...

2006年情報セキュリティ と法的問題の概観

by user

on
Category: Documents
13

views

Report

Comments

Transcript

2006年情報セキュリティ と法的問題の概観
2006年情報セキュリティ
と法的問題の概観
弁護士/宇都宮大学講師
高橋郁夫
2006年の情報セキュリティ
の議論
• 2つのキーワード
• 3大テーマ
– Winnyによる一連の情報漏洩事件
– 電気通信業者における大規模情報漏えい事件につい
ての判決
– 内部統制をめぐる法制度化への注目の高まり
• その他
– (ライブドア事件、偽メール問題、従来からの問題)
2
2つのキーワード
利害関係者
(ステークホルダー)
責任
Responsibility
過去の行為に対して
対応を問う
Accountability
説明責任
自己の行動について情報提供
3
Responsibility
• 「自由な行為・選択に伴い、結果に応じた
責任が発生する。」(Wikipediaより)
– 自己責任
– 結果に対する責任
4
Accountabilityへの注目の必要
• 米国SOX法において、Responsibilityと
Accountabilityが中心概念に
• CSRの論点は、むしろ、Accountabilityに。
• 日本におけるAccountability的な判断が司
法問題になっている
• HEALTH INSURANCE PORTABILITY
AND ACCOUNTABILITY ACT
5
第2 P2Pソフトウエアの利用
と情報漏えい
いわゆるWinny問題について
「Winny情報漏えい」(2006年)
• 「Winny情報漏えい」-Antinny
• 平成18年3月15日 安倍晋三官房長官(当
時)は記者会見で「Winnyを使わないで」と
国民に呼びかけ
• 漏えい事件の続発
– (NTT東日本の顧客情報、NECグループ、富
士宮信金から1万3600人分の個人情報など、
海上自衛隊の情報NTT西の顧客・社員情報
….)
7
Winny情報漏えいの仕組み
IPAホームページより
8
北海道警での情報漏洩
• 平成16年3月30日
– 北海道警察−個人情報8人分を含む捜査関係書類5
種類6件−ノートPC(江別署交番勤務の巡査が所有)
から流出、ネット上で閲覧できる状態
– 道警によると、流出した捜査関連書類は、巡査の作成
した現行犯人逮捕手続書、捜査報告書、参考報告書、
交通事故発生報告書、実況見分調書の5種類6件。
– この原因については、巡査宅のインターネット回線か
らP2Pソフトを経由して流出したものとみられている。
9
内規との関係
• 北海道警
– 北海道警察では、個人情報を含むデータに関して署
外への持ち出しを禁止しており、ハードディスクへの
記録も禁じていた。
– 「巡査は業務時間中にできなかった仕事を、自宅に持
ち帰っていたようだ。また、効率を上げるためハード
ディスクへも保存していた」(道警広報課)。
10
北海道警察情報漏洩事件判決
• 札幌地裁の判決(平成17年4月28日)
– 「公務に使用する私有パソコンは私的にも使用される
ことが通常であり,私有パソコン内に残存する公務に
関する情報が私的な使用の際に外部に流出する危険
は十分に予想される」
– 「規制に反して本件パソコンを使用したA巡査におい
て本件情報流出を予見できなかったということは不合
理かつ不相当であって,被告の主張は採用できな
い。」として、道に40万円の賠償を命じた。
11
北海道警察情報漏洩事件
控訴審判決(1)
• 札幌高等裁判所・平成17年11月11日判決
• 損害賠償を認めず
• 巡査の行為が、国賠法1条1項の対象とな
るかどうか。
– 「職務を行う」(国賠法1条)
• 職務の内容と密接に関連し、職務行為に付随して
なされる行為をいう。
