「123456」会社のPCで安易な「パスワード」使用、どんな法的リスクがある?

29

2016年02月15日 10:41  弁護士ドットコム

  • チェックする
  • つぶやく
  • 日記を書く

弁護士ドットコム

記事画像

パスワード管理サービスを提供する「SplashData」は1月、ネット上で使われている「最悪なパスワード」のランキング(25位まで)を発表した。トップ5は、(1)123456(2)password(3)12345678(4)qwerty(5)12345。


【関連記事:ビジネスホテルの「1人部屋」を「ラブホ」代わりに――カップルが使うのは違法?】



「SplashData」は、こうしたパスワードについて、「ハッカーによって容易に推測することができる」とセキュリティの面から警鐘を鳴らしている。



もし、会社のパソコンや仕事上で使用するクラウドサービスなどで、従業員がこうしたパスワードを設定していて、情報が漏洩してしまった場合、どのような責任を負うのだろうか。石井邦尚弁護士に聞いた。



●カギは指示の「強さ」と「明確さ」


「不適切なパスワードを設定していたり、不適切な管理でパスワードを漏えいしたりして、会社に損害が発生した場合、(1)それを理由とする『懲戒処分』(実際に損害が発生していなくても問題となり得ます)や、(2)労働契約上の義務違反あるいは不法行為に基づく『損害賠償』が問題となり得ます」



石井弁護士はこのように指摘する。具体的にはどんなケースだろうか。



「不適切なパスワード設定・管理等が、社内規定や会社の業務命令・指示等に対する違反となることが前提です。



実際に懲戒処分が適法と認められるか、どの程度の懲戒処分が認められるか、あるいは、損害賠償請求が認められるかは、会社の社内規定や従業員への教育・指示などが、どのようなものかにもよるでしょう。



指示等については、私の造語ですが、『指示等の強さ』と『指示等の明確さ』の2つの軸で考えると良いと思います。



何らかの指示等があったとして、それが、上司から口頭で言われただけなのか、教育・研修がなされたりしていたのか、文書に残る形での指示があったのか、何らかの社内規定が設けられたのか、といった事情も影響してきます。日頃からどの程度『口うるさく』言われていたか、といったことも影響するでしょう。これが『指示等の強さ』です。



そして、指示等がどの程度具体的で明確だったか、ということも重要な判断要素になり得ます。単に『パスワードを設定するように』という指示等しかないときに、容易に推測できるようなパスワードを設定してしまった場合と、『●文字以上で、必ず英数字を混在させること。一般名詞や固有名詞、誕生日や電話番号の数字など推測されやすいパスワードは避けること』などと具体的な指示等がなされているのに、それに明確に違反するパスワードを設定した場合では、評価が異なってくるでしょう。これが『指示等の明確さ』です。



指示等が曖昧な場合、「最悪なパスワード」ランキング25位以内に入るようなパスワードだからといって、そもそも指示等への違反とはならないと評価される可能性も十分にあります。



現在のセキュリティ意識が高まってきている状況からすれば、さすがに『123456』や『password』では、『実質的にパスワードを設定していないと同じ』という評価もあり得るかもしれません。しかし、ランクインした『dragon』『starwars』などであれば、そこまで評価するのは難しいように思います。



また、指示の内容の他にも、担当する業務の内容や、パスワードを設定するシステム等の性質などといった、さまざまな要素を考慮して、評価されることになると考えられます」



●従業員任せにせず、セキュリティ対策を


やはり、トップ25に入るようなパスワードの使用は、控えたほうがよいのだろうか。



「そうですね。不適切なパスワード設定・管理等があったからといって、直ちに懲戒処分や損害賠償となるとは限りませんが、トラブルを避けるためにも、適切にパスワードを設定するよう、心がけてほしいと思います。



また、会社も、単に『パスワードを設定しておくように』という指示だけで済ますのではなく、『指示等の強さ』『指示等の明確さ』を意識して、より具体的な指示をしたり、社内教育や社内規定の整備等を行うことも大切です。



さらに、重要なものについては、できれば、パスワード管理を従業員任せにしないで済むようなシステムや、セキュリティのための設備(たとえば、生体認証)を導入することも検討することが望ましいと思います。



なお、今回は詳しく説明しませんが、従業員の過失に基づく会社から従業員への損害賠償請求については、『責任制限の法理』と呼ばれる判例法理があり、従業員に何らかの過失があったからといって、直ちに損害賠償請求が認められるわけではなく、認められる場合にも金額が限定されたりします」


(弁護士ドットコムニュース)



【取材協力弁護士】
石井 邦尚(いしい・くにひさ)弁護士
1972年生まれ。専門は企業法務。小5ではじめてコンピュータを知ったときの驚きと興奮が忘れられず、IT好きがこうじて、IT関連の法務を特に専門としている。著書に「ビジネスマンと法律実務家のためのIT法入門」(民事法研究会)など。東京大学法学部卒、コロンビア大学ロースクール(LL.M.)卒。ブログ「企業法務の基本形!IT法務の未来形!!」:http://www.blog.kakuilaw.jp/
事務所名:カクイ法律事務所
事務所URL:http://www.kakuilaw.jp


弁護士ドットコム

弁護士ドットコム
弁護士ドットコム 関連ニュース
歴代総理を「美少女」にしたゲーム「政剣マニフェスティア」 勝手にやっても大丈夫?
電気ケトルで「うどん」をゆでる斬新な使い方・・・やけどや故障が起きたら誰の責任?
トヨタとダイハツ「親子上場のメリットは薄れている」完全子会社化の背景を分析

このニュースに関するつぶやき

  • 業務として社員のパスワードのクラックのトライをしてみるってのをやってたことがあるなぁ。それで判明してしまったパスワードつけた社員にパスワードの変更を指示。
    • イイネ!0
    • コメント 0件

つぶやき一覧へ(13件)

Copyright(C) 2024 bengo4.com 記事・写真の無断転載を禁じます。
掲載情報の著作権は提供元企業に帰属します。

ランキングIT・インターネット

アクセス数ランキング

一覧へ

話題数ランキング

一覧へ

前日のランキングへ

ニュース設定

このページの上部へ