マイナンバーは、特定個人情報なので特別な扱いをするように細かく定められています。
特定個人情報とは、個人番号と、当該個人番号に対応する符号をその内容に含む個人情報のことです。
個人番号に対応する符号とは、個人番号に代わって用いられる番号や記号などで、住民票コード以外のものをいいます。ですから、事業者が守らなければならない番号法の保護措置は、個人番号に対応して、当該個人番号を一定の法則で変換した番号等を含めて適用の対象としています。
生存する個人の個人番号については、個人番号自体が基本4情報(氏名、住所、生年月日、性別)と紐付けられた住民票コードを変換して得られるものであり、個人番号は住民票コードを復元することのできる規則性を備えるものでないことが生成する際の条件の1
つとされていますが、特定の個人を識別することができるものであることと解されていることから、個人情報に当たり、特定個人情報に該当します。
特定個人情報ファイルとは、個人番号と、個人番号に対応する符号をその内容に含む個人情報データベース等のことです。ちなみに、個人情報データベース等とは、個人情報を含む情報の集合物であって
① 特定の個人情報について電子計算機を用いて検索することができるように体系的に構成したもの(システム用ファイル、その他電子ファイル)
② 集合物を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの(手作業処理用ファイル)となります。
日本クレジット協会 調査・回収研究部会
/カテゴリ: i証明, セミナー(実績), 展示会2015年6月23日に日本クレジット協会主催の調査・回収研究部会で督促業務にSMSを活用した場合の実務と法的整理に関する考察というテーマで講演を行いました。
日本クレジット協会セミナー会場の様子
第一部は、「SMS活用による督促行為(一時督促)の実務と留意点」というテーマで、AOSモバイル株式会社 CMOの杉浦和彦氏が講演しました。
AOS CMO 杉浦和彦氏
AOSリーガルテックは、長年、データ復旧技術をベースに証拠データ調査のビジネスを手がけてきました。
AOSモバイルは、日本でいち早くショートメッセージの送受信サービスの提供を始めた会社です。
ショートメッセージサービス(SMS)とは、70文字以内の短文を送受信する携帯電話会社の世界標準サービスです。
SMSとは
・SMSの歴史
SMSの歴史は古く、1984年にフィンランドのマッティ・マッコネン氏がGSM携帯電話のサービスとしてSMSを発案しました。
その後、欧州電気通信標準化協会がSMSを国際標準規格に対し、世界共通のテキスト・メッセージサービスとして定着しました。
国際電気通信連合によると、全世界で2010年に発信されたSMSの総数は、6.1兆通に上りますが、日本ではあまり利用が進んできませんでした。
その理由の一つに以前は、キャリア間でのSMSの送信が制限されており、ドコモを使っている場合は、ドコモの携帯電話にしかSMSが送れないという状況が長く続きました。しかし、2011年7月13日にキャリア間でSMSのやりとりが可能となりました。
それから、日本におけるSMSを取り巻く環境は大きく変化しました。キャリア間で自由にSMSが送信できるようになったことで、個人の利用が促進され、ナンバーポータビリティ制度が始まったことで、2,500万人以上の人が利用するようになり、携帯キャリアメールが陳腐化してきました。また、海外製スマホが普及したことで、SMSを使う端末の操作性、利便性も大きく向上しました。これの環境変化により、日本でも電話番号が変わらなければ、そのまま、メッセージを送信することができるSMSの利便性が着目されています。
日本におけるSMSの環境変化
また, Eメールと比較した場合には、SMSの場合は、送信するとスマホの画面上にポップアップで表示されるため、Eメールと違って、送信してから30分以内にほとんどの人が開封します。
SMSとメールとの比較
また、メッセージアプリと比較すると、アプリの事前インストールが必要なく、事前登録なども不要ですぐに送れるというメリットがあります。また、なりすましの問題も起こらないという特長があります。
SMSとメッセージアプリとの比較
以上のようなSMSの特徴をまとめると、以下のようになります。
SMSの特徴
AOS SMSの特徴は以下の通りです。
AOS SMSの特徴
では、実際にAOS SMSがどういう事例で使われているかをご説明します。
AOS SMS導入事例 消費者金融
こちらは消費者金融、カード会社の事例となりますが、入金されていないお客様に入金の案内をSMSで送信しています。今までは、入金されていない客様に直接電話をかけていましたが、日中、仕事をしているお客様に入金の催促をすると、あまり、評判が良くないという問題がありましたが、 SMSを送信することで、画面にポップアップで表示されるので、お客様も必ず気づくし、負担もかからないというメリットが出ています。
AOS SMSは、貸金業法や割賦販売法で求められている各種業務要件をサポートしています。
多重配信制御機能は、同一内容のメッセージの2重配信を抑える機能です。
また、時限配信制御機能では、お客様に通信可能な時間帯(例えば、午前8時から午後9時)以外には、送信をしないように制御する機能です。
AOS SMS 業務対応機能
以上がSMSを業務に活用した場合の話ですが、AOSリーガルテックでは、i証明サービスというサービスを提供しています。これは、AOSリーガルテックが電子メールやSMSの送信を第三者機関として証明するサービスです。
i証明サービスの概要
実際の証明書の内容は、以下の通りです。
i証明 証明書の内容
このサービスは1通100円でご利用いただけます。
i証明のラインナップ
海外では、これを使った判例も出始めています。
海外におけるi証明の判例
ヨーロッパの判例では、スペインの最高裁判所でi証明のやり取りに関する証明書の証拠としての価値を認めるという判決が出ました。
法定書面交付手続きの電子化という分野で、i証明サービスが使われ始めています。
法廷書面交付手続きの電子化
続きまして、実際のAOS SMSの活用事例をご紹介します。
AOS SMSの活用事例は、以下の通りです。
AOS SMS事例 通信キャリア
AOS SMS事例 航空会社
AOS SMS事例 人材派遣会社
AOS SMSSMS事例 ケーブルテレビ
AOS SMS事例 食品会社
AOS SMS事例 本人認証
AOS SMS事例 メガネ販売会社
AOS SMS事例 利用シーン
実際の双方向SMSがどのような動作をするかを知りたい方は、以下の体験デモをご活用ください。
AOS SMS無料体験デモ
続きまして、「SMS活用による督促行為の法的留意点」というテーマで
TMI総合法律事務所 大井哲也弁護士、白澤光音弁護士が講演されました。
SMS活用における督促行為の法的留意点
TMI大井弁護士、白澤弁護士
TMI白澤弁護士
今日は、第1部は、貸金業法、各種自主規制団体のガイドライン、省庁が公表している監督指針をご説明します。
SMSによる規制は?
