第三者認証と責任の加重あるいは軽減
前回の質問に答えるには、「第三者認証がなぜ求められるのか」という原点に帰った議論が必要でしょう。なぜなら、「見えない品質の可視化」は当該企業のためにあるのではなく、それを購入する相手先、とりわけ情報不足に陥りがちな最終消費者のためにあるからです。
・ケース・スタディをやってみた
責任の加重と軽減が、同じ条件で比較できるケースはなかなか想定しにくいのですが、私たちは以下のような設定で思考実験をしたことがあります(林紘一郎・鈴木正朝 [2008]「情報漏えいリスクと責任―個人情報を例として」『法社会学』第69号)。
そこで、両社に個人情報を含むデータベースへのアクセスを許し、システム開発を始めたところ両社とも漏えい事故を起こし、同一の被害者(X)の個人データを漏えいしてしまった。Y がXの損害賠償を認め、AとBに求償請求することになった場合、両者の注意義務に差はないと考えるべきか? それともAの方により高い注意義務があるのか? あるいはBの方により高い注意義務を求めるべきだろうか?
ここで、責任が加重される(べきだ)とする立場(加重説)の根拠は、消費者は「第三者認証を取得した」ことを表明している企業を(他社よりも)信頼して取引したのだから、相対的に高まった信頼度に応じた責任を負うべきだというもので、消費者の立場を第一にした判断とも言えそうです。
他方、その対極の立場(軽減説)の根拠は、取得企業は第三者認証を取得する過程で平均より高い注意を払って体制を整備したのだから、その分責任は軽減されてしかるべきだ、というものです。後者は更に、仮に保険をかけるとすれば、認証取得企業の掛け金の方が安くなるはずで、そこには努力に報いるインセンティブが入っていると主張するでしょう。
この両者の中間に、法的な責任とISMSとは何の関係もない、という立場(無関係説)もあり得ます。法的判断は原則として制定法の枠内で、個別の事情に基づいて行なうべきで、ソフト・ローであるISMSは飽くまでも参考資料に過ぎないという立場です。
・3つの説の利害得失
この3つの立場のどれが正しいでしょうか。実は私たちは、この論文を執筆した2007年から2008年にかけて、講演の依頼がある度にこのケースを提示して、挙手によってどれを支持する人が多いか測ってみたことがあります。その結果は、意外というべきか想定通りと言うべきか、3説が鼎立する状況でした。
加重説は、信頼度の向上と責任の加重を連動させることで、ハード・ローとソフト・ローの整合性が取れる利点がありますが、ISMSを取得すれば責任も加重されるとすれば、認証取得にブレーキがかかるかもしれません。この説は理論家の支持が多いものの、実務家には支持者が少なかった印象があります。
逆に軽減説は、第三者認証による自助努力を促す意味では有効ですが、取得しさえすれば軽減されるというのも、余りに安易とも言えそうです。この説はISMSの実務家や保険業界に支持者が多かったように思います。中立説も3分の1ほどいましたが、伝統的な法学者は、このように考えるべく訓練されているのかもしれません。
しかし残念なことに、個人情報保護法の全面施行(2005年4月1日)は、このような冷静な議論を打ち砕き、情報セキュリティに関する法環境を一変させてしまいました。ISMSやP(プライバシー)マークを半ば強要する社会的雰囲気が出来上がってしまったからです。
ここでは「法律はその精神に沿って守られねばならない」という本来の遵法精神が歪められ、強迫観念(あるいは免罪符)のように企業等を縛っています(郷原信郎 [2007]『法令順守が日本を滅ぼす』新潮社)。
自主的に情報セキュリティを守ろうとする姿勢は、大いに評価すべきとの見方もあるでしょうが、漏えい事故は減少の気配を見せないし、事故の責任が解明されて再発防止に生かされたという例も多くありません。さらに悪いことに、法的責任(liability)はますます「希釈化」され、他方でマス・メディアや消費者の一時的・感情的ともいえる非難に怯える企業は、管理監督責任や実行者責任を厳しく追及します。その結果、就業規則に基づく懲戒や情報管理システムによる締め付け(シン・クライアント)等、狭義の法以外の手段による「実質厳罰化」が、深く静かに浸透しています(林・鈴木 [2008])。
・民事責任としての「コミットメント責任」
以上3つの説はそれぞれに利害得失があり、1つだけが正解とは言い切れませんが、私の説は以下の通りです。まず、基本的には加重説を取らないと、年々複雑化・深刻化するサイバー・インシデントに対応できないと思います。しかし、インシデントに備えることとそれが発生することには時間的な差があるので、時間軸で適用を考える必要があります。ISMSなどの第三者認証は、本来の趣旨に沿って適用すればインシデント対応力が全体的に向上すると思われるので、これを推奨することは有益です。その限りで軽減説の主張する通り、認証取得者の保険料を軽減するなどの措置には賛成です。
しかし、現実にインシデントが発生した場合は別問題です。その場合には、認証取得企業の方がより厳しく責任を問われるのでなければ、社会全体としてセキュリティ・レベルの向上を期待することができません。もちろん、この場合の責任は直接損害賠償額に反映されたものだけでなく、認証が取り消されるとか、保険の更新が難しくなる(保険料が上がる)などの不利益を、総合したものです。
つまり、事前の対応としては軽減説で良いが、事後の対応としては加重説にならざるを得ないと考えます。そのような意図を明確にするため、私たちは「コミットメント責任」という概念を提案しました。コミットメントという用語は、ゲーム理論等において広く使われており、ここでの語感に最も近いと思われる定義は、「コミットするというのは、自分が将来にとる行動を表明し、それを確実に実行することを約束すること」(梶井厚志 [2002]『戦略的思考の技術:ゲーム理論を実践する』中公新書)でしょう。
これらを踏まえ、「事業者が、情報管理の取扱いに関する約束事を消費者に対して表示し、または社会に対して宣言したにもかかわらず、それに違反することによって生じる責任(法的責任を中心としながらも、より広い概念としての責任。免責を含む)」(林・鈴木 [2008])を、「コミットメント責任」と呼ぶことを提案したのです。
この概念の源流は、英米法におけるエストッペル(estoppel、禁反言)の法理です。これは、一方の言動(または表示)により他方がその事実を信用し、その事実を前提として行動(地位、利害関係を変更)した場合、他方が生じた結果に対して、一方の側が以前と矛盾した事実を主張することを禁ぜられる、とする原則です。わが国では、このような用語が直接使われていませんが、この原理は、信義誠実の原則(民法1条2項、民事訴訟法2条)から導かれると思われますので、かなり普遍的な概念と言えるでしょう。しかし、情報法の観点からすれば、この理念を提唱することには特別の意味があります。
なぜなら、このブログでこれまでに5回を費やしたことからも分かる通り、「品質表示と責任」というテーマは、「コミットメント責任」といった概念を用いないと、正確に理解することが出来ないからです。なお今回は「民事責任」を中心に述べましたが、ご存知のとおり、法的責任にはもう1つ「刑事責任」があります。こちらの方は、次回に説明します。