情報セキュリティと法制度

情報セキュリティと法制度
経済産業省商務情報政策局
情報セキュリティ政策室
課長補佐清水友晴
情報セキュリティ政策の経緯
1
経済産業省「情報セキュリティ総合戦略」
z
z
z
z
2003年制定
「我が国で初めて策定された総合的な情報セキュリティに関する戦略」
「戦略」の基本目標を、経済・文化国家日本の強みを活かした「世界最高水準の「高信頼性社会」の構築」と位置付け
その要となる「情報セキュリティ対策」について、３つの戦略と４２の施策項目を提言。
セキュリティマネジメント
による事前予防策
情報セキュリティ監査の実施やISMS 認証取得の促進
情報セキュリティ格付けのあり方の検討
2
経済産業省「グローバル情報セキュリティ戦略」
z 2007年制定
z ITが国内外の経済社会システムに融合化し、情報セキュリティに関する脅威も国際化傾向にある中、産業構造審議会情報
セキュリティ基本問題委員会にて、次の３つの戦略からなる「グロバル情報セキュリティ戦略」を取りまとめた。
セキュリティ基本問題委員会にて、次の３つの戦略からなる「グローバル情報セキュリティ戦略」を取りまとめた
z 戦略１我が国を真に「情報セキュリティ先進国」とするための取組み
z 戦略２国際化する脅威に対応し、我が国の国際競争力を強化していく観点からの情報セキュリティ政策のグローバル展開
z 戦略３国内外の変化に対応するためのメカニズムの確立
セキュリティマネジメント
による事前予防策

情報セキュリティ対策状況に係る情報開示を通じた民間格付けの促進等
企業等の情報セキュリティ対策に係るベストプラクティス事例集等の提供
情報セキュリティ対策実施状況確認のための標準フォーマットの策定
企業や製品・サービス等に係る情報セキュリティ関連評価制度の拡充・強化
オフショア・アウトソーシングに係る情報セキュリティリスク等の検討
保証型情報セキュリティ監査の普及
3
企業に対する情報セキュリティ政策の背景
我が国産業の競争力強化
z ＩＴを基盤とした情報の利活用は競争力の源泉
競争力強化を阻害する
情報セキュリティに係る要因
情報セキュリティ基本計画に位置づけ
しかし、企業の情報資産に対する脅威は増大の一途 ⇒
事件・事故が多数発生
z 第二次情報セキュリティ基本計画にて「情報セキュリティガバナンス」を位置
づけ [２００９年２月情報セキュリティ政策会議（議長：内閣官房長官）で決定]
※ 情報
情報セキュリティガバナンス：情報セキュリティの観点からガバナンスの仕組みを構築・運用
キリテ
ナ
情報キリテ
観点
ナ
仕組み構築運用
【発生している事件・事故の具体例（2006年～）】
z 元A証券社員が全個人口座148万6651件の情報を無断で持ち出し一部を売却
z 金融機関多数において伝票、名簿等の顧客情報を誤廃棄・紛失（都市銀行、地方銀行等）
z ファイル共有ソフト（Winny 等）による情報漏えい事件の多発（ITベンダ、通信事業者、学校法人等）
【コンプライアンス問題の例】
z インサイダー（情報漏えい）（印刷業者、放送事業者等）
【膨大な被害額】
z 国内個人情報漏えい事件の想定損害賠償総額：２兆円超（2007年） [日本ネットワークセキュリティ協会調べ]
z 不正アクセスによる被害規模（事例）：数億円～数十億円／一件あたり（2006年）[（独）情報処理推進機構調べ]
【第二次情報セキュリティ基本計画】（計画期間 2009年度～2011年度）
z 企業における情報セキュリティ対策の推進は、政府、重要インフラ、個人における対策とともに４本柱の一つ。
企業における情報セキュリティ対策
z 「政府は企業における情報セキュリティ対策の実施状況を世界トップクラスの水準にすることを目指して最大限の
努力を行う」
z 企業に係る第一の情報セキュリティ政策として「情報セキュリティガバナンスの経営の一環としての認識の定着と
それに応えられるツールの存在」を位置づけ。
4
情報セキュリティ確保のための施策
情報セキュリティの確保（＝情報セキュリティガバナンスの確立）を実施する上で、企業経営者の抱えている課題を解決する
ための施策を実施
企業の情報セキュリティに関する制度等
これまでの経緯
z
z
z
z
2001年
2003年
2005年
2008年
情報セキュリティマネジメントシステム（ISMS）適合性評価制度」開始（（財）日本情報処理開発協会（JIPDEC））
情報セキュリティ監査制度開始（NPO日本セキュリティ監査協会（JASA））
情報セキュリティ対策ベンチマークのサービス開始（（独）日本情報処理推進機構（IPA)）
民間の情報セキリテ格付機関設立
民間の情報セキュリティ格付機関設立
z
z
z
z
z
z
2001年
2003年
2005年
2006年
2008年
2009年
ISMS国際標準規格 ISO/IEC 17799:2000 に対応したISMS認証基準策定（JIPDEC）
情報セキュリティ管理基準、監査基準（経済産業省告示）