SMSを一次督促として使う場合のスキームとして、SMS事業者が貸金業者に対して、SMSを通じて債務者に対するメッセージサービスを提供する場合、SMSで送信するメッセージの内容、送付時期の決定などは、事業者等が行っており、SMS事業者はかかる操作に何ら関与しないことを想定しています。
SMSによる督促として想定されるスキーム1
SMSによる一次督促として想定されるスキーム1
SMS事業者は、事業者等から委託を受け、債務者に対して、SMSを通じてメッセージを送信するサービスを提供します。
サービサー法上の規制
委託を受けて、法律事件に関する法律事務である特定金銭債権の管理及び回収を行う営業を行う場合は、法務大事の許可を得なければならないとありますが、スキーム1の場合は、サービサー法上は、委託を受けてないと評価されます。
業法上の規制
続いて、SMS事業者は、事業者等から委託を受け、債務者に対してSMSを通じてメッセージを送信するサービスを提供する場合を考えます。この場合、メッセージの内容及び送信のタイミングは、委託に基づきSMS事業者が決定すると想定します。
SMS事業者が委託を受けてメッセージを送信する場合
スキーム2
スキーム2の検討
スキーム2の場合は、サービサー法上の規制に抵触する可能性があります。
貸金業法上の規制
貸金業法の規制もあり、人を威迫し、または、人の私生活若しくは業務の平穏を害するような言動をしてはならないとあります。これに対しては、午後9時から午前8時までの間は、メッセージを送付するべきでなないということが結論付けられます。
AOSが提供しているSMSサービスでは、上記時間帯にSMSを通じたメッセージの送信が行われないような措置を取っているので問題ないかと思います。
また、自主規制弾代の規制については、日本貸金業協会の規制があります。
「貸金業の業務運営に関する自主規制基本規則」69条では、反復継続した取り立て行為を行う規制があります。AOSは、同日に2度のSMS配信がされないように制限をしているが、自主規制では、3日以内に行うことを規制しているので、それに関しては、貸金業者が留意する必要があります。
また、経済産業省の監督指針としては、債権回収にあたって、購入者等を威迫するような言動、私生活、または、業務の平穏を害する言動は、控えるようにという指針があります。
経済産業省の監督指針
第2部は、実務上の留意点ですが、
電話番号を取得する際に、マーケティング等に使うということが明記されていない場合には、そういった目的でのSMS送信サービスの利用を避ける方がいいでしょう。
第2部 実務上の留意点
また、携帯電話番号は個人情報かという議論もあります。
携帯電話番号は個人情報か?
個人識別性のある情報とは
まずは、携帯番号は、個人情報か否かということですが、個人情報というのは、その情報に含まれる情報のみで個人識別性を有する情報とあるので、電話番号は、個人情報に該当しません。
スキーム2の場合は、電話番号を含めて個人情報となりますので注意してください。但し、個人情報取り扱い次号者が利用目的の達成に必要な範囲内において、個人データの取り扱いを委託する場合は、第三者に該当しません。
削除/オプトアウト要請への対応
また、削除要請をされても、応じる必要はありません。
第3部は、TMI法律事務所の大井弁護士が講演されました。
TMI大井弁護士
社内体制の整備として、個人情報の取り扱いの委託を行う場合にどのような管理が要求されるか。委託した個人データの安全管理が図られるように安全管理措置が求められています。
具体的にどういう措置を行えば、必要かつ適切な管理かというと、これについては、各省庁のガイドラインで詳細に書かれています。
社内体制の整備
これはインターネット上でも検索をすればすぐに出てきますが、個人情報の取扱いの委託を行う場合、委託先した個人データの安全管理が図られるよう、受託者に必要かつ適切な監督を行う事が義務付けられています。
各省庁のガイドライン
委託先を適切に選定すること。適切な選定のプロセスは、情報漏洩があった場合に事後的にしか分からない。どういう指針で選んだのかをしっかりトレースする。委託先に個人情報保護法に準じた安全管理措置を遵守させる。基本的には、委託先についても委託元と同水準のセキュアな仕組みを導入する。それを契約で縛って、契約に準じていないかを監査する。準じていない場合には、指導、監督する。契約に基づいて、個人情報の扱いをしっかり行われているかチェックをする必要があります。
経済産業省の基本方針
まずは、経済産業省の基本指針から見てみる。
(2)個人情報保護法、経済産業分野ガイドライン、信用分野ガイドラインに基づく情報の取扱基準を定め、日常業務の運営において実践していること。
とあります。そして、
(4)購入者等の情報の管理及び取扱いを委託する場合は、(2)と同等の水準の安全管理措置、従業者の監督、委託先の監督に係る基準や手続を定め、日常業務の運営において実践していること。
と続いています。
経済産業省 信用分野ガイドライン
委託業務の受注実績、委託元自らが実施しているルール、または、信用分野ガイドラインなどを遵守する体制があるのか。
外部委託規定を別紙として作成し、それも契約内容に加えてもいいかもしれません。誰が個人情報の取り扱いについて責任を持ってやるのか。それも記名で契約書に書き込む必要があります。
委託先における個人データ取扱状況の把握
経済産業省の信用分野ガイドラインによると「委託先に対して定期的に遵守していることを確認しなければならない。」とあります。
適切な監督を行っていない場合
いくつかの悪い例が出ています。
事例1)安全管理措置をきちんと行われずに漏洩した場合
事例2)委託先に個人データの取り扱いに関して定めた安全管理措置の内容を委託先に指示せずに、個人データを漏洩した。
この場合は、委託元の監督責任が果たされていないということになります。
金融庁ガイドライン
今度は、金融庁のガイドラインについて説明します。
金融庁のガイドラインは、他の省庁のガイドラインに比べて、一段高いレベルのセキュリティを要求しています。
(1)個人データの安全管理のため、委託先における組織体制の整備及び安全管理に係る基本方針・取扱規程の策定等の内容を委託先選定の基準に定め、当該基準に従って委託先を選定するとともに、当該基準を定期的に見直すこと
(2)委託者の監督・監査・報告徴収に関する権限、委託先における個人データの漏えい・盗用・改ざん及び目的外利用の禁止、再委託に関する条件及び漏えい等が発生した場合の委託先の責任を内容とする安全管理措置を委託契約に盛り込むとともに、定期的又は随時に当該委託契約に定める安全管理措置の遵守状況を確認し、当該安全管理措置の見直すこと
とありますが、(1)で委託先の選定、(2)にて委託契約の内容及び取り扱い状況の把握が盛り込まれています。
第4部
第4部は、SMS活用による督促行為の法的効力について説明します。
第4部 SMS活用における督促の法的効力
SMSによる催告は、法的に有効か?
SMSによる催告は、いつの時点で「到達」したと言えるのか?
SMSによる催告の証明力についてはどうでしょうか?
SMSにおける催告の有効性
そもそも電磁的な催告は、有効でしょうか?
まずは、一般的な法律の話をさせてください。例えば、契約の申込み、契約の承諾は、一般的に紙に契約内容を書いて、お互いに合意をします。では、この契約書の内容をメールで送ってお互いに合意した場合にこれは契約として有効でしょうか?例えば、アマゾンで書籍を購入した場合はどうでしょうか。例えば、夏目漱石の坊ちゃんをアマゾンで購入した場合、坊ちゃんの書籍の発注をしたということを確認しましたというメールが届きます。よく見るとこれは、発注を確認したというわけではないと書いてあります。これで契約は締結されたか?更に、よくメールを見ると、商品が届くことで、売買の締結がなされるとあります。手紙だろうが電子メールだろうが、契約の締結が認められる。これは、意思の合致があれば、契約は締結されたと認められるということです。
SMSの到達はいつか?
