企業法務マンサバイバル

ビジネス法務に関する本・トピックのご紹介を通して、サバイバルな時代を生きる皆様に貢献するブログ

【本】情報セキュリティ管理の法務と実務 ― ベネッセ個人情報漏洩事件を踏まえて現行法義務を総点検する

 
2004年に発生したソフトバンクの個人情報漏洩事件に次いで、様々な文献で事例として語り継がれることになるであろう、ベネッセの大規模個人情報漏洩事件。

管理委託の外部業者が個人情報流出か(NHKオンライン)
nhkbenesseベネッセコーポレーションの通信教育サービスを利用している顧客の子どもや保護者の名前や住所など、およそ760万件の個人情報が流出したもので、流出した個人情報は最大でおよそ2070万件に上る可能性があるとみられています。
警視庁は、企業の営業秘密に当たる顧客の個人情報を何者かが外部に流出させたとみて、不正競争防止法違反の疑いで捜査していますが、顧客データベースの保守管理は本社から委託を受けたベネッセのグループ会社が、外部の業者に再委託していたことが警視庁などへの取材で分かりました。
データベースへのアクセス権限は、業者の中でも一部の担当者にしか与えられていなかったということです。
ベネッセによりますと、データベースに不正にアクセスされた形跡はないということで、警視庁は、こうした外部業者の担当者が情報を記憶媒体にコピーするなどして持ち出し、流出させた疑いがあるとみて調べています。

IPAの「組織内部者の不正行為による インシデント調査 − 調査報告書 − 」にも記載されているとおり、個人情報漏洩事件のほんどは外部からの攻撃である一方で、今回のような業務委託先を含む内部関係者の不正行為による漏洩事件となると、防止・発見が難しいことと相まって被害人数が多くなるという特色があります。

パーソナルデータ検討会以降、個人情報保護法が今後どう変わるかばかりを気にして浮足立っていたところがありますが、今回ベネッセに起こっていることを他山の石とし、そもそも自社が現行法を順守できているのかを改めて見直す機会としたいところ。その参考となりそうな新刊をご紹介したいと思います。


情報セキュリティ管理の法務と実務
野村総合研究所・浅井国際法律事務所
きんざい
2014-05-12




本書は、そのタイトルに忠実に、情報セキュリティに関わる法令上の義務を概説する「法務編」と、その義務を果たすために具体的に何をやるべきかをまとめた「実務編」に大きく二分されており、そのどちらも秀逸な出来となっています。

前半の「法務編」は、カバーする法令の網羅性に加えて、金融機関に求められる法的義務に目線を合わせているところが特徴となっています。その心は、
企業における情報セキュリティに関する法規制のほか、最先端の情報セキュリティが確立している金融機関に関する法規制や金融機関の取り組みを多数紹介しているが、これは、当該法規制や当該取組みがBtoC取引に携る一般事業会社にとっても実務上参考になると考えたからである。
(巻頭言より)
というもの。

・個人情報保護法 
・不正競争防止法 
・経済産業省告示 ーソフトウェア等脆弱性関連情報取扱基準(平成16年経産省告示第235号)
 ー情報システム安全対策基準(平成7年通産省告示第518号)
 ーコンピュータ不正アクセス対策基準(平成8年通産省告示第362号)
 ーコンピュータウイルス対策基準(平成7年通産省告示第429号)
 ーソフトウェア管理ガイドライン(平成7年公表)
・会社法 ー内部統制システム構築義務(362条4項6号、会社法施行規則100条)
・刑法 ー窃盗罪(235条)
 ー私文書毀棄罪(259条)
 ー建造物侵入罪(130条)
 ー器物損壊罪(261条)
 ー背任罪(247条)
 ー偽計業務妨害罪・威力業務妨害罪(233条・234条)
 ー不正指令電磁的記録に関する罪(168条の2および3)
 ー電子計算機損壊等業務妨害罪(234条の2)
 ー電子計算機使用詐欺罪(246条の2)
 ー電磁的記録不正作出・供用罪(161条の2)
 ー支払い用・預貯金引き出し用カードに関する罪(163条の2ないし4)
・不正アクセス禁止法 ーアクセス権限のないコンピュータを利用する行為の禁止(2条4項)
 ー他人のパスワード等を不正に取得・保管する行為の禁止(4条・6条)
 ーフィッシング行為の禁止(7条)
 ーアクセス管理者による防御措置構築に関する努力義務(8条)

