第4回:情報管理者のセキュリティ意識を高める

2016-12-27

対談者
TMI総合法律事務所 パートナー弁護士 大井 哲也(写真左)
PwCサイバーサービス合同会社 上席研究員 神薗 雅紀(写真右)

個人情報を預かっている企業が、情報を漏えいしてしまった場合、報道などで、その企業が責任を問われている光景をよく目にします。しかし、データを預けているデータオーナーにも、当然、責任があります。これについて、法的・技術的側面の両方から語ります。

情報漏えいによる損害の大きさ

大井 データオーナーという場合、二つのデータがあると思います。一つは個人情報、もう一つは、営業秘密の情報です。いずれも企業の資産として、保護しなければならない重要な情報ですが、漏えいしてしまった際に、誰が被害を受けるのかは、全く違うと言えます。
個人情報に関して言うと、例えば、Eコマースの事業をしている企業があったとします。すると、その企業は、Eコマースのユーザーから個人の情報を預かっているという状況です。従って、その情報を安全に管理する義務があります。
営業秘密については、若干ベクトルが異なります。例えば、日本の車のメーカーが、エンジンを開発する技術情報を特許化しようとしていたとします。そうすると、技術開発部門であるR&D部門が研究開発しているノウハウなどは、まさに企業の資産としての情報になります。
従って、情報が漏えいした場合、それが個人情報であれば、企業のユーザー自身が被害を受け、営業秘密であれば、企業自身が被害を受けるというのが、大きな違いです。
特に、個人情報は、企業がユーザーの情報をお預かりしているわけですから、漏えいしてしまった場合には、ユーザーに対して、漏えいによる損害を賠償しなければなりません。
一方、営業秘密は、自社が苦労して開発した技術情報やノウハウなので、漏えいした場合には、商品の競争力を失ったり、ライバルの同業他社に同様の商品を開発されてしまったりする事態などが起き、自社において経済的な損害が発生します。
神薗さんは、一般にインシデントが起こった際に、個人情報が漏えいする事案と、営業秘密が盗まれる事案と、どちらの取り扱いが多いですか。

神薗 私の取り扱いが多いのは、間違いなく個人情報の漏えい事件です。世間的に騒がれているインシデントも、どちらかと言えば個人情報の漏えい事件だと思われます。ただし、私は日頃、マルウェアなどを使ったサイバー攻撃などによるインシデントに対応していますが、インシデントは、人、つまり社員や関連企業の人が情報を外部に漏らしてしまうケースも多々あります。特に営業機密情報は、それを見ることができる内部の社員が持ち出すというケースも見受けられますので、水面下では両方とも多く発生していると思います。

大井 哲也

大井 個人情報に焦点を当てると、ここ最近、大きな漏えい事件が続いています。例えば、大手の教育情報産業企業が、内部の者にクライアントの個人情報を多数持ち出されてしまう事件がありました。公的機関では、外部からのサイバー攻撃によって125万件の個人情報が漏えいしてしまいました。最近では、大手旅行会社が、やはりサイバー攻撃によって、クライアントの個人情報を流出させてしまった事件が起こりました。
このようなことが起こった場合、企業は、具体的にどのような損害が発生し、いくらくらいの損害が発生するのかを算定しづらいのではないかと思います。
これについては、個人情報が漏えいした際に、どのような損害が発生するのかを押さえる必要があります。よく誤解されるのは、例えば、漏えいした個人情報が誰かの手にわたってしまったために、振り込め詐欺の電話がかかってきたとか、友人になりすまして電話がかかってくるといった、具体的な被害が発生することを想定しがちです。しかし、個人情報が漏えいした場合、クライアントである個人は、「もしかすると、漏えいした自分の情報が犯罪者にわたって、何らかの犯罪行為が自分に向かうかもしれない」と不安になる可能性があります。個人情報が漏れたこと自体が、個人の不安感を生じさせてしまうのです。これを法律的に精神的損害と言いますが、これが、まさに個人情報の損害の概念なのです。
営業機密の場合は、技術情報やノウハウというのは、まさに企業の商品の価値を構成する重要な要素ですから、その技術が会社にもたらす利益に、どのくらいの価値があるのかを法律的に算定することが可能です。

データを預かる管理者の責任はどこまで!?