SMSの到達はいつかということですが、民法では、SMSは以下のルートで送付されます。
(1)まずは、SMS事業者が契約を締結する者のサーバーに伝達し
(2)債務者が利用するサーバーに到達し
(3)債務者が利用する端末にダウンロードされる場合
を想定すると、(2)の債務者が利用するサーバーに到達した段階で到達が認められます。
キャリアによる配信報告の証明力
更にキャリアによる配信報告により到達が証明されます。
キャリアによる配信報告の証明力
誰がSMSの到達を証明してくれるのでしょうか?
郵便局が手紙を送るのと同じようにキャリアが配信した場合も通信事業者として、機械的に発行される報告は、極めて信用性が高いと認められます。
SMSによる催告の証明力
以上のことを熟慮しますと、SMSによる証明力は非常に高いと結論付けられます。
マイナンバー制度の基礎知識と個人情報のセキュリティ対策
/カテゴリ: セミナー(実績), マイナンバー先日、赤坂と虎ノ門で「マイナンバー制度の基礎知識と個人情報のセキュリティ対策」と題するセミナーを開催しました。
赤坂会場の様子
虎ノ門会場の様子
講師は、社会保険労務士 松本力事務所代表 松本 祐徳氏です。
マイナンバーというのは、税と社会保障対策、災害対策のために国民一人一人に番号を割り振り、納税実績や年金など社会保障の情報を一元的に管理する制度です。
マイナンバーについては、国民一人、一人が知っておかなければならないことがたくさんあります。マイナンバーは個人情報保護法の対象となりますが、法改正に伴い、取り扱いについても注意しないといけない内容があります。
マイナンバーの基礎知識
マインバーについての話を企業の方にお聞きすると、対応するのに負担ばかりがかかって、何のメリットもないという話を一番多く聞きます。お金がかかる、責任が重い、俺になんのメッリトがあるんだという声が上がっています。
マインバー制度も目的は以下のようなものです。
この中で一番言われているのが税と社会保障の公平性という点です。
今、世の中で何が起こっているかというと、少子高齢化の問題があります。2020年には、75歳以上の人口が65〜74歳の人口を上回るという統計も出ており、人口全体に占める65歳以上の比率も29.1%まで高まると予想されています。この少子高齢化の問題と、就職した人が3年以内に辞める確率も3分の1という話があります。リクルートの予測ですと、正社員になる人の割合が50%を切るような統計も出ています。社会保障のお金が全く入ってこない。枯渇していく。そんな中で、例えば、66万社の企業が社会保障の適応逃れをしている。そういう問題も全て、引っ括めて入っています。一番大事なことは、公平な社会を作る。その中でマイナンバーをやっていこうと。あとは、行政運営におけるIT化ですね。安倍政権は、2020年までに週に1日以上、終日在宅で勤務する「在宅型のテレワーカー」の比率を1割以上にするという目標を掲げています。このテレワーカとマイナンバーにも密接な関係があります。それと地方創生の声がかなり、聞こえてきていますが、地方創生にマイナンバーを活用しようという話もあります。地域の中でお金を使ってもらおう。そこでマイナンバーを活用しようと。そういう流れが出ています。
国民と公的機関の間だけではなく、マイナンバーを使えば、いちいち住所を書かなくても、番号だけをかければいいとか、色々なケースで利便性が高まります。一方で、何に使われている良くわからない、国民監視システムとか、これも良く言われていますが、国民一人ひとりがアクセスログを確認できます。自分が国からマイナンバーを使って見られているのかをマイポータルが実施されると分かるようになります。開示請求に対して、迅速に報告、そういう積極的な姿勢を国の方も取っていくということです。
マイナンバー制度は、社会保障・税・災害対策といった限られた分野だけに使われる制度であって、使いたくないじゃなくて、使わなければならない制度です。逆に言うと、使ってはならないところでは、使うということがあってはならない制度です。ですからマイナンバーを教えてくださいと言われた時に教えられる場面というのは19条に全て定められています。それ以外のところで人のマイナンバーを提供するというのはあってはならないということになります。この部分に関しては、マイナンバーの取り扱い従事者だけではなくて、一般の国民であったり、会社の従業員や経営者の方もチェックしておかなければならないということです。知らない間に番号法違反に当たるような行為をしてしまったとか、トラブルに巻き込まれるとか、そういうことが気を付けなければならない点です。これがマイナンバーの厄介な点です。もちろん、重複して、特定個人情報のマイナンバーの入ったファイルを手当たり次第、作っていくということに関しては、制限がかかります。利用目的がはっきりしない目的ではリストを作ってはならないとあります。たまに、個人情報を気にしない人からは、いいよ、記録してもと言われることもありますが、提供行為そのものが番号法違反に当たりますので、注意が必要です。
今回のマイナンバー制度では、安全管理施策の部分がかなり騒がれているようですが、漠然としていて、何をどうすればいいのか分からないという話をよく聞きます。お金がかかるばかりじゃないか、負担ばかりじゃないか。これは、私たち、社会労務士も同じような感覚で、どうしたらいいかやっぱり掴めないよという話がやっぱり出てきます。今回大事なことは、現在、国会の中で、個人情報保護法、番号利用法、どちらとも、改正法案が出ています。交付から2年後、個人情報保護法は、大幅に変わります。
コンピュターの情報システムを通じて連携、扱いの簡素化、書類の省略化などだが一番大きいのは、給付の不公平をなくしていくこと。国としては、一番問題を感じているのは、社会保険の適応逃れが66万社もある。国としては、これが一番問題だと感じている。マイナンバーの適応が始まるが、提供を拒否された場合に書けない理由を書けと言われた場合は、本人確認を厳格にすることになる。給付の不正受給もあるので、これも防止しておかなければならない。
地域の活性化というテーマもある。将来的には、民間のデータと行政データを集まると、ビジネス的な効果が7兆円にもなるという試算もある。経済的な発展性にも重きを置きましょう。一方では事業者に対する監督責任も果たしていきましょう。強制的にマイナンバーを利用しないといけない。住基ネットと同じでマイナンバーなんか誰も使わないよという人もいますが、今回のマイナンバーは、利用しなければならない。それを使う場面も限定的に明記されている。使ってはならない場面で使うことも違反になる。数多くのマイナンバーを管理する団体。大抵の企業は、自分たちの従業員分のマイナンバーを扱うだけですが、数多く扱う団体もあります
保険会社は、代理店を経由して営業しているので、マイナンバーを代理店からもらおうとする場合は、注意が必要です。プロスポーツなどは、申告書の7年間の保管義務が出てきました。
マイナンバーの保管をうまく考えながら、なるべく保管しない方法を考える方がいいでしょう。
本当にマイナンバーの利用頻度は低い。よく分からなくて困っている人に不安を煽ってやるのは良くない。媒体をなるべく分散させて保存しない方がいい。情報漏洩リスクとしては、瞬時に漏れる