情報セキュリティ報告書モデル、事業継続計画（BCP）策定ガイドライン（書籍化）
財務報告書に係るＩＴ統制ガイダンス（J-SOX対応版）
情報セキュリティ管理基準、監査基準（改正）、ITサービス継続ガイドライン
中小企業の情報セキュリティガイドライン（IPA）
制度・規定・ガイダンス等
企業の情報セキュリティを確立する上で解決されていない課題
今回の取組
（１）経営層が情報セキュリティの観点から何をすべきか不明確
（２）ＩＳＭＳを実装しようとしても法令との関係が分からない
（３）業務委託先での情報漏えい対策等の実施方策が分かりにくい
（４）実施状況の「見える化」のため信頼できる民間格付け機関が必要
課題に対応して今回策定したガイダンス類
（１）情報セキュリティガバナンス導入ガイダンス
（２）情報セキュリティ関連法令の要求事項集
（３）アウトソーシング・セキュリティ対策ガイダンス
（
）
（４）情報セキュリティ格付機関の規律に関する基準
企業のセキュリティガバナンスに関する一連のガイダンス類の普及展開フェーズへ
5
情報セキュリティガバナンス関連ガイドライン等の体系
目的／
担当
機密性の確保
（情報漏洩対策等）
完全性の確保
（情報改ざん対策等）
経営者
情報セキュリティガバナンス導入ガイダンス（＊１）
情報セキュリティの観点からガバナンスの仕組みを構築・運用
可用性の確保
（IT障害への対策等）
（１）経営層が情報セキュリティの観点
から何をすべきか不明確
情報セキュリティ報告書モデル（2005年）
情報セキュリティマネジメントシステムの国際標準（ISMS）（2001年～）
自社の情報セキュリティ対策の適正な改善メカニズム（PDCAサイクル）の構築
（２）ISMSを実装しようとしても
法令との関係が分からない
管理者
情報セキュリティ関連法令の要求事項集（＊２）
情報セキュリティ対策に必要な法令を遵守するための情報提供
（３）業務委託先での情報漏えい対策等
の実施方策が分かりにくい
アウトソーシング・セキュリティ対策
ガイダンス（＊３）
情報セキリテ対策ベンチマク（
情報セキュリティ対策ベンチマーク（2005年）
年）
財務報告に係るIT統制ガイダンス
（2006年）
外部機関
情報セキュリティ監査（2003年）等
事業継続計画（ＢＣＰ）策定ガイド
ライン（2005年）、ITサービス継続
ガイドライン（2007年）
（４）企業の情報セキュリティ対策実施
状況の「見える化」が不十分
情報セキリテ格付（情報セキリテ格付機関の規律に関する基準（４））
情報セキュリティ格付（情報セキュリティ格付機関の規律に関する基準（＊４））
（＊今回策定した文書、１～４企業経営者の抱える課題）
6
企業における情報セキュリティ
の考え方
7
競争力強化に向けた情報セキュリティ確立の必要性
① 情報資産の利活用と管理
ビジネス分野では、ＩＴを活用した自社内の「縦割り」を排除し、積極的な情報共有、情報の可視化による「全体最適」を
ビジネス分野では
ＩＴを活用した自社内の「縦割り」を排除し積極的な情報共有情報の可視化による「全体最適」を
目指した「マネジメント改革」が本格化しつつあるが、全体的に見ると、約７割が「部分最適」にとどまっている。全体最
適のステージに進むためには情報資産の管理、すなわち情報セキュリティを確立する必要があるのではないか。
② 適法性と適正性
個人情報保護法、金融商品取引法、会社法等、法的要求に対応する適法性と、社会や顧客からの適正性の要求についてバラ
ンスをとらなければならないが、過剰な法令対応、あるいは過少対応が散見され、適正性が守られていないのではないか。
③ 企業の社会的責任
コーポレートガバナンス、社会的責任（CSR）の観点から顧客・社会に対して企業の透明性を提供することは常識化した
といえる。同じように、情報セキュリティ向上に努めること、事業継続性を確保することも社会的責任の一つであり、企業
は責任を以って取り組まなければならないのではないか。
一般的に企業利益に結び付かないと考えられている情報セキュリティへの取り組みを、企業戦略と整合性とと
るかたちで見つめ直し、「攻めの情報セキュリティ投資」、すなわち、情報セキュリティ対策を企業価値を高
めるための投資対象として位置づけるべきではないか
8
企業に必要なガバナンス活動
社会からの要請
情報開示
健全性
内部統制システム
安全性
情報資産・リスク管理
企業価値・利潤拡大
透明性
信頼の向上
これまでは
企業の取るべき対応
プラスして
財務リスク、労務リスク、法令リスク、
情報セキュリティ上のリスク、
ITシステム上のリスク、等を
経営者が常時、把握できるように
企業のビジネスプロセス全体の
リスクマネジメント、
リスクマネジメント
つまりERM体制を確立する必要がある
経営者による情報セキュリティ上のリスクマネジメント及び改善活動を
ジ
び
「情報セキュリティガバナンス」としてまとめたガイダンスを策定
9
情報セキュリティ関連法令の
要求事項集
10
情報セキュリティ関連法律上の要求事項検討WG
