情報セキュリティと法制度

• 第1回　揺らぐ信頼感　「安全」確保策、検討急務に

　「個人情報保護法」の施行などを契機に、情報漏洩(ろうえい)事件が連日、報道されるようになった。「振り込め詐欺」など、人の心理を逆手に取った犯罪も後を絶たない。このような理不尽な被害に「対応する法律がない」「監督官庁がはっきりしない」といった批判が聞かれる。それでは情報管理など情報の安全性を高めるため、私たちはどのように対応したらよいのだろうか。どのような制度や措置が必要なのだろうか。
　安全基準やガイドラインの制定などいくつか方法が考えられるが、とりわけ有力な選択肢として考えられるのが情報の安全性に的を絞った「基本法」のような法律の制定である。もともと法律は社会秩序を維持するための規律を定めるものである。したがってあらゆる法律が安全性を確保するための「セキュリティー法」であるともいえる。実際にそういう名前の法律があるわけではないにもかかわらず、私たちが「我が国では一定レベルのセキュリティーが保たれている」と考えているのはそのためだ。
　同じことが情報分野についてもあてはまるならば、わざわざ特別な法律を考える必要はないのかもしれない。個々の法律を見直していけば、情報の安全性を上げることができるからである。
　しかし問題が二つある。まず現在の法体系は形のある有体物を念頭においており、「情報」という形のないモノの扱いに不慣れだ。第二に情報を盗んだり、破壊したりしようとする者の技術レベルは日々向上しており、十分に練られた攻撃に対抗するには、情報セキュリティーに的を絞り、罰則を含んだ具体的な法律が必要になる。
　図のように、有体物の法体系であるセキュリティー法と、情報にかかわる「情報法」という二つの法律分野があり、両者がかかわる部分が情報セキュリティー法の分野に当たる。
　このシリーズでは私たちが直面する情報と安全の間題を整理するとともに、中核となる法律や制度としてどういうものが想定されうるのかについて考察していきたい。

• 第2回　基本法の特徴　IT社会の安心確保に貢献

　前回は情報分野の安全性を高めるための法的手段として「基本法」的な法律の制定が考えられることを説明した。日本の法体系の基幹となっている法律は六法(憲法・民法・商法・刑法・民事訴訟法・刑事訴訟法)であるが、基本法という名称はついていない。逆に、国会に改正案が提出されている「教育基本法」や「がん対策基本法」など、基本法という名称を持つ法律は少なくとも30ある。まず制定時期をみると、昭和時代が8に対して、平成のものが22と、時代が進むほど多くの基本法が制定されていることがわかる。
　全体に条文の数は多く、二十条を超えるものが三分の二を占める。基本法制定により、全体の七割強で新しい組織の設置が、二割強で基本計画の策定が行われた。また、基本法で特定の行為を処罰するものは例外的だった。
　設置された新しい組織のうち七割強は内閣あるいは内閣府に設置されており、八割以上が平成に入ってからの立法によるものである。整理すると優先度の高い分野の政策の大枠を定め、計画の策定や組織の設置で実効性を確保するのが、基本法ならではの役割といえそうだ。
　30法のうち広い意味の安全に関する法は九つある。情報セキュリティーの分野では、2000年に「高度情報通信ネットワーク社会形成基本法」(IT基本法)が制定された。当時、諸外国に比べて遅れていた、電子商取引や行政の情報化の推進のために定められた。IT基本法に関連して、多数の法律(例えば電子署名･認証法)が生み出されるなど、IT社会での安全確保のためのシステム整備が進んだ。
こうした取り組みは年々強化され、政府が内閣官房に情報セキュリティ対策推進室を設置、2005年には内閣官房情報セキュリティセンターとなった。ITを推進するという流れを考えると、情報セキュリティーのための特別の法律、基本法があってもおかしくない。しかし、そのような動きが必ずしも活発でないのは、情報という財の性質と関係がありそうだ。

