用
(1)経営層が情報セキュリティの観点から何をすべきか不明確
情報セキュリティマネジメントシステムの国際標準(ISMS)(2001年~)自社の情報セキュリティ対策の適正な改善メカニズム(PDCAサイクル)の構築
情報セキュリティ報告書モデル(2005年)
(2)ISMSを実装しようとしても
管理者
情報セキュリティ関連法令の要求事項集(*2)情報セキュリティ対策に必要な法令を遵守するための情報提供
情報セキ リテ 対策ベンチマ ク( 年)
(2)ISMSを実装しようとしても法令との関係が分からない
(3)業務委託先での情報漏えい対策等
アウトソーシング・セキュリティ対策ガイダンス(*3)
財務報告に係るIT統制ガイダンス(2006年)
事業継続計画(BCP)策定ガイドライン(2005年)、ITサービス継続ガイドライン(2007年)
情報セキュリティ対策ベンチマーク(2005年)(3)業務委託先での情報漏えい対策等
の実施方策が分かりにくい
外部機関
情報セキュリティ監査(2003年)等
情報セキ リテ 格付(情報セキ リテ 格付機関の規律に関する基準( 4))
(4)企業の情報セキュリティ対策実施状況の「見える化」が不十分
関
6
情報セキュリティ格付(情報セキュリティ格付機関の規律に関する基準(*4))
(* 今回策定した文書、1~4企業経営者の抱える課題)
企業における情報セキュリティの考え方
7
競争力強化に向けた情報セキュリティ確立の必要性
ビジネス分野では ITを活用した自社内の「縦割り」を排除し 積極的な情報共有 情報の可視化による「全体最適」を
① 情報資産の利活用と管理
ビジネス分野では、ITを活用した自社内の「縦割り」を排除し、積極的な情報共有、情報の可視化による「全体最適」を目指した「マネジメント改革」が本格化しつつあるが、全体的に見ると、約7割が「部分最適」にとどまっている。全体最適のステージに進むためには情報資産の管理、すなわち情報セキュリティを確立する必要があるのではないか。
② 適法性と適正性② 適法性と適正性
個人情報保護法、金融商品取引法、会社法等、法的要求に対応する適法性と、社会や顧客からの適正性の要求についてバランスをとらなければならないが、過剰な法令対応、あるいは過少対応が散見され、適正性が守られていないのではないか。ンスをとらなければならないが、過剰な法令対応、あるいは過少対応が散見され、適正性が守られていないのではないか。
③ 企業の社会的責任
コーポレートガバナンス、社会的責任(CSR)の観点から顧客・社会に対して企業の透明性を提供することは常識化したといえる。同じように、情報セキュリティ向上に努めること、事業継続性を確保することも社会的責任の一つであり、企業は責任を以って取り組まなければならないのではないか。
一般的に企業利益に結び付かないと考えられている情報セキュリティへの取り組みを、企業戦略と整合性ととるかたちで見つめ直し、「攻めの情報セキュリティ投資」、すなわち、情報セキュリティ対策を企業価値を高めるための投資対象として位置づけるべきではないか
8
めるための投資対象として位置づけるべきではないか
企業に必要なガバナンス活動
社会からの要請 企業の取るべき対応
透明性 情報開示これまでは
信頼の
企業価値
健全性 内部統制システム
プラスして
の向上
・利潤拡大
安全性 情報資産・リスク管理
財務リスク、労務リスク、法令リスク、財務リスク、労務リスク、法令リスク、情報セキュリティ上のリスク、
ITシステム上のリスク、等を経営者が常時、把握できるように企業のビジネスプロセス全体の
リスクマネジメントリスクマネジメント、つまりERM体制を確立する必要がある
ジ び
9
経営者による情報セキュリティ上のリスクマネジメント及び改善活動を「情報セキュリティガバナンス」としてまとめたガイダンスを策定
情報セキュリティ関連法令の要求事項集要求事項集
10
情報セキュリティ関連法律上の要求事項検討WG
開催趣旨
• 企業に求められる法令遵守と情報セキュリティの確保
• 企業における情報資産の効率的・効果的利活用は企業価値向上の観点において極めて重要であるが、企業が保有する情報の中には法令や契約で利用が制限されているものが含まれ、取扱にリスクが伴うケースもある