• 自宅においてなされる行為は、職務行為と無関係
な行為
12
北海道警察情報漏洩事件
控訴審判決(2)
• 管理担当者等において過失があるか
– 過失の予見可能性は、具体的なものでなけれ
ばならない
• 5日程度しかたっていない
• 外部流出という新たな特徴を有している
• 京都府警の流出の記事がでるまでは、一般には広
まっていなかった
– 捜査情報が流出するとは予見できなかった
13
北海道警察漏えい事件について
• 高等裁判所の判断については、微妙なも
のといえるであろう
• なお、最高裁判所は、平成18年10月19日
控訴棄却(追加)
• ただし、現時点においては、P2Pの仕組み
を悪用した情報流出型とでもいうべきウイ
ルスの作用は、一般的なものであろう
• 管理者において相当な注意義務があろう
14
Winny作者の刑事裁判について
• 公訴事実
– Winnyユーザーである群馬県高崎市の自営業男性と
愛媛県松山市の無職男性が平成15年9月、著作権者
に無断でゲームソフトや映画を不特定のインターネッ
トユーザーに送信できる状態にしていたのを幇助した
– 事件の特徴
• 誰が正犯か、いつ実行がなされるかというのを作者は知らな
い
• 主として犯罪がおこなわれるように調製されていたのではな
いか
15
刑事裁判の進行
• 47氏なるものと被告人との同一性を争って
いる
• 技術的な洗練性などについての報道
• 求刑 (懲役1年、平成18年7月3日)
• 意見陳述(無罪 意見陳述、同9月4日)
• 判決予定(同12月13日)
16
特徴的な動き(1)-対応について
• 私物パソコンの利用などについての抜本的な見直し-所
属機関の責任
• 自衛隊での対応(例)
– 緊急対応
• (あ)職務上使用する私用PCについてファイル交換ソフトの削除を
確認(い)私有PCに保存されている業務用データについて秘密の情
報および必要のないデータの削除
– 根本的な対応
•
•
•
•
•
•
1)私有PCの一掃
2)可搬記憶媒体のデータの暗号化等
3)ネットワークを通じた情報流出防止
4)シンクライアントシステム等の導入
5)新たなOSの検討
6)サイバー攻撃を含む各種情報流出要因等への対策
17
対応について考えるべきこと
• 情報セキュリティが個人情報保護法対応のもと
で議論されていたとしても、「私物パソコンの接
続」という根本が見逃されていた?
• 自宅で仕事をすることがいいことなのか?
• 「文化」(何がよくて、何が悪いの)-という問題を意
識させる
– これを考えないと抜本的な対応といえないのではない
か
18
特徴的な動き(2)プロバイダによる遮断
• P2Pトラフィックによる一般のトラフィックの
圧迫
• 他の広帯域通信とあいまって設備負担に
• 大手ISP業者が通信の外形から判断して
Winny通信の遮断するとの発表
– 外形のみから判断できるのか
– 通信の秘密との関係は?
19
プロバイダによる遮断(続)
• 総合通信基盤局消費者行政課
– 通信の秘密(電気通信事業法)侵害
– 同法4条1項「電気通信事業者の取扱中に係る通信の秘密は、
侵してはならない。」
• 通信の内容に限らず、通信の発信人、受信人、通信時間、通信の
方式などについても保護が及び、電気通信事業者は、通信の伝達
に必要な範囲を越えて利用すること、もしくは、第三者に漏えいする
ことが禁止されている
• 顧客の同意をもとに制限
• ネットワーク管理と「通信の秘密」とのせめぎ合い
– 「通信の伝達に必要な範囲を越えて利用すること」って何?
– 管理行為のガイドライン的なものはないであろう。その正当性を
検証できないのか。「管理行為の闇」
20
特徴的な動き(3)Winny自体への認識
• Winny自体をどのようなものとして認識するのか
– 両用(デュアルユース)であっても、違法なものは、存
在しうるであろう
– 著作権侵害・わいせつ図画の頒布の容易化?
