情報セキュリティと契約責任
7
0
0
全文
(2) 情報処理学会研究報告 IPSJ SIG Technical Report. Vol.2009-EIP-45 No.6 2009/9/12. 可 用 性( Av ai la b ili ty )を 確 保 す る こ と と. 者 に 売 却 し て い た 事 実 が あ る 2。 そこで本稿では、組織と従業員等との. さ れ て い る 4 。 以 下 、 ISO 2 7 0 0 1 の 定 義 を. 間で締結される誓約、機密保持契約の情. 参考に機密性、完全性、可用性について. 報セキュリティに関する契約とその責任. 各要素がどのような内容であるかを確認. について、検討する。. しておく。. 2 0 05 年 の 個 人 情 報 保 護 法 施 行 に 伴 い 、. ( ア ) 機 密 性 ( Co n f i d e n t i a l i t y). 個人情報をはじめとして情報を適切に取. 機 密 性 と は 、「 認 可 さ れ て い な い 個 人 、. 扱うことが強く求められるようになった。. エンティティ又はプロセスに対して、情. ま た 、 プ ラ イ バ シ ー マ ー ク や ISM S の 普. 報を使用不可又は非公開にする」ことと. 及により、それらの認証取得が多くの企. され、情報資産にアクセスできる人が正. 業で進んだ。. 当に許可された人に限られていることを. 法令や規格には、従業員の監督や委託. いう。. 先の監督の一環として契約の締結をその 要素として求めている。これらに準拠す. ( イ ) 完 全 性 ( I n t e g r i t y). る形で、多くの組織では従業員等や委託. 完全性とは、 「資産の正確さ及び完全さ. 先との間で情報セキュリティに関する契. を保護する」こととされ、情報資産が完. 約 を 締 結 し て い る 場 合 が 多 い 3。. 全な状態で保管、処理され、内容が正確 であることをいう。. しかし、先に述べた証券会社社員によ る顧客の個人情報漏えい事件をはじめ、 誓約や契約を締結しているにもかかわら. ( ウ ) 可 用 性 ( Av a i l a b i l i t y). ず情報が漏えいするなどの情報セキュリ. 可用性とは、 「認可されたエンティティ. ティ事件事故が多発している。. が要求したときに、アクセス及び使用が 可能である」こととされ、情報資産への. 2.. ア ク セ ス を 許 可 さ れ た 者 が 、必 要 な 時 に 、. 情報セキュリティとは. 利用できる状態にあることをいう。. 情報セキュリティを確保するために、 契約を締結するとしているが、そもそも. 3.. 情報セキュリティとは何であるかを確認 する必要がある。. 契約の種類. 情報セキュリティに関する契約は、情. 一般に情報セキュリティとは、機密性. 報セキュリティの各要素に対応した内容. ( Co nfi den ti al ity )、完 全 性( In tegr ity )、. となる。そのため、以下に各要素の実効 性を担保するために結ばれる契約を裁判. 三 菱 UFJ 証 券 「 業 務 改 善 報 告 書 (抜 粋 )」 3 このほか、経済産業省「経済産業分野 に関する個人情報保護ガイドライン」に お い て も 、契 約 に よ る 保 護 を 求 め て い る 。 2. ISO /I EC 27 0 0 1 で は 、 情 報 セ キ ュ リ テ ィの定義として、上記 3 要素のほかに、 真正性、責任追跡製、否認防止及び信頼 性などを含めても良いとされている。 4. 2. ⓒ2009 Information Processing Society of Japan.