• 企業の業種、規模等によっては、情報セキュリティ対策の実施が取締役の善管注意義務とみなされる場合もあることから 企業は 適法性を意識した情報セキュリティを考慮とみなされる場合もあることから、企業は、適法性を意識した情報セキュリティを考慮しなければならない。
• また、情報を有効活用するためには、知る必要のないものに知られないようにすること、情報が正確であること(改ざんされないという意味)、必要な時に利用可能であること、の三点を維持すること、すなわち情報セキュリティの確保が不可欠
• 法令遵守と情報セキュリティの両立
• しかし、法令遵守は法務部、情報セキュリティは情報システム部といったように、企業において管轄が異なり 担当分野の相互理解が高いとは限らないにおいて管轄が異なり、担当分野の相互理解が高いとは限らない
• 情報セキュリティ対策を推進する上で、知らぬ間に法令違反となっている事例が散見されることから、各種法令を遵守しつつ、情報セキュリティを促進するため、法令の要求事項を整理する
11
もともと情報セキュリティは法制度の領域から生成・発展した概念ではない。このような事情もあるため、我が国においても、情報セキュリティを包括的に保護することを目的とする法律は存在していない。それどころか 現時点では情報セキュリティという言葉を用いた法律そのものが存在していないころか、現時点では情報セキュリティという言葉を用いた法律そのものが存在していない。
このため、各種法律を分析し、情報セキュリティの三要素、機密性、完全性、可用性について、どのような要求事項が内包されているのかについて分析、整理を行った。
法律によっては、CIA個々の要求ではなく、CIAすべてを要求しているものがあり、このようなものは管理上の要求事項として整理を行った
法律各法律における情報セキュリティ要求事項 企業として
の対策方針
は管理上の要求事項として整理を行った。
の対策方針CIA:管理類型 C:機密性 I:完全性 A:可用性
個人情報保護法
著作権法著作権法
不正競争防止法
外為法まず、この部分、要求事項の整理を行った
外為法
労働基準法
労働者派遣法
12
労働者派遣法
WGメンバーリスト
氏名 2007年度 2008年度 2009年度
上野 達弘 立教大学法学部准教授、国際ビジネス法学科長 ○
大崎 唯一 パナソニック株式会社情報セキュリティ本部参事 ○ ○
大水 眞己 富士通株式会社法務本部 ビジネス法務部 ○
岡村 久道(主査) 弁護士、英知法律事務所 ○ ○ ○
岡本 守弘 富士通株式会社法務本部 ビジネス法務部 担当課長 ○
川田 琢之 筑波大学大学院ビジネス科学研究科 准教授 ○ ○ ○
小塚 荘一郎 上智大学法科大学院教授 ○ ○ ○
坂上 直樹 松下電器産業株式会社法務本部法務企画グループ調査・渉外担当参事 ○
新保 史生 慶應義塾大学総合政策学部准教授 ○ ○ ○新保 史生 慶應義塾大学総合政策学部准教授 ○ ○ ○
鈴木 正朝 新潟大学法学部教授 ○ ○ ○
鈴木 満(副主査) 桐蔭横浜大学法科大学院教授 ○ ○ ○
砂押 以久子 立教大学兼任講師 ○ ○ ○
園田 寿 甲南大学法科大学院教授 ○ ○ ○園田 寿 甲南大学法科大学院教授 ○ ○ ○
田中 亘 東京大学社会科学研究所准教授 ○ ○ ○
波田野 晴朗 弁護士、TMI総合法律事務所 ○ ○ ○
早貸 淳子 情報セキュリティ大学院大学 セキュアシステム研究所客員研究員 ○ ○ ○
平嶋 竜太 筑波大学大学院ビジネス科学研究科准教授 ○ ○平嶋 竜太 筑波大学大学院ビジネス科学研究科准教授 ○ ○
町村 泰貴 北海道大学大学院法学研究科教授 ○ ○ ○
松沢 栄一 富士通法務部担当部長 ○
丸山 満彦 公認会計士、監査法人トーマツ ○ ○ ○
宮川 美津子 弁護士、TMI総合法律事務所 ○ ○ ○
13
宮川 美津子 弁護士、TMI総合法律事務所 ○ ○ ○
森 亮二 弁護士、英知法律事務所 ○ ○ ○
山口 厚 東京大学法学部・法学政治学研究科教授 ○
論点
企業におけるリスク管理 情報管理上の大きな問題は 情報の機密性確保といえる企業におけるリスク管理、情報管理上の大きな問題は、情報の機密性確保といえる本日は2009年6月30日に公開された「情報セキュリティ関連法令の要求事項集」から、機密
性確保に関係する項目として、不正競争防止法、労働法を中心に紹介
法律 各法律における情報セキュリティ要求事項と検討事項