大井 次に、データを管理している者の責任について考えたいと思います。例えば、外部のハッキング集団に侵入されて、ユーザーの個人情報を盗まれてしまった企業がPwCさんに相談に来る場合、どのような認識を持って来られることが多いでしょうか。

神薗 自分たちの責任だと考え、協力して対応に臨みたいという意識のクライアント企業もいらっしゃいますが、やはり外部からのサイバー攻撃というケースでは、どうしても自分たちは被害者であるという意識で相談にいらっしゃるクライアント企業が多いのも事実です。

大井 ハッキング集団が個人情報を盗んだのですから、もちろん、彼らが犯罪者であり、責任を負担すべき一義的な義務者です。しかし実際には、ユーザーの個人情報を預かって管理していた企業が、損害賠償の責任を負わなければいけません。これについて、個人のユーザーは一般的にどのように考えているのでしょうか。

神薗 個人のユーザーは、自分が預けている企業に、情報をきちんと管理していなかったと言って、責任を問うケースが多いと思います。その結果、企業が責任を取るケースがよくあります。

大井 今、神薗さんがおっしゃったことを法的に整理しましょう。ユーザーは、企業に個人情報を預けているわけです。すると、その企業は、ユーザーの大切な資産やものを預かっている以上、それが商品であれ、銀行が保管している預金であれ、情報であれ、管理責任が発生するわけです。それを法的には、委託契約における善管注意義務と言いますが、そのような価値のあるものを預かっているのですから、自社の情報などよりも、高いレベルの管理を要求されるというのが、個人情報の管理責任の本質です。つまり、安全に管理する義務があるのです。
従って、企業は、外部のハッキング集団から被害を受けた被害者だという意識を持つのではなく、ユーザーから価値のある大切なものを預かっている責任の重さを認識することが必要です。

神薗 大井先生と一緒に情報漏えいインシデントの対処に当たっている中で、データオーナーの責任について、新しい気づきがありました。日本では、攻撃を受けた企業や組織だけが世間から注目を受け、責められる傾向がありますが、今のお話だと、その企業にデータを預けているデータの管理者も責任を負わなければならないと思います。
例えば、あるシステムのクラウドサービスを提供している企業があったとします。いろいろなデータを入れて、初めてそのサービスを受けられるというものです。このクラウドベンダーが攻撃を受けると、多くの場合、クラウドベンダー自身が批判されます。確かに、クラウドベンダーの側にシステムなどの脆弱性があったから、攻撃を受けてしまったのかもしれません。漏えいした情報は、個人のユーザーや企業など、データオーナーが預けた情報なのです。
メディアの報道などを見ていると、データオーナーの責任については、あまり取り上げられていないように思います。そういうデータオーナーの責任が希薄なのではないかと感じます。

データを預かる管理者ばかりが注目の対象に

大井 管理者と、データを預かっているクラウドベンダーなどの企業の関係を図に示します(図参照)。
まず管理者が情報を収集します。管理者は、この情報を自社で管理するのではなく、クラウドベンダーにデータを預けているとしましょう。
管理者自身は自分で個人情報のデータを管理していないので、ハッカーは、管理者に対してはハッキングをしないで、管理者の委託先であるクラウドベンダーに攻撃をかけるわけです。そうなると、このクラウドベンダーの管理責任が問われる。これが報道などで、一般的によく見られるケースです。
しかし今、神薗さんがおっしゃったように、管理者が個人情報の管理をクラウドベンダーに委託しているのですから、管理者は、委託先の管理監督義務を負っているわけです。従って、管理者は、自分の情報を安全に管理してくれるベンダーを選定して委託しなければなりません。クラウドベンダーがセキュアにシステムを構築しているかどうかを検証して、管理監督しなければならないわけです。

