見出し画像

連載 プライバシー・サイバーセキュリティと企業法務[第1回]②

ぎょうせい『法律のひろば』編集部

本記事は「法律のひろば2023年4月号」に掲載済の「連載 プライバシー・サイバーセキュリティと企業法務」の記事をnoteに限定して公開しているものです。

プライバシーとサイバーセキュリティの関係


Ⅲ 企業法務とサイバーセキュリティの関係

 企業におけるサイバーセキュリティの重要性が急速に高まっている。

 従来のサイバーリスクといえば、2014年に発覚した大手通信教育事業者からの個人データの漏えい事件*に代表されるような個人情報の漏えい事案であった。

*同事案は内部者によるデータの持ち出し事案であるため、厳密にはサイバーリスクの事案といえるか議論があるところではあるが、悪意ある者による電子データへの侵害事案という意味で本稿ではサイバーリスクの事案として便宜上整理した。

 個人情報の漏えい事案は、プライバシーの侵害を伴うため、漏えいした個人情報の主体から精神的苦痛に係る慰謝料請求がなされたり、個人情報の管理体制についてレピュテーション(評判)が下がったりといったリスクはあった。

 そうすると、サイバー攻撃による個人情報の漏えい事案はプライバシーの侵害を伴うという点で、まさにプライバシーとサイバーセキュリティが深く関わる分野といえる。

 もっとも、昨今のサイバー攻撃によるリスクはプライバシー侵害にとどまらなくなり、企業の事業継続の中断を引き起こすほどのリスクにその深刻度が変容している。

 すなわち、サイバー攻撃の中でも例えばランサムウェア攻撃においては、電子ファイルの暗号化を引き起こし、当該電子ファイルを利用できなくさせる。

 その結果、電子ファイルに依拠する事業は中断に追い込まれることとなる。実際に、2021年10月に徳島県つるぎ町の町立半田病院で起きたランサムウェア攻撃事案の報告書*において、「サイバー攻撃を受け、具体的にはランサムウェアに感染し、電子カルテ等、病院内のデータが暗号化され、利用不能になり、その後2か月間に及んで、治療行為を含む正常な病院業務が滞った」と記載されている。まさにサイバーリスクにより、医療サービスという事業の継続が中断に追い込まれた例といえよう。

*2022年6月7日付「徳島県つるぎ町立半田病院 コンピュータウイルス感染事案 有識者会議調査報告書」(https://www.handahospital.jp/topics/2022/0616/report_01.pdf)

 また、トヨタ自動車株式会社においては、2022年2月28日、部品仕入取引先の小島プレス工業株式会社のシステム障害を受けて国内全工場の稼働を停止することとなったことは記憶に新しい*。こうしたサイバーリスクの高まりを受け、世界の金融機関のChief Risk Officerを対象とした近時の調査によると、信用リスクや地政学リスクを押さえてサイバーセキュリティに関するリスクが2023年の最大のリスクとなっている**。

*トヨタ社プレスリリース(https://global.toyota/jp/newsroom/corporate/36960974.html)
**2023年1月11日付「How bank CROs are responding to volatility and shifting risk profiles」(https://www.ey.com/en_gl/banking―capital―markets/how―bank―cros―are―responding―to―volatility―and―shifting―risk―profiles)

 東証プライム上場企業のうち、93%の企業が有価証券報告書においてサイバーリスクを記載するようになったというデータ*も、企業においてサイバーセキュリティの重要性が高まっていることの証左といえる。

*2022年12月8日付日本経済新聞「サイバーリスク開示、東証プライム上場企業の93%に」(https://www.nikkei.com/article/DGXZQOUC02ANM0S2A201C2000000/)

 企業におけるサイバーセキュリティとなると、従来は情報セキュリティ部門やCERT*などの技術部門が中心だと思われがちであったが、昨今は実務上法務が関わる場面は増えている。

*Computer Emergency Response Teamの略称。企業において、情報システム等にセキュリティ上の問題がないかを監視するとともに、万が一問題が発生した場合にその原因解析や影響範囲の調査等を行う体制を指す。

 第3回以降で詳しく紹介するが、例えば、自社の工場がサイバー攻撃を受けて製造が一時的に停止に追い込まれた場合、取引先から履行遅滞に基づく損害賠償請求を受け得る。こうしたサイバーリスクが顕在化する場合に備えて、契約書中の不可抗力条項にサイバー攻撃を加えたり、賠償額に関する条項に賠償額の上限を加えたりするのは法務の役割である。また、上述(〓3)のとおり個人データの漏えい時には個人情報保護委員会への報告及び本人通知が義務付けられているが、どのような場合に、どのタイミングで、どういった事項を報告・通知すべきかは個人情報保護法に基づいて判断することになるので、法務が中心となって検討することになる。

 ところが、サイバーリスクと法務との関連性があまり認識されていないためか、当該リスクへの法務の関わりが現状では十分ではない状況が見受けられる。その結果、本来回避できたかもしれないサイバーリスクに起因する紛争を回避できなかったり、サイバーリスクが顕在化した際の被害を最小化できず損害額が拡大する、ということも実務上散見されている。

 そこで、本連載においては、プライバシー侵害を引き起こすサイバーリスクを中心としつつ、企業経営上の新たなリスクとしてのサイバーリスクと企業法務との関わりを紹介する次第である。

Ⅳ プライバシーとサイバーセキュリティの関係

1 プライバシーとサイバーセキュリティの関係の基本

 サイバーセキュリティは、パーソナルデータを含む電子データを守る技術的手段としての機能を果たし、サイバーセキュリティ自体が保護対象となることは想定されない。プライバシーの観点からは、サイバーセキュリティは保護手段の1つといえる。