競争防止法 情報を法的に保護す ためには「営業秘密 と 管理 件を満たす と不正競争防止法 情報を法的に保護するためには「営業秘密」としての管理要件を満たすこと
労働基準法労働者派遣法
従業員に情報セキュリティ上の義務を課すための就業規則、守秘義務のありかた
(大会社と委員会設置会社において)取締役の内部統制構築義務の つとして情報保存管理体制につい会社法
(大会社と委員会設置会社において)取締役の内部統制構築義務の一つとして情報保存管理体制について検討し、方針を定める必要がある
個人情報保護法 「個人情報取扱事業者」は「個人データ」について安全管理措置を取る必要がある
刑事法 管理者パスワード等のアクセス制御を回避して企業情報を詐取する行為は不正アクセス行為
民事法 預託した情報を漏えいされた損害に対する賠償請求
14
情報の機密性確保上の論点
情報の機密性確保 アクセス制御、暗号化、外部記憶媒体の接続無効化等、技術面の対応
機密レベル指定、配布先の限定、定期的監査等、運用面の対応
しかし、認識不足、あるいは不正利用を目的とした意図的な内部職員及び第三者による情報流出、情報消失、情報破壊等の事件・事故を完全に防ぐことは容易ではない
組織に危害・損害を与えるような行為に対する理解を求めるとともに、行為に対する組織に危害 損害を与えるような行為に対する理解を求めるとともに、行為に対する罰則を設けるといった制度整備を行うことが必要である
不正競争防止法の観点から不正競争防止法の観点から
企業競争力に係る先端技術情報、企業戦略情報、重要顧客情報などを「営業秘密」として管理
不正な持出し、複製行為等に対抗することができる
ただし 法律の要求事項を正しく理解しておか労働法の観点から
就業規則、守秘義務誓約書等を整備
ただし、法律の要求事項を正しく理解しておかないと、法律の適用が認められない場合がある
15
不正競争防止法とは
(第一条 )この法律は、事業者間の公正な競争及びこれに関する国際約束の的確な実施を確保するため、
不正競争の防止及び不正競争に係る損害賠償に関する措置等を講じ もって国民経済の健全な発展に寄与不正競争の防止及び不正競争に係る損害賠償に関する措置等を講じ、もって国民経済の健全な発展に寄与することを目的とする。
不正競争・不正競争防止法適用例不正競争 不正競争防止法適用例
ゲームメーカーがコピーを制限していたプログラムを、無断でコピーできるようにする機械を輸入・販売した業者に差止命令。奇抜な形状のゲーム機を発売したところ、よく似た形のモノマネ商品が出回り始めた。顧客名簿が他社に流れた。顧客名簿が他社に流れた。
16
「不正競争防止法の概要」経済産業省
営業秘密の侵害に係る措置
(第二条第 項第四 九号)(第二条第一項第四~九号)窃取等の不正の手段によって営業秘密を取得し、自ら使用し、若しくは第三者に開示する行為等
(第二十一条第一、二項) 十年以下の懲役若しくは千万円以下の罰金
詐欺等行為により、又は管理侵害行為(営業秘密が記載され、又は記録された書面又は記録媒体(以下「営業秘密記録媒体等」という )の窃取 営業秘密が管理されている施設への侵入 不正(以下「営業秘密記録媒体等」という。)の窃取、営業秘密が管理されている施設への侵入、不正アクセス行為により取得した営業秘密を、不正の競争の目的で、使用し、又は開示した者
前号の使用又は開示の用に供する目的で、詐欺等行為又は管理侵害行為により、営業秘密を次のいずれかに掲げる方法で取得した者
保有者の管理に係る営業秘密記録媒体等を取得すること保有者の管理に係る営業秘密記録媒体等を取得すること。保有者の管理に係る営業秘密記録媒体等の記載又は記録について、その複製を作成すること。
不正に「営業秘密」を入手、及び不正取得を知りながら提供を受ける行為みならずのみならず
正当に入手した場合でも「図利加害目的」で不正利用する行為は、処罰の対象となりうる
17図利加害目的とは「不正に利益を上げたり、他人に損害を与える目的。」
営業秘密として認められる条件
(第二条第六項) この法律において「営業秘密」とは、秘密として管理されている生産方法、販売方法そ他 事業活動に有 な技術上 は営業上 情報 あ 公然と知られ な も をの他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。