ガイドラインでは、利用目的がなくなった個人情報は、極力消去してくださいと言っています。
個人番号カードの様式は、こんな感じになります。
個人番号カードへの記載事項はこちらになります。
番号の変更については、不正に用いられる恐れがあると認められるとき以外は、変更ができません。具体的には、詐欺や暴力など不正な目的で使用される場合に限定されます。
マイナンバーは、特定個人情報なので特別な扱いをするように細かく定められています。
特定個人情報とは、個人番号と、当該個人番号に対応する符号をその内容に含む個人情報のことです。
個人番号に対応する符号とは、個人番号に代わって用いられる番号や記号などで、住民票コード以外のものをいいます。ですから、事業者が守らなければならない番号法の保護措置は、個人番号に対応して、当該個人番号を一定の法則で変換した番号等を含めて適用の対象としています。
生存する個人の個人番号については、個人番号自体が基本4情報(氏名、住所、生年月日、性別)と紐付けられた住民票コードを変換して得られるものであり、個人番号は住民票コードを復元することのできる規則性を備えるものでないことが生成する際の条件の1
つとされていますが、特定の個人を識別することができるものであることと解されていることから、個人情報に当たり、特定個人情報に該当します。
特定個人情報ファイルとは、個人番号と、個人番号に対応する符号をその内容に含む個人情報データベース等のことです。ちなみに、個人情報データベース等とは、個人情報を含む情報の集合物であって
① 特定の個人情報について電子計算機を用いて検索することができるように体系的に構成したもの(システム用ファイル、その他電子ファイル)
② 集合物を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの(手作業処理用ファイル)となります。
すべて見せます、マイナンバー収集・保管の実務
/カテゴリ: セミナー(実績), マイナンバー六本木ヒルズで「マイナンバー対策セミナー 〜データ管理に対するITリスク増大、部門横断的に乗り切るには〜」が開催されました。
第4部は、すべて見せます、マイナンバー収集・保管の実務 ~ クラウド型OBCマイナンバー収集・保管サービスのご紹介 ~というタイトルで株式会社オービックビジネスコンサルタント 坂口 晋一郎氏がご講演されました。
OBC坂口氏
OBCのクラウド型のマイなバー収集・保管サービスを利用すれば、各自が自宅からスマートフォンで個人番号を入力してもって収集することもできます。もちろんパソコンに入力して収集することもできます。集めた個人番号は、クラウド上に保管されます。
マイナンバー対応のための安全管理システムの実装フロー
/カテゴリ: セミナー(実績), マイナンバー六本木ヒルズで「マイナンバー対策セミナー 〜データ管理に対するITリスク増大、部門横断的に乗り切るには〜」が開催されました。
第3部は、TMI総合法律事務所 パートナー弁護士 大井 哲也氏が「マイナンバー対応のための安全管理システムの実装フロー」というテーマで講演されました。
TMI大井先生
つい先日、マイナンバー法が衆議院で可決されました。今年の10月1日からマイナンバーが国民に対して、通知されます。では、10月1日までにどういう仕事が発生するのか、どの部門で、どういうタイミングで何をすればいいのか、これが重要です。
個人が取得した個人番号を法定調書に記載して、行政機関等に提出するという行為のみが認められています。
まずは、個人情報保護法に基づく、安全管理措置を行っている筈なので、それと特定個人情報保護法に準じた安全管理措置とのギャップを埋めていくという作業を行います。これによって、マイナンバー法に基づく、会社の管理規定が出来上がります。この作業をやっていない会社は、まずは、そこから着手してください。今年の10月から個人番号の付番が、全国民に対して開始されます。本人確認のための書類で何を提出するのかなどといったものが10月1日には、完了して、システム上に乗っていないといけない。しかし、多くの会社では、これが行われていないというのが実情です。金融機関などは、対応が早く、システムの改修が済んでいるところもあります。まだのところは、誰が、どの分野を担当するのかという割り当てを行っている会社もあります。あまり、悠長に進めている場合ではないので、すぐに、実質的なフロー図の作成作業を開始してくださいという話をします。急にはできないというと、関係部署に対して、まずは、教育を行ってくださいという話になります。まずは、保護措置が何かということを理解してください。やるべきことは非常にシンプルです。次は、各部署のタスクの洗い出しをしてください。結局、マイナンバーをどこの書類に書けばいいのですか、それを網羅的に、抜けがないようにするにはどうすればいいのか。タスクの洗い出しを行うと、どれくらいの作業量があるのかが判明します。総務、経理、人事、情シスを集めた全体会議を開催する。安全、管理措置はどのレベルまでやればいいのかを決めていきます。体制整備ができたら、特定個人情報の組織的、技術的安全管理の方法の検討を始めます。例えば、どういう方法で暗号化するのか。操作ログはどこまで取ればいいのか。管理方法の選択をしていく必要がある。これらを決めたら、システムの実装作業に入りますが、これを行うためには情シスの協力が不可欠です。代替措置があるのか。情報システム部門で、この作業を行うと業務が止まってしまうので、無理だと言った場合に、これを検討します。
マイナンバー法に準拠した安全管理措置として、規定の整備作業を行います。どこの部門がマイナンバーを取得して、誰が、作業を行うのか。誰が見ても、その行動が分かるようなフローチャートを作る方が実務に役立ちます。レベルとしては、金融機関相当の質を目指してください。クレジットカード情報などを扱う場合と同じレベルの管理が必要となります。特定個人情報保護委員会というのが監督することになります。これは、公正取引委員会と同じ程度に権限を持った機関となります。これまでのように何か、個人情報漏洩があったら、監督官庁に報告すればいいですよねという状況ではなくて、何かあれば、立ち入り調査をする権限を監督機関が持つので、我々としても、より、きちんちとした管理体制の構築が必要となります。どういった事務が要求されているのか。法律に基づいた事務となるが、ぞれぞれの人事、労務部門の人が法定調書の洗い出しをまず、関係部門の人が行う。それ以外の部門にも法定調書の作成が必要となるので、その洗い出しも必要となります。例えば、一見するとマイナンバーに関係しなさそうな法務部門に対して、私が社内研修会の講師をすることになり、契約を交わすことになると、私のマイナンバーを取得する必要があります。それを聞く部門はどこでしょうか?おそらく、面識がない経理部門ではなくて、法務部門が外部委託して講師のマイナンバーを受領する必要があります。それでは、その受領したマイナンバーをどこに持っていけばいいですか。どう処理すればいいですかという話になります。社内の全体会議で話すだけではなくて、他部門の人にもこういう問題提起をして、漏れがないかの洗い出しを行います。チェックリストを作る際には、マイナンバー関連のウェブページに詳しい情報が記載されているので、それを参考に作業を進めてください。源泉徴収票のどこに記載するのかなどを具体的に定めていきます。まずは、支払い調書の雛形を集めてください。これは、監督官庁のサイトに雛形があるものとないものがあります。提出書類、提出者、提出先、根拠条文の洗い出しの作業を行います。