• 第3回　法と情報　運用難しい「窃盗罪」の適用

　情報という無形の財貨を法的に扱うことは難しい。いかに難しいかを理解するため「情報の窃盗」という事例を考えてみよう。
　幼児が親から最初に教わることの一つが「人の物を盗んではいけない」ということだろう。この命題は当然、倫理的に正しいだけでなく、法的にも正しい。世界中の国で「窃盗」は犯罪とされているからである。それでは「他人の情報を盗んではいけない」という命題は、倫理的、そして法的に正しいだろうか。下の表は情報セキュリティ大学院大学の授業で、収集した事例の一部である。
　このテーマを法律的に検討するにあたっては、頭に入れておく必要のある知識が一つある。刑法では窃盗の罪に当たる要件として「他人の財物を窃取する」を挙げるが、ここで「電気は財物とみなす」という特別な規定を設けていることだ。これを反対に読めば「情報」は財物ではないことになり、「情報窃盗」は成り立たない。情報を盗んで刑事罰が科せられるのは、特別なケースに限られる。
　表のケースはいずれも、倫理的には「うしろめたい」要素を含んでいるが、刑罰が科せられることが明らかなのは、(3)のケースのみである。(2)や(4)は、自分一人のためならば許されるが、それで儲けたとなると罰が科される可能性もある。特に(2)の後半や(4)の後半のようにデジタル技術を使った複製は、広範な被害が想定され、処罰される可能性が高まる。
　大学院生の回答はかなりバラついた。一般常識を反映したのだろう。こうした状況で「情報窃盗」を犯罪とするなら、何が「情報」であるかといった定義を厳密にしなければならない。
　不正確な定義をすると(1)のようなケースまで犯罪となりかねない。企業の営業秘密を盗んだり、著作権の侵害が目に余ったりするような場合に刑事罰にならないというのでは納得できないが、これらはすでに現行法に盛り込まれている。そうだとすると、情報セキュリティーの特別の法律として、追加すべき政策課題は何だろうか。

• 第4回　有体物と無体物　法律上、情報は邪魔者扱いに

　「情報」は形が見えず、得体が知れないため、法律上は邪魔者扱いされている。一般の個人や企業などの私人間の取引、契約のきまりを定める民法には「この法律において『物』とは、有体物をいう」という規定がある。1898年施行の法律に情報の扱いを期待するのは無理としても、いかにも無体物に冷たい。
　どうして民法が無体物を邪魔者扱いしているのか。情報には他人の使用を排除できる「排除性」や、ある人が使っていれば他人が使えない「競合性」といった性質が欠けているからである。これらを欠いている財を経済学では公共財といい、需要と供給で価格が決まるというような一般的な市場メカニズム以外の方法で供給される。
　法律上でも無体物は経済学と同じように「例外」として扱われている。現在の法律が私有財産制(所有権)を前提に成り立っているためだ。近代法は貴族などの特権階級かち市民を解放し、所有権の絶対性を認めるフランス革命などを受けて登場した。こうした成立過程を色濃く反映しているのが原因だ。
　所有権が成立するには、その前段として「占有」(自己のためにする意思をもって物を所持する)している必要があるが、無体物については占有の状態が明確でない。また占有している物を他の人に譲り渡す「占有の移転」も不明確だし、契約を取り消したとしても目に見えないため、移転したものは取り戻せない(取引の不可逆性)。情報は放っておけば拡散し、封じ込めるのは難しい。
　例えば、ある人が本を書いて、考えを読者に伝えようとする。その本がうまく書けていれば、その人の考えは読者に広く伝わるが、それで筆者の頭の中の情報がなくなってしまう訳ではない。事実はまったく逆で、多くの読者に支持されたり、意見されたりすることで、筆者の考えは修正され、発展する。
　こうした財貨を、ひとり占めともいうべき「占有」の概念で考えるのは無理な話だ。そのため民法は無体物の取り扱いを放棄し、「無体財産法」に議論を譲っている。