不正競争防止法の営業秘密としての保護を受けるための条件不正競争防止法の営業秘密としての保護を受けるための条件有用性非公知性秘密管理性①情報にアクセスできる者を制限(アクセス制限)①情報にアクセスできる者を制限(アクセス制限)②情報にアクセスした者にそれが営業秘密であると認識できること(客観的認識可能性)
秘密管理性の判断は、諸般の要素が総合的に考慮されるため、営業秘密としての保護を受けるためには、過去の裁判例で秘密管理性の判断の際に考慮された要素を参考に 上記の要件を満たす管理をすること過去の裁判例で秘密管理性の判断の際に考慮された要素を参考に、上記の要件を満たす管理をすること
(1) 物理的、技術的に秘密情報を隔離・明示する方法
保管場所の隔離・施錠、アクセス権者の制限、電子データの複製の制限、不正アクセスの防御措置、外部ネットワークからの遮断、保管媒体の持出禁止、「秘」であることの表示等
(2)人的管理
18
秘密保持契約の締結、就業規則における秘密保持義務の規定、社員教育・研修の実施、秘密情報の取扱、アクセスに関するルールの策定等
内部規定等はどのように整備すべきか
秘密管理規定秘密情報の特定方法
どのような情報を秘密情報として取り扱うのか、秘密情報を特定する権限は誰が有するのか、秘どのような情報を秘密情報として取り扱うのか、秘密情報を特定する権限は誰が有するのか、秘密であることをどのように表示するかなど。秘密情報の管理者、アクセス権者秘密情報を誰が管理をするのか、秘密情報にアクセスすることができるのはどのような者かなど。秘密情報の取扱方法秘密情報の取扱方法
自社の秘密情報を取得するためにはどのような手続きが必要か、秘密情報を管理者から開示を受けた場合にどのように取り扱うべきか、秘密情報となるべき情報を新たに取得した場合にどのように取り扱うべきかなど。
就業規則就業規則において、従業員の秘密保持義務を定めておく
その場合、一般的な定めを設けるだけでなく、秘密保持義務の対象となる秘密情報は秘密管理規定の定めるところに従う旨を明記するなど、秘密管理規定との関連性を設けておくことが有効定の定めると ろに従う旨を明記するなど、秘密管理規定との関連性を設けておく とが有効
誓約書
従業員が内容を認識し得る程度に秘密情報を特定し、実際にも当該情報を秘密として管理しておくことく
誓約書を作成する段階で秘密情報が具体的に特定できない場合には、秘密保持義務の対象となる秘密情報は秘密管理規定の定めるところに従う旨を明記する
ただし、裁判においては、秘密管理性は具体的な管理状況について判断されるため、いずれの場合も情報が ば が
19
が秘密として実際に管理されていなければ、内部規定等がいかに整備されていたとしても秘密管理性は認められない場合がある。
労働法に係る論点
企業が従業員との関係で情報セキュリティ体制を確立する上では、情報セキュリティをめぐる企業と従業員との関係を明確にしておくことが重要。
が がこのような体制は、労働法制に適合した形で行われる必要があるが、その際、特に就業規則を適切な形で作成することが重要になる。
従業員との関係において構築すべき情報セキュリティ体制
従業員が職務遂行にあたって情報セキュリティの観点から遵守すべき事項を、従業員の服務上の義務(服務規律)としてあらかじめ定めておく
従業員が義務に違反し、情報セキュリティ上の事故を生じさせた場合に備え、必要に応じて従業員に対して懲戒処分等の制裁を課すことが可能な体制を整えておく
就業規則に関する法令上の要求事項常時10 人以上の労働者を使用する事業場において使用者に就業規則作成が義務
情報セキュリティ関連の規定を「業務用コンピュータ利用規程」等の形で別の文書として定め、就業規則の本則に、該当の情報セキュリティ関連の事項については別途定める規程による旨を定めておくことが望ましい
就業規則の意義及び運用上の留意点
内容が情報セキュリティ確保の手段として合理的なものである限り、これを遵守すべき従業員の義務の存在が認められ、従業員に遵守を求める使用者の対応は法的根拠を伴ったものとなる
企業が従業員に対して懲戒処分を行うためには、就業規則上の懲戒の種別及び事由を定めておくことが必要
実際に処分を行うためには、発見されたルール違反に対し、懲戒処分事由に該当する行為である点を指摘しつつ注意を与えて是正を促すなど、一定の猶予措置が必要であろう
20
