社内SEゆうきの徒然日記

社内SE歴20年以上の経験からIT全般についてつぶやきます

.
トップ > 社内SE > 【裁判例】577万円の賠償命令!退職者の"削除プログラム"から学ぶ操作ログ公表の重要性

【裁判例】577万円の賠償命令!退職者の"削除プログラム"から学ぶ操作ログ公表の重要性

社内SE セキュリティ

news.yahoo.co.jp

やった人が一番悪いけどログをとってるならきちんとオープンにして抑止効果とらないと

 

 

社内反発の強さが強くて大変なプロジェクトだと知らない外野が好き勝手理想論言ってるわけじゃないよ

 

以前ログ取得システム構築のPLやった経験より・・・

 

 

 

企業の情報セキュリティ対策において、従業員のPC操作ログを取得することは今や一般的な施策となっています。しかし、多くの企業がその事実を従業員に明かさないまま秘密裏に監視を続けているのが現状です。2021年の日亜化学工業の裁判例は、操作ログの取得と公表の重要性について私たちに貴重な教訓を与えてくれました。退職者が仕掛けた「cleaner.bat」によるデータ削除事件は、企業の情報管理のあり方、特に操作ログ取得の透明性について考えさせられる事例といえるでしょう12

退職日に仕掛けられた「cleaner.bat」事件の概要

2021年、LED大手の日亜化学工業で衝撃的な事件が発生しました。同社の横浜研究所に勤務していた元従業員が退職日にデータ削除プログラムを起動させ、会社のサーバー内にあった重要なファイルを削除したのです12

元従業員は2021年7月31日に退職する予定でしたが、最終出社日は6月30日でした。その前日の6月29日に、彼は会社の共有サーバー内のファイルを削除するプログラムを作成しました。最初に「バルス」という名称で予行用バッチファイルを作成した後、「cleaner.bat」という名称のバッチファイルを作りました1

その後、自宅PCから会社の共有PCにリモート接続し、退職日の7月31日にcleaner.batが起動するように設定しました。予定通り、このプログラムは退職日に起動し、232のフォルダ内に保存されていた実験装置の操作手順書や資料、実験データなどを削除しました12

裁判所の判断と577万円の賠償命令

日亜化学工業は元従業員を相手取り、約2581万円の損害賠償を求めて提訴しました。会社側は「削除したファイルは、被告が在籍中に行った業務の成果物のほとんどであり、それらを故意に消滅させた」と主張。再開発費や被告の給与相当額などの損害を被ったと訴えました1

対して元従業員側は、「引き継ぎ指示を受けていたファイルは一部の操作手順書とファイルのみで、それ以外は引継不要とされていた」と主張。また、削除したソフトウェア関連資料には商用利用できない開発環境のものが含まれており、「このまま使えば原告や被告が莫大な損害賠償義務を負いかねない」と反論しました1

徳島地方裁判所は審理の結果、「232個のフォルダー内のファイルを故意に削除したと認められ、会社の利益を侵害した」として、元従業員に対し577万円あまりの支払いを命じました23。これは会社側が求めていた額の約4分の1ですが、裁判所が元従業員の行為に明確な責任があると認めた結果でした。

企業の操作ログ取得の実態と隠れた監視の問題点

日本企業の多くは、従業員のPC操作ログを取得していますが、その事実を公表していないケースが多いようです。特に従業員数1000名以上の大企業では、約7割が操作ログを取得していると推測されています13

操作ログには主に以下のような情報が記録されます15

  1. Web閲覧履歴(アクセスしたサイト、時間など)

  2. アプリケーションの使用履歴(起動・終了した時間など)

  3. ファイル操作履歴(作成・変更・削除などの操作)

これらの情報は、不正アクセスやデータ持ち出しなどのインシデントが発生した際に原因を特定するために重要な証拠となります12。しかし、多くの企業がこれらのログを取得していながら、効果的に活用できていないのが現状です13

特に問題なのは、操作ログの取得を従業員に周知せず、秘密裏に監視を続けている企業が多いことです。こうした「見えない監視」は、企業と従業員の間に不信感を生み出すだけでなく、内部不正の抑止効果も期待できません16

操作ログ取得の公表がもたらす効果とセキュリティ意識の向上

操作ログ取得を従業員に公表することには、以下のようなメリットがあります1617

  1. 不正行為の抑止効果: 監視されていることを認識することで、従業員は危険な行為や不正行為を避けるようになります。

  2. セキュリティ意識の向上: 情報セキュリティに対する意識が高まり、社内ルールを再確認する習慣が身につきます。

  3. 生産性の向上: 余計なネットサーフィンなどを控えることで、業務への集中力が高まります。

「社内で捕まえたいわけじゃなく、道を外す人が出てほしくないからログを取っている」と明確に説明することで、多くの従業員は理解を示し、協力してくれるはずです。重要なのは、操作ログ取得の目的が「犯人捜し」ではなく「不正行為の防止」にあることを伝えることです1617