• 第5回　知的財産権　デジタル化で保護難しく

　現行法の中でもっぱら「情報」という無体の財を保護しているのは、知的財産法制である。特許･商標･営業秘密･著作権などは無形だが、それが生み出す経済的価値が大きいため、個別の法律で保護されてきた。2002年には「知的財産基本法」が定められ、知的財産の定義が明確になった。
　無体物を対象にした知財権がどのように保護されるか、著作権を例にとって説明する。著作物には作者の考え方が表れており、書籍、映画フィルムといった有体物である場合が多い。そのため書籍そのものなどの有体物が保護されているように見え、「著作権」と「所有権」を混同しやすい。
　しかし、よく考えれば、著作権は「著者の存命中+死後50年」という期限付きだ。作者の著作権が消滅しても、作品所有者の所有権は残っている。また、映画の著作権を持つ人が自分の映画のDVDソフトを他人に売れば、ソフトの所有権は移転するが、必ずしも著作権が連動して移る訳ではない。これらの事例が示すように、著作権の保護対象は有体物自体ではなく著作物、あくまで情報である。
　百年以上の歴史を持つ著作権もデジタル化で実効性に疑問が生じている。アナログ時代には完全な複製はできず、複製での著作権侵害には限界があった。デジタルになると、何度複製しようが伝送しようが、ほぼ同品質のコピーができ、瞬く間に世界に広まる。被害が膨大で差し止めることもできない。占有という独り占めが難しい情報の特質が、デジタル化によってさらに強く表れるようになった。
　では、どのような対策が必要なのか。権利強化を主張する側からは権利保護期間の延長や、違法行為の厳罰化などが、逆に公共財としての利用を主張する側からは保護期間の短縮、私的使用の範囲拡大などが主張され、妥協点は見えない。ただ、デジタル化で情報財の保護が難しくなっているのは確かだ。
　著作権のみでなく、情報全体の課題として、どこで線引きするかは今後ますます重要なテーマになるに違いない。

• 第6回　コンピュータ社会　現行法体系の見直し迫る

　現行法は無体物である情報の取り扱いがあまり得意ではない。情報分野は現行法の例外として、知的財産法制の整備によってカバーしようとしてきた。しかし、情報の分野はデジタル化が進んでおり、それに合わせて知財法も変化を迫られている。
　民法など一般法でも情報は無視できなくなっている。一般法が情報を取り扱い始めたのは電子計算機による出力データを紙に印字することなく電磁的データのまま、取引手続きに利用したいという要請がきっかけだった。1977年に税関手続き特例法によりこれを可能にする立法がなされ、現在のe-文書法(電子文書法)につながっている。
　刑事法分野ではより深刻な間題がでてきた。窓口の銀行員をだまして現金を詐取すれば罪になるのに、コンピューターをだましても詐欺罪にはならない。公文書を手書きで改ざんすれば罪になるのに、電磁データを改ざんしても罪にならないなど、法が技術進歩に対応できないことが明白になった。そこで1987年に刑法の一部が改正され、電子機器に対する詐欺罪などが設けられ、2001年には支払い用の力ードについて、不正に電磁データを作り出すことについての罪が定められた。
　「電子や磁気など、人が見たり触れたりできない方法で作られた記録で、コンピューターによる情報処理に使われるもの」という電磁的記録の定義が一般化し、有体物中心の現行法体系と無体物の法との間を橋渡しする役割を担うようになった。
　ただ、名称から明らかなように、無体物である情報を「記録」とし、有体物と同一の取り扱いをしている点には注意が必要だ。電子認証を使った有体物の取引なども、両者を橋渡しするものだが、電子認証も知覚できるわけではなく、サインなどのように、信頼性が一目ではわからない。
　これらのほか、無体物を無体のまま現行法に取り込む試みもある。不正競争防止法改正では営業秘密の漏洩(ろうえい)に対する刑事罰が設けられた。無体物の価値を重んじるという点では象徴的な事例である。