(3) 情報処理学会研究報告 IPSJ SIG Technical Report. Vol.2009-EIP-45 No.6 2009/9/12. 例や調査報告書等から洗い出し、一般的. (ウ ) 可 用 性. 可 用 性 に 関 す る 契 約 と し て は 、S er vic e. にどのような内容が盛り込まれているか. Lev el Agr ee men t( SLA )が 挙 げ ら れ る 。. を確認する。. SLA で は 、シ ス テ ム や 通 信 の 稼 動 が 契 約で定められた範囲を維持することをサ. (ア ) 機 密 性. ービス提供者と注文者との間で取り決め. 機 密 性 に 関 す る 契 約 と し て は 、機 密( 秘. たものである。. 密)保持契約と総称される契約が挙げら れる。一般に機密保持契約の内容として. 具体的には、遅延時間、障害発生通知. は、業務上知りえた秘密を外部に公開し. な ど が 含 ま れ る こ と が 多 い 6 が 、当 事 者 双. ないことを定めたものである。. 方の合意により、盛り込むことの出来る. 前述の証券会社社員による個人情報漏. サービスの内容は様々である。. えい事件では、人事部が社員から「誓約 書」及び「情報セキュリティ管理に係わ. これらの契約は、情報セキュリティの. る確認書」の提出をうけており、守秘義. 各要素によりその内容や項目が異なって. 務、守秘情報の業務外利用の禁止に同意. くる。また、契約自由の原則により、機. している。. 密性、完全性、可用性のすべての要素に 関わる項目をひとつの契約に含めること が可能となる。. (イ ) 完 全 性. 完全性に関する契約としては、システ. そのため、情報セキュリティに関する. ム構築の際のシステム開発委託契約が挙. 契 約 は 民 法 が 定 め る 13 種 類 の 典 型 契 約. げられる。この契約は、注文者と開発者. とは内容がことなることが多く、その性. との間で結ぶ契約で、システムやソフト. 質や責任の範囲が不明確なものが多い。 そこで、次に契約の性質や責任の範囲. ウェアを開発することを債務の本旨とし、 さらにバグが含まれないよう開発するこ. について、特に機密性に関する契約を中. となどを定めたものである。. 心に検討していく。. システム開発委託契約が完全性に関す る契約としてとりあげた理由は、情報シ. 4.. ステムにバグが存在した場合、当該シス. 契約の性質. 情報セキュリティの各要素に関する契. テムにより情報資産に誤った処理がなさ. 約について、その性質や責任はまだ明確. れ、正確さ完全さを担保できなくなるた. になっていない。そこで、それぞれの要. め で あ る 5。. 素に基づいた契約について、判例を手が かりにその性質を検討する。. 5. 岡村久道「情報セキュリティと法律」 (商 事 法 務 , 2 0 0 7, 初 版 ) p. 2 3 4 に は 、シ ス テ ム開発委託契約は可用性を担保する契約 の一種として扱われている。. 経 済 産 業 省 「 SaaS 向 け SLA ガ イ ド ラ イ ン 」 p.22. 6. 3. ⓒ2009 Information Processing Society of Japan.
(4) 情報処理学会研究報告 IPSJ SIG Technical Report. Vol.2009-EIP-45 No.6 2009/9/12. は、労働契約上の秘密保持義務を負って. (ア ) 判 例 か ら み た 機 密 保 持 契 約. 機密性保持契約に関する判例として、. おり、企業機密をYの許可無しに業務以. 大きく分けて 4 つの事例に関する契約が. 外の目的で使用、第三者に開示・交付す. 存在する。1 つ目は、契約の主体が組織. る こ と は 、特 段 の 事 情 の な い 限 り 許 さ れ. とその従業員等である場合であり、この. ないとしつつ、弁護士に守秘義務がある. 場合、就業規則、労働契約等の 1 項目と. こと、開示・交付の目的が自己救済を目. して機密保持契約が含まれている場合で. 的としており不当とはいえない」として. ある。. 秘密保持義務違反を否定した。. 2 つ目の事例は、契約の主体が組織と 当該組織を退職した従業員等である場合. 大 阪 高 判 平 成 6 年 12 月 26 日. である。. ( 高 発 泡 ポ リ エ チ レ ン 生 産 技 術 事 件 7). 3 つ目の事例は、契約の主体が組織の. X は 、X の親 会 社 が 有 す る 特 許 を実 施 す るた. 従業員等以外の者との契約である。