開催趣旨
• 企業に求められる法令遵守と情報セキュリティの確保
• 企業における情報資産の効率的・効果的利活用は企業価値向上の観点において極めて重
要であるが、企業が保有する情報の中には法令や契約で利用が制限されているものが含
まれ、取扱にリスクが伴うケースもある
• 企業の業種、規模等によっては、情報セキュリティ対策の実施が取締役の善管注意義務
とみなされる場合もあることから企業は適法性を意識した情報セキュリティを考慮
とみなされる場合もあることから、企業は、適法性を意識した情報セキュリティを考慮
しなければならない。
• また、情報を有効活用するためには、知る必要のないものに知られないようにすること、
情報が正確であること（改ざんされないという意味）、必要な時に利用可能であること、
の三点を維持すること、すなわち情報セキュリティの確保が不可欠
• 法令遵守と情報セキュリティの両立
• しかし、法令遵守は法務部、情報セキュリティは情報システム部といったように、企業
において管轄が異なり担当分野の相互理解が高いとは限らない
において管轄が異なり、担当分野の相互理解が高いとは限らない
• 情報セキュリティ対策を推進する上で、知らぬ間に法令違反となっている事例が散見さ
れることから、各種法令を遵守しつつ、情報セキュリティを促進するため、法令の要求
事項を整理する
11
もともと情報セキュリティは法制度の領域から生成・発展した概念ではない。このような事情もあるため、
我が国においても、情報セキュリティを包括的に保護することを目的とする法律は存在していない。それど
ころか現時点では情報セキュリティという言葉を用いた法律そのものが存在していない
ころか、現時点では情報セキュリティという言葉を用いた法律そのものが存在していない。
このため、各種法律を分析し、情報セキュリティの三要素、機密性、完全性、可用性について、どのよう
な要求事項が内包されているのかについて分析、整理を行った。
法律によっては、ＣＩＡ個々の要求ではなく、ＣＩＡすべてを要求しているものがあり、このようなもの
は管理上の要求事項として整理を行った
は管理上の要求事項として整理を行った。
各法律における情報セキュリティ要求事項
法律
ＣＩＡ：管理類型
Ｃ：機密性
Ｉ：完全性
Ａ：可用性
企業として
の対策方針
個人情報保護法
著作権法
不正競争防止法
まず、この部分、要求事項の整理を行った
外為法
労働基準法
労働者派遣法
12
WGメンバーリスト
2007年度
氏名
2008年度
上野達弘
立教大学法学部准教授、国際ビジネス法学科長
○
大崎唯一
パナソニック株式会社情報セキュリティ本部参事
○
大水眞己
富士通株式会社法務本部
岡村久道（主査）
弁護士、英知法律事務所
岡本守弘
富士通株式会社法務本部
ビジネス法務部
○
○
○
ビジネス法務部
2009年度
○
担当課長
○
○
川田琢之
筑波大学大学院ビジネス科学研究科准教授
○
○
○
小塚荘一郎
上智大学法科大学院教授
○
○
○
坂上直樹
松下電器産業株式会社法務本部法務企画グループ調査・渉外担当参事
○
新保史生
慶應義塾大学総合政策学部准教授
○
○
○
鈴木正朝
新潟大学法学部教授
○
○
○
鈴木満（副主査）
桐蔭横浜大学法科大学院教授
○
○
○
砂押以久子
立教大学兼任講師
○
○
○
園田寿
甲南大学法科大学院教授
○
○
○
田中亘
東京大学社会科学研究所准教授
○
○
○
波田野晴朗
弁護士、TMI総合法律事務所
○
○
○
○
早貸淳子
情報セキュリティ大学院大学セキュアシステム研究所客員研究員
平嶋竜太
筑波大学大学院ビジネス科学研究科准教授
○
○
○
○
町村泰貴
北海道大学大学院法学研究科教授
○
松沢栄一
富士通法務部担当部長
○
○
○
丸山満彦
公認会計士、監査法人トーマツ
○
○
○
宮川美津子
弁護士、TMI総合法律事務所
○
○
○
森亮二
弁護士、英知法律事務所
○
○
○
山口厚
東京大学法学部・法学政治学研究科教授
○
13
論点
企業におけるリスク管理、情報管理上の大きな問題は、情報の機密性確保といえる
企業におけるリスク管理
情報管理上の大きな問題は情報の機密性確保といえる
本日は2009年6月30日に公開された「情報セキュリティ関連法令の要求事項集」から、機密
性確保に関係する項目として、不正競争防止法、労働法を中心に紹介
法律
各法律における情報セキュリティ要求事項と検討事項
不正競争防止法
競争防止法
情報を法的に保護すためには「営業秘密と
情報を法的に保護するためには「営業秘密」としての管理要件を満たすこと
管理件を満たすと
労働基準法
労働者派遣法
従業員に情報セキュリティ上の義務を課すための就業規則、守秘義務のありかた
会社法
（大会社と委員会設置会社において）取締役の内部統制構築義務の一つとして情報保存管理体制につい
（大会社と委員会設置会社において）取締役の内部統制構築義務の
つとして情報保存管理体制につい
て検討し、方針を定める必要がある