• 第7回　法に必要な要素　機密性の保持など不可欠

　情報セキュリティー基本法を考えるには、その構成要素を十分に検討する必要がある。その際に参考になるのは経済協力開発機構(OECD)が1992年に定めた「情報システムセキュリティーのためのガイドライン」だろう。
　それによると情報の安全性を確保するために必要な要素は三つあるという。情報の秘密を守る「機密性(Confidentiality)」、情報の取引などの際に、間違いなく取引ができるかを保証する「完全性(Integrity)」、利用する権限のないものが勝手に情報を利用したり、災害などでインフラに障害が出たりするなどで情報が使えなくなることを防ぐ「可用性(Availability)」の保証である。これらの英語の頭文字をとった「CIA」という言葉が、情報セキュリティーの分野では一般的になっている。
　さらに国際標準化機構(ISO)などはこれらに加え「説明責任」、「真正性」、「信頼性」の三要素が必要だとする。こうした条件を踏まえると、基本法に必要な要素もおのずとみえてくる。
　まず最初の三要素はそれぞれ若干の手直しが必要ではあるが、不可欠であることには変わりない。広く伝わりやすいという特性を持つ情報は、一度漏れると重大な事態を引き起こしかねない。秘密を法的に保護し、いつでも使えることを保証するのは当然だ。完全性については、間違いなく取引するには相手が本当に取引の相手として正しいのかなどの真正性を保証する必要もある。
　残る二つ、説明責任と信頼性はどう考えたらよいか。これは企業の経営管理の視点でみるとわかりやすくなる。例えば、ある企業が顧客や取引先の情報が漏れたときにどう説明するか、漏れないようにどのような対策をとるかなどのケースが想定できる。二つの要素は企業が社会一般に対して負う責任と信頼の維持といえる。これをまとめて法的に責任の明確化をする「Liability」と言い換えることができる。「CIAL」の四要素が情報セキュリティー基本法には必要といる。

• 第8回　惰報の漏えい　刑事罰の基準に矛盾も

　個人も企業もほかに漏らしたくない秘密を持っている。こうした秘密は公益の必要から、開示の要請がある場合以外は、法的に保護されるべきだ。秘密を法的に保護する「機密性」に関する検討が、情報セキュリティー法の第一歩となる。しかし情報という無体物の特性がここでも災いして、肝心の法体系には整合性がない。
　前に述べたように、情報窃盗罪という一般概念が成立しないのと同様に、秘密を漏らす罪も一般化できない。刑法にはこうした罪が規定されているが、秘密の保有主体(=漏らす主体)は医師･弁護士など特定の有資格者に限られている。解釈論では保護すべきものは「秘密」という情報そのものではなく、「秘密を扱う職業の信頼性」であるとする説が有力である。つまり情報を漏らしたからではなく、信頼を損ねたため処罰されるという解釈である。
　こうした考えがある中、個人情報保護法が制定され、企業はその漏えい防止に躍起になった。漏えいすれば企業などに損害賠償責任が発生するが、漏らした者に対する罪は規定されていない。法人に対する罰則も行政命令を受けてなお違反行為を犯した場合に限られている。にもかかわらず企業が競って法律を順守したことは、無体物の扱いに国全体が不慣れなことを示している。
　刑事罰の軽重は保護対象の軽重に連動すると考えると、現行法の情報漏えい基準には矛盾がある。2001年に制定された防衛秘密の漏えいは最長5年、日米防衛協定に基づく特別防衛秘密の漏えいは10年の懲役となっている。それに対し、外交上の機密を漏らしても国家公務員の守秘義務違反が適用されるだけである。そのため、長くとも懲役一年程度、電気通信事業に従事する者の通信の秘密侵犯でも3年程度だ。
　他方、通信傍受法やプロバイダー責任(制限)法などの個別立法で犯罪捜査と通信の秘密という相反する二つの利益のバランスを取らねばならない事態が進展している。体系的にバランスのとれた法制度の構築が求められている。