就業規則の効力を発揮させるための考慮事項
就業規則の効力、意義については、企業と従業員との間で締結される個別合意や労働協約との関係で、以よ な留意も必 とな下のような留意も必要となる
従業員との間で個別に合意すること
就業規則と異なる労働契約内容を定めることは、就業規則の定めよりも従業員に有利な内容を合意する場合に限って許容される
つまり、個別の合意により、特定の従業員について情報セキュリティ上の義務を軽減することは可能であるが、逆に就業規則の定めよりもこれを加重することはできない
個 合意 依 が考 事個別合意に依ることが考えられる事項
就業規則で概括的に定められた事項の内容を、個々の従業員との間で個別合意によって具体化すること
典型的な例としては、秘密保持義務の定めについて、就業規則上は、業務上知り得た会社の秘密の漏えい・業務外利用禁止という概括的な定めを置いておき、個々の従業員との間で、当該従業員の職務内容に即した形で「業務上知り得た秘密」の具体的内容を個別合意により特定する場合
従業員に対して退職後の秘密保持義務や競業避止義務を課すことう た退職後 法律関係に 就業規則 定める と に き疑義があるこうした退職後の法律関係について就業規則で定めることの可否につき疑義がある
このため、これらの事項については、個別合意で定めておくことが望ましい労働協約の適用を受ける従業員については、労働協約の効力が就業規則に優先する
このため、労働協約の中に、情報セキュリティ体制の構築に影響を及ぼす規定がある場合は 当該労働協約 効力が存続 当該労働協約 適 を け 従業
21
には、当該労働協約の効力が存続している限り、当該労働協約の適用を受ける従業員について、就業規則等で労働協約と異なる定めをすることはできない
守秘に関する誓約書
顧客名簿データなどの企業秘密の守秘に関する誓約書を従業員から取る意義とは何かまた 誓約書を 際にど よ な とを考慮す きかまた、誓約書を取る際にどのようなことを考慮すべきか
在職中の秘密保持義務の明確化在職中の秘密保持義務の明確化労働契約において特別に定めがなくても、企業秘密遵守の義務を負うと考えられる
しかし責任の範囲などが必ずしも明確とはいえないことから、契約上の特約または就業規則上の条項によって秘密保持を定めておくことが有効である
退職後の秘密保持義務の明確化退職後の秘密保持義務の明確化退職後には原則として在職中負っていた労働契約の信義則上の守秘義務が消滅このため秘密保持に関する誓約書を取っておくことが望まれる
しかし、退職時あるいは退職後には従業員がこれに応じないことも少なくない従業員が誓約書への署名に応じない場合の措置従業員が誓約書への署名に応じない場合の措置
誓約書への署名については労働契約上使用者が有する業務命令権が及ぶとは考えられないしたがって、業務命令違反として懲戒処分を行うことはできないしかし、を提出しない従業員をプロジェクトに参加させないという人事権の行使で対処
誓約書の対象情報誓約書の対象情報
判例では、本人が仕事の中で自然に身につけたスキルのような情報に制約を課すことができないとされた
同様に、守秘すべき必要の特にない情報を含め広く誓約書を取ることは、あまり望ましいとはいえないことから 企業秘密を扱うプロジェクトへの参加時等に 扱う情報を特定 守秘期間等も
22
えないことから、企業秘密を扱うプロジェクトへの参加時等に、扱う情報を特定、守秘期間等も明示した誓約書を作成、署名を求めることが有効な対策と考えられる
退職後の従業員の競業避止義務、秘密保持義務
従業員が退職後に他社に転職するなどして会社の秘密情報を流出させることを防止しようとする場合、雇関係上 対策と は ど よ なも を講 とが考 られ か用関係上の対策としては、どのようなものを講じることが考えられるか
考えられる制度退職後の従業員に秘密保持義務および競業避止義務を課す定め
就業規定だけでなく従業員との間の個別合意を結ぶ
従業員が退職後に競業行為を行った場合に 支給される退職金の額を減らす 若しくは支給しな従業員が退職後に競業行為を行った場合に、支給される退職金の額を減らす、若しくは支給しない(既に退職金が支給されている場合、その全部又は一部を返還させる旨の定め
退職金制度を定める規程の中に当該定めを置くこと考慮事項
