【コロナ特集:情報セキュリティ法】新型コロナウイルスの流行下でのテレワークと情報セキュリティ
1.はじめに
新型コロナウイルスによる感染症(COVID-19)の流行が拡大する中、2020年4月7日に7都府県を実施区域として発出された新型インフルエンザ等対策特別措置法に基づく緊急事態宣言は、同月16日には実施区域が全国に拡大されました。これに伴い、各都道府県知事が住民に外出自粛を要請しており、企業においては在宅勤務を含むテレワークの導入が進んでいます。もっとも、テレワークに際しては、企業の情報資産がオフィスの外部に持ち出され、盗聴、不正アクセス等の脅威にさらされやすくなるため、オフィスでの勤務とは異なる視点から、情報の漏えい、改ざん、滅失等の防止等(情報セキュリティ)に向けた対策を講じる必要があります。そこで、以下では、特に経営者の立場から、テレワークの導入に際して情報セキュリティ上留意すべき事項を概説します。
2.情報セキュリティに関する企業経営上のリスクと経営者の責任
⑴ 企業が損失を受けるリスク
いまや、情報セキュリティに関するリスクは、企業経営において無視することができないものとなっています。十分な情報セキュリティ対策を怠った結果、企業が保有する個人情報(特に、データベース化された個人データ)が漏えい等した場合、当該企業は、個人情報の保護に関する法律(以下「個情法」といいます。)20条に定める「個人データの安全管理のために必要かつ適切な措置」(安全管理措置)の実施義務等への違反を問われるおそれがあるほか、漏えい等により損害を被った者(個人情報の主体[1]のほか、クレジットカード情報の漏えいの場合は、クレジットカード決済代行会社を含む[2])から損害賠償を請求される可能性があります。
また、個人情報以外の機密情報、例えば技術情報や経営に関する情報等についても、企業が、元々その情報を保有していた者から、安全に管理することを約して取得することがあります。その場合、後に当該情報が漏えい等すると、元々の保有者から債務不履行責任を追及される可能性がありますし、そうでなくとも、企業が被る競争上、あるいはレピュテーション上の損失は甚大なものとなり得ます。
⑵ 経営者自身が損失を受けるリスク
企業が保有する情報が漏えい等した場合、取締役等の経営者自身も責任を追及される場合があります。
すなわち、取締役は、会社に対する善管注意義務(会社法330条、民法644条)及び忠実義務(会社法355条)の一内容として、会社が営む事業の規模、特性等に応じたリスク管理体制(いわゆる内部統制システム)を構築すべき義務を負うと解される[3]ところ、こうした体制には、情報セキュリティに関するリスクを管理する体制も含まれ得ます。具体的にいかなる体制を構築すべきかについては、取締役に一定の裁量が認められると解されます[4]が、少なくとも、通常想定される内部不正や外部からのサイバー攻撃による情報漏えい等を防止し得る程度の管理体制は整備しておく必要があると考えられます[5]。こうした義務に違反した取締役は、会社に対する任務懈怠責任(会社法423条1項)や第三者に対する損害賠償責任(会社法429条1項)を問われる可能性があります。
また、取締役及び監査役は、善管注意義務の一内容として、構築された内部統制システムを適切に運用する義務も負うと解されます[6]。したがって、たとえ形式的には十分な内部統制システムが構築されていても、例えば内規違反がまかり通るなど、実際にはその内部統制システムが機能していなかったという場合、そのことを知り、又は知り得たにもかかわらず、是正措置をとらなかった取締役又は監査役は、やはり任務懈怠責任や第三者に対する損害賠償責任を負い得ます。
⑶ テレワークの導入にあたって経営者が参照すべき指針
テレワークは、その情報セキュリティ上の特性を十分に理解した上で導入しなければ、以上のような、企業だけでなく経営者自身が損失を受けるリスクを増大させかねません。したがって、テレワークの導入に際しては、経営者が自ら主体的に情報セキュリティ対策に取り組む必要があります。