• 第9回　暗号技術　新しい形の経済活動を促す

　有体物の取引の場合も、取引内容が正しいかどうかについては神経を使う。相手方は本当に正しいか、契約書は本人が作ったものに違いないか、商品は契約書に書いた通りのものか、欠陥はないかなど心配は尽きない。こうした「完全性」の保証は有体物をネット上で取引する場合にはさらに困難が増し、有体物の形をとらない情報財そのものの取引となると、新たな工夫が必要になる。
　ここで活躍するのが暗号技術だ。暗号というとスパイや通信傍受などのイメージがあるが、これまでと違う方式が登場しており、用途が広がっている。例えば、「公開鍵」という仕組みだ。昔の暗号は当事者しか鍵を知らないことに意味があった。ただ、秘密の文書を送りたい場合、鍵自体を送る必要があり、鍵を渡す際に鍵自体が盗まれる可能性もあった。新方式では公開鍵と秘密鍵の二つを使う。前者は公開し、後者は本人のみがわかるようにする。どちらかで暗号化したものはどちらかを使えば元の文章に復元できるが、公開鍵から秘密鍵を解読することはできない。
　相手が公開鍵で暗号化したものを自分の秘密鍵で復元すれば、従来通り秘密を保てるし、自分の秘密鍵で暗号化したものを相手に公開鍵で復元してもらえば、文書の作成者が自分であることも証明できる。さらに時刻証明の技術を加味すれば、特定の時刻における自分の作成した文書の存在を証明できる。
　そこで電子署名･電子認証法は、本人の電子署名と認証機関の証明書があれば、署名や押印がある紙の文書のように真正に成立したものと推定するととり決めた。有体物の法と同様の規定を設けることで、両者が結びつき、電子商取引など新しいタイプの経済活動がスムーズにできるようになった。
　こうした機能はさらに飛躍する可能性を秘めている。例えば知的財産法制は複製などが容易なデジタル化で保護の実効性が揺らいでいる。知財分野に電子認証技術を使えば、権利の保護と流通･利用の促進という、.二つの目標の同時達成の可能性が開ける。

• 第10回　可用性の確保　法律に加え、契約も有効

　情報の「可用性」というのはあまり耳慣れない言葉だろう。これは情報に接する権限がある人だけが、常にその情報を利用できる状態であることを指す。
　可用性が侵害される状態には様々なケースがある。アクセスする権限のない人が勝手に情報に接する、情報を使うのに必要なコンピユーターなどのインフラが災害や故障で使えなくなる、品質が安定しないなどだ。これらに対応した法整備が望まれるが、実定法が対応しているのは約半分にすぎない。中心となる法律は不正アクセス禁止法だが、摘発されたのは氷山の一角ではないかとの疑問がある。
　最も有効に機能しているのは重要インフラの提供に関する部分だ。しかしテロなどへの備えとなると、十分に点検する必要がある。日本は地震や台風といった自然災害への備えはしてきたが、戦争などの有事に対する検討は不十分だった。近年相次ぐ立法によって遅れを取り戻しつつあるものの、経験が不足している。
　一方、近年目立つスパム(迷惑)メールの対策などについては、立法措置が講じられたものの実効性に乏しい。唯一成功したのは、不特定多数の携帯電話に一斉に発信して、着信履歴を残し、有料ダイヤルにかけ直させる迷惑電話「ワン切り」対策としての有線電気通信法の改正だけだ。ただ、これも地域通信の分野でNTT東西会社の独占度が強いために初めて可能だった。多数のプレーヤーが関与するインターネットでは、立法だけでは効果が薄く、民間が自主的に契約を結ぶなどの対応が有効となろう。
　例えば、コンピューターのシステム障害対策で90年代に制定された「情報システム安全対策基準」も、それを拡張した管理基準も経済産業省(旧通産省)が作成したが、法律ではなかった。コンピューター室の安全性の確保など、基準で求められる具体的な施策は民間が実施する。品質保証も障害発生時の復旧時間などの具体的な数値を顧客と契約して決める、サービス･レベル･アグリーメント(SLA)などによってとり決めることが多くなっている。

