企業活力を生む経営管理システム
―高い生産性と高い自己浄化能力を共に実現する―
同志社大学法学部
企業法務教育スーパーバイザー
齋 藤 憲 道
3. 情報の取り扱い基準の共有
(3) 情報(文書、電子情報等)の管理方法と管理水準
① 管理方法
自社の文書・情報管理規程等を制定し、日常の業務の中で取得・保存する情報について、管理対象の範囲・保存期間・保存方法・紛失盗難防止策・管理責任者等を定め、これに従って運用する。
近年、世界中でサイバー攻撃[1]の脅威が増大し、標的型攻撃による情報流出・ランサムウェア[2]による被害・IoT機器の脆弱性の顕在化等が経営上の重要課題になっている。
ICTを用いた情報システムにおいては、サイバーセキュリティ対策が欠かせない。
- 〔サイバーセキュリティ対策〕
- 経営者がサイバーセキュリティに関して認識すべき3原則[3](以下、要点を記載)
- ⑴ リスクを認識し、リーダーシップによって対策を進める。
- ⑵ 自社だけでなくサプライチェーン(ビジネスパートナー・委託先を含む)に対しても対策を行う。
- ⑶ 平時・緊急時に関わらず常にリスク・対策に係る情報を開示する等、ステークホルダーを含む関係者と適切にコミュニケーションを行う。
② 管理水準
後日、裁判や行政当局の調査等が発生したときに、保管してきた情報を証拠にできる水準で管理しておきたい。そのためには、次の1) 、2) の要件を満たすことが重要である。
- (注1) 万一、訴訟になった場合に証拠に採用されなければ、従業員が「有事に役立たない管理ルール」だとして軽視し、守らなくなる。
- (注2) 近年、私的に内々で行った会話がスマホ等で簡単かつ秘密裏に録音・録画され、紛争の相手方から「証拠」として提示されて窮地に陥る例がしばしばある。企業人は、日常生活における言動に十分な注意が要る。
1) 裁判の開始時に証拠保全する
裁判の開始時に裁判所が出す証拠保全決定に直ちに従う体制を整えておく。
- (注) 社内管理規程が定める保管期限(例えば、「eメールは3ヵ月」等)が到来した時点で自動的に削除される状態にあると、悪意の削除(自分に不利な証拠を故意に削除した)と見なされる。
2) 裁判で証拠に採用される水準の管理を行う
eメールを含む大量の電子証拠について、米国の訴訟時の証拠開示手続き(eディスカバリー)に対応できる水準の情報管理体制を確立する。この管理は、デジタル・フォレンジック調査[4]に対応できる水準にすることが望ましい。
-
(注) 米国の製造物責任・知的財産権・カルテル・海外腐敗行為防止等に係る訴訟や当局の調査においては、特に、迅速・適切な対応が求められる。
- (参考)デジタル・フォレンジック調査の手続きの概要
- 1) 日常の情報管理体系の確認、2) 開示対象の範囲の特定、3) 保全、収集、改ざん・破棄の回避措置、4) データを審査・調査用に加工、5) 審査・開示対象の特定、6) 提出用データ作成(当局の指定様式に対応)、7) 提出・説明、の手続きを経て行われる。
- (注) 米国司法省等による情報開示要求においても、裁判におけるeディスカバリーと同様の手続きが求められることがある。
[1]ドイツ製鉄所の制御システムに侵入され溶鉱炉設備が損傷(2014年)、日本年金機構の個人情報流出(2015年)、サンフランシスコ市営鉄道の料金収納システムがダウン(2016年)、ウクライナの変電所が攻撃され数万世帯が停電(2016年)、オーストリア高級ホテルで客室施錠システムがダウン(2017年)
[2] Ransomwareは、Ransom(身代金)とSoftware(ソフトウェア)を合わせた造語。コンピュータウィルスの一種で、これに感染するとパソコン内に保存したデータが暗号化されて使用不能(接続機器にも感染する)、又は、スマホが操作不能になる。身代金を払えば暗号を解除する旨の画面が表示される。
[3] 「サイバーセキュリティ経営ガイドライン Ver 2.0(経済産業省、独立行政法人情報処理推進機構)」の要点を要約して記載した。詳細は、同ガイドラインを参照されたい。
[4] 訴訟で立証するための電磁的記録の解析技術、及び、その手続。高度な専門技術と、客観的な中立性を備える者が作業を行う必要があり、大半のケースで外部の専門機関(専門業者)に委託されている。なお、日本の警察庁の説明によれば、警察は、消去・改竄等が容易な電磁的記録の適正な手続による解析・証拠化等を行うため、関係機関(電子機器製造業者、国内・海外の捜査機関、オランダフォレンジック研究所等)と連携している。