経営者コミュニティ「経済界倶楽部」

ベネッセ事件に学ぶ情報漏洩のキモと対策

元榮太一郎氏

 世間を騒然とさせたベネッセの顧客情報漏洩事件--この事件で漏洩した個人情報は2260万件に上るとされ、国内史上最悪・最大級の情報漏洩に数えられます。

 本連載の第4回でも個人情報保護について取り上げましたが、その際はITシステム上の施策を中心に解説しました。今回はベネッセ事件を基に「契約関係から見る情報漏洩対策のポイント」について説明します。

ベネッセ情報漏洩事件で企業は対策を再考

 情報漏洩防止策と言うと、すぐに「どういったITシステムを構築すべきか」の話になりがちですが、ベネッセ事件で情報漏洩の原因を作ったのは、ITシステムの不出来ではなく、外注業者管理の不出来です。

 ですから、情報漏洩を防ぐITの仕組みをどう作るかではなく、「社外の組織・人との関係をどう律するか」が重要なテーマとなります。

 また、今回のベネッセ事件は、社外の人間とは言え、本来的には個人情報を守るべきシステムエンジニア(SE)が引き起こした犯罪です。この事件をきっかけに、多くの企業が、情報漏洩防止策の再考を余儀なくされるかもしれません。

情報漏洩対策でSEに義務・責任を課す効力は?

 かねてから、「情報漏洩事件の80%は内部犯行」とされ、人の行動監視・管理は情報漏洩対策の重要課題とされてきました。とりわけ、会社の社員ではない外部の者にすれば、その会社の秘密情報は単に「価値のある情報」でしかありません。

 ですから、仮に外注SEが金銭的に逼迫し、機密情報を盗難・転売する誘惑にかられたとすれば、それに歯止めをかける動機が形成されにくいと言えるでしょう。実際、今回のベネッセ事件でも、情報を不正取得したSEは、グループ会社で働く派遣従業員でした。

 こうしたことから、会社と社外SEとの契約においてはこれまでも、SE個人に守秘義務を負わせたり、高額の違約金を課したりすることで、各自の不正行為を抑止してきました。

 ここで、「なぜ、そうまでして外注業者に仕事を出すのか」と不思議に思われるかもしれません。ですが、IT業務をすべて社員で回せる企業は日本では少数派です。大多数の企業は外部の力を借りてITシステムの開発・保守運用を回さなければならず、先に示したような契約上の縛りによって外部SEによる不正行為を防止してきたわけです。

 もっとも、今回のベネッセ事件に限らず、大小さまざまな規模で起こる情報漏洩事件を見ると、この施策の効力には疑問の余地が大きく残ります。

 確かに、SEに守秘義務を負わせたり、高額の違約金を課したりすることには一定の効果があります。ですが、情報漏洩事件が多発し、かつ今回のような極めて大規模な事件が発生している現状を鑑みると、それだけで万全と考えるのは危険と言わざるを得ないのです。

「契約事項」の再考で情報漏洩を防ぐ

 当然のことながら、社外SEなどの外部業者と契約を交わすこと自体は間違いではありません。重要なのは、情報漏洩の防止に向けて、契約の内容を根本から見直す必要があるということです。

 あらためて言いますが、「契約」とは、「当事者の権利や義務を定める合意」を意味し、契約に定められていない事項については、各者が自由にできることを前提にしています。

 旧来の日本では、いわゆる「あ・うんの呼吸」、あるいは「ツーカーの仲」の以心伝心で当事者同士が互いに空気を読み、相手の立場を尊重しながら成すべきことを成すのが美徳とされてきました。そのため、互いの縛りと自由を明文化する契約は軽視されがちだったのです。

 ところが今日では、これまで付き合いのなかった部外者を契約ベースで使うケースが増えています。ときには海外の事業者や個人と契約を結ぶケースもあります。結果、契約の重要性が高まるとともに、契約で定めるべき事項もより細かく、具体的にという傾向にあります。

 このような契約内容の細分化・具体化の進行は、情報漏洩を防ぎにくくもしています。と言うのも、「情報を漏洩してはならない」といった漠然とした義務を課すだけでは、ルールに関する合意形成が難しくなっているからです。

 言い換えれば、「データベース室内には携帯電話を持ち込んではならない」、「データベース・アクセスに用いるID/パスワードを他人に譲渡したり、提示したりしてはならない」といった具体的な義務を契約で逐一定めなければ、当事者間でのルールの共有が困難になっているということです。

 当然、ルール共有のための契約を作成するには、会社の実態を細かく把握することが何より重要です。その意味では、会社の実態を把握する立場にある役員や従業員の職責は、ますます大きくなっていくことが予想されます。

執筆者プロフィール

元榮太一郎(もとえ・たいちろう)
1998年慶応義塾大学法学部法律学科卒業。01年弁護士登録(第二東京弁護士会)、アンダーソン・毛利法律事務所(現アンダーソン・毛利・友常法律事務所)勤務を経て、05年法律事務所オーセンスを開設。同年、法律相談ポータルサイト弁護士ドットコムを開設。代表取締役社長兼CEOを務める。

筆者の記事一覧はこちら

経済界 電子雑誌版のご購入はこちら!
雑誌の紙面がそのままタブレットやスマートフォンで読める!
電子雑誌版は毎月25日発売です
Amazon Kindleストア
楽天kobo
honto
MAGASTORE
ebookjapan

雑誌「経済界」定期購読のご案内はこちら

経済界ウェブトップへ戻る