マイナンバーに関するガイドラインを手元に置いておいて、基本方針をまずは、策定する。個人情報保護方針の策定は、雛形を入手して、さっさと済ませてください。
これが規定の最上位のレイヤーとなります。
続いて、管理規定は、個人情報保護管理規定から漏れたものだけを記載してください。
マイナンバー法では本人確認というフローが入ってきます。従業員の源泉徴収票の作成をする場合に、取りまとめる方法はどうするのか。データを機関システムに入れておいていいのか。誰もがアクセスできるシステムに入れてしまえば、安全管理措置としては、非常に不適切です。実際の業務は、システムの中で行われるので、他社や他部門の担当者からアクセスできない方法で管理をする必要があります。入手から、法定保存期間が過ぎたあとの廃棄までのライフサイクルの全てのフローを作る必要があります。
マイナンバーを扱う担当者の人的安全管理措置も必要です。
組織的な安全管理措置も必要となります。
漏洩が起こった場合の、報告、連絡体制を定める必要がありますが、実際には、これは、ほとんど機能しないことが多くなります。なぜならほとんどの人は、こういう経験がないので、担当者がうまく対応することができません。こういう場合は、バイネームで経験のある人、処理ができる人の名前を記載しおくことが有効です。
ファイルは誰がアクセスして、誰がコピーしたのか、その記録をしっかりと取る必要があります。全て、監視されていますよ。誰がどういう挙動をしたのかを監視していると従業員に告知することが漏洩の抑止になります。マイナンバーの記載、データの保存は必要最低限に留め、必要がなくなった書類、データは、速やかに廃棄する。単発の契約を交わした場合は、との都度、マイナンバーを消去して、再度、取得をする方がいいでしょう。情報システム部門の誰が管理するのかは、バイネームで記載して、夜中でも何でも連絡が取れる方法を記載しておく。
物理的安全管理措置というのも法律に書いてあるから、言及しているが、実質的にはあまり、意味がない。
それよりは、電子媒体の盗難などの防止措置の方が重要となります。データベース全体がコピーされた場合はアラートが上がるなどの措置が有効となります。
今までの個人情報保護管理規定には、削除が記載されていなかったと思いますが、今回は、削除、廃棄についても記載する必要があります。
実務的な現場の話を中心に今回はお話しさせていただきました。
自主管理型に潜むワナ!?~ マイナンバー制度対応消去ソフトウェアの徹底活用による課題解決 ~
/カテゴリ: セミナー(実績), マイナンバー六本木ヒルズで「マイナンバー対策セミナー 〜データ管理に対するITリスク増大、部門横断的に乗り切るには〜」が開催されました。
第2部は、「自主管理型に潜むワナ!?~ マイナンバー制度対応消去ソフトウェアの徹底活用による課題解決 ~」というテーマで、AOSリーガルテック株式会社 取締役 春山洋氏が講演しました。
AOSリーガルテック春山氏
マイナンバーの通知は、住民票に記載されている人に一斉に10月1日から送付されます。この通知カードを持って、市役所に行くと、個人番号カードを作ることができます。このカードには、氏名と裏には、マイナンバー、12桁の個人番号が記載されます。この番号は、一人、一人の個人が特定できる番号となります。
このマイナンバーは、会社に提出が必要となります。会社は、このマイナンバーを元に源泉徴収票を作成することになります。マイナンバーは、外部業者にも渡ることになりますのが、そこで情報が漏洩した場合には、委託元の会社にも責任が及びます。
マイナンバーは、クローズドな環境で扱われる必要があります。マイナンバーを取り扱う人を特定して、その人をしっかり管理する必要があります。監視カメラなども設置して、取り扱いを厳格に管理する必要があります。会社の中のマイナンバーは、Excelの中、手書きの伝票などになりますが、ここから情報が漏洩すると罰則があるということになります。例えば、退職した人のマイナンバーは、削除する必要がありますが、復元できない形で専用の消去ソフトを使って、消去する必要があります。紙に記載されている場合は、シュレッダー等で処理する必要があります。同じように電子データの場合は、電子データシュレッダーソフトで消去する必要があります。
特定個人情報を取り扱う情報システムにおいては、保存期間経過後における個人番号の削除を前提とした情報システムを構築する必要があります。
情報漏洩がどこから起こっているかという統計がありますが、実は、紙から漏洩するケースは、3.6%程度です。ほどんどの情報漏洩は、電子媒体から漏洩しています。
個人情報漏洩の原因は、管理ミス、誤操作、紛失などが全体の87%を占めています。従って、ハードディスクやUSBメモリなどの電子メディアに残された機密データを日々、完全に消去することで、情報漏洩のリスクを軽減することができます。
こちらは、ファイル消去ソフトがどうやってデータを消去するかを説明した図です。ファイルを削除しただけでは、システム領域、管理領域にデータの痕跡が残っています。ファイル消去ソフトは、その領域を消去することで完全にデータを消去することができます。
電子データシュレッダー ファイル消去には、スケジュール抹消という機能があり、これを使うことで、定期的にデータの痕跡を消去することができます。
コンピューターの中のデータは、削除して、ごみ箱を空にしても残っています。電子データシュレッダー ファイル消去を使えば、これを完全に消去することができます。
マイナンバー導入後のIT社会の未来図と予測できるITリスク
/カテゴリ: セミナー(実績), マイナンバー六本木ヒルズで「マイナンバー対策セミナー? データ管理に対するITリスク増大、部門横断的に乗り切るには?」が開催されました。第1部は、新日本有限責任監査法人プリンシパル公認情報システム監査人米国公認会計士清水健一郎氏が「マイナンバー導入後のIT社会の未来図と予測できるITリスク」というテーマで講演されました。
マイナンバーの利用可能分野は、社会保険分野では、年金、労働、福祉、医療、税分野、災害分野に限定されており、それ以外は目的外利用として制限されています。企業側から見て影響を受ける主要業務は、人事給与業務、契約に基づく取引業務、金融取引業務となります。金融取引業務は、金融系の企業でなければ、関係ないかもしれませんが、個人で口座を持っている人は、マイナンバーを金融業者に提供する必要が出てきます。
マイナンバー法の影響を受ける業務としては、例えば、源泉徴収票のサイズが大きくなり、そこにマイナンバーを記載する欄が追加されます。マイナンバーは、目的外の利用が本人の同意があっても、原則禁止となっていますので、注意が必要です。廃棄規制というものガイドラインで定められています。マイナンバーを使わなくなったら、使用できないレベルで廃棄することも記載されています。今までは、倉庫に入れて、古いものは、いらなくなったら捨てるという運用をされていた会社もありますが、もっと、厳格な管理が必要となります。