個人情報保護法
「個人情報取扱事業者」は「個人データ」について安全管理措置を取る必要がある
刑事法
管理者パスワード等のアクセス制御を回避して企業情報を詐取する行為は不正アクセス行為
民事法
預託した情報を漏えいされた損害に対する賠償請求
14
情報の機密性確保上の論点
情報の機密性確保
アクセス制御、暗号化、外部記憶媒体の接続無効化等、技術面の対応
機密レベル指定、配布先の限定、定期的監査等、運用面の対応
z しかし、認識不足、あるいは不正利用を目的とした意図的な内部職員及び第三者によ
る情報流出、情報消失、情報破壊等の事件・事故を完全に防ぐことは容易ではない
z 組織に危害・損害を与えるような行為に対する理解を求めるとともに、行為に対する
組織に危害損害を与えるような行為に対する理解を求めるとともに、行為に対する
罰則を設けるといった制度整備を行うことが必要である
z不正競争防止法の観点から
企業競争力に係る先端技術情報、企業戦
略情報、重要顧客情報などを「営業秘
密」として管理
z労働法の観点から
就業規則、守秘義務誓約書等を整備
不正な持出し、複製行為等に対抗することがで
きる
ただし、法律の要求事項を正しく理解しておか
ただし
法律の要求事項を正しく理解しておか
ないと、法律の適用が認められない場合がある
15
不正競争防止法とは
（第一条）この法律は、事業者間の公正な競争及びこれに関する国際約束の的確な実施を確保するため、
不正競争の防止及び不正競争に係る損害賠償に関する措置等を講じもって国民経済の健全な発展に寄与
不正競争の防止及び不正競争に係る損害賠償に関する措置等を講じ、もって国民経済の健全な発展に寄与
することを目的とする。
z 不正競争・不正競争防止法適用例
不正競争不正競争防止法適用例
z ゲームメーカーがコピーを制限していたプログラムを、無断でコピーできるようにする機械を輸入・
販売した業者に差止命令。
z 奇抜な形状のゲーム機を発売したところ、よく似た形のモノマネ商品が出回り始めた。
z 顧客名簿が他社に流れた。
「不正競争防止法の概要」経済産業省
16
営業秘密の侵害に係る措置
z （第二条第一項第四～九号）
（第二条第項第四九号）
z 窃取等の不正の手段によって営業秘密を取得し、自ら使用し、若しくは第三者に開示する行為等
z （第二十一条第一、二項）十年以下の懲役若しくは千万円以下の罰金
z 詐欺等行為により、又は管理侵害行為（営業秘密が記載され、又は記録された書面又は記録媒体
（以下「営業秘密記録媒体等」という）の窃取営業秘密が管理されている施設への侵入不正
（以下「営業秘密記録媒体等」という。）の窃取、営業秘密が管理されている施設への侵入、不正
アクセス行為により取得した営業秘密を、不正の競争の目的で、使用し、又は開示した者
z 前号の使用又は開示の用に供する目的で、詐欺等行為又は管理侵害行為により、営業秘密を次のい
ずれかに掲げる方法で取得した者
z 保有者の管理に係る営業秘密記録媒体等を取得すること。
保有者の管理に係る営業秘密記録媒体等を取得すること
z 保有者の管理に係る営業秘密記録媒体等の記載又は記録について、その複製を作成すること。
不正に「営業秘密」を入手、及び不正取得を知りながら提供を受ける行為
のみならず
みならず
正当に入手した場合でも「図利加害目的」で不正利用する行為
は、処罰の対象となりうる
図利加害目的とは「不正に利益を上げたり、他人に損害を与える目的。」
17
営業秘密として認められる条件
（第二条第六項）この法律において「営業秘密」とは、秘密として管理されている生産方法、販売方法そ
の他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。
他事業活動に有な技術上は営業上情報あ
公然と知られ
なもを
不正競争防止法の営業秘密としての保護を受けるための条件
z 有用性
z 非公知性
z 秘密管理性
①情報にアクセスできる者を制限（アクセス制限）
②情報にアクセスした者にそれが営業秘密であると認識できること（客観的認識可能性）
秘密管理性の判断は、諸般の要素が総合的に考慮されるため、営業秘密としての保護を受けるためには、
過去の裁判例で秘密管理性の判断の際に考慮された要素を参考に上記の要件を満たす管理をすること
過去の裁判例で秘密管理性の判断の際に考慮された要素を参考に、上記の要件を満たす管理をすること
（１）物理的、技術的に秘密情報を隔離・明示する方法
保管場所の隔離・施錠、アクセス権者の制限、電子データの複製の制限、不正アクセスの防御措置、外部
ネットワークからの遮断、保管媒体の持出禁止、「秘」であることの表示等
（２）人的管理
秘密保持契約の締結、就業規則における秘密保持義務の規定、社員教育・研修の実施、秘密情報の取扱、
アクセスに関するルールの策定等
18
内部規定等はどのように整備すべきか
z
秘密管理規定
z 秘密情報の特定方法
どのような情報を秘密情報として取り扱うのか、秘密情報を特定する権限は誰が有するのか、秘