多く. めに設 立 さ れた子 会 社 で あり、当 該 特 許 の専. の場合、コンサルティング業務やソフト. 用 実 施 権 者 で あ る。X は 中 国 企 業 と 当 該 特 許. ウェア等の開発委託業務に関連し、締結. の 輸 出 に 関 す る 交 渉 を し て い たが 、 合 意 に 至 ら. される契約のなかに機密保持契約が含ま. なか った。し か し 、交 渉 の 責 任 者 で あ る Y が X を. れている。. 退 社 し、別 会 社 を設 立 、X 在 籍 中 に交 渉 して. 4 つ目の事例は、契約の主体が組織の. いた中 国 企 業 と 技 術 等 の 売 却 ・ 実 施 許 諾 契. 従業員等以外の者との契約であるが、既. 約を成立させた。 X が Y に対して特許情報が X の営業秘. に契約が終了している場合である。 本稿では、組織と従業員等の契約に関. 密 に あ た る と し て 、損 害 賠 償 を 請 求 し た 。. する代表的な判例をもとに、その契約を. これに対して裁判所は、 「本件技術に関. どのように捉えているか、確認する。. する資料は,すべて施錠された特別の書 類箱に入れられ,その鍵は被控訴人が管. 東 京 地 判 平 成 15 年 9 月 27 日. 理し,必要時以外には出さないようにさ. ( メ リ ル リ ン チ・イ ン ベ ス ト メ ン ト・マ. れていた」ことから、不正競争防止法上. ネージャーズ事件). の営業秘密にあたり、 「輸出の相手方に本. 資産運用を主たる業務とする株式会社. 件技術につき守秘義務を課すことも行な. Y の 従 業 員 で あ っ た X が 、自 己 に 対 す る. って」いたことから、在職中に知りえた. いじめ・差別的な処遇があるとして、そ. 営業秘密の保持義務を引き続き負うとさ. の担当弁護士に企業の機密情報を Y の承. れた。. 諾なしに開示・交付したことにつき、秘 密保持義務違反等を理由として懲戒解雇 処分に処された。. 7. 本件については、退職後の従業員等に ついても、信義則から一定の範囲で情報 を保護しなければならないとされるが、 その範囲は明確ではないとされる。. X が Y に対して労働契約上の地位の確 認 を 求 め た 事 例 に お い て 、裁 判 所 は 、 「X. 4. ⓒ2009 Information Processing Society of Japan.
(5) 情報処理学会研究報告 IPSJ SIG Technical Report. Vol.2009-EIP-45 No.6 2009/9/12. 明示的な合意がなくとも労働者の義務を. 組織と従業員等の間で結ばれた情報セ. 認めるものであるとする考えもある。. キュリティに関する契約は、典型契約の. では、その付随義務による従業員等の. うちの雇用契約をモデルとした労働契約. 義務とは何かが問題となる。. に一部分が追加されたものであるという. 付随義務が認められえる根拠としては、. ことができる。. 多数の労働者がともに就労することから 5.. 生じる共同生活の必要性、使用者の財産. 契約責任. を管理・保全することが必要とされる。. 前章では、判例を手がかりとして、機. そのため、労働の履行に直接関係があ. 密保持契約の性質を確認したが、これら. るものが主たる付随義務の対象となると. の契約は、典型契約の雇用契約を中心に. 考えられる。さらには、使用者の財産を. 機密保持契約をその一部とした契約であ. 守 る こ と も 付 随 義 務 の 一 種 と い え る 10。. るということができる。そこで、次にこ. この使用者の財産を守ることが、従業員. れらの契約により、契約の当事者が負う. に対して機密保持契約を締結する上での. 責任の内容について検討する。. 根拠となっている。 従業員等が労働契約にある機密保持契. 雇用契約とは、 「労働者が労働に従事す. 約を履行しなかった場合に負う責任とし. ることを約し、使用者が報酬を与えるこ. て 、使 用 者 に よ る 人 事 権 の 行 使( 懲 戒 1 1 や. とによって成立する契約」である。. 解 雇 1 2 等 )、債 務 不 履 行 又 は 不 法 行 為 に よ. 一般に、労働に関する契約には、4 つ. る 損 害 賠 償 責 任 13を 負 う こ と と な る 。. のパターンがあり、その一つが人の労務. 債務不履行責任による損害賠償責任が. そのものを目的とするもので、 「労働者を. 認められるのであれば、債務不履行責任. 指図して、一定の目的に向けて効果を発. の一種として認められる債務の履行も当. 揮 さ せ る 権 能 は 使 用 者 に 属 す る 」8 と す る 契約である。 