– あたかも利用を奨励するようなムックの大量販売
• (ソフトウエアは、違法でないとしても)その利用は、
違法ではないのか
– 受信のみでも、(現実の動作を前提とする限り)著作権
侵害ではないのか
– なお、受信のみは私的利用という説も強い-ただし、現
実には、受信と同時にキャッシュしている
21
特徴的な動き(4)Winny匿名性と特殊性
• Winnyでの匿名性というのが、神話である
ことが明らかになってきている
– 利用者の特定と消去依頼・ISP契約解除
• 情報漏えいの場合の情報の開示(監督官
庁への報告、情報主体への通知、プレスリ
リース)というのにも限界がある
– 報道によって消去されつつある情報がさらに
強化されてしまう
22
大手ISP情報漏えい
損害賠償事件判決
平成16年1月・2月の事件について
大手ISP情報漏洩事件損害賠償
事件判決
•
•
•
•
•
事件の概要
漏洩の原因
上記についての会社側の対応の是非
法的な問題いろいろ
500円の商品券の位置づけ
24
情報漏洩事件の概要
– 第1ルート事件
• 湯浅被告、森被告、会社社長(処分保留)が恐喝容
疑で逮捕
• 富安被告(PC JAPANのライター) 、森琢哉被告、
元契約社員(書類送検)
– 第2ルート事件
• 木全(きまた)被告-恐喝未遂の罪で起訴
• 懲役3年、執行猶予5年(7月9日判決)
25
第2事件(1)
• 元派遣社員の男、恐喝未遂で有罪−東京地裁(平成16年7
月9日)懲役3年、執行猶予5年(求刑・懲役4年)
•
木全(きまた)泰之被告(32)
–
Yahoo! BBサポートセンター勤務。データベースから顧客情報を引き出した
うえで、サポートセンターのPCに外付フロッピーディスクドライブを接続し、フ
ロッピー十数枚に数十万人分の顧客情報を保存
– 1月中旬、104人分の顧客名簿を元の職場にメールで送り、「100万人分の情
報を持っている」と約1,000万円での買い取りを要求した。
– 判決によると、木全被告は子会社に派遣されていた1∼2月、90万
件以上の顧客情報を不正入手し、ソフトバンクに「1000万円以上で
お渡しする」とのメールを5通送りつけた。
– 木口信之裁判長「身元が分からないようなアドレスを取得して、会社
に金を要求するメールを送信するなど悪質。顧客や事業者に与えた
不安感は軽視できない」と指摘した。
26
第2事件(2)
• 元派遣社員についてのポリシの適用
•
•
データベースから顧客情報を引き出した
– 「顧客データベースにアクセスできるのは135人だけ」と最初は説明し
ていた。だが内部調査が進むうち、サポートセンターの要員数千人
が顧客データを引き出せる仕様になっていたことが判明し、最初の
説明を撤回せざるを得なくなった。」
– 派遣社員の閲覧権限は?
サポートセンターのPCに外付フロッピーディスクドライブを接続した。
– フロッピーなどの接続の位置づけ
– 「誰も回りのことを気にしていなかったし、不審がられる心配はたぶ
んなかったと思う」
27
第1事件の漏洩のきっかけ
•
元契約社員-退職後もリモートアクセスサーバー、顧客データベース
ともに複数で利用できるグループアカウントの保有者であり、協力者
が退職後も外部からアクセスが可能な状態
•
富安被告は今年1月、東京都新宿区のインターネットカフェからヤ
フーBBの顧客情報を保存したデータベースにアクセスして引き出し
た顧客情報のうち約460万人分について、森琢哉被告を通じて政治
団体幹部の森洋被告(67)に渡した。
冨安被告と元契約者とは、悪意ある攻撃者仲間で、
元契約社員は、(退職後も)データベースへアクセス
できることを悪意ある攻撃者仲間に自慢していた模様
28
各被告に対する司法の判断
(刑事事件)
• 湯浅輝昭被告(62)
– 東京地裁は平成16年7月11日、懲役3年、執行猶予5年(求刑・
懲役5年)
– 「個人情報の管理に対する社会的不安を引き起こし、刑事責任
は軽視できない」・「計画の全容は知らされておらず、関与は従
属的。(親会社の)ソフトバンクの管理の甘さも否定できない」