密であることをどのように表示するかなど。
z 秘密情報の管理者、アクセス権者
秘密情報を誰が管理をするのか、秘密情報にアクセスすることができるのはどのような者かなど。
z 秘密情報の取扱方法
自社の秘密情報を取得するためにはどのような手続きが必要か、秘密情報を管理者から開示を受
けた場合にどのように取り扱うべきか、秘密情報となるべき情報を新たに取得した場合にどのよ
うに取り扱うべきかなど。
z
就業規則
z 就業規則において、従業員の秘密保持義務を定めておく
z その場合、一般的な定めを設けるだけでなく、秘密保持義務の対象となる秘密情報は秘密管理規
定の定めるとろに従う旨を明記するなど、秘密管理規定との関連性を設けておくとが有効
定の定めるところに従う旨を明記するなど、秘密管理規定との関連性を設けておくことが有効
z
誓約書
z 従業員が内容を認識し得る程度に秘密情報を特定し、実際にも当該情報を秘密として管理してお
く
くこと
z 誓約書を作成する段階で秘密情報が具体的に特定できない場合には、秘密保持義務の対象となる
秘密情報は秘密管理規定の定めるところに従う旨を明記する
ただし、裁判においては、秘密管理性は具体的な管理状況について判断されるため、いずれの場合も情報
が
が秘密として実際に管理されていなければ、内部規定等がいかに整備されていたとしても秘密管理性は認
ば
が
められない場合がある。
19
労働法に係る論点
企業が従業員との関係で情報セキュリティ体制を確立する上では、情報セキュリティをめぐる企業と従業
員との関係を明確にしておくことが重要。
このような体制は、労働法制に適合した形で行われる必要があるが、その際、特に就業規則を適切な形で
が
が
作成することが重要になる。
z
z
z
従業員との関係において構築すべき情報セキュリティ体制
z 従業員が職務遂行にあたって情報セキュリティの観点から遵守すべき事項を、従業員の服務上の
義務（服務規律）としてあらかじめ定めておく
z 従業員が義務に違反し、情報セキュリティ上の事故を生じさせた場合に備え、必要に応じて従業
員に対して懲戒処分等の制裁を課すことが可能な体制を整えておく
就業規則に関する法令上の要求事項
z 常時10 人以上の労働者を使用する事業場において使用者に就業規則作成が義務
z 情報セキュリティ関連の規定を「業務用コンピュータ利用規程」等の形で別の文書として定め、
就業規則の本則に、該当の情報セキュリティ関連の事項については別途定める規程による旨を定
めておくことが望ましい
就業規則の意義及び運用上の留意点
z 内容が情報セキュリティ確保の手段として合理的なものである限り、これを遵守すべき従業員の
義務の存在が認められ、従業員に遵守を求める使用者の対応は法的根拠を伴ったものとなる
z 企業が従業員に対して懲戒処分を行うためには、就業規則上の懲戒の種別及び事由を定めておく
ことが必要
z 実際に処分を行うためには、発見されたルール違反に対し、懲戒処分事由に該当する行為で
ある点を指摘しつつ注意を与えて是正を促すなど、一定の猶予措置が必要であろう
20
就業規則の効力を発揮させるための考慮事項
就業規則の効力、意義については、企業と従業員との間で締結される個別合意や労働協約との関係で、以
下のような留意も必要となる
よな留意も必とな
z
z
従業員との間で個別に合意すること
z 就業規則と異なる労働契約内容を定めることは、就業規則の定めよりも従業員に有利な内容を合
意する場合に限って許容される
z つまり、個別の合意により、特定の従業員について情報セキュリティ上の義務を軽減することは
可能であるが、逆に就業規則の定めよりもこれを加重することはできない
個合意依
個別合意に依ることが考えられる事項
が考
事
z 就業規則で概括的に定められた事項の内容を、個々の従業員との間で個別合意によって具体化す
ること
z 典型的な例としては、秘密保持義務の定めについて、就業規則上は、業務上知り得た会社
の秘密の漏えい・業務外利用禁止という概括的な定めを置いておき、個々の従業員との間
で、当該従業員の職務内容に即した形で「業務上知り得た秘密」の具体的内容を個別合意
により特定する場合
z 従業員に対して退職後の秘密保持義務や競業避止義務を課すこと
z こうした退職後の法律関係について就業規則で定めることの可否につき疑義がある
うた退職後法律関係に
就業規則定めると
にき疑義がある
z このため、これらの事項については、個別合意で定めておくことが望ましい
z 労働協約の適用を受ける従業員については、労働協約の効力が就業規則に優先する
z このため、労働協約の中に、情報セキュリティ体制の構築に影響を及ぼす規定がある場合
には、当該労働協約の効力が存続している限り、当該労働協約の適用を受ける従業員につ
は当該労働協約効力が存続
当該労働協約適をけ従業
いて、就業規則等で労働協約と異なる定めをすることはできない
21
守秘に関する誓約書