• 第11回　情報の品質管理　国際認証が法律を補完

　日本企業、特に製造業が世界に飛躍できたのは、第二次大戦直後、米国などに品質管理を学び、それを日本流にアレンジして経営に生かしたのが大きいとされる。米国企業は日本企業に品質と生産性で後れをとるようになった。しかし米国も1980年代後半から再学習をして巻き返しを始める。今では日本の生産拠点の海外移転も手伝い、日本の優位性は薄らぎつつある。
　英国なども物の標準化のほかに、品質や環境対策など、目に見えない要素を付け加え、世界標準の座を狙っている。一度、国際的な標準化手続きと認定基準ができてしまうと、これに合わない企業は部品や製品の供給ができなくなることが多く、日本企業は認証の取得に躍起になっている。なかでも国際標準化機構(ISO)による認証などが有名だ。
　国際基準の中で、日本企業の取得が突出しているのが「情報セキュリテイーマネジメントシステム」(ISMS)だ。情報の漏洩(ろうえい)などを防ぐための情報管理に対する認証。基本方針を策定し、運用、監視し、情報管理体制を継続的に改善させる目的がある。認証の有効期間は3年だ。
　この認証取得にはメリットとデメリットがある。メリットは認証取得の過程を通じて、自社の情報セキュリティーリスクを洗い出し、対策が立てられ、業務の見直しもできる。デメリットはかかる時間とコストが大きいこと。ほかにもISMSは運用に経営のトップなどが直接かかわることを求めており、トップダウン方式が日本の企業風土になじまないとの指摘もある。
　こうした仕組みは狭義では法律とはいえないが、実務上は法律と一体となって運用されている。例えば個人情報保護法の細部の運用は、日本工業規格(JIS)の基準に準拠した認証のガイドラインによっている。一方ISMSの手続きには「法令順守」のパートがあり、そこでは逆に個人情報保護法を守ることを規定する。このように法律ではないが、それに近い慣習や手続きを「ソフトロー」と呼ぶことがある。

• 第12回　第三者認証と監査　外部監査の定着、課題に

　「情報セキュリティーマネジメントシステム」(ISMS)の仕組みは、電子認証と基本的には同じ性質を持つ。「認証」とはどういうものかを考えてみよう。
　取引が二者間だけなら、お互いが納得する資格を相互に認め合えば、それ以上のものは必要ない。例えば欧州連合(EU)という大経済圏も、実は、イタリアの銀行はドイツでも営業できるといった二国間における「相互認証」をそれぞれの加盟国間が行うことで成り立っている。しかし三者以上の取引になると、相互認証は複雑になる。参加者が増えれば増えるほど、手続きが面倒になるからだ。
　そこで信頼すべき第三者機関(Trusted Third Party=TTP)を置き、その機関の認証を受けた者が、取引の有資格者であるとすれば、国際的な取引も円滑に進む。しかしTTPが機能するためには、1.認定基準が明確化され、2.監査可能で、3.信頼されている、ことが不可欠である。
　TTPによる認証の一つであるISMSは、製品ではなく、プロセスに対するお墨付きである。重要なのは計画から運用、監査、改善までを企業自らが行うことで、情報管理などでの実効性が出てくることだと考えられている。しかし、こうした考えでは監査も社内で実施すればよいことになるが、企業のパフォーマンスを内部だけで評価するのには問題がある。
　こうした疑問からISMSの情報管理状況の、外部による監査は必須と考えられるようになっている。情報セキュリティーに関しても、情報管理を外部がチェックする「情報セキュリティー監査」という制度が導入された。まだ発展途上の制度だが、TTPの三要素の一つが監査可能性であることからもわかるように、今後は不可欠な機能との認識が高まるかもしれない。資格も私的なものから公的なものとなる可能性もある。
　そうした時代に備え、現状では依然、取締役より低く見られがちな監査役の地位向上など、日本の伝統的な監査を超えた、「新しい監査概念」の定着が必要となろう。