 近年における企業の業務においては、電子データを用いての情報処理と、インターネットの利用が前提になっており、企業の業務では、プライバシーとサイバーセキュリティが、データを取り扱う際における両輪であるため、いずれが欠けたとしても適正なデータの取扱いを期待することはできない。なぜなら、プライバシーは自己の情報をコントロールする権利であるところ、サイバーインシデントが発生して、自己又は第三者の保管する本人の情報が漏えい等した場合、当該情報をコントロールすることができなくなる。すなわち、サイバーセキュリティ以外のプライバシー保護のための制度設計をどんなに手厚くしていても、サイバーセキュリティ上の脆弱性を突かれて漏えいしてしまうと、プライバシーが侵害されてしまう。

 また、企業における情報の多くは個人と結びついているため、サイバーセキュリティが保護対象とする電子データでは、パーソナルデータの占める割合が多くなる。

 もっとも、当然ながらプライバシーとサイバーセキュリティは概念を異にするため、共通する点もあれば、対立する点もある。以下では、共通点・相違点、対立する場面について、説明していく。なお、連載の最終回で再度検討する予定である。

2 プライバシーとサイバーセキュリティの主な共通点・相違点

(1) 主な共通点
 サイバーセキュリティは、企業が保有する電子データのすべてを対象とし、プライバシーは保護対象の1つとなる。サイバーセキュリティが破られ、プライバシー情報に関する電子データが漏えい等すると、プライバシーが侵害されることとなるため、プライバシーを保護するためには、サイバーセキュリティ対策を十分に行う必要がある。適切なサイバーセキュリティが実施されていない状態となっていることをプライバシー侵害の事例とする見解もある。
 したがって、サイバーセキュリティを強化することにより、プライバシー保護も強化することが基本的な考え方となる。わかりやすい例として、個人情報保護法における安全管理措置に、技術的安全管理措置として、①アクセス制御、②アクセス者の識別と認証、➂外部からの不正アクセス等の防止、④情報システムの使用に伴う漏えい等の防止など、サイバーセキュリティ対策が含まれていることがあげられる。

 また、企業内向けの社内規程でも、個人情報保護規程とサイバーセキュリティに関する規程が双方置かれることが通常であるが、上記の技術的安全管理措置を中心に、内容が密接に関連する。

 プライバシー保護も、サイバーセキュリティ保護も、利用者の観点から透明性を高める必要があり、企業のホームページ上でも、プライバシーポリシーとセキュリティポリシーが並べて掲載されていることも多い。
(2) 主な相違点
 これまで述べてきたように、プライバシーは、自己に関する情報のコントロール権であるのに対し、サイバーセキュリティは、パーソナルデータを含む電子データを守る技術的手段としての機能を果たす。このため、それぞれの概念から、主に次の違いが生じる。
① 保護対象の法的性質
 サイバーセキュリティの保護対象は、電磁的方式により記録され、又は発信され、伝送され、若しくは受信される情報全般(個人情報を含むパーソナルデータ、知的財産情報、機密情報など)に加え、広くは社会インフラの維持や安全保障にまで及ぶ。
 これに対し、プライバシーの保護対象はプライバシー情報に限られる。
② 保護対象の物理的性質
 サイバーセキュリティの保護対象となる客体は電磁的記録、システム・情報通信ネットワークの安全性及び信頼性である。
 これに対し、プライバシーの場合、媒体による制約はない。なお、システム・情報通信ネットワークの安全性及び信頼性は直接の保護対象には含まれない。
➂ 取扱場面
 プライバシー保護は、情報の取扱い全般(取得、利用、管理、提供、本人対応)において問題となる*。

*プライバシーに関する取扱場面の分類は、本連載第2回で説明する予定である。

 これに対し、サイバーセキュリティは、情報等の安全管理のために必要な措置であり、主に管理の場面で問題となる。

プライバシーとサイバーセキュリティの保護対象(イメージ)

3 プライバシーとサイバーセキュリティの対立する場面

 プライバシーとサイバーセキュリティが対立する場面がある。

 例えば、オンライン上のサービスにおいて、本人認証を強化する目的で、サービス利用の際に、利用者の顔画像を登録して認証に利用することは、第三者によるなりすまし利用のリスクを下げることとなり、サイバーセキュリティの向上のために有益である。しかし、利用者にとっては、自己のパーソナルデータが取得されることで、プライバシーが侵害され、さらには漏えい等により侵害されるリスクが高まることになる。

 また、パーソナルデータの取扱いに関する透明性を高めるために、サイバーセキュリティに関する対応について詳しく説明すると、かえって、当該情報をサイバー攻撃の際に利用されてしまうリスクもある。

 このようなプライバシーとサイバーセキュリティの対立は、例えば、最近広く導入されている、セキュリティ確保を目的として従業員のパソコン等の情報端末の使用に関するログを大量に集めて分析して不正利用の疑いを検知するシステムの利用や、業務上利用している情報端末の通信内容を収集・分析して不正がないかを確認するといった場合にも生じることとなる。

 プライバシーとサイバーセキュリティが別概念であることからすると、両者に対立が生じることは当然であり、そのことを前提とした上でいかに両者を調和させていくかという観点が重要となる。調和をさせるために必要となる対応について一般的な正解はなく、個別の事案に応じて、プライバシー保護とセキュリティ確保の必要性等を検討して、対応を決定していく必要がある。

 本連載では、プライバシーとサイバーセキュリティ双方の視点が問題となる個別の事案も紹介しながら、両者のバランスを検討していく。

本記事掲載の法律のひろばのご購入はこちらから。

この記事が気に入ったらサポートをしてみませんか?