【法曹実務者分科会】世界のサイバーセキュリティ法規制と実務対応

Web講演

場所:シティユーワ法律事務所(講演をWeb配信)
講師:寺門 峻佑 先生(TMI総合法律事務所 弁護士)

各国のデータ保護新法やサイバーセキュリティ法規制の状況と、事業者に必要となる対応などについてご教授いただきました。

小企業が気をつけるべきこと

講演の中でデータフローやデータマッピングの重要性に関するお話がありました。
先生が対応するような大きな企業においても、データフローやマッピングをきちんと把握できていないところも多いそうです。
先生と違って私が対応するのは小規模な会社ばかりですが、ほぼ全ての会社で、きつい言い方をすると「杜撰」な管理体制である状況です。
いくつかの典型的なヤバい事例を後述しますが、小企業においては法規制うんぬんよりも前に、まずは善管注意義務(善良なる管理者の注意義務)を意識して、自社のIT環境とデータ取扱状況の確認と改善の必要がありそうです。

【ヤバい例①】誰もITの全体を把握していない

私が対応する案件は、不正や犯罪に対するデジタル・フォレンジックだけではなく、もっと広く色々なコンピュータのトラブルや不具合へ対応しています。
例えば障害復旧とか、ボトルネック解消とか、パフォーマンス改善のための改修なども実施しております。
中小企業からそれらの依頼を受けたとき、分析や改善等の処置を施すべき箇所を探すために、まず最初にIT環境の全体の構成をざっくりと確認することとなります。
しかし中小企業では、それを把握している社員が一人もおらず、事業単位や部署単位でバラバラに自由に(言い換えれば好き勝手に)管理されていることがとても多くあります。
自社のIT環境は全体でどういう構成になっていて、各セクションでどういうデータを扱っているのか、どのようにデータを取得し、どこにそれを長期保管および一時保管しているのか、そしてどのようにデータが使われ、廃棄されるのか。
それらをきちんと把握している人がいなければ、情報セキュリティのインシデントが発生したときに企業の管理責任を問われかねない、というか当然に糾弾されるはずです。

【ヤバい例②】委託先が低レベル

特に販売やサービス系の中小企業では、「ホームページ制作業者」に依存する体制でいる企業が少なくありません。
例えば、会社設立時に依頼したホームページ制作業者に、Web問い合わせの仕組みやWeb受注システムも合わせて依頼するなど。
そのような場合、Web関連のものがブラックボックス化してしまい、当のホームページ制作業者しか中身を把握できないことがよくあります。

さらに問題を深刻にするのが、ホームページ制作の「零細業者」や「フリーランス」など、乱立する低レベルな業者達です。
中小企業はとにかく制作費をケチりたいという思いから、きちんとした制作会社やシステム会社ではなく、安いフリーランス等に依頼をすることがかなり多くあります。
そしてその安いフリーランス等はWebプログラムやシステムの知識が乏しい人がほとんどで、自分ではWebプログラムやシステムを作れないので、インターネットに転がっているフリーのツールを設置したりとか、サンプルコードを「コピペ」したりということが良くある、というか慣例になっています。
そのような低レベルな業者の場合は、どのようなプロセスでどのようにデータが扱われるのか、当の業者すら把握できていない(したくてもできない)ということがほとんどです。
まるでジャンク品です。

1,制作費をケチって
2,安い業者から
3,ジャンク品を買う
これは善良なる管理者の所為とは言えませんね。

【ヤバい例③】さようなら。お元気で。

こんな事が度々あります。
「ITを一任していた者と連絡が取れなくなってしまったので、当社のITがどうなっているのか調べて欲しいです。」
理由は様々ですが、その一任された者と疎遠になってしまって、自社のIT環境を管理できない状態に陥ってしまい、私にシステムやプログラムの解読(仕様や契約状況の分析、リバース・エンジニアリングなど)を依頼するというわけです。

【例①】ITの管理をしていたのがたった一人の社員で、その社員がある日突然失踪した。
【例②】創業時からパートナーに一任していたが、関係が悪化してパートナーが去っていった。
【例③】ITの管理をフリーランスに委託していたが、その人と連絡が取れなくなってしまった。

IT環境について仕様書や資料が存在せず、ある人の頭の中だけにしか情報がない、というのは問題がありますね。

何かあったときに問われる責任

これまでは杜撰な管理体制でいても特別な不利益に繋がることは(事故が起こらない限り)無かったかもしれません。
しかしひとたび事故が発生してしまったら、その事故で直接に生じる損害だけでなく、杜撰な管理に関連して善管注意義務違反や過失責任などを問われ、賠償をしたり、営業停止したりという「泣きっ面に蜂」な状態になりかねません。

もし現状の体制に不安があるようでしたら、個人情報保護に関する専門のコンサルに相談すべきです。
また、もし現状のITでデータフローやデータマッピングに関して不明な箇所がありましたら、当社にご相談下さい。
当社ではサイバー犯罪の調査のための「デジタル・フォレンジック」の技術・設備を用意しておりますので、これを転用し、データの発生から廃棄までを詳細に解析いたします。