といった、どの企業にも関係する法規制について網羅的に概説しながらも、金融機関における情報セキュリティ規制を定める
・金融商品取引法
・銀行法施行規則
・金融検査マニュアル
・金融分野における個人情報に関するガイドライン
・中小・地域金融機関向けの総合的な監督指針
そしてさらには、
・電気通信事業法と総務省ガイドライン(通信履歴・発信者情報・位置情報)
・番号(マイナンバー)法
・ISMS・Pマーク等の認証制度
・行政機関における情報の取扱に関する規制
まで取り上げます。またこれにあわせて、金融機関において発生したセキュリティ事件に関する判例が多く紹介されています。ベネッセ事件との絡みでは、特に安全管理義務や外部委託先管理責任について、金融機関に求められているレベルを知っておいて損はないでしょう。

s-IMG_3964


後半の実務編は、
・情報セキュリティの組織・体制・ルール
・従業員管理・教育訓練
・情報資産/施設・環境/端末・媒体/ネットワークごとのセキュリティ対策
・セキュリティ監査
・グループ管理
ごとに、章を分けて解説。

委託先管理という観点でやはり最近気になるのは、既に水・電気の如く必要不可欠な存在となってしまったクラウドサービスの存在。クラウドベンダー側に確認すべき事項がまとまっているところなどは、最新刊ならではの読みどころです。

s-IMG_3966


漏洩の規模もさることながら、謝罪会見において「センシティブ情報が漏れたわけではなく、金券を配布することは検討していない」と頭ごなしに賠償責任を否定した同社のスタンスや、名簿屋を通じてジャストシステムが当該情報を購入していたことの是非についても議論が波及、さらには大臣が情報の消去義務について個人情報保護法改正の必要性に言及するまでに発展している同事件。被害を受けている方にとっては不謹慎な物言いとなってしまいますが、企業法務パーソンにとっては格好の学習・反省材料ともなりそうです。
 

参考:

▼内部関係者による情報漏えいを繰り返さないためにできること(@IT)
http://www.atmarkit.co.jp/ait/articles/1407/11/news158.html
 

香港で伝統的なsealed contractを見てきた

 
先日、香港に行った際に、封蟻を使った捺印証書(deed, sealed contract)を見る機会があったので写真にとらせていただきました。紙による簡易なシールを見たことはあったのですが、封蟻によるものは実のところ初めてかもしれません。

s-IMG_3666


ページをまたいでリボンを封蟻で固めているのをみて、へぇそういうふうにするの?とはじめて知った次第。


以下、中村先生の『英文契約書作成のキーポイント』より。

往々,契約のむすびの部分や署名欄周辺にシールに言及したものがある。
少なくとも英法圏では昔ある一定の法律行為を書面にする場合には,deed(捺印証書)の形とし,本物の封蟻(Sealing waxを使ったもの)を施すことを要求した時代が長くあった。シールをする行為は,その書面に拘束されることを意味し、現代でもその書面に厳粛に服する意図を表わす。

シールをした書面はdeedとなり,considerationがなくても拘束力をもつ効果がある。また今でもdeedであるかどうかによって時効や,法律効果が異なる場合がある。
封蟷を使う習慣が次第になくなるにつれ,封蟻が赤い紙にかわってきた。
英国では現在は,これもなくてもよいことになり,署名欄に「捺印証書として作成された」(executed as a deed)と書けばよいことになっている。さらにその後,deedの形で締結するべき契約書自体の数が減り,多くの契約書がシールなどなくても,署名で十分効力をもつとされるようになってきたが,それでも本来必要な場合以外にも音の習慣の名残りで,封蟻によるものかどうかを問わず,シールに言及する場合があるようである。契約の準拠法上の要請にせよ形式的な体裁にせよ, このような文言を含む契約書があった場合にどう対処すればよいだろうか。日本の会社でも封印と封蟻をもっているところがなくもないようであるが,多くの会社ではもう封印する型押し機などないであろう。
方法としては,上述した赤い紙,つまり単に直径2cmくらいの円形の,または長径3cm,短径cmくらいの惰円形の赤(ないしはえび茶)の紙のシール(ちょうどなければ色紙を切りぬけばよい)を署名欄の付近に貝占っておけばよい。また,そのようなものがなければないで,社判を押しておけば大抵通用しているようである。


