間違いだらけの職場持ち込み私物パソコン対策

ITpro Watcher

2006.03.27

　Winnyウイルスによる情報漏洩の発覚が収まる気配を見せない。自らも多くの事件の当事者となってしまった警察は、対策に躍起になっている。しかし、これまでの対策はそもそも正しかったのだろうか。

　民間企業にも役立つと思われるので、今回は“職場持ち込み私物パソコン対策”の「あるべき内部ルール」について、実務的な立場から弁護士としての眼で検証してみよう。

　以前から警察庁は各都道府県警に対し、情報漏洩対策を指示してきた。

　まず、平成14年1月29日付けで「職務上使用している私物OA機器等の管理の徹底について（警察庁丁情管発第235号）」を発して、「私物OA機器等における警察情報の保護対策」に基づき管理指導の徹底を図るよう通達を行っている。

　その後も、平成16年3月29日付け「職務上使用している私物OA機器等の管理の徹底について」（警察庁丁情管発第164号）、同月30日付け「職務上使用している私物OA機器等のセキュリティに関する緊急の措置について」（警察庁丁情管発第167号）、平成17年6月24日付け「職務上使用している私物OA機器等における情報管理の再徹底等について」（警察庁丁情管発第284号）によって、その徹底に努めてきた。

　これらによって対策の中心となってきたのは、おおむね以下の３つ内部ルールだった。
１．私物パソコン職場持ち込みの事前許可制
２．私物パソコン内蔵ハードディスクへの業務データ保存の禁止
３．パソコンを持ち帰る際、内部担当者のチェックを受ける

　民間でも同趣旨の内部ルールを定めている企業は多い。しかし、このようなルールには効果があるのだろうか。

　まず１つめの「私物パソコン持ち込み許可制」はもっともらしい。だが、警察の場合、パソコンの数が足りず、職員にお願いして私物を持ってきてもらうような状態だったようだ。これでは事前許可といっても実際には拒むことができたのかどうか疑わしい。

　何より問題なのは、上司に持ち込みの適格性をチェックするスキルがあるのかどうか。また、持ち込みを許可する際の基準は具体的に定められていたのだろうか。こう考えていくと第１のルールを定めている意味は乏しく、実態の把握に役立つ程度だと思われる。

　２つめの、「内蔵ハードディスクへのデータ保存禁止」はどうか。これは保存したまま誤ってデータを持ち帰ることを防止するためのルールのようだ。

　持ち込み私物パソコンの99％はノート型だと思われる。だとすると、現在使われているノートPCの大部分には、フロッピーディスク・ドライブが付属していない。内蔵ハードディスクへの保存がだめだとすると、保存先候補はUSBメモリーなど携帯メモリーということになる。だが、携帯メモリーの紛失による情報漏洩も繰り返し報道されている。セキュリティに対するリスクはかえって高まる。

　他の方法としてはLANに接続することが考えられる。だが、外部から持ち込まれたウイルスがLANを介して感染を広げたケースも多い。現に前述の「私物OA機器等における警察情報の保護対策」でも、「警察WANシステムに接続しないこと」が定められている。

　２つめのルールも実効性がないということになる。

　３つめのルールは、「持ち帰る際に内部担当者のチェックを受ける」というルールだ。いくら２つめのルールがあっても、誤って内蔵ハードディスクに保存されていることが皆無とはいえないからだ。

　しかし、捜査など本業のため忙しいなかで、何十ギガバイトもある内蔵ハードディスク上の膨大なデータを、どうやってチェックするのか。ツールを使っても難しい。またもや担当者にそのスキルがあるのかどうか心もとない。これもNGだ。

　かくも実効性に乏しいルールに基づいて対策を講じていたこと。問題の本質はそこにあるのではないか。

　北海道江別署の巡査から捜査情報が流出した件で、慰謝料を求める民事訴訟が起こされた。一審の札幌地裁平成17年4月28日判決では「ルール１は守られていたものの、ルール２とルール３の遵守を怠っていた」として、警察側の責任が認められた。

　この判決が述べた点を抜粋すると、次のとおりとなる。たいへん厳しい内容だ。このなかに登場する「本件パソコン」とは、本件で漏洩事故を起こした私物パソコンを指している。

　「A巡査･･･が本件捜査関係文書を本件パソコンのハードディスクに保存した行為は、本件通達で禁止されているとおり、情報の外部流出の第一歩となるものであり、また、同巡査が本件捜査関係文書を本件パソコン内に保存したまま同パソコンを管理担当者の点検確認を経ずに自宅に持ち帰った行為は、本件通達に違反するばかりか、本件パソコンの盗難や紛失などにより本件捜査情報の外部流出の危険を増大させるものであり、さらに、同巡査が本件パソコンをインターネットに接続した行為は、インターネット利用者においてパソコンをインターネットに接続した場合にパソコン内の情報が本人の知らないうちに漏洩する危険があることは当然認識しその対策を講じるべきものであって、とりわけ警察官としては慎重さを欠いたものといわざるを得ない。そうすると、A巡査の上記原因行為は警察官としての情報管理に関する注意義務に違反したものというべきであって、A巡査のかかる過失行為により本件情報流出という結果が発生したのであるから、A巡査の上記原因行為は不法行為を構成するというべきである。」

　二審の高裁（札幌高裁平成17年11月11日判決）では「予見可能性がなかった」などとして警察を運営する自治体側の責任を否定しているが、一審は「ルールを犯していた」ことを重視していたことを、重く受け止めなければならないはずだ。すなわち、守れないルールなら、インシデントが発生した際、かえって責任が重くなりかねない。それでは逆効果だ。実効性がないルールは廃止して、別のルールを作るべきである。

　「最も確実な情報漏えい対策は『Winnyを使わないこと』」、安倍官房長官は3月15日の記者会見で語った。こうしたルールは適切か。

　Winnyの是非はともかくとしても、情報セキュリティという見地からすれば、そうした意見には一理ある。事態を重視した警察庁も、私物パソコンについてもWinnyの使用を禁止するとした。

　だが、暴露ウイルスはWinny関連のものだけに限らない。過去を振り返っても、2001年にはウイルス「Sircam」が猛威をふるった。翌2002年には「Klez」が流行した。これらは感染パソコン内からランダムに選んだデータファイルを勝手にメールに添付した上、これを自動送信して流出させるという代物だった。今後も類似のものが出現しないとは限らない。最近では新種の暴露ウイルスとして、ハードディスクの内容全部をネット公開する「山田オルタナティブ」なども話題になっている。このため、Winnyを使わないことで、すべてが解決する問題とはいえない。

　むしろ、民間企業も含めて、私物パソコンの職場持ち込みを禁止すべきだ。私物の“My手錠”で犯人を逮捕する警官はいない。今やパソコンは業務に不可欠だ。その一方で、パソコンは安くなっており、私物パソコンのもたらすリスクに比べれば、その価格はきわめて低い。

　大量漏洩を起こした場合における責任の重大さを考えると、これまでのように、ナアナアで私物パソコンを持ち込ませるのは、もう止めるべき時期に来ているのではなかろうか。今回における一連の漏洩事故を受けて、総務省、外務省、そして防衛庁は私物パソコンの業務利用を原則的に禁止する措置を打ち出している。

　次回も、私物パソコン対策について、以上の続きを述べたい。