雇用契約の大部分は、労働基本法によ. 版 ) p. 1 2 6 日 本 労 働 学 会 編「 講 座 2 1 世 紀 の 労 働 法 第 4 巻 労 働 契 約 」 ( 有 斐 閣 , 2 0 0 0, 初 版 ) p. 1 5 に お い て も 同 様 の 内 容 が あ る 。 11 従 業 員 等 の 懲 戒 処 分 に 関 す る 判 例 と し て 、古 川 鉱 業 事 件 ( 東 京 高 判 昭 5 5 年 2 月 18 日 )が 挙 げ ら れ る 。 12 従 業 員 等 の 解 雇 に 関 す る 判 例 と し て 、 三 朝 電 機 事 件 (東 京 地 判 昭 43 年 7 月 16 日 )が 挙 げ ら れ る 。 1 3 従 業 員 等 に 関 す る 判 例 と し て 、美 濃 窯 業 事 件 (名 古 屋 地 判 昭 6 1 年 9 月 2 9 日 ) がある。また、役員に関する判例として は 、ダ イ オ ー ズ サ ー ビ シ ー ズ 事 件 (東 京 地 判 平 14 年 8 月 30 日 )が あ る 。. る修正が大きく加えられている。. 10. 労働契約は、当然のことながら労務の 提供と賃金の支払いを基本とした契約で あるが、使用者と労働者との信頼関係が 根幹にあるといえる。 そのため、 「 相 互 の 利 益 に 配 慮 し 、誠 実 に 行 動 す べ き 付 随 的 義 務 を 負 う 」9 と さ れ 、 我 妻 栄 「 民 法 2 債 権 法 」 (勁 草 書 房 ,2 0 0 9 , 第 3 版 )p . 3 4 1 9 松 本 恒 雄・升 田 純「 情 報 を め ぐ る 法 律 ・ 判 例 と 実 務 」 ( 民 事 法 研 究 会 , 平 成 15 , 初 8. 5. ⓒ2009 Information Processing Society of Japan.
(6) 情報処理学会研究報告 IPSJ SIG Technical Report. Vol.2009-EIP-45 No.6 2009/9/12. 然 に 選 択 肢 と し て 有 り う る と し て い る 14。. 用者と従業員等の間で確実に書面化する. しかし、従業員等が機密保持契約を履. ことにより、機密保持契約の義務範囲を 明確化することができる。. 行しなかったことにより、情報が漏えい し、組織外に拡散している状態となる。. また、従業員等に対する情報セキュリ. Win ny に よ る 情 報 漏 え い 事 件 な ど に. ティ教育などの際に、機密保持に関する. おいて指摘されているとおり、漏えいし. 書面に記載し、情報セキュリティについ. た情報の流通を止め、回収することは困. ての意識を常に持ち続けてもらうといっ. 難であると考えられている。. た手法も考えられる。. そのため、機密保持契約に関しては、 使用者が債務不履行責任による解除権、. (イ ) 契 約 の 期 間. 履行請求を行うことに意味はないといえ. 在職中の従業員等は、労働契約の性質. る。. もあり、継続的に機密保持義務を従業員 が負うこととなるのに対して、退職した. 6.. 従業員等は、機密保持契約を結んでいな. 情報セキュリティの確保を担保する 機密保持契約. い状況となる。. 機密保持契約に関する契約について判. この点に関し、本稿では触れていない. 例からその契約モデルを確認した。契約. が退職後も一定の間、付随義務を負うこ. モデルとしては、労働契約の一部として. ととなる。. 機密保持契約が取り扱われている。 (ウ ) 責 任 の 内 容. このとき、必ずしも書面により機密保 持契約に関する取り決めが必要とされて. 前章で確認したとおり、機密保持契約. いるわけではなく、労働契約の付随義務. を従業員等が履行しなかったことにより. として従業員等の機密保持義務が認めら. 負う責任の内容としては、使用者による. れる場合がある。. 人事権の行使と債務不履行責任又は不法 行為責任による損害賠償請求である。. このような機密保持契約の特性を考慮 し、情報セキュリティを確保・維持する. つまり、組織が機密として取り扱う情. ために実効性をもつ内容とするため、以. 報が一度、漏えいした後はそれらの情報. 下の 3 点に注意を払う必要がある。. の利用を停止させたり、回収したりする ことは困難である。そのため組織は、日 ごろから情報セキュリティを確保・維持. (ア ) 契 約 の 形 式. するための対策を実施することが重要と. 労働契約の付随義務として、機密保持. なってくる。. 義務を負うこととなるが、その内容を使 菅 野 和 夫 「 労 働 法 」 (弘 文 堂 ,平 成 20 年 , 第 8 版 )p . 7 3 で は 、 「根拠が明確であれ ば 、履 行 請 求 も 可 能 で あ る と 考 え ら れ る 」 としている。. 14. 7.. 課題. 情報セキュリティに関する契約、特に. 6. ⓒ2009 Information Processing Society of Japan.