マンナンバー法違反に対する罰則も個人情報保護法よりも強化されています。このリスクも企業は想定して、管理措置を取らないといけなくなります。民間事業者に求められる対応作業は、関係部門で多岐に渡るので、部門間で横断的な対応ができるようにする必要があります。
まずは、部門の関係者を全部集めて、キックオフをして、来年の利用開始を見据えて、いつまでにマスタースケジュールを作るかを決める必要があります。マイナンバーの取得から、それに関わる業務まで、社内規定もそれに合わせて、書き換える必要があります。従業員の教育と、対応できる組織体制の変更も必要となります。どれくらいの改修が必要なのかを調査した上で、システム等の改修作業を行うことになります。
人事部、経理部、システム部、総務部、企画部などで横断的に対応が必要となります。実際には、人事給与規定、経理規定、総務規定、情報管理規定などの書き換えが必要となります。
従業員等からのマイナンバーの取得イメージはこちらになります。
事務作業手順は、以下の通りです。
こちらの図は、マイナンバーデータベースが外部にあることを想定した場合のシステムを表しています。
これらのことを整理してまとめた内容がこちらです。
クラウドソリューションを使う場合にも、マイナンバーが適切に管理されているかを確認する必要があります。
ここまでは、現在必要とされる対応業務について説明しましたが、将来、予想されるマイナンバーの利用領域は、こちらになります。
海外でマイナンバー制度と似たような制度を導入している国は、以下の通りです。
一番、有名なのは、アメリカの社会保障番号制度ですが、こちらは民間利用も認めており、色々と被害も出ていて、その損害額は、年間で500億ドルとの試算もあります。
アメリカでは、他人のソーシャルセキュリティ番号を利用して、パスポートを偽造するといった事件も起こっています。
同じく、アメリカで、ハリケーンの被害者が失業給付金を二重に受給していたという事件が起こりました。
3番目に紹介するのは、年金、および、医療給付金の不正受給です。
このように多くの犯罪者がマイナンバーを狙っているということです。
ITイノベーションは、様々な領域でパラダイムを変えている。2020年までにネットにつながるセンサーは、500億個にも上ると予想されています。
プライバシーに影響を与えるデジタル・トレンドも意識しておく必要があります。プライバシーそのものをシステムが管理する時代が来つつあるということです。
すでに世界各国では、行動履歴などもパーソナルデータとして、保護の対象となりつつあります。
今までは、企業の中と外という形で説明しましたが、これからは、外と中という境界線はなくなっていくことが予想されます。サイバー犯罪が急増しており、今では、組織的な攻撃がどんどんエスカレーションしています。
個人情報がお金になるということで、個人情報を持っている全ての個人が攻撃の対象となっています。日本企業の70%が今のままでは、攻撃を検知できないと回答しています。
それに対して、グローバルで、約半数が予算不足、スキル不足を感じているとのことです。
ITリスクに対応するには、先手を打つことが重要です。
今後は、プライバシー、セキュリティ、不正に関する機能は、統合していく必要があります。
マイナンバー対策セミナー 〜データ管理に対するITリスク増大、部門横断的に乗り切るには〜
/カテゴリ: セミナー(実績), マイナンバー六本木ヒルズで「マイナンバー対策セミナー ~データ管理に対するITリスク増大、部門横断的に乗り切るには~」が開催されました。
第1部は、新日本有限責任監査法人 プリンシパル 公認情報システム監査人 米国公認会計士 清水 健一郎氏から「マイナンバー導入後のIT社会の未来図と予測できるITリスク」というテーマでお話しがありました。
マイナンバーの利用可能分野は、社会保険分野では、年金、労働、福祉、医療、税分野、災害分野に限定されており、それ以外は目的外利用として制限されています。企業側から見て影響を受ける主要業務は、人事給与業務、契約に基づく取引業務、金融取引業務となります。金融取引業務は、金融系の企業でなければ、関係ないかもしれませんが、個人で口座を持っている人は、マイナンバーを金融業者に提供する必要が出てきます。
マイナンバー法の影響を受ける業務としては、例えば、源泉徴収票のサイズが大きくなり、そこにマイナンバーを記載する欄が追加されます。マイナンバーは、目的外の利用が本人の同意があっても、原則禁止となっていますので、注意が必要です。廃棄規制というものガイドラインで定められています。マイナンバーを使わなくなったら、使用できないレベルで廃棄することも記載されています。今までは、倉庫に入れて、古いものは、いらなくなったら捨てるという運用をされていた会社もありますが、もっと、厳格な管理が必要となります。
【新日本監査法人清水先生のセミナー内容はこちら】
第2部は、「自主管理型に潜むワナ!?~ マイナンバー制度対応消去ソフトウェアの徹底活用による課題解決 ~」というテーマで、AOSリーガルテック株式会社 取締役 春山洋が講演しました。
特定個人情報の適正な取り扱いに関するガイドラインには、「保管期間を経過した場合、個人番号をできるだけ速やかに復元できない手段で消去または廃棄すること」と記載されています。電子データはPCのゴミ箱に入れるだけでは消去したことになりません。これらの取り扱いに対応したソリューションをご紹介しました。
【AOSリーガルテック春山氏のセミナー内容はこちら】
第3部は、TMI総合法律事務所 パートナー弁護士 大井 哲也氏が「マイナンバー対応のための安全管理システムの実装フロー」というテーマで講演されました。
本年2015年10月以降、マイナンバーが、個人に通知され、来年2016年1月から事業者において、現実にマイナンバーの利用が開始されます。そのため、事業者は、遅くとも2015年の秋頃までに、個人番号の提供を受けるための事業者向けガイドラインに準拠する番号管理の業務フローを確立し、かつ、社内規程、システム管理を含めた安全管理措置を導入しておく必要があります。加えて、2015年秋頃から、2015年の年末までにこの業務フローを、番号管理のための社内研修を実施しながら、システム管理のテスト運用を開始しておく必要があります。本セミナーでは、現時点から、2015年秋頃までのわずか半年間に、事業者が採るべきタスクを洗い出し、それを実装するフローを解説されました。
【TMI法律事務所大井先生のセミナー内容はこちら】
第4部は、「すべて見せます、マイナンバー収集・保管の実務 ~ クラウド型OBCマイナンバー収集・保管サービスのご紹介 ~」というテーマで株式会社オービックビジネスコンサルタント 坂口 晋一郎氏が講演されました。
マイナンバー収集・保管・利用・廃棄の流れをクラウド型サービスで実現。導入の第2フェーズ、運用の第3フェーズで実際に何をすべきか?「マイナンバー収集・保管サービス」の実演を通じて、詳しくご紹介しました。
【OBC坂口氏のセミナー内容はこちら】
AOSグループ20周年記念パーティー
/カテゴリ: セミナー(実績)2015年5月14日(木)ホテルオークラでAOSグループ20周年記念パーティーを開催しました。