職業選択の自由により 退職後は自由に職業活動をなし得るのが原則である職業選択の自由により、退職後は自由に職業活動をなし得るのが原則である
秘密保持義務は本人による情報漏えいそれ自体を禁止対象とし、競業避止義務は情報漏えいにつながり得る行為(情報そのものを漏らさずとも、情報を活用した研究、営業等の事業行為を含むため)を広く禁止対象とすることから、定める競業避止義務規定の合理性、有効性の判断が、より厳しいものとなる(裁判で認められにくい)り厳しいものとなる(裁判で認められにくい)
退職後の競業避止義務、秘密保持義務規定中に、制裁として具体的な支払い金額を示すことは、労働基準法第16 条「労働契約の不履行について違約金を定め、又は損害賠償額を予定する契約の
禁止」に抵触するおそれがある。このため、(例えば退職金の半額など)一定額ではなく、企業側に現実に生じた損害から賠償責任を算出する旨の規定とすること側に現実に生じた損害から賠償責任を算出する旨の規定とすること
23
その他の論点
24
会社法:管理類型(1)
• 「内部統制と情報セキュリティの関係はどのようなものか」
– 会社(大会社と委員会設置会社)における情報セキュリティに関する体制は、その会社(大会社と委員会設置会社)における情報セキュリティに関する体制は、その会社の内部統制の一部といえる。取締役の内部統制構築義務には、適切な情報セキュリティを講じる義務が含まれ得る。
– 内部統制とは「会社が営む事業の規模、特性等に応じたリスク管理体制」と定義さ締役 会社 対す 善管注意義務(会社法第 条 法第 条)れる。取締役には、会社に対する善管注意義務(会社法第330 条、民法第644 条)に
基づいて、このような内部統制に関する基本方針を取締役会で決定し、決定した基本方針に従った内部統制を構築する義務がある。
決定すべき内部統制は 類型に分けて列挙されている その中には ①法令等遵守– 決定すべき内部統制は、類型に分けて列挙されている。その中には、①法令等遵守体制、②損失危険管理体制、③情報保存管理体制、④効率性確保体制、⑤企業集団内部統制が含まれる
25
会社法:管理類型(2)
• 「情報セキュリティに関する体制が不備であるため、情報の漏えい、改ざん又は滅失(消失)若しくは毀損(破壊)によって会社又は第三者に損害が生じた滅失(消失)若 く 毀損(破壊) 会社又 第 者 損害 た場合、会社の役員(取締役・監査役等)は、どのような責任を問われ得るか。」
– 取締役会が決定した情報セキュリティ体制が、当該会社の規模や業務内容にかんがみて適切でなかったため、情報の漏えい等により会社に損害が生じた場合、体制の決定に関与した取締役は、会社に対して、任務懈怠(けたい)に基づく損害賠償責任(会社法第423条第1 項)を問われ得る。
取締役は 内部統制システムの構築義務の 環として 情報セキ リテ 体制を構– 取締役は、内部統制システムの構築義務の一環として、情報セキュリティ体制を構築する義務を負うと解される。
26
個人情報保護法:管理類型(1)
• 企業における「情報セキュリティ対策」と個人情報保護法への対応との違いはどこにあるか。
– 「情報セキュリティ(対策)」とは、情報の機密性、完全性、及び可用性の3 要素を
維持すること、そのための対策をいう。それに対して、個人情報保護法への対応とは、「個人情報取扱事業者」(個人情報保護法第2 条第3 項)が「個人情報」(同法第 条第 項)等を同法の定める義務を遵守し取り扱うこと そのための対応をいう第2 条第1 項)等を同法の定める義務を遵守し取り扱うこと、そのための対応をいう。
– 保護の対象となる情報は、情報セキュリティ対策においては「情報」一般であるのに対して、個人情報保護法における後述の安全管理措置義務関連の規定は、「個人データ」(同法第2 条4 項)に限定される 「個人データ」以外の情報についてはデータ」(同法第2 条4 項)に限定される。「個人データ」以外の情報については、もっぱら情報セキュリティ対策として各企業の自主的対応に委ねられる
– 保護の主体は、情報セキュリティ対策においては、「事業者」一般が念頭に置かており、限定がないのに対して、同法への対応が法的に義務付けられるのは、「個人おり、限定がないのに対して、同法 の対応が法的に義務付けられるのは、 個人情報扱事業者」に限定される。
27
個人情報保護法:管理類型(2)