テレワークの情報セキュリティ上の特性や留意事項については、総務省が一般的な指針として「テレワークセキュリティガイドライン」[7](以下「総務省GL」といいます。)を公表しているほか、内閣サイバーセキュリティセンター(NISC)が、特にCOVID-19対応を目的として、政府機関等、重要インフラ事業者等及び一般国民向けに、「テレワークを実施する際にセキュリティ上留意すべき点について」[8](以下「NISCGL」といいます。)を公表しています。また、テレワークに限らず情報セキュリティ全般に関する指針ですが、個情法上の安全管理措置の具体的内容を示した個人情報保護委員会のガイドライン(例えば、「個人情報の保護に関する法律についてのガイドライン(通則編)」の「8 (別添)講ずべき安全管理措置の内容」[9]等)、国際規格に則った情報セキュリティマネジメント体制の構築等を支援する経済産業省の「情報セキュリティ管理基準」[10]等にも、特にテレワークの導入にあたって考慮すべき項目が含まれます。
これらの指針は、その違反が直接民事法上の責任を生じさせる性質のものではないと考えられますが、裁判所が義務違反の有無を判断する際の考慮要素にはなり得ます。次項では、これらの指針をもとに、今般の状況下でテレワークを導入する経営者が実施すべきと考えられる情報セキュリティ対策について、特に組織面での実施が求められるものを中心に、その一部を紹介します。
なお、NISCGLは、政府機関等及び重要インフラ事業者等に向けて、「テレワーク導入によるベネフィットとリスクのバランスについては、今回は緊急時の措置であることを考慮することも重要」[11]と指摘しています。実際にテレワークに際して情報漏えい等が発生し、紛争化した場合でも、「緊急時の措置であること」が、例えば、不法行為の要件としての過失の有無や、内部統制システムの構築にあたっての取締役の裁量の広狭に影響する可能性はありますが、最低限の情報セキュリティ対策を実施すべき責任も免除されるということにはならないと考えられますので、留意が必要です。
[1] 個人情報の主体からの損害賠償請求が認容された例として、大阪高判平成19年6月21日判例集未登載、東京高判平成19年8月28日判タ1264号299頁、東京高判令和元年6月27日裁判所ウェブサイト。
[2] クレジットカード決済代行会社からの損害賠償請求が認容された例として、東京地判平成25年3月19日判例集未登載。
[3] 大阪地判平成12年9月20日判時1721号3頁。
[4] 子会社の顧客等の個人情報の管理について当該子会社から再委託を受けた先の従業員が、当該個人情報を不正に取得して売却したという事案で、広島高岡山支判令和元年10月18日判例集未登載は、「会社法は内部統制システムの在り方に関して一義的な内容を定めているものではなく、あるべき内部統制の水準は実務慣行により定まると解され、その具体的内容については当該会社ないし企業グループの事業内容や規模、経営状態等を踏まえつつ取締役がその裁量に基づいて判断すべきものと解される」と判示しています。
[5] 最判平成21年7月9日判時2055号147頁参照。
[6] 相澤哲ほか編著『論点解説新・会社法』(商事法務、2006年)335頁。
[7] 総務省「テレワークセキュリティガイドライン(第4版)」(2018年4月)https://www.soumu.go.jp/main_content/000545372.pdf。
[8] NISC「テレワークを実施する際にセキュリティ上留意すべき点について」(2020年4月14日)https://www.nisc.go.jp/active/general/pdf/telework20200414.pdf。
[9] 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(2019年1月一部改正)https://www.ppc.go.jp/files/pdf/190123_guidelines01.pdf 86頁以下。
[10] 経済産業省「情報セキュリティ管理基準(平成28年改正版)」https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf。
[11] NISC・前掲注8・資料1・1頁、資料2・1頁。
3.テレワークの導入に際して経営者が実施すべき情報セキュリティ対策
⑴ 規程類の整備と周知徹底