• 第13回　基本法の体系　法的責任明確化が課題に

　今までの議論を踏まえ情報セキュリティー法の体系を示すと、図のようになる。形式的な面からは実定法という「ハードロー」に加え、「情報セキュリティーマネジメントシステム」(ISMS)に代表される「ソフトロー」が不可欠となる。情報という無体物は有体物を中心に制定･運用されてきた既存の法体系では扱いづらいためで、経営管理の手法を用いた標準･規格･ガイドラインといったソフトローに頼らざるを得ない。
　しかし、その際は十分注意が必要だ。まずソフトローに過度に依存すると、法の無視や実効性の喪失につながりか.ねない。特に手続きや基準の設定が支配力を持つ国や企業の思惑で決められてしまうと、社会全体でみた場合の効果は低下する恐れがある。
　第二に、無体物の体系を独自に構築するには時間がかかるため、実効性を得るには既存の法体系、つまり有体物の世界に依存せざるを得ない。この二つの世界の橋渡しをするものとして電磁的記録という概念や、電子署名･電子認証の仕組みが機能している。
　機能面から見ると、情報セキュリティーを確保するには秘密の法的保護(Confidentiality=C)、完全性･真正性の保証(Integrity=I)、可用性の保証(Availability=A)に加え、法的責任の明確化(Liability=L)の四つの機能が満たされなければならない。
　このうちCの法律は一見整備されてきているように見えるが、情報セキュリティーという観点での見直しが必要である。1の法律の代表例は電子署名･電子認証法だが、実用化にはコストダウンを待たなければならない。Aの法律も一見かなり整備が進んでいるように見えるが、全体の統一性や漏れがないかどうかのチェックが必要である。
　「CIA」に関する法律は曲がりなりにも整備されつつあるが、Lに関する法律は誰も検討してこなかった。しかし法律の有効性は、罰則などの制裁にあると考えると、責任の明確化を避けて通ることはできない。

• 第14回　第三者認証　実定法とのバランスが重要

　責任論を考えるため、次のようなケースを設定してみよう。企業Yがコンピューターのソフトウエアを開発する候補者を募ったところ、A、Bが手を挙げたとする。Aは「情報セキュリティーマネジメントシステム」(ISMS)の認証も個人情報保護に関する第三者認証の「プライバシーマーク(Pマーク)」も取得しているが、Bは両方とも未取得。本来ならAのみに発注したかったが、納期が厳しいこともあり、YはAに80%、Bに20%という比率に分割して発注した。両者とも同じデータベース(個人データを含む)を使う。
　ところがA、Bとも安全管理を怠ったため、同一の被害者Xの個人情報が漏洩(ろうえい)した。XがYに損害賠償を請求して勝訴したとすれば、YはAとBに対して求償権を行使することになるが、その際AとBの注意義務レベルは同じだろうか、それともAの方が高いと考えるべきだろうか。ここではAの認証を行なった機関の責任は問えないだろうし、YとA、Bの間には契約書があるはずだが、その事情は考察せず不法行為の一般論として考えよう。
　AとBに同じレベルの注意義務しかないのだとすれば、Aの受けた認証は単なる勲章のようなもので、期待を裏切ったことに対する制裁は、勲章の剥奪(はくだつ)だけということになる。
　これでは、Yは釈然としないだろう。しかし逆に、認証を取得すれば自動的に責任レベルが上がるとすれば、認証取得と責任強化のプラスマイナスを考えねばならず、現状に比べ取得のインセンティブは減殺される。ISMSの認証については、世界の取得企業の半分以上を日本企業が占めていることは、横並びが好きな日本社会の特徴ともいえるが、全体的なセキュリティーレベルを高めたと見ることもできる。こうした効果を考えると、認証取得のインセンティブをそぐことは得策ではない。
　このケースでは実定法(ハードロー)による公平で厳密な制裁と、ソフトローによる個別弾力的な運用、両者のバランスをうまく取ることが重要になる。