20周年記念パーティーのサブタイトルは、「愚の戦略で最後に勝つ」です。
オープニンニングは、和太鼓のパフォーマンス集団「葉隠」の和太鼓から始まりました。
続いて、AOSテクノロジーズ株式会社の代表取締役社長の佐々木が会場にお越しの皆様方にご挨拶させていただきました。
乾杯のご発声と祝辞は、コスモポリタン法律事務所の高橋喜一先生にお願いしました。
続いて、佐々木より、AOSグループの全体説明です。
伝統社会はお米、産業社会は鉄なら、情報社会はデータだと思って会社を立ち上げ、データの管理、データのやりとり、データの活用に特化しデータに深掘りして来ました。この筋20年間データのAOSになりました。
親会社は、これから持株会社及びまた子どもを産むインキュベーター会社に、データ管理をメインにする子はAOSデータ株式会社、データのやりとり(コミュニケーション)をメインにする会社はAOSモバイル株式会社、データの活用の分野で、特に訴訟などの法務関連をメインにする会社はAOSリーガルテック株式会社となります。
AOSリーガルテック株式会社の説明は、取締役の春山洋が行いました。
AOSリーガルテックは、モバイル端末のデータ復旧からデジタル訴訟を支援いたします。
AOSデータ株式会社の説明は、代表取締役社長の渡邊政美が行いました。
データ管理は、スマホ、パソコンのライフサイクルに合わせた、データバックアップ、データ移行、データ復旧、データ抹消のソリューションです。
AOSBOXの会員は、有料会員で10万人を突破、100万人の会員獲得を目指すと発表しました。
AOSモバイル株式会社の説明は、代表取締役の原田典子が説明。
最後は、社員全員のシュレヒコールでパーティーが始まりました。
会場には、AOSのソリューションパネルを展示
パーティーの後半に、AOS SMSを使った大抽選会が実施されました。
AOSリーガルテック賞は、ワインのスペシャリストの渡辺順子さんがセレクトした、
ボルドーの5大シャトーのひとつ。AOSの設立と同じ1995年のプレミアムワインのCHATEAU LATOR 1995でした。
AOSデータ賞は、あのオバマ大統領に安部総理がプレゼントした伝説のパターです。
AOSモバイル賞は、アップルウォッチでした。
最後は、春山取締役の三本締めでパーティーは閉会となりました。
多数のお客様にご来場いただき、ありがとうございました。
リーガルテック®展2014
/カテゴリ: eディスカバリー, コンピュータ・フォレンジック, フォレンジック, モバイル・フォレンジック, 世界情勢, 展示会日本の歩むべき道とリーガルテック®
リーガルテック®展2014
昨年、虎ノ門ヒルズで開催されたリーガルテック®展2014で、小泉元首相が「日本の歩むべき道」というタイトルで基調講演を行いました。
知財立国を実現させる新世代の担い手たちへ
基調講演の中で小泉元首相は、「今はグローバルとローカルが一緒になった世界。ローカルを生かすためには、グローバルで戦わないと立ち向かえない時代です。私自身、ITやデジタルには疎いのですが、総理在任中は「知財立国」を製作の重要課題として取り組みました。アイデアなんて私が持っているわけがありません。有識者、専門家の知恵を審議会などを通じて集め、国の進み方を決めていたのです。私は「何が必要なのか、重要だと思う結論だけを遠慮なく出して下さい」とお願いして、後は、座って話を聞いていただけ。その中に知財立国化の政策がありました。当時の政策立案の趣旨が十分に実現されたとは言えませんが、後は、未来を担うみなさんに委ねたいと思います」という話をされました。
リーガルテック®と国際訴訟支援
AOSリーガルテックの代表取締役社長の佐々木隆仁氏は、「リーガルテック®による国際訴訟支援」というテーマで講演を行いました。
日本の「知財化の流れ」
私たちAOSリーガルテック(以下、AOS)は、1995年の設立以来、消去された電子データの復旧から捜査機関による証拠保全のための技術、そして、米国訴訟を中心とした電子データの証拠開示(eディスカバリ)のための技術提供を通して社会に貢献して参りました。世界が産業社会からデジタル情報社会への移行期にある中で、日本の現状は、立ち遅れています。小泉元首相からは、「後は、若い人たちに任せる」と、バトンを渡されましたが、2002年に小泉総理が「知財立国宣言」を行ってから、我が国の知財戦略化が本格的な政策として動き出したのです。同じ年に知的財産基本法が制定され、2005年には、知財高等裁判所が設立、知財化社会への地歩が築かれました。しかし、その後は、どうでしょうか。我が国の知財化の流れは、まだ、まだ、道半ばという状況です。日本の特許出願件数は、若干、減少傾向で、2010年には、中国に抜かれて、世界3位に順位が落ちてしまいました。
一方で企業のグローバル化にともない、日本から海外への出願件数は、12年間でほぼ、2倍に増え、日本は、世界第2位の実績を上げています。
特許使用料の収支の国別ランキングを見ると、アメリカがダントツの1位ですが、日本は、アメリカについで世界第2位となっています。
日本は、かなり、特許で稼いでいますが、アメリカとの差が大きいというのも実態です。どうすれば知財の先進国のアメリカに追いついていけるのか、そのためには、知財の権利侵害や知財窃盗が行われた場合にリーガルテック®を駆使して、証拠データを抽出し、訴訟を起こしてでも奪われた知財を取り返すという姿勢を示すことが必要です。実際に米国では、様々な権利侵害に対して訴訟が起こされ、巨額の賠償金が支払われています。日本が知財でもっと、稼ぐためには、アメリカの進んだリーガルテクノロジーをいかにキャッチアップしていくかが課題となります。
「法の支配」を下支えするリーガルテック®
リーガルテック®とは、いったいどういうものなのでしょうか。PCや携帯電話などのデータを解析し、証拠となるものを取り出すフォレンジック技術、また、企業の持つ大量の電子データを証拠として収集し、裁判で使える形で開示するeディスカバリ技術、最近はオンラインで常にバックアップを取り、データ蓄積を一元化し、同時に整理しておくことでeディスカバリやフォレンジックに対応できる、すなわち、社内データの入口から出口までのデータを一貫して把握する予防法務的な体制づくりに進化しています。蓄積された膨大なメールのアーカイブデータから必要なデータを抽出し、高速で検索可能なインデックスデータを作成しながらデータを移行するサービスや、メールのデータ送信を証明する「i証明サービス」などに広がりを見せています。
リーガルテック®が活用される典型的な場面の一つは国際訴訟です。新日鐵の技術流出事件を例に見てみましょう。新日鐵(現在は新日鐵住金)が開発し、その技術力の高さから他の追随を許さぬ看板商品で製法が企業秘密だった「方向性電磁鋼板」の技術が韓国最大の製鉄会社ポスコに流出し、さらにそれが中国企業に売られたという事件がありました。
2012年、新日鐵は秘密を漏洩した元社員とポスコを相手取り、一千億円の損害訴訟を起こしました。このような場合、情報の不正流出を証明するため入手した元社員のPCの調査が行われます。不正流出の証拠データが消されていた場合にデータを復旧できれば、不正流出の立証が可能となります。ですが、それだけでは留まりません。膨大な量のデータを復旧させて不正の痕跡を見つけ出したとしても、当該データを生のまま証拠として提出すると、そこから保守すべき機密情報を取り出される恐れがあります。そこで、私たちは、立証・開示のための情報を仕分けすると同時に、機密情報を漏らさぬために最新の注意を払って証拠データの抽出作業を行います。