テレワークを導入するにあたっては、まず、自社の情報セキュリティ・ポリシー(基本方針のほか、情報セキュリティ管理規程等の対策基準や実施手順を含む)を見直し、テレワークの実施と矛盾する項目や追加すべき項目がないか確認し、必要に応じて改訂を行います。特に、テレワークの場合、基本的には情報資産をオフィス外に持ち出すことが当然の前提となります[12]ので、どの範囲の情報資産の持ち出しを認めるのか、情報資産の特定とレベル分けを行い、持ち出す場合の手続(上長の許可等)についても定める必要があります。また、後記⑷「個別の留意事項」に挙げる各論的な事項についても、システム管理者を通じて指示・注意喚起を行うだけでなく、可能な限りルールとして明確化しておくことが重要です。
従前情報セキュリティ・ポリシーを策定していなかった企業は、情報セキュリティ・ポリシーが情報セキュリティに関する内部統制システムの根幹となることに鑑み、この機会に策定を検討します。なお、企業として保護すべき情報資産が個情法上の個人データに限られる場合は、個情法上の安全管理措置として策定・整備が求められる「基本方針」(いわゆるプライバシー・ポリシー)や「個人データの取扱いに係る規律」[13]の中で、こうしたルールを整備することも考えられます。
整備した規程類は、実効性を担保するため、就業規則等と紐づけ、違反した従業員に対する懲戒処分を可能にしておくことも重要です。例えば、就業規則の中で、服務規律として情報セキュリティ・ポリシーの遵守を明文で義務付けておくことが考えられます。
また、従業員の規範意識を醸成するだけでなく、ルール違反に対する処罰に際して紛争化するリスクを軽減するためにも、整備した規程類は、企業内で周知徹底を図ります。
⑵ 連絡体制の整備
情報通信技術(ICT)の活用を不可欠の要素とするテレワークにおいて、情報セキュリティ事故が業務に与える影響は、オフィスでの勤務に比して重大なものとなり得ます。万一の場合でも迅速な対応がとれるよう、緊急時の連絡体制を整えておくことが重要ですが、テレワークの場合、企業内の人員同士が物理的に離れて勤務することになるため、オフィスでの勤務を前提とした体制ではうまく機能しない場合もあります。全社的なシステムダウンが発生した場合、インターネット全体が使用不可となった場合等、最悪の事態も想定して、それでもなお機能する体制となっているか、確認が必要です。
⑶ 情報収集体制の整備
テレワークに限りませんが、情報セキュリティに関する脆弱性や脅威は、日々新たなものが発見され、情報が公開されています。情報漏えい等が発生した場合、その原因となった脆弱性や脅威が既知のものであったか否かは、不法行為の要件としての過失の有無や、内部統制システムが通常想定されるリスクの顕在化を防止し得る程度のものであったか否かの判断に関わりますので、独立行政法人情報処理推進機構(IPA)[14]や一般社団法人JPCERTコーディネーションセンター[15]が公表する注意喚起情報等を確認し、自社内で活用するための体制を整えることが重要です。
⑷ 個別の留意事項
総務省GLは、システム管理者及びテレワーク勤務者が対策を施すべき情報セキュリティに関する脅威として、コンピュータウイルスやスパイウェア等の悪意のソフトウェア(マルウェア)、端末の紛失・盗難、重要情報の盗聴、不正アクセス及び外部サービスの利用を挙げています[16]。経営者としては、これらの脅威への対処の必要性を理解し、システム管理者を通じて全社的な指示・注意喚起を行う必要があります。
ア マルウェア対策
コンピュータのオペレーティング・システム(OS)やソフトウェアは、メーカー等において、脆弱性の発見とその対策を施した最新版のリリースを日々繰り返しているのが一般的です。テレワーク端末においても、こうした脆弱性を除去し、マルウェアによる攻撃を防ぐため、アップデートを行って常に最新の状態に保つ必要があります。特に、従業員の私用端末の利用(Bring Your Own Device:BYOD)を認める場合、OS・ソフトウェアのアップデート以外にも、業務用端末と同程度かそれに準ずる程度のマルウェア対策(ウイルス対策ソフトのインストール、パターンファイルの更新等)が施されていることをルールで要求することも検討すべきです。