• 森洋被告(67)
– 平成16年10月5日、懲役4年の判決
– 論告で検察側は「被告は、犯行の発案、計画、首謀者であり、被
告なしに事件は起こらなかった」と指摘。「自らは陰に隠れて、実
行犯を背後から操るなど狡猾(こうかつ)に立ち回っており、刑事
責任は共犯者の中で最も重い」と述べた。
29
ヤフーBB情報漏えい
損害賠償判決
大阪地判(平成18年5月19日)
• プロバイダ
– 個人情報の管理に関する一般的な注意義務
– 遠隔地から顧客データベースにアクセスする
注意義務
• 特に「肝心のユーザー名およびパスワードの管理
がきわめて不十分であったといわざるを得ず、」-注
意義務に違反
• 「外部からの不正アクセスを防止するための相当
な措置を講ずべき注意義務を怠った」過失がある
としている。
30
大阪地判(平成18年5月19日)-損害認定部分
•
•
•
本件DVD及び本件CDがD及びCに渡っているのであって,二次流
出が認められなくても,これらのこと自体によって原告らのプライバ
シーの権利は侵害されたものといえる
「二次流出があったとは認められない状況であり,その意味で,1月
のデータの流出についての原告らの不安感は,さほど大きいものと
は認められない。」
秘匿されるべき必要性が必ずしも高いものではない,本件恐喝未遂
事件後,顧客情報の社外流出について発表を行い,不正取得され
たことが確認できた顧客に対してその旨連絡した,本件サービスの
全会員に500円の金券を交付するなどして謝罪,顧客情報について
のセキュリティ強化等の対策をとっていること、一切の事情
– 個人の損害 5000円
– 弁護士費用 1000円
31
この判決から考えるべきこと
• むしろ、この事件がきっかけとなって、個人情報
保護法の完全施行とともに情報セキュリティへの
一般的な関心が惹起された
• 「個人情報の管理に関する一般的な注意義務」
が認定されている
• 事案として、「セキュリティ管理について、ISPとし
ては、?(刑事事件の認定参照)」という事実関係
をもとにしての判断ではないのかと思われる。
• 損害額の絶対的な額は、高額ではない-事後の
対応等によってその評価は変わる可能性が示唆
されている
32
第4 「日本版SOX法」ブーム
の示唆するもの
(俗称)日本版SOX法
• 金融商品取引法(証券取引法の一部改
正)
• 3つの報告書
– 経営者確認書
– 内部統制報告書
– 監査報告書
34
経営者確認書
• 金融商品取引法 第24条の4の2
– 「当該有価証券報告書の記載内容が金融商
品取引法令に基づき適正であることを確認し
た旨を記載した確認書(以下この条及び次条
において「確認書」という。)を当該有価証券報
告書(略)と併せて内閣総理大臣に提出しなけ
ればならない。」
35
内部統制報告書
• 同法24条の4の4
– 「事業年度ごとに、当該会社の属する企業集
団及び当該会社に係る財務計算に関する書
類その他の情報の適正性を確保するために
必要なものとして内閣府令で定める体制につ
いて、内閣府令で定めるところにより評価した
報告書(以下「内部統制報告書」という。)を有
価証券報告書(略)と併せて内閣総理大臣に
提出しなければならない。」
36
監査報告書
• 同法193条の2
– 「金融商品取引所に上場されている有価証券
の発行会社その他の者で政令で定めるもの
が、第二十四条の四の四の規定に基づき提
出する内部統制報告書には、その者と特別の
利害関係のない公認会計士又は監査法人の
監査証明を受けなければならない。」
37
3つの制度と内部統制
業務の効率性
コンプライアンス
財務報告
・損失の危険
の管理に関す
る規定その他
の体制
情報の保存・管理
38
3つの制度の位置づけ
• 「財務報告に係る内部統制」に関する制度
• 効果
– 不実記載の場合の刑事罰(5年以下の懲役等-同法
197条の2 第2号)
– 不実記載についての損害賠償(同法24条の4)
• 「財務報告に係る内部統制の評価及び監査の基
準」が監査の基準となるのか(?)