• 「個人データの取扱いの全部又は一部を委託するにあたって、個人情報保護法は委託元に監督責任を課しているが、具体的にはどのような責任が生ずるのか。委託元 監督責任を課 る 、具体的 な責任 ずる 。また、監督責任を果たすために何をしなければならないのか。」
– 個人情報保護法は、個人情報取扱事業者による個人データの第三者提供を制限しているが、委託元である当該事業者の責任の下で、その取扱いを委託する場合、委託先はその制限の対象となる場合の「第三者」に該当しないこととしている(同法第23 条第4 項第1号)。
– しかし、委託先が個人データを取り扱うにあたっては、同法が定める安全管理措置を遵守させるよう必要かつ適切な監督を行うことが委託元に義務付けられているを遵守させるよう必要かつ適切な監督を行うことが委託元に義務付けられている(同法第22 条)。
28
刑法:加害行為規制類型(1)
• コンピュータウイルスによって企業活動を阻害した場合に、刑法上処罰され得るか。
– 刑法上、コンピュータ犯罪に関連する規定には以下のものがある。
• 電磁的公正証書原本不実記録罪関係(刑法第157 条、第158 条)
• 電磁的記録不正作出罪関係(刑法第161 条の2)
• 電子計算機損壊等業務妨害罪関係(刑法第234 条の2)
• 電子計算機使用詐欺罪関係(刑法第246 条の2)
• 電磁的記録毀棄罪関係(刑法第258 条、第259 条)
従 て ンピ タウイルスの悪用に関する行為は 電子計算機損壊等業務妨害– 従って、コンピュータウイルスの悪用に関する行為は、電子計算機損壊等業務妨害罪や電磁的記録毀棄罪などの規定に該当すれば、処罰され得る。
29
刑事法:機密性(1)
• 情報の不正入手には、どのような罰則があるか。
– 情報の不正入手を処罰する規定はない。刑法の中にも情報の不正入手を一般的に処情報の不正入手を処罰する規定はない。刑法の中にも情報の不正入手を 般的に処罰する規定があるのではなく、様々な法律の中に情報の侵害の態様に応じて個別的な処罰規定が置かれているにすぎない。
– 情報の不正入手についても一般的な処罰規定を設けることが議論されたが、保護すべき情報の範囲や保護の程度などについて議論が分かれ、将来の課題とされた。情報は、同じ内容であっても人によって価値が異なり、時間の経過によってもその価値が変動する。このような客体に対して、一律に刑罰による保護を設定することには無理があり 個別的に保護せざるをえないためであるは無理があり、個別的に保護せざるをえないためである。
– 情報の不正入手に伴う漏えい行為については、情報そのものを保護するという形ではなく、情報を扱う一定の者に守秘義務を課し、漏えいがあった場合に、その義務違反という形で刑事責任が問われる。
30
特別刑事法:機密性(2)
• 不正アクセス禁止法によって守られるためには、どうすればよいのか。
– 不正アクセス禁止法によって守られるためには、法の適用を想定するサーバ(「特不正アクセス禁止法によって守られるためには、法の適用を想定するサ バ( 特定電子計算機」)において、アクセス制御機能(アクセスをしようとするユーザをID・パスワード等の識別符号により識別、認証する機能)を付加し、当該サーバに
対してネットワークを通じて別の計算機のユーザがアクセスする際に、アクセス制御機能により制限することが必要である御機能により制限することが必要である。
– 不正アクセス禁止法違反検挙例の多くは、他人の識別符号、つまり、ユーザID及びパスワードを入手、利用して、なりすましを行ったものである。
特殊な事例としては いわゆる「ACCS不正アクセス事件」として ウェブサーバ上– 特殊な事例としては、いわゆる「ACCS不正アクセス事件」として、ウェブサーバ上のCGIプログラムの不備を利用したアクセス制御機構の回避が不正アクセス禁止法違
反に相当するかどうかが争われたものがある(東京地裁の判決「懲役八カ月、執行猶予三年」で確定)。
• (参考)不正アクセス禁止法違反事例の情報について
– 不正アクセス禁止法第七条の規定により、国家公安委員会、総務大臣及び経済産業大臣は「不正アクセス行為の発生状況」を毎年公表している。
– 平成20年1月1日から12月31日までの不正アクセス行為の発生状況
• 不正アクセス行為による検挙件数1737件、検挙人員135人。