• 第15回　責任と制裁　経営者の関与が一般的に

　情報財のような無体物の取引はもとより、有体物であっても品質保証のように人間が知覚できない部分については何らかの保証手段が必要である。こうしたビジネスも活発になっており、コンサルタントや格付け機関が発展している。日本工業規格(JIS)や日本農林規格(JAS)といった規格・標準も、保証のための取り決めであり、多くの専門職を生み出している。
　しかし、無体物は知覚できないだけでなく変化するものであるため、過去の保証はできても未来の保証はできない。現在あるような保証の手段をいくら用意してもあまり意昧がない。そこで代わりに登場するのが、理想的なプロセスを描いておいて、その手続きに準拠していることを第三者が保証することである。国際標準化機構(ISO)の「ISO9000」(品質保証)、「13000」(環境適応)、「27000」(情報セキュリティー)などのシリーズは、こうした考え方の下で発展してきた。
　今日では、こうしたプロセスの制御に加えて標準手続きに適応していることを経営陣が言明したり、言明について外部の監査人が保証したりすることも行われている(一部は環境会計のように、会計システムとの連動も試みられている)。環境報告書や企業の社会的責任(CSR)報告書は前者の例であり、内部統制報告書は後者の例である。
　特に、相次ぐ企業の不祥事に対応すべく導入された内部統制の仕組みは参考になる。会社の仕組みなどを決める会社法には、内部統制システムを構築する義務が規定されているが、その細部は企業に任されている。
　このうち財務報告については、金融商品取引法で経営者確認書･内部統制報告書･内部統制監査報告書の提出義務が課されている。また東京証券取引所などの上場基準では、経営者の宣誓書の提出が義務付けられており、違反行為に対しては制裁が用意されている。このような型の責任のあり方について一般化した用語はまだないが、経営者の「コミットメント責任」とでも呼ぶべきものだろう。

• 第16回　実効性の確保　地道な作業が重要に

　前回見た「コミットメント責任」を前々回の例に当てはめると、A社が「情報セキュリティー･マネジメントシステム」(ISMS)や「プライバシーマーク」(Pマーク)の取得をホームページや名刺などに表示して、それをビジネス上有利な資格として活用しているのであれば、その限りにおいてA社の責任レベルは高くなる、と考えることができる。これが法的な意味での責任を考える際の原点になろう。
　しかし、情報というとらえどころのないものから発生する責任について、法の側面から考えるだけでは、セキュリティー問題は解決できない。個々の責任を間うことよりも、事件や事故を将来にわたって削減していくことの方が、社会全体の得るものが大きいからである。したがって場合によっては、法的責任を軽減あるいは免除しても、実際に何が起きたのか、失敗の原因は何だったのかを正直に告白してもらう必要がある。
　加えて、法的手段による情報セキュリティー確保の限界も意識しておかなければならない。たとえば考え得る法的手段は整備されたが、迷惑メールがなくなったわけではない。現状では自己責任で利用者や利用企業などが個々の取り組みで防御している状態だ。法的手段に限界がある限り、最終的には各人の倫理観の向上を待つしかないのかもしれない。
　この意味では国際標準化機構(ISO)の世界で、責任という概念について法的責任(Liability)のほか、説明責任(Accountability)、即応責任=事故の早期回復(Responsibility)の合計三つの単語が使い分けられていることが象徴的である。つまり、私たちは「L」を中心にしながらも、「A」と「R」を加味して、責任論を考えなければならない。こうした個々のアイデアの検証という地道な作業を積み上げてこそ、実効性ある情報セキュリティー基本法が構想できるのである。