– そもそも、現行の監査の手法に新たなものを付け加え
るのか
– 監査法人が監査報告書でどのような判断をするのか
39
米国SOX法と俗称日本版SOX
法対応条文の比較法的検討2
– 説明責任(第8章および第11章)
• 第8章「企業および刑事不不正行為説明責任法
2002」
• 第11章「企業不正説明責任法2002」
40
日本版SOX法の議論の意義
米国の投資家保護の文化
米国SOX法の構造
裁判所の役割
(法執行のための捜査能力・司法取引・リニエンシー制度
厳しい罰則・量刑ガイドライン・クラスアクション)
1 PCAOBの整備
5 アナリストの
利益相反
2 監査人の独立性
8 組織・刑事
不正説明責任
3 企業責任
4 会計開示拡張
その他
SOX法
9 ホワイトカラー犯罪
42
日本の従業員保護の文化
内部コントロール
のための法的しくみ
6
損害賠償に関する動向
1 PCAOBの整備
2 監査人の独立性
5 アナリストの利益相反
金融庁
4
8 組織・刑事
5 不正説明責任
9 ホワイトカラー犯罪
3
商法上の監査
2 その他の開示
他所ルール
証券そ
取の
引
4 会計開示拡張
改正監査の基準
証券取引法の監査
3 企業責任
金融商品取引法の3制度
1 会社法改正
43
米国SOX法と俗称日本版SOX
法対応条文の比較法的検討
• 米国SOX法においては、説明責任と法的
責任の概念が、その基本的な骨格を構成
している
– 法的責任について
• 米国においては、財務開示概念が拡大され(第4
章 財務開示の拡張(Enhanced Financial
Disclosures))て、内部統制についてまで、企業が
責任を負うものと認識される(第3章 企業責任
(Corporate Responsibility))
44
法的責任(Responsibility)1
• 財務開示の拡大
– 404条「経営陣の内部コントロールに対する評
価( Management assessment of internal
controls )」
• (b)発行者のために監査報告を作成または発行する各登録項会計
事務所は、(a)に基づく内部統制の評価に関して、発行者の経営者
による評価を認証し、報告するものとする。(略)
– 409条「発行者による即時開示」
• 「発行者は、発行者の財務状況または営業上の重要な変化に関す
る最新の情報を平易な英語で速やかに公開するものとする。当該
の開示に含まれる情報については、傾向情報、定性的情報、図表
による説明など、公共の利益および投資家を保護する上で必要活
有効であるとの判断に基づきSECが、定める規則に従うものとする」
45
法的責任(Responsibility)2
• 抗弁の禁止と責任の過重
– CEOとCFO-認証する(certify)ことを宣誓する
– ①財務報告を自らレビューしたこと
– ②財務報告書には誤解を招くような重要事実に関する不実記載や脱漏がないこ
と。
– ③財務諸表や財務情報が、企業の財務状態、経営成績のすべての重要な局面
を、正当に表現していること
– ④署名した執行役員は、(あ)内部統制の確立および維持に関する責任を有する
こと(い)会社および連結子会社対して重要な情報がを含めて内部統制の仕組み
を設計していること(う)財務報告書の提出日前90日以内に内部統制の有効性を
評価したこと(え)その評価日の有効性評価の結論を財務報告書に記述したこと
– ⑤内部統制の設計および運用に間する深刻な欠陥をすべて監査人および監査
委員会に開示したこと、内部統制の仕組みにおける重大な弱点を監査人に明ら
かにしたこと
– ⑥経営者が絡んだ不正行為を監査人および監査委員会に開示したこと
46
何が新しいのか
• 視点
– ダイレクトレポーティングとは社内監査で行っ
た内部統制の有効性評価を再度、監査人が
実施することである。
– これを採用しないことを明言
– では、この基準のもとで、どのような監査か
•
•
•
•
何が違い、何が同じなのか、
2つが保証するものの何が違うのか、
監査意見形成過程の何が違うのか、
監査証拠は異なるのか、
?
