【法務実務者分科会】情報管理と法制度

ゲートシティ大崎

場所:ゲートシティ大崎 東京都南部労政会館
講師:安藤広人 先生(ファイ法律事務所 弁護士、情報処理安全確保支援士)

企業活動における情報の取り扱いについて、どのような問題があり、法律によりどのような規制がなされているのか、どのような管理が求められるかなどをご教授いただきました。

クラウド時代の新たな問題

以前は一般的に企業が保有する情報(デジタルデータ)は、自社内のサーバーやNAS等、またはホスティング事業者など外部委託のサーバーに保管されていました。
しかし近年ではどの企業でも「クラウド」を活用するのが当たり前となっています。
クラウドの性質上、データが外国にあるサーバーに保存されたり、分散されて別々のサーバーに保存されることが、当たり前のようにあります。
そこで問題になるのが、法律上の手続きです。
刑事訴訟法の「押収」や、民事訴訟法の「証拠保全」など。
以前ならば、社内やホスティングのサーバー等にデータが保存されてあるので、それを押さえればよかったのですが。
しかしクラウドの場合、そもそも「データが保存されているサーバーが、物理的にどこにあるのか分からない」ということになります。
どこにあるのか分からなければ、押さえることができませんし、じゃあどうすればよいのやら…
仮に、クラウド運営者の任意協力を得てこの問題をクリアできたとしても、他にも様々な問題があります。
例えば外国のサーバーの場合は日本の法律に基づく対処だけでは不十分ですし、また、クラウド運営者が非協力的な場合には相当に苦しい状況となります。
さらに、それら全部をクリアできても、サーバーのストレージのどの領域を押さえるべきか、という問題もでてきてしまいます。
(そのストレージには他者のデータも保管されているため、全体を丸ごと押さえるのは問題があるのです)
今ざっと思いつくだけでもこのような問題があります。

正直なところ、2019年現在の状況においてクラウドに対するディープ・フォレンジックは、「現実的に超困難」と私個人は認識しています。
その代わりに、クラウドとの接続を監視・記録するような調査方法を用いるのが適しているというか、それが関の山というか、そのように考えております。