ところでこの文書はなにかというと、香港歴史博物館に展示してあった清とイギリスとの南京条約。他方、ポツダム宣言受諾後に日本がイギリスに香港の主権を委譲した降伏文書INSTRUMENT OF SURRENDERも展示されていまして、こちらにはシールがありませんでした。1945年ごろにはすでにシールの慣習が廃れていたということなんでしょうか。

s-IMG_3676


外国では時間があればこういった歴史博物館に行くようにしているのですが、香港に限らず様々な国によって占領された経験を持つ国で、日本占領期を「暗黒の時代」として描いている国はいくつかあります。日本で今行われている議論も含めていろいろ考えさせられます。
 

【本】アジア国際商事仲裁の実務 ― モデル事例によるサンドイッチで知識をおいしく頂く本

 
レクシスネクシスのI様よりご恵贈いただきました。いつもありがとうございます。『企業法務のセオリー』といい『クレーム対応の「超」基本エッセンス』といい、相変わらずいい仕事されてます。

6月20日の今日発売です。


アジア国際商事仲裁の実務 International Commercial Arbitration in ASIA
栗田 哲郎 (著, 編集), 吉田 武史 (著), 舘野 智洋 (著), 大森 裕一郎 (著)
レクシスネクシス・ジャパン
2014-06-20



まず800ページ弱という厚さにびっくり。子供の頃何度も読んだ藤子不二雄『まんが道』愛蔵版を彷彿とさせる手触り感です。先日ご紹介した『よくわかる国際商事仲裁』と比較するとこれだけの差!

s-IMG_3484

そして厚さだけ見ると辞書的な・味気のない本を想像されるかもしれませんが、そうなっていないところが編集のワザ。モデル事例でまず流れをイメージ → 体系的な概説 → 各国制度比較 → さらにリアルなモデル事例で紙上疑似体験しながらポイントを復習 → 資料編にリファレンス機能を集約、というボリューミィなクラブハウスサンドイッチ構造となっており、1)とっつきやすさと2)理解のしやすさと3)詳細な情報量の三位一体が実現された、見事な構成となっています。特に、モデル事例を一ヶ所にまとめるのでなくバンズの如く途中途中に織り込んだのが、この本を理解しやすいものにした一工夫だと思います。

s-IMG_3478

また、「筆者ら意見」「筆者らによる調査」等の責任限定表記が付いてはいるものの、条文・判例では必ずしも明らかでない事象に対する経験に基づいた見立てが積極的に表明されています。読者の「そこが知りたい」という欲求に応えて、相当踏み込んで持つ限りのノウハウを開示されようという姿勢で書かれていることが伝わってきます。

編著者がシンガポールの Rajah & Tann LLPにいらしたことで有名な(現在はベーカー&マッケンジー法律事務所在籍)栗田哲生先生でいらっしゃるので、シンガポールオンリーかと思いきや、タイトルのとおりきちんと韓国/中国/香港/台湾/インドネシア/タイ/フィリピン/ベトナム/マレーシア/インドそして日本の制度が網羅されてました。もちろん、それら各国の仲裁法や仲裁機関の特徴を一覧・比較できる表も文中・巻末にばっちりついています。このボリュームから推察するに、シンガポールにいらっしゃるころから自分のノウハウを書き溜めていらっしゃった、ということなのかもしれません。これだけのノウハウを開示してしまっていいんですかと驚きますが、経験を伴わなければマネはできない、という自信がおありなのでしょう。

s-IMG_3481
s-IMG_3483


厚さだけでなくその内容・編集方針も良い意味で『よくわかる国際商事仲裁』とはまったく異なる本書。特に海外案件に携わることのある専門家としては、手元に置いておきたくなる本ではないでしょうか。
 
記事検索
プロフィール
月別アーカイブ
Google
  • ライブドアブログ