顧客名簿データなどの企業秘密の守秘に関する誓約書を従業員から取る意義とは何か
また誓約書を
また、誓約書を取る際にどのようなことを考慮すべきか
際にどよなとを考慮すきか
z
z
z
z
在職中の秘密保持義務の明確化
z 労働契約において特別に定めがなくても、企業秘密遵守の義務を負うと考えられる
z しかし責任の範囲などが必ずしも明確とはいえないことから、契約上の特約または就業規則上の
条項によって秘密保持を定めておくことが有効である
退職後の秘密保持義務の明確化
z 退職後には原則として在職中負っていた労働契約の信義則上の守秘義務が消滅
z このため秘密保持に関する誓約書を取っておくことが望まれる
z しかし、退職時あるいは退職後には従業員がこれに応じないことも少なくない
従業員が誓約書への署名に応じない場合の措置
z 誓約書への署名については労働契約上使用者が有する業務命令権が及ぶとは考えられない
z したがって、業務命令違反として懲戒処分を行うことはできない
z しかし、を提出しない従業員をプロジェクトに参加させないという人事権の行使で対処
誓約書の対象情報
z 判例では、本人が仕事の中で自然に身につけたスキルのような情報に制約を課すことができない
とされた
z 同様に、守秘すべき必要の特にない情報を含め広く誓約書を取ることは、あまり望ましいとはい
えないことから企業秘密を扱うプロジェクトへの参加時等に扱う情報を特定守秘期間等も
えないことから、企業秘密を扱うプロジェクトへの参加時等に、扱う情報を特定、守秘期間等も
明示した誓約書を作成、署名を求めることが有効な対策と考えられる
22
退職後の従業員の競業避止義務、秘密保持義務
従業員が退職後に他社に転職するなどして会社の秘密情報を流出させることを防止しようとする場合、雇
用関係上の対策としては、どのようなものを講じることが考えられるか
関係上対策と
はどよなもを講
とが考られか
z
z
考えられる制度
z 退職後の従業員に秘密保持義務および競業避止義務を課す定め
z 就業規定だけでなく従業員との間の個別合意を結ぶ
z 従業員が退職後に競業行為を行った場合に、支給される退職金の額を減らす、若しくは支給しな
従業員が退職後に競業行為を行った場合に支給される退職金の額を減らす若しくは支給しな
い（既に退職金が支給されている場合、その全部又は一部を返還させる旨の定め
z 退職金制度を定める規程の中に当該定めを置くこと
考慮事項
z 職業選択の自由により、退職後は自由に職業活動をなし得るのが原則である
職業選択の自由により退職後は自由に職業活動をなし得るのが原則である
z 秘密保持義務は本人による情報漏えいそれ自体を禁止対象とし、競業避止義務は情報漏えいにつ
ながり得る行為（情報そのものを漏らさずとも、情報を活用した研究、営業等の事業行為を含む
ため）を広く禁止対象とすることから、定める競業避止義務規定の合理性、有効性の判断が、よ
り厳しいものとなる（裁判で認められにくい）
z 退職後の競業避止義務、秘密保持義務規定中に、制裁として具体的な支払い金額を示すことは、
労働基準法第16 条「労働契約の不履行について違約金を定め、又は損害賠償額を予定する契約の
禁止」に抵触するおそれがある。このため、（例えば退職金の半額など）一定額ではなく、企業
側に現実に生じた損害から賠償責任を算出する旨の規定とすること
23
その他の論点
24
会社法：管理類型（１）
•
「内部統制と情報セキュリティの関係はどのようなものか」
– 会社（大会社と委員会設置会社）における情報セキュリティに関する体制は、その
会社の内部統制の一部といえる。取締役の内部統制構築義務には、適切な情報セ
キュリティを講じる義務が含まれ得る。
– 内部統制とは「会社が営む事業の規模、特性等に応じたリスク管理体制」と定義さ
れる。取締役には、会社に対する善管注意義務（会社法第330
締役
会社対す善管注意義務（会社法第
条
条、民法第644
法第
条）
条）に
基づいて、このような内部統制に関する基本方針を取締役会で決定し、決定した基
本方針に従った内部統制を構築する義務がある。
– 決定すべき内部統制は、類型に分けて列挙されている。その中には、①法令等遵守
決定すべき内部統制は類型に分けて列挙されているその中には ①法令等遵守
体制、②損失危険管理体制、③情報保存管理体制、④効率性確保体制、⑤企業集団
内部統制が含まれる
25
会社法：管理類型（２）
•
「情報セキュリティに関する体制が不備であるため、情報の漏えい、改ざん又
は滅失（消失）若しくは毀損（破壊）によって会社又は第三者に損害が生じた
滅失（消失）若く毀損（破壊）
会社又第者損害
た
場合、会社の役員（取締役・監査役等）は、どのような責任を問われ得る
か。」
– 取締役会が決定した情報セキュリティ体制が、当該会社の規模や業務内容にかんが
みて適切でなかったため、情報の漏えい等により会社に損害が生じた場合、体制の
決定に関与した取締役は、会社に対して、任務懈怠（けたい）に基づく損害賠償責
