このシリーズ今日で終わりにします。
連休中判例かなり見てました。
セキュアドで勉強した様々な事が実際、裁判でどんなふうに扱われるかわかった気がします。
昨日書いた判例なんか、社員教育や、秘密保持誓約書までやっていて原告敗訴ですから、
制度を作るのより実際の運用いかに大変か良くわかりますね。
さて秘密保持誓約書、実際どんなものでしょうか?
例を紹介しておきます。
秘密保持誓約書明治大学の例
http://www.meiji.ac.jp/tlo/files/license/nda.pdf#search='%E7%A7%98%E5%AF%86%E4%BF%9D%E6%8C%81%E8%AA%93%E7%B4%84%E6%9B%B8'
アドレス短くしました。
http://z.la/tomrr
あと一般向けのも紹介しておきますね。
秘密保持誓約書(社員向け)
http://www.mcci.or.jp/ost/kojin-3.pdf#search='%E7%A7%98%E5%AF%86%E4%BF%9D%E6%8C%81%E8%AA%93%E7%B4%84%E6%9B%B8'
短くしました。
http://z.la/93vlu
秘密保持誓約書(派遣職員等向け)
http://www.mcci.or.jp/ost/kojin-6.pdf#search='%E7%A7%98%E5%AF%86%E4%BF%9D%E6%8C%81%E8%AA%93%E7%B4%84%E6%9B%B8'
短くしました
http://z.la/7vb3f
私自身はこのような契約した記憶ありません。
今は個人情報保護法も施行されて各企業こういったことに力を入れているのかもしれませんね。
判例調べている時に、個人情報保護法関係のも調べていますので紹介しておきます。
yahooBBが被告です。
インターネット接続等の総合電気通信サービスの顧客情報として保有処理されていた原告らの氏名・住所等の個人情報が外部に漏えいしたことにつき、同サービスを提供していた被告に、外部からの不正アクセスを防止するための相当な措置を講ずべき注意義務を怠った過失があるとして、原告らの不法行為に基づく損害賠償請求を一部認容した事例。
http://www.courts.go.jp/hanrei/pdf/20060616142841.pdf
詳しくは書きませんがこんな感じの内容です。
被告BBテクノロジーは,第2の1(3)ア,(4)のとおり,原告らを含む本件サービスの顧客の個人情報をデータベースとして保有,管理しており,個人情報保護法にいう個人情報取扱事業者に当たると解されるところ,同法20条は,「個人情報取扱事業者は,その取り扱う個人データの漏えい,滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と定めている(なお,同法は,平成15年5月30日に成立したが,本件不正取得が行われた当時は,まだ施行されていなかった。)。
これらの点に鑑みると,被告BBテクノロジーは,本件不正取得が行われた当時,顧客の個人情報を保有,管理する電気通信事業者として,当該情報への不正なアクセスや当該情報の漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずべき注意義務を負っていたと認められる。
イリモートアクセスに関する注意義務
上記のとおり,本件においては,本件リモートメンテナンスサーバーを通じて,本件顧客データベースサーバーにリモートアクセスが可能な状態となっていた。
リモートアクセスについては,JIS規格や,コンピュータ不正アクセス対策基準(平成8年通商産業省告示第362号)で,その危険性が指摘され,不正アクセスへの対策について各種の規定がされているところであり(規定の内容については被告らも争わない。),これらの規定等の存在が示すように,あるサーバーに対してリモートアクセスを可能にすることは,それ自体,当該サーバーに対する外部からの不正アクセスの危険を高めるものであるといえる。
被告BBテクノロジーは,個人情報の管理に関してアのとおりの注意義務を負うのであるから,本件顧客データベースサーバーについて,そもそも必要性がない場合又は必要性のない範囲にリモートアクセスを認めることは許されず,また,リモートアクセスを可能にするに当たっては,不正アクセスを防止するための相当な措置を講ずべき注意義務を負っていたというべきである。
いかがでしょう?
興味わきましたか?
お時間あれば本文読んでみてください。
不正アクセス禁止法については、個人情報が流失した判例に限定して紹介しましたが、
この法律はもっと守備範囲広いです、
以下↓は、被告:社団法人日本音楽著作権協会
http://www.courts.go.jp/hanrei/pdf/20070528141551.pdf
裁判の判例と一緒に出ていたこの↓図なんか、テクニカルの、セキュリティやネットワークの試験問題でも使えそうです。
http://www.courts.go.jp/hanrei/pdf/20070528142238-1.pdf
ですが、原告負けています。
技術的にかなり突っ込んだ内容になっています。
(2) 本件サービスのセキュリティ(甲5の1及び2)
本件サービスにおいては,主要なセキュリティ対策として,次のとおりシステム設計がされている。
アネットワークの分離
ユーザの個人情報を外部漏洩あるいは悪意あるアクセスによる破壊,改竄から保護するため,ユーザ個人情報を保持するデータベースサーバをインターネットドメインから分離し,ローカルネットワーク内で管理する。
イユーザアカウントの管理
ユーザがパソコンからアクセスする際,ユーザアカウントを発行して管理する。
(ア) ユーザパスワード
パソコンに対応したユーザパスワード(原則として8文字以上の英数字)を割り当てて発行する。
(イ) アクセスキー(アクセス用ID)
ユーザのパソコンと携帯電話を特定するためにアクセスキーを発行する。アクセスキーは,本件ユーザソフトの初回設定時にパソコン側で生成され,ユーザのパソコンを一意(同じものが外にないこと)に判別するIDとして利用され,アクセスキーは携帯電話においても初回設定時に携帯電話側に生成され,ユーザの携帯電話を一意に判別するIDとして利用される。なお,アクセスキーはユーザに隠蔽される形で利用される。
ウアクセス端末の限定
パソコン又は携帯電話からのアクセス制御を行うため独自のアクセスキー(ID)を生成し,アクセス管理する。
エサーバ内フォルダ
ユーザ同士のサーバ内でのデータ共有,不正コピー等の行為を防ぐためアクセスキー(ID)を利用して,サーバ内フォルダのセキュリティを維持する。
オアクセス再生できる携帯電話の特定識別
(ア) サブスクライバーID(携帯電話番号と同一)により,登録されたユーザ本人の携帯電話しかアクセスできない。
(イ) ユーザ本人のパスワードでさらにチェックする。
(ウ) アクセスキー(9桁のアクセス同一性チェック暗証番号)で,パスワード,サブスクライバーIDに重ねてチェックがされる。
以上により,本件サービスでは,ユーザが会員登録時に本件サービスで使用するパソコン及び携帯電話を特定してメールアドレス,パスワード等を登録し,原告から発行されたアクセスキーとユーザの携帯電話固有のサブスクライバーID(加入者ID)を用いて識別がされることにより,ユーザのパソコン,本件サーバのストレージ領域,ユーザの携帯電話が紐付けされ,他の機器からの接続は許可されない。
不正競争防止法関連の判例もう一つアドレスだけ載せておきます。
http://www.courts.go.jp/hanrei/pdf/D89C9B55098091D749256CA60029B11E.pdf
判例ですが、裁判所のホームページで見つけることできます。
http://www.courts.go.jp/
右上の判例から検索可能です。
詳しく裁判所名とか入れなくても、全文のところに調べたい言葉入れると出てきます。
例えば不正競争防止法と入れると、872件もヒットします。
AndやOr検索もできますのでやってみてください。
私も、この方法最近まで知りませんでした。
SNSのコミュニティの中で教えて下さった方がいて役立てました。
ありがとうございました。