また、特定の企業等を標的として組織内部のコンピュータをマルウェアに感染させる等し、内部情報の窃取等を狙う標的型攻撃は、業務に関連した連絡等を装ったメールやテキストメッセージを足掛かりに実行されることが多いといわれています(マルウェアが利用されるとは限りませんが、偽のウェブサイトに誘導して有用な情報を詐取するフィッシングでも、同様の手口が確認されています。)。特に今般、新型コロナウイルスに関連した情報を提供する等うたうメール等を利用したフィッシングや標的型攻撃も横行しています。テレワークの場合、オフィスでの勤務のように、すぐ近くで働く同僚や上司に気軽に相談するということができませんので、不審なメールに記載されているURLをクリックしたり、添付ファイルを開いたりしないよう、従業員に対し、平時以上に十分な注意喚起を行う必要があります。
イ 端末の紛失・盗難対策
テレワーク端末や記録媒体(USBメモリ等の電子媒体のほか、紙の書類も含む)の盗難・紛失リスクは、管理簿や台帳等の整備、従業員への教育・注意喚起等によりある程度軽減させることが可能とはいえ、完全にゼロにすることは不可能です。したがって、上記⑴で触れた情報資産の特定とレベル分けを前提に、そもそもテレワークで機密性の高い情報を取り扱わないルールにする、どうしても取り扱わなければならない場合は電子データのみの取扱いとし、必ず暗号化して保存する、といった対策も検討すべきです。万一盗難・紛失が発生した場合に備え、遠隔で端末内のデータを削除すること(いわゆるリモートワイプ)を可能とするソフトウェアの導入も検討に値します。
なお、BYODを認める場合も、盗難・紛失リスクに対処するため、端末に堅牢なパスワードを設定させること、リモートワイプ用ソフトウェアをインストールさせることを含め、企業が従業員の私用端末に一定程度の管理・モニタリングを施すことを検討すべきですが、その場合は従業員のプライバシー等の権利を侵害しないよう注意します。後の紛争化を防ぐ観点からは、ルールの明確化と周知徹底のみならず、ルールへの明確な同意を取得しておく(同意が得られない場合はBYODを認めない)ことも検討に値します。
ウ 盗聴対策
インターネット経由での情報のやり取りが増えるテレワークにおける脅威の一つが、通信経路での盗聴です。テレワーク端末と社内システムとの間のやり取りは、原則としてVPN[17]等を用いて通信経路を暗号化し、時間的・費用的な制約からそれが困難な場合は、上記⑴で触れた情報資産の特定とレベル分けを前提に、そもそもテレワークで機密性の高い情報を取り扱わないルールにすることも検討すべきです。
これと関連して、無線LAN(Wi-Fi)の利用に伴う盗聴リスクについても理解しておく必要があります。公衆無線LANの中には端末とアクセスポイントとの間の通信が暗号化されていないものも多く、暗号化されていても、アクセスポイント自体が攻撃者によって設置された情報窃取用のものだったという場合もあります。したがって、テレワークにあたっては、原則として公衆無線LANの利用を禁止することも検討すべきであり、どうしても利用しなければならない場合は、VPNを経由する、SSL/TLS[18]で保護されたウェブサイトのみ閲覧する等の対策により、盗聴リスクを軽減することが重要です。
従業員が自宅に設置した無線LANを利用する場合でも、無線LANルータにおいて暗号化の方法が脆弱性のあるWEP(Wired Equivalent Privacy)に設定されている場合は、盗聴リスクが高まりますので、より安全性の高いWPA2(Wi-FI Protected Access 2)に設定することをルールとすべきです。また、無線LANルータのパスワードは、後記エの社内システムにアクセスするためのパスワードと同様、堅牢なものを利用します。
さらに、通信経路での盗聴だけでなく、気分転換に屋外で作業をしたような場合に、第三者が端末の画面を覗き見るような事態も防ぐ必要があります(特に機密性が高い情報は、自宅での作業において家族の目に触れさせることも極力避けるべきでしょう)。従業員への教育や注意喚起を徹底するほか、プライバシーフィルターの配布も有効な対策です。
エ 不正アクセス対策