任（会社法第423条第1 項）を問われ得る。
– 取締役は、内部統制システムの構築義務の一環として、情報セキュリティ体制を構
取締役は内部統制システムの構築義務の環として情報セキリテ体制を構
築する義務を負うと解される。
26
個人情報保護法：管理類型（１）
•
企業における「情報セキュリティ対策」と個人情報保護法への対応との違いは
どこにあるか。
– 「情報セキュリティ（対策）」とは、情報の機密性、完全性、及び可用性の3 要素を
維持すること、そのための対策をいう。それに対して、個人情報保護法への対応と
は、「個人情報取扱事業者」（個人情報保護法第2 条第3 項）が「個人情報」（同法
第条第1
第2
条第項）等を同法の定める義務を遵守し取り扱うこと、そのための対応をいう。
項）等を同法の定める義務を遵守し取り扱うことそのための対応をいう
– 保護の対象となる情報は、情報セキュリティ対策においては「情報」一般であるの
に対して、個人情報保護法における後述の安全管理措置義務関連の規定は、「個人
データ」（同法第2 条4 項）に限定される。「個人データ」以外の情報については、
項）に限定される「個人データ」以外の情報については
もっぱら情報セキュリティ対策として各企業の自主的対応に委ねられる
– 保護の主体は、情報セキュリティ対策においては、「事業者」一般が念頭に置かて
おり、限定がないのに対して、同法の対応が法的に義務付けられるのは、個人
おり、限定がないのに対して、同法への対応が法的に義務付けられるのは、「個人
情報扱事業者」に限定される。
27
個人情報保護法：管理類型（２）
•
「個人データの取扱いの全部又は一部を委託するにあたって、個人情報保護法
は委託元に監督責任を課しているが、具体的にはどのような責任が生ずるのか。
委託元監督責任を課
る、具体的
な責任
ずる
。
また、監督責任を果たすために何をしなければならないのか。」
– 個人情報保護法は、個人情報取扱事業者による個人データの第三者提供を制限して
いるが、委託元である当該事業者の責任の下で、その取扱いを委託する場合、委託
先はその制限の対象となる場合の「第三者」に該当しないこととしている（同法第
23 条第4 項第1号）。
– しかし、委託先が個人データを取り扱うにあたっては、同法が定める安全管理措置
を遵守させるよう必要かつ適切な監督を行うことが委託元に義務付けられている
（同法第22 条）。
28
刑法：加害行為規制類型（１）
•
コンピュータウイルスによって企業活動を阻害した場合に、刑法上処罰され得
るか。
– 刑法上、コンピュータ犯罪に関連する規定には以下のものがある。
•
•
•
•
•
電磁的公正証書原本不実記録罪関係（刑法第157 条、第158 条）
電磁的記録不正作出罪関係（刑法第161 条の2）
電子計算機損壊等業務妨害罪関係（刑法第234 条の2）
電子計算機使用詐欺罪関係（刑法第246 条の2）
電磁的記録毀棄罪関係（刑法第258 条、第259 条）
– 従
従って、コンピュータウイルスの悪用に関する行為は、電子計算機損壊等業務妨害
て
ンピ
タウイルスの悪用に関する行為は電子計算機損壊等業務妨害
罪や電磁的記録毀棄罪などの規定に該当すれば、処罰され得る。
29
刑事法：機密性（１）
•
情報の不正入手には、どのような罰則があるか。
– 情報の不正入手を処罰する規定はない。刑法の中にも情報の不正入手を
情報の不正入手を処罰する規定はない。刑法の中にも情報の不正入手を一般的に処
般的に処
罰する規定があるのではなく、様々な法律の中に情報の侵害の態様に応じて個別的
な処罰規定が置かれているにすぎない。
– 情報の不正入手についても一般的な処罰規定を設けることが議論されたが、保護す
べき情報の範囲や保護の程度などについて議論が分かれ、将来の課題とされた。情
報は、同じ内容であっても人によって価値が異なり、時間の経過によってもその価
値が変動する。このような客体に対して、一律に刑罰による保護を設定することに
は無理があり個別的に保護せざるをえないためである
は無理があり、個別的に保護せざるをえないためである。
– 情報の不正入手に伴う漏えい行為については、情報そのものを保護するという形で
はなく、情報を扱う一定の者に守秘義務を課し、漏えいがあった場合に、その義務
違反という形で刑事責任が問われる。
30
特別刑事法：機密性（２）
•
不正アクセス禁止法によって守られるためには、どうすればよいのか。
– 不正アクセス禁止法によって守られるためには、法の適用を想定するサ
不正アクセス禁止法によって守られるためには、法の適用を想定するサーバ（「特
バ（特
定電子計算機」）において、アクセス制御機能（アクセスをしようとするユーザを
ID・パスワード等の識別符号により識別、認証する機能）を付加し、当該サーバに
対してネットワークを通じて別の計算機のユーザがアクセスする際に、アクセス制
御機能により制限することが必要である。
御機能により制限することが必要である