神薗 それなのに、データを預けている管理者ではなく、預けられているクラウドベンダー側の責任ばかりが、どうしても話題に上ってしまいます。そういう意識が一般に蔓延していることは、一つの問題ではないかと思います。いろいろな案件に接するたびに、やはり管理者も、もう少しセキュリティの意識を高めなければならないと感じています。

大井 おっしゃるとおりです。管理者は、データセキュリティについては、言わば素人のことが多い。他方で、個人情報の管理の委託先は、クラウドベンダーを含め、システムの保守運用をするセキュリティのプロです。だからといって、管理者が、「全てクラウドベンダーにお任せです」という姿勢でいるのは、許されることではありません。ユーザー自身がセキュリティの知見を持って、ベンダーを管理し、不備があれば指示を出すなどしていなければ、管理者の責任は免れません。
PwCさんは、データのオーナーから、情報の委託先の情報セキュリティシステムが安全かどうかの検証を依頼されることがあると思います。その場合に、管理者自身のシステムと、個人情報管理の委託先であるベンダーやシステム保守運用会社の両方に対して、どのような保守運用をしているかを検証しなければなりません。管理者自身のシステムに関しては、ご自身から依頼されているので、十分に吟味することができますが、委託先であるクラウドベンダーや、システムの保守運用会社が、監査を受け入れてくれなかったという経験はありますか。

神薗 雅紀

神薗 そういう経験は多々あります。おっしゃるとおり、管理者本人の情報管理やシステムについては、情報を開示していただけるので、いろいろなアセスメント(評価)ができます。一方、クラウドベンダーなどについては、それがなかなかできない状況があります。管理者からアセスメントの依頼を受けたと言っても、クラウドベンダーからは情報の開示はできないと言われることも多いです。
よくある例が、脆弱性診断です。クラウドベンダーやクラウドサービスに対して脆弱性診断をしようとすると、事前に申請書のようなものを出して、許可が下りた場合にのみ実施できるという企業もあります。管理者の委託先における脆弱性診断をすることは、なかなか難しい面があります。

大井 クラウドベンダーのセキュリティやシステムが、安全に管理されているかどうかが分からない場合、管理者は、それをどうやって検証するかが課題になります。
そういう場合に、神薗さんが、管理者からクラウドベンダーのセキュリティの検証を委託されたら、どうやってアセスメントを進めるのでしょうか。

神薗 セキュリティホワイトペーパーのように、提供頂ける情報の範囲内でアセスメントをすることが多いです。例えば、クラウドシステムの構成やセキュリティ対策、データの運用方法などが纏まった資料などです。既に脆弱性診断やプラットフォーム診断といったアセスメントを実施されているケースでは、場合によってはその評価結果を頂いてアセスメントする場合もあります。ただ、それでは、当然システムの評価をするには限界があります。例えば、最新の脅威に対しての耐性評価、さらには管理者側がクラウドサービスと連携用に開発したAPIなどがある場合などの耐性評価ができません。しかし最近は、クラウドベンダーはきちんとセキュリティの管理をしているだろうという前提で、そちらには診断のコストをかけずに、クラウドシステムを切り離したユーザー側のシステム部分のみを診断することが多くなっているのが現状です。
 その意味で、今はセキュリティに対しての意識改革が求められているのではないかと感じます。今後は、そういう啓蒙や取り組みをしていくことも重要だと思います。

大井 まさにそれは課題ですね。
そのうえで、管理者自身のシステムと、情報の委託先である保守運用会社の両方の安全性を外部の目からチェックすることも必要です。
次回は、外部の目として、調査委員会を設置することについて、話したいと思います。

【図】データオーナーとクラウドベンダーの関係

※法人名、役職、対談の内容などは掲載当時のものです。

最新のサイバーセキュリティ コラム・対談