適切な利用者認証とアクセス制御は不正アクセス対策の基本であり、これを怠った結果として情報漏えい等が生じた場合、企業や経営者が責任を問われる可能性は高いといえます[19]。テレワークの場合、社外の端末から社内システムにアクセスする必要がありますが、その際利用するパスワードについても、他のシステムやプライベートで利用しているパスワードとの使い回しを避ける、一定の長さ(一般に8文字以上)を持つものとする、ユーザIDや辞書に載っている単語等の推測されやすい文字列を使用しない、等のルールを設けることが重要です。また、可能な限り多要素認証[20]を利用すべきです。
オ 外部サービスの利用対策
テレワークに際しては、社内システムを利用するよりも手軽である等の理由で、従業員が自らの判断でウェブメールサービスやクラウドサービス等の外部サービスを利用することも想定されます。こうした外部サービスの中には、情報セキュリティ上の脆弱性が存在するものもありますので、利用を認めるのか禁止するのか、認めるとしてどの範囲で認めるのかについて、予めルールとして明確化しておく必要があります。テレワークにおいて機密性の高い情報を取り扱う必要がある場合は、基本的に外部サービスの利用は禁止すべきですが、どうしても利用しなければならない場合も、予め利用できるサービスを指定しておく、データを送信・アップロードする際は予め暗号化する、外部サービス上にデータを残しておく必要がなくなった時点で速やかに削除する、等の対策をとることが重要です。
また、業務に必要又は有用な外部サービスに限らず、ソーシャル・ネットワーキング・サービス(SNS)等の外部サービスの利用に関しても注意が必要です。従業員がSNSを通じて業務上の情報を漏えいしてしまう事故も発生していることに鑑み、SNSの利用ルール(業務に関連する文章や、業務用の端末・資料が写り込んだ写真を投稿しない等)を整備し、周知徹底を図ります。
関連して、BYODを認める場合に、従業員が私用端末にインストールできるアプリケーションについても、それが原因で情報漏えい等が発生した事例[21]も存在することから、従業員の権利を侵害しない限度で、一定のルール化を検討すべきです。
[12] リモートデスクトップの利用等により、電子データをテレワーク端末に保存しない方法でテレワークを実現することも考えられますが、今般の状況下でそのような実施体制を整えることは時間的・費用的に困難な場合もありますし、オフィス外で社内システム上の情報の閲覧が可能になるという意味では、情報資産の持ち出しがあると考えることができます。
[13] 個人情報保護委員会・前掲注9・87頁。
[16] 総務省・前掲注7・31頁以下。
[17] 「Virtual Private Network」の略で、暗号技術等を用いて、インターネット等の公衆回線上に仮想的な専用回線を構築する技術。
[18] 「Secure Socket Layer」及び「Transport Layer Security」の略で、いずれもインターネット上でデータを暗号化して送受信する技術。SSL/TSLで保護されたウェブサイトは、URLが「https:」で始まります。
[19] 不正アクセス対策を怠った企業の損害賠償責任を認めた例として、大阪高判平成19年6月12日・前掲注1。
[20] 知識(パスワード等)、所持(ICカード等)及び身体的特性(指紋等)という3つの要素のうち2つ以上を組み合わせた利用者認証の方式。
[21] 例えば、山口地判平成21年6月4日裁判所ウェブサイト。
4.おわりに
以上では、新型コロナウイルスの流行という緊急事態の下でテレワークの導入を急ぐ経営者が最低限実施すべきと考えられる情報セキュリティ対策の一部を紹介しましたが、本来、テレワークによる時間や場所の有効活用は、企業の競争力強化、イノベーションの推進、働きやすい職場環境の実現等、様々なメリットにつながる前向きな経営戦術です。したがって、経営者としては、これを機に中長期的な視点に立ち、情報セキュリティに関するより慎重な検討を経て、テレワークの本格的な導入の準備を開始することも選択肢として考慮するに値します。
(作成日:2020年5月1日)
文責:弁護士法人大江橋法律事務所 弁護士 上原 拓也