(7) 情報処理学会研究報告 IPSJ SIG Technical Report. Vol.2009-EIP-45 No.6 2009/9/12. 機密保持契約の性質、責任の内容が明確 になっていない。 そのため、すべての情報セキュリティ に関する契約について、情報セキュリテ ィを確保するために実効性のある解釈を 行う必要があるが、セキュリティと利便 性 の ト レ ー ド・オ フ が 問 題 と な る よ う に 、 どのような解釈を行い、情報セキュリテ ィに実効性をもたせるかが大きな課題と して残る。. 謝辞. 本稿は、情報セキュリティとそれに関す る契約責任を明確にすることを目的とし た 研 究 で あ る 。本 研 究 を 進 め る に あ た り 、 助言を頂いた関係者各位に感謝する。. なお、本稿における意見の部分はすべて 筆者の個人的な見解・意見であって、所 属する組織とは関係ありません。. 7. ⓒ2009 Information Processing Society of Japan.
(8)
関連したドキュメント
Reynolds, “Sharp conditions for boundedness in linear discrete Volterra equations,” Journal of Difference Equations and Applications, vol.. Kolmanovskii, “Asymptotic properties of
Next, we will examine the notion of generalization of Ramsey type theorems in the sense of a given zero sum theorem in view of the new
We present sufficient conditions for the existence of solutions to Neu- mann and periodic boundary-value problems for some class of quasilinear ordinary differential equations.. We
It turns out that the symbol which is defined in a probabilistic way coincides with the analytic (in the sense of pseudo-differential operators) symbol for the class of Feller
Then it follows immediately from a suitable version of “Hensel’s Lemma” [cf., e.g., the argument of [4], Lemma 2.1] that S may be obtained, as the notation suggests, as the m A
We give a Dehn–Nielsen type theorem for the homology cobordism group of homol- ogy cylinders by considering its action on the acyclic closure, which was defined by Levine in [12]
Applying the representation theory of the supergroupGL(m | n) and the supergroup analogue of Schur-Weyl Duality it becomes straightforward to calculate the combinatorial effect
Section 3 is first devoted to the study of a-priori bounds for positive solutions to problem (D) and then to prove our main theorem by using Leray Schauder degree arguments.. To show