操作ログ取得と告知の法的側面

企業が従業員のPC操作ログを取得することは、基本的に合法です。会社所有のPCで、業務上の目的であれば、従業員の監視も法的に許容されています14

しかし、以下のような場合には違法と判断される可能性があります14

  • 休憩時間中の監視(休憩時間は労働時間ではないため)

  • 職務上の合理的必要性がないのに好奇心から監視する場合

  • 上司個人の独断で単独で行う場合

また、取得した操作ログは「個人情報」に該当する可能性が高く、個人情報保護法に基づく適切な取り扱いが必要です。利用目的の同意や通知・公表、安全管理措置などが求められます18

さらに、操作ログを証拠として不正行為を立証する場合、その保存期間も重要です。多くの企業では半年から数年間ログを保存していますが、PCIDSSのガイドラインでは1年間の保存を推奨しています12

企業情報の保護と透明性のバランス

日亜化学工業の事例からも分かるように、企業の重要情報を保護することは企業存続のために不可欠です。特に、退職者による情報持ち出しや削除は深刻な損害をもたらす可能性があります123

企業の情報が「営業秘密」として法的に保護されるためには、「秘密管理性」「有用性」「非公知性」の3つの要件を満たす必要があります56。そのため、企業は情報の管理体制を整備し、重要情報へのアクセスを制限するなどの対策を講じる必要があります。

しかし、情報保護と同時に、企業は従業員に対して透明性を確保することも重要です。操作ログ取得の事実や目的を明確に伝えることで、企業と従業員の間の信頼関係を構築し、セキュリティ意識の向上につなげることができます1617

まとめ:不正を未然に防ぐための透明な情報管理の実現へ

日亜化学工業の裁判例は、企業の情報セキュリティ対策において、事後的な対応だけでなく予防的な取り組みの重要性を示しています。元従業員のデータ削除行為は577万円の賠償命令という結果をもたらしましたが、それでも失われたデータが回復するわけではありません23

情報持ち出しやデータ削除などの不正行為は、発覚した後に犯人を特定しても、すでに被害は拡大しています。重要なのは、そうした行為を未然に防ぐことであり、そのためには操作ログ取得の透明性確保が効果的です1617

「社内から反発の声が上がるのが怖い」という理由で秘密裏にログを取り続けるのではなく、「不正を防ぐためにログを取得している」という事実を正直に伝え、従業員のセキュリティ意識を高めることこそが、企業と従業員双方にとって最善の策といえるでしょう。

最後に重要なポイントを整理すると:

  1. 操作ログ取得は多くの企業で行われているが、その事実を公表していないケースが多い

  2. 操作ログ取得を公表することで、不正行為の抑止効果やセキュリティ意識の向上が期待できる

  3. 企業の情報セキュリティ対策は「犯人捜し」ではなく「不正行為の防止」を目的とするべき

  4. 透明性を確保した企業の情報管理体制が、企業と従業員の信頼関係構築につながる

企業の情報セキュリティ対策は、テクノロジーの導入だけでなく、透明な組織文化の構築も含めた総合的なアプローチが求められているのです。

Citations:

  1. https://www.itmedia.co.jp/news/articles/2505/14/news088.html
  2. https://www3.nhk.or.jp/lnews/tokushima/20250116/8020022192.html
  3. https://www.nikkei.com/article/DGXZQOCC173050X10C25A1000000/
  4. https://www.ip-bengoshi.com/archives/5701
  5. https://wandk-law.com/3995-2/
  6. https://kigyobengo.com/media/useful/1461.html
  7. https://cybersecurity-info.com/column/30422/
  8. https://www.kigyou-houmu.com/post-3656/
  9. https://tokyo-startup-law.or.jp/magazine/category01/information-leakage-by-retired-employee/
  10. https://www.yokohama-roadlaw.com/glossary/cat/post_535.html
  11. https://corporate.cright.jp/post-2545/
  12. https://www.lrm.jp/security_magazine/log-management_important/
  13. https://scsksecurity.co.jp/services/splunk/movie/column/8/
  14. https://www.kuwahara-law.com/types/19789/
  15. https://watchy.biz/contents/column/3032/
  16. https://www.lrm.jp/security_magazine/publicize/
  17. https://www.hammock.jp/assetview/media/operation-log-management.html
  18. https://www.esector.co.jp/log/column/log23-068.html
  19. https://x.com/topitmedia/status/1922431738007191588
  20. https://b.hatena.ne.jp/entry/s/www.itmedia.co.jp/news/articles/2505/14/news088.html
  21. https://legal.fronteo.com/fllp/data-deletion-of-retiree
  22. https://takumilaw.com/cases/detail1570.html
  23. https://tokkyo.hanrei.jp/hanrei/pt/9517.html
  24. https://www.ip-bengoshi.com/archives/6992
  25. https://kigyobengo.com/media/useful/3674.html
  26. https://www.xn--zdkzaz18wncfj5sshx.com/2024/06/blog-post_18.html
  27. https://ipob.co.jp/posts/post22.html
  28. https://kigyobengo.com/media/useful/358.html
  29. https://atombengo.com/column/22737
  30. https://www.jpaa.or.jp/old/activity/publication/patent/patent-library/patent-lib/201304/jpaapatent201304_079-101.pdf
  31. https://jnotary.com/info/risks-in-corporate-confidentiality-management/
  32. https://www.kakekomu.com/media/60205/
  33. https://xn--alg-li9dki71toh.com/column/confidential/
  34. https://arion-law.com/corporation/customer-list
  35. https://oikelaw-plus.com/blog/797/
  36. https://www.okamoto-law-office.com/modules/d3blog/details.php?bid=222
  37. https://www.check-roudou.mhlw.go.jp/hanrei/syuhi/syuhi.html
  38. https://www.tkc.jp/ao/topics/202401_special01
  39. https://www.roudoumondai.com/qa/retirement/confidentiality-obligations.html
  40. https://www.saitama-bengoshi.com/oyakudachi/20241120-1/
  41. https://www.mamoru-kun.com/tips/cm-information_security_quiz_n010_information-leakage-of-retirees/
  42. https://www.okamoto-law-office.com/modules/d3blog/details.php?bid=19
  43. https://www.loi.gr.jp/law/houmu07-02-04/
  44. https://www8.cao.go.jp/kisei-kaikaku/kisei/meeting/wg/2310_03human/240417/human05_0102.pdf
  45. https://www.loi.gr.jp/law/wplaw07-10/
  46. https://www.skyseaclientview.net/skyseanews/vol68_2/
  47. https://biz.moneyforward.com/payroll/basic/88946/
  48. https://www.saitama-bengoshi.com/oyakudachi/20230127-8/
  49. https://laws.e-gov.go.jp/law/140AC0000000045?hit_toc=Mp-Pa_2-Ch_35-At_234_2
  50. https://qa.okagesama.jp/labor-issues/758
  51. https://www.kuroda-law.gr.jp/column/tw-law/7626/
  52. https://www.sompocybersecurity.com/column/glossary/denshikeisanki-sonkai
  53. https://xn--alg-li9dki71toh.com/roumu/recruit/fidelity-guarantee/
  54. https://roudou-kigyou.com/taishokuji-hiitsuhojiseiyakusho/
  55. https://www.businesslawyers.jp/practices/1320
  56. https://monolith.law/corporate/denial-of-service-attack-dos
  57. https://jinjibu.jp/qa/detl/1156/1/
  58. https://www.nttcom.co.jp/comware_plus/security/201606_1_3.html
  59. https://payproglobal.com/ja/%E5%9B%9E%E7%AD%94/saas%E3%82%B3%E3%83%B3%E3%83%97%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%82%B9%E7%9B%A3%E6%9F%BB%E8%A8%BC%E8%B7%A1%E3%81%A8%E3%81%AF/
  60. https://atmarkit.itmedia.co.jp/fsecurity/rensai/isms_hint03/isms_hint01.html
  61. https://logicmonitor.saaspresto.jp/blog/log-monitoring/
  62. https://www.persol-pt.co.jp/miteras/column/pclog-acquisition/
  63. https://www.ntt.com/business/services/xmanaged/lp/column/log-monitoring.html
  64. https://j-net21.smrj.go.jp/qa/hr/Q0655.html
  65. https://ismcloudone.com/pdf/download/lp/5-Important-points-of-the-PC-operation-log.pdf
  66. https://bizee.jp/business-service/log-management-system/
  67. https://www.persol-pt.co.jp/miteras/column/working-discrepancy
  68. https://xn--alg-li9dki71toh.com/column/security-camera-in-the-company/
  69. https://www.kyoceradocumentsolutions.co.jp/column/security/article8.html
  70. https://www.skyseaclientview.net/skyseanews/vol83/
  71. https://faq-system.com/blog/faqsystem-survey/
  72. https://unitis.jp/articles/2692/
  73. https://www.lanscope.jp/blogs/it_asset_management_emcloud_blog/20231129_16849/
  74. https://www.lanscope.jp/blogs/it_asset_management_emonpre_blog/20220331_23792/
  75. https://www.webjapan.co.jp/blog/mot-log-task-management/
  76. https://bizuben.com/mail-check/
  77. https://www.logkeeper.jp/blog/solve-log-management-system-implementation-issues/
  78. https://www.roudoumondai.com/qa/discipline/monitoring.html
  79. https://clevercontrol.com/ja/4-ways-to-monitor-your-employees-legally-and-effectively/
  80. https://www.loi.gr.jp/law/houmu10-04-13/
  81. https://guide.sonr.jp/blog/communication/4141/
  82. https://www.dos-osaka.co.jp/ss1/ss1lab/2024/05/ss1-log-management.html
  83. https://bouhancamera-choice.com/bohan-camera-kokuchi-gimu
  84. https://www.hammock.jp/assetview/media/log-monitoring-misunderstanding-risk.html

 

にほんブログ村 IT技術ブログ IT技術メモへ
にほんブログ村 IT技術ブログ セキュリティ・暗号化へ
.