– 不正アクセス禁止法違反検挙例の多くは、他人の識別符号、つまり、ユーザID及び
パスワードを入手、利用して、なりすましを行ったものである。
– 特殊な事例としては、いわゆる「ACCS不正アクセス事件」として、ウェブサーバ上
特殊な事例としてはいわゆる「ACCS不正アクセス事件」としてウェブサーバ上
のCGIプログラムの不備を利用したアクセス制御機構の回避が不正アクセス禁止法違
反に相当するかどうかが争われたものがある（東京地裁の判決「懲役八カ月、執行
猶予三年」で確定）。
•
（参考）不正アクセス禁止法違反事例の情報について
– 不正アクセス禁止法第七条の規定により、国家公安委員会、総務大臣及び経済産業
大臣は「不正アクセス行為の発生状況」を毎年公表している。
– 平成20年１月１日から12月31日までの不正アクセス行為の発生状況
• 不正アクセス行為による検挙件数1737件、検挙人員135人。
• 平成17年以降、検挙人員は110～140人で推移しているが、検挙件数は平成17年の271件から、
大きく増加
大きく増加している（一人の犯人が行う不正アクセス件数が多くなっている）。
る（人犯人が行う
クセ件数が多くな
る）
31
金融商品取引法：完全性（１）
•
情報セキュリティと金融商品取引法の内部統制報告制度はどのように関係して
いるか。
– 上場企業等は、財務報告に係る内部統制を評価し、その結果を内部統制報告書とし
て作成し、内閣総理大臣に提出する必要がある（金融商品取引法第24 条の4 の4）。
– 企業におけるIT 利活用の現状を鑑みると、適正な財務報告を行うためにはIT の利用
等が一般的と考えられることから、IT 統制（IT による会計処理の統制やIT に対する
統制）も重要となる。「財務報告に係る内部統制の評価及び監査の基準」によると、
「内部統制の基本的要素」には、「ITへの対応」が含まれ、「ITへの対応」は、IT
環境への対応とIT の利用及び統制からなるとしている。
の利用及び統制からなるとしている
– 情報セキュリティは「ITへの対応」に関係するものと考えられる。例えば、情報セ
キュリティの対策としてアクセス管理があるが、これは財務データが改ざんされた
り、不注意により変更されたりするとを予防するため対策となる。
り、不注意により変更されたりすることを予防するための対策となる。
– 内部統制報告書は、公認会計士等による監査を受ける必要がある（金融商品取引法
第193 条の2 第2 項）。このため、公認会計士等も内部統制報告書の適正性を監査す
るために、財務報告の信頼性に関係する範囲において情報セキュリティも評価する
ことになる。
とにな
32
民事法：可用性（１）
•
他者のデータを紛失・消失した場合、損害賠償額は、どのように算出されるの
か。
– （裁判例によれば）データ修復作業の経済的価値が損害額とされる
– 理論的に考えると、①認められるべき損害賠償額は媒体の価値であるという考え方
と、②情報の価値であるという考え方があり得る。
– 判例として「岡山地裁平成13年（ワ）967号」がある
• 原告が引っ越すに際し，引越業者である被告を利用したところ，これまでの研究解析資料等
の情報の入ったパソコン，ＭＯ，再入手不可能な書籍等３２５万円相当の紛失及び食器棚等
１７万円相当の破損を被ったことに基づき精神的損害に対する慰謝料３００万円と合わせ
１７万円相当の破損を被ったことに基づき，精神的損害に対する慰謝料３００万円と合わせ
た６４２万円の損害賠償を求めた事案である。
• 判決は、「被告は，原告に対し，金３０８万７０００円及びこれに対する平成１３年９月１
６日から支払済みまで年６分の割合による金員を支払え。」というもので、「（パソコン）
内部デタの紛失により損害が発生していると認められる」とされた
内部データの紛失により損害が発生していると認められる。」とされた。
• 原告によれば、パソコン内部のデータは，原告の過去３年間にわたる大学院等での研究成果
の全て，具体的には研究の基礎資料，学会で発表した研究論文，大学及び企業との共同研究
の資料などが含まれており、（紛失以後）資料の復元等，授業準備に多大な時間と労力を費
やしたとされた。
• 裁判所の見解として、（被告は損害が無いとした）発表済みの論文においても、基となった
データが紛失していることから、論文が学会で認められないものとなったとし、損失した全
データの復旧作業にかかる労力を金額に換算したうち、七割と被告が負担すべきとした。
• 情報の価値はそれ自体としては算定できないため、失われた情報を復元する作業のためのコ
ストによって算定したものと思われる。
33
御清聴ありがとうございました
紹介したガイドライン類のダウンロードはこちらから
紹介したガイドライン類のダウンロ
ドはこちらから
http://www.meti.go.jp/press/20090630007/20090630007.html

Download Report