• 平成17年以降、検挙人員は110~140人で推移しているが、検挙件数は平成17年の271件から、大きく増加 る( 人 犯人が行う クセ 件数が多くな る)
31
大きく増加している(一人の犯人が行う不正アクセス件数が多くなっている)。
金融商品取引法:完全性(1)
• 情報セキュリティと金融商品取引法の内部統制報告制度はどのように関係しているか。
– 上場企業等は、財務報告に係る内部統制を評価し、その結果を内部統制報告書として作成し、内閣総理大臣に提出する必要がある(金融商品取引法第24 条の4 の4)。
– 企業におけるIT 利活用の現状を鑑みると、適正な財務報告を行うためにはIT の利用等が一般的と考えられることから、IT 統制(IT による会計処理の統制やIT に対する
統制)も重要となる。「財務報告に係る内部統制の評価及び監査の基準」によると、「内部統制の基本的要素」には、「ITへの対応」が含まれ、「ITへの対応」は、IT 環境への対応とIT の利用及び統制からなるとしている環境への対応とIT の利用及び統制からなるとしている。
– 情報セキュリティは「ITへの対応」に関係するものと考えられる。例えば、情報セ
キュリティの対策としてアクセス管理があるが、これは財務データが改ざんされたり、不注意により変更されたりすることを予防するための対策となる。り、不注意により変更されたりする とを予防するため 対策となる。
– 内部統制報告書は、公認会計士等による監査を受ける必要がある(金融商品取引法第193 条の2 第2 項)。このため、公認会計士等も内部統制報告書の適正性を監査す
るために、財務報告の信頼性に関係する範囲において情報セキュリティも評価するとになことになる。
32
民事法:可用性(1)
• 他者のデータを紛失・消失した場合、損害賠償額は、どのように算出されるのか。
– (裁判例によれば)データ修復作業の経済的価値が損害額とされる
– 理論的に考えると、①認められるべき損害賠償額は媒体の価値であるという考え方と、②情報の価値であるという考え方があり得る。
– 判例として「岡山地裁平成13年(ワ)967号」がある
• 原告が引っ越すに際し,引越業者である被告を利用したところ,これまでの研究解析資料等の情報の入ったパソコン,MO,再入手不可能な書籍等325万円相当の紛失及び食器棚等17万円相当の破損を被ったことに基づき 精神的損害に対する慰謝料300万円と合わせ17万円相当の破損を被ったことに基づき,精神的損害に対する慰謝料300万円と合わせた642万円の損害賠償を求めた事案である。
• 判決は、「被告は,原告に対し,金308万7000円及びこれに対する平成13年9月16日から支払済みまで年6分の割合による金員を支払え。」というもので、「(パソコン)内部デ タの紛失により損害が発生していると認められる 」とされた内部データの紛失により損害が発生していると認められる。」とされた。
• 原告によれば、パソコン内部のデータは,原告の過去3年間にわたる大学院等での研究成果の全て,具体的には研究の基礎資料,学会で発表した研究論文,大学及び企業との共同研究の資料などが含まれており、(紛失以後)資料の復元等,授業準備に多大な時間と労力を費やしたとされた。
• 裁判所の見解として、(被告は損害が無いとした)発表済みの論文においても、基となったデータが紛失していることから、論文が学会で認められないものとなったとし、損失した全データの復旧作業にかかる労力を金額に換算したうち、七割と被告が負担すべきとした。
33
• 情報の価値はそれ自体としては算定できないため、失われた情報を復元する作業のためのコストによって算定したものと思われる。
御清聴ありがとうございました御清聴ありがとうございました
紹介したガイドライン類のダウンロ ドはこちらから紹介したガイドライン類のダウンロードはこちらからhttp://www.meti.go.jp/press/20090630007/20090630007.html
![(最終)ツーリズム戦略[1]...- 1 - 「味力全開!」九州一・佐伯 ツーリズム重点戦略 1 ツーリズム重点戦略(以下「戦略」という。)策定の目的](https://img.dokumen.tips/doc/110x75/5f0fe7c27e708231d4467860/oecffffc1-1-oeeif.jpg)