47
説明責任の規定への注目
• 米国SOX法8章「企業および刑事不正行為
説明責任法2002」
– 書類改竄に対する刑事罰(801条)
– 量刑ガイドラインに対する見直し(805条)
– 内部告発の保護と調査(806条)
• 米国SOX法9章「ホワイトカラー犯罪処罰
強化法2002」
– 財務報告書に対する企業責任(906条)
48
組織の刑事責任について
• 米国においては、連邦・量刑ガイドラインに
ついての見直しもSOX法に含まれている
• 我が国においては、企業犯罪において、
– 企業のコンプライアンス体制の構築度合いを
どう考えるかとか、
– 監査資料を消去してはいけないという制度を
もうけるべきではないか
– 組織的な司法妨害についてどう考えるか
– など課題が多いのではないか
49
損害賠償などによる行動規制
• 米国においては、経営者個人に対する損
害賠償などが重要な行動規制のためのシ
ステムとなっている
– 株主によるクラスアクション制度(主体)
– 請求原因として適時開示違反(原因)
– ディスカバリの存在(手続)
• 我が国における実効性は?
50
説明責任と法的責任
とITのかかわり
2006年の法的責任と説明責任
利害関係者
(ステークホ
ルダー)
過去の行為に対して
対応を問う
責任
Responsibility
・Winny 情報漏えい
・ヤフーBB漏えい
・ライブドア事件
・ダスキン事件
・東証誤入力事件
Accountability
説明責任
自己の行動について情報提供
52
FAQ
どこまでやれば、良いの?
「どこまでやればよいの」
という質問についての考察
• FAQ
– 何のために(責任負担を問われないためという
意味と疑いをもたれないためにという意味)
– まず、Responsibilityは、「自己責任」とも訳さ
れるれることから考えましょう
– 難しい問題であること
54
ダスキン情報隠蔽事件
取締役ら
ダスキン
(1)食品衛生法に違反して
t−ブチルヒドロキノン
(以下「TBHQ」という。)
を含む「大肉まん」を販売
①受入検査の善管注意
義務を果たしたのか
②違反を知りながら販売継続
株主代表訴訟
(2)口止め料として、6300万円を支
払い
(3)事実を公表し、上記「大肉まん」
を回収し、謝罪等をすべき
株主
55
大阪高裁判決
(平成18年6月9日)
• 受入検査の注意義務について
– 義務懈怠なしとの判断
• 事実関係-新規仕入先の選定
– 情報の収集分析(現地調査、信用調査会社の利用、書類審議、
工場調査)など-」新規仕入先選定マニュアル」の整備
– これらを前提に「食品衛生法に関する一定の知識(略)を有するこ
とを前提に一定の品質管理態勢を有していると信頼したとしても
これを非難することはできない」
– 結果として未認可添加物混入が見過ごされことになるが、そのこ
とから直ちに品質管理態勢等が整備されていなかったことになる
ものではない
56
大阪高裁判決.販売についての
善管義務について
•
•
リスク管理について「どのような内容のリスク管理態勢を整備すべき
かは基本的に経営判断の問題であり、会社経営の専門家である取
締役に広い裁量が認められているというべきである」
フードサービス事業部という独立した部門において定められている
指揮命令系統にしたがって事実を報告して指示を仰いだものであっ
て、最高責任者が稟議規定に違反したという事案である。
57
高裁判決(隠蔽についての
評価)について
•
•
•
•
積極的に公表しないということは、消極的な隠蔽と言い換えられる
注意義務違反には当たらないとの主張に対して「それは,本件混入
や本件販売継続等の事実が最後まで社会に知られないで済んだ場
合の話である。いわば知られないで済む可能性に賭けたともいえ
る。」
なお、社外取締役が積極的な開示を主張したにもかかわらず、「み
ずから積極的には公表しない」という判断がとられた
「予想される社会的な非難の大きさにかんがみ,隠せる限りは隠そう
ということにしたもので,現に予想されたマスコミ等への漏洩や,その
場合に受けるであろうより重大で致命的な損害の可能性や,それを