こういった証拠調査を行う場合は、企業のPCなどに収められているハードディスクをそのまま調べるのではなく、原本と同じ内容であることを証明できる特殊な方法でコピーを取り、保全手続きを行った媒体に対して調査を行います。実際の証拠データ復旧調査は、弊社と捜査機関が協力して改良を重ねた「ファイナルフォレンジック」というツールで解析します。メールや削除されたインターネットの閲覧履歴、USBメモリの接続履歴などが対象となりますが、ハードディスクが壊れて動作しない場合もあり、その場合は、クリーンルームで分解した上でデータを取り出すこともあります。
今、企業からの情報漏洩において、紙で持ち出される情報は数パーセント程度しかありません。現在、そのほとんどは、USBメモリなどの外部記憶媒体から持ち出されています。これだけ企業の機密情報や個人情報の持ち出し事件や紛失事件が報道されているにも関わらず、企業の情報漏洩対策は、遅れています。業務で使われているUSBメモリを定期的に専用ソフトで消去するとか、個人情報の入ったファイルをごみ箱に入れて、空にするだけでなく、専用のファイル消去ソフトを使って定期的に消去している企業はほとんどありません。これからは、マイナンバー制度などが施行され、個人情報に関する取り扱いも厳格になってきますが、総務省のガイドラインでは、ファイル消去ソフトの使用が義務付けられてきますので注意が必要です。個人情報の印刷された紙をシュレッダーにかけなければいけないのと同様に電子データもシュレッダーソフトで消去しなければならない時代になりました。
捜査機関と連携した携帯電話のデータ復旧
また、弊社は07年から、捜査機関からの依頼に応じる形で携帯電話のデータ解析を始めました。削除された通話履歴やメール、最近ではLINEの履歴も対象で、メーカが明かさない機種ごとの内部解析も独自に行うなどの努力を重ね、技術を磨いてきました。
「大相撲野球賭博事件」をご記憶でしょうか。賭博事件捜査の過程で八百長の痕跡が出てきました。賭博事件は刑事事件ですので警察が携帯電話の調査を行いましたが、捜査の過程で賭博とは関係のない八百長の痕跡が発見されました。八百長自体は刑事事件になりませんから、警察は日本相撲協会に自分たちで独自に調査するようにと指示をしました。解析の対象はつぶされた携帯電話でしたが、筐体が壊れていても、チップまで破壊されていることはまずありません。チップを取り出して、データを抽出できればデータを解析することができます。また、削除されていた場合でも、携帯電話のメモリの中には、データの痕跡が残っていることがあります。これを特殊な技術を使って復旧できれば、重要な証拠データを抽出することができます。数千件以上の通話履歴やメールの内容などが消去として復旧されました。
「振り込め詐欺」に使われた携帯電話が、大量に警察から持ち込まれることもありません。犯行グループには、「まずくなったら通話やメールの履歴をすべて削除しろ」というマニュアルまで用意されているケースもあり、削除したはずのデータを復旧させることができれば、重要証拠を取り出すことができます。
LINEの普及が捜査を変えた
証拠が出るか、出ないかという攻防の他にも、モバイルフォレンジック技術で通話履歴のデータ解析を行うと、記録された通話回数や時間、頻度などから、スマホ・携帯電話の持ち主が誰とどのような交際をしているか、例えば、時間帯などの規則性に着目して、関連性や親しさの度合いを浮かび上がらせることも可能です。最近話題のビックデータ解析と同様の考え方です。
さらに、近年のLINEなどのチャットツールの普及で、捜査現場における証拠収集のあり方が大きく変わってきました。チャットツールが普及する前は、通話履歴を見ても会話の内容までは残されていない状態でしたが、チャットツールの場合は、やり取りの内容がテキストデータで残されているので、スマホ・携帯電話の証拠性が桁違いに上がっています。現在の捜査現場では、チャットの内容が抽出できるかどうかが立件のための極めて重要な要素になっています。逆にチャットの履歴を見れば、その人がどういう人物で誰とどういうやり取りをしているのかを正確に把握することができます。この大量のデータをビックデータ解析技術で解析すれば、その人の行動パターンや犯罪傾向などの分析も可能です。
電子ディスカバリ時代に不可欠なリーガルテック®
世界中で訴訟合戦が繰り広げられたアップル対サムスンのスマートフォンをめぐる知財訴訟では、カリフォルニア州連邦地裁大陪審が12年8月、サムスンがアップルの特許を侵害したとして、10億5千万ドルあまりの巨額の損害賠償を認定しました。陪審員の評決に大きな影響を与えたのは、ディスカバリ(証拠開示)で示された膨大なデータの中に含まれていた一通のメールでした。グーグル幹部からサムスンに対して、「アップルに似せたデザインにならないように」という注意喚起が行われていたことが分かったのです。つまり、サムスンはアップル社の特許権や意匠を侵害しているという認識を持っていたことが証明されたというわけです。
この訴訟のドキュメント量は、証拠開示の対象として3億5200万ファイル、検索回数6千万回、25の法律事務所が対応して、75件の訴訟が提起され、2千回の報告が行われたという、空前の規模になりました。
このように、米国の民事訴訟には、ディスカバリと呼ばれる証拠開示手続きがあります。これは訴訟の両当事者が相手方に対して証拠開示をも求めるもので、非常に広範囲にわたります。近年、企業活動で作られる文書のほとんどは電子データであり、これらの開示を特に「eディスカバリ」と呼んでいます。開示請求がなされたら、限られた期間のうちに社内の膨大なデータの中から目指すデータを見つけ出すことができない、あるいは意図的に隠していたことが発覚すると高額な罰金が課せられ、フェアネスを害したとして不利な判決が裁判官から示唆され、不本意な条件で和解せざるを得なくなったという事例がたくさんあります。
日本企業も、この流れに無縁ではいられません。米国で日本企業が訴訟に巻き込まれた場合には、eディスカバリが求められています。その対策として、リーガルテック®の利用はもはや不可避です。
グローバル時代に必要とされるリーガルテック®
少子高齢化が急速に進んでいる我が国は、観光、金融、IT立国、そして、知財立国の実現化が急務なのは誰に目にも明らかです。技術ノウハウを蓄えて世界中からロイヤリティを得る知財立国が日本の向かうべき未来図だと思いますが、知財をお金に変えるためには、国際訴訟を起こしてでも、知的財産を守る、ロイヤリティを得るというプロセスが不可避となっています。国際訴訟で勝利をするためには、高度なリーガルテクノロジーを駆使して戦う能力を身につけることが必要となります。
(リーガルテック®は、AOSテクノロジーズ株式会社の登録商標です)
リーガルテック®展2013
/カテゴリ: eディスカバリー, フォレンジック, 世界情勢, 展示会(リーガルテック®は、AOSテクノロジーズ株式会社の登録商標です)