回避し最小限度に止める方策等についてはきちんと検討しないまま
に,事態を成り行きに任せることにしたのである。それは,経営者と
しての自らの責任を回避して問題を先送りしたに過ぎないというしか
ない。」
58
隠蔽への評価2
•
•
•
•
•
現代の風潮として,消費者は食品の安全性については極めて敏感
であり,企業に対して厳しい安全性確保の措置を求めている
違法な食品を,それと知りながら継続して販売したなどということに
なると,(略) 違法性を知りながら販売を継続したという事実だけで,
当該食品販売会社の信頼性は大きく損なわれことになる。
事実を隠ぺいしたなどということになると,その点について更に厳し
い非難を受けることになるのは目に見えている。
現に行われてしまった重大な違法行為によってダスキンが受ける企
業としての信頼喪失の損害を最小限度に止める方策を積極的に検
討することこそが,このとき経営者に求められていたことは明らか
善管注意義務違反,さらには,その後の「自ら積極的には公表しな
い」というあいまいで消極的な方針が,保健所の立ち入り検査後にマ
スコミ各社の取材を受ける形で急速公表を迫られ,それにより上記
のような大々的な疑惑報道がなされるという最悪の事態を招く結果
につながったことは否定できない。
59
大阪高裁判決の内容
• 各被告に、(関与態様による)
– 5億2805万円
– 5億5805万円
– 2億1122万円
• の損害賠償を命じたのである。
60
理解関係者への
情報公開の要請
• 裁判所での判断としては、きわめて厳しい
ものが要請されているといえよう。
• 一般消費者への関わり
• ダスキン事件については現代社会の動向
としてうたわれている
61
情報セキュリティと法的責任
Responsibility
や
Liability
説明責任・法的責任
の対象としてのIT
• 法的責任 対象としてのIT
– 情報漏えいの責任
– セキュリティ侵犯に対する「踏み台」の責任
• 説明責任 の対象としてのIT
– ITへのインシデントに際しての事実究明
– 一般公開サイトにおける被害者対応
63
説明責任と利害関係者
• 利害関係者の種類
–
–
–
–
株式市場と株主
取引先
一般消費者(潜在的被害者)
公的施設と社会
64
説明責任とITの利用
• 内部統制の充実のためのITの利用につい
て
– ERPパッケージとの親和性
• 説明責任の遂行のためのIT
– 監査証拠の保全、書類の保全制度
• 書類マネジメントシステムへの注目
– フォレンジック技術からの真相究明
65
価格比較サイトでの事件の経過
• 2005年5月11日 プログラムの改竄が発覚
– 手作業で、改竄されたプログラムを修正してい
た
• 5月14日 対応不可能と判断-サイトを閉鎖
– この間
• 2万件超のメールアドレスの詐取
• ユーザに対してウイルス感染を巻き起こした可能
性
66
Winnyによる情報漏えいと
情報公開
• Winny の構造
– 情報がキャッシュとして各ノードに保存
– 検索に伴って、表にでてくる
– 漏えい情報公開が、かえって情報流通を促進
することになってしまう
67
セキュリティと一般消費者
• 一般の消費者を相手にする電子商取引等
サイトにおいて、インシデントの際の情報
開示という問題がある
• セキュリティ上の問題における「開示」とい
う問題がある
68
2006年の法的責任と説明責任
利害関係者
(ステークホ
ルダー)
過去の行為に対して
対応を問う
責任
Responsibility
・Winny 情報漏えい
・ヤフーBB漏えい
・ライブドア事件
・ダスキン事件
・東証誤入力事件
Accountability
説明責任
自己の行動について情報提供
69
どこまでやればよいのでしょうか
Back 2 Basic アプローチ
経営活動のアーキテクチュア-基本から考える
企業文化
機会
利益・効率化
リスク
経営活動によって
実現されるべき利益
ミッション
ゴール
原則
プ
ラ
ン
ニ
ン
グ
監査
制御
実装
評価
基礎 (監査)基準
教育
情報伝達
71
最後に
• http://www.comit.jp
72
Fly UP