法務・税務・労務などの問題解決エンジン
some system placed here.

企業におけるオンラインストレージサービス利用の法的リスクと対応

  • このエントリーをはてなブックマークに追加

企業におけるオンラインストレージサービス利用

 オンラインストレージサービスは、ユーザがオンライン上のサーバコンピュータに文書、写真、動画などのファイルを保存することができるサービスです。有名なものとしては、DropboxやEvernoteなどがあります。

 オンラインストレージにファイルを保存しておくことにより、出先でもファイルにアクセスできるようになり、ファイルのバックアップをオンライン上に作ることができるようになり、また、複数人でファイルの共有をすることができるなどのメリットがあります。

 このようなメリットがあることから、オンラインストレージサービスが企業活動の中で利用されるケースも増えているようです。

 

オンラインストレージサービス利用の法的リスク

 オンラインストレージサービスはクラウドサービスの一環であるため、オンラインストレージサービスの利用における法的リスクは、実はクラウドサービス利用における法的リスクと共通する部分が多いです。

1.クラウドサービス利用における法的リスクと共通するものとしてまず考えなければならないのは、“情報セキュリティに関する法的リスク”です。

クラウドコンピューティングは、自己の管理の及ばないところで、他の利用者とサーバコンピュータを共有するという特徴を持っているために、情報セキュリティについての懸念はぬぐいきれません。

より具体的なリスクとしては、①個人情報漏洩リスク及び②営業秘密漏洩リスクなどをあげることができます。それぞれのリスクについての詳細についてはまた別の機会にご紹介したいと思います。

 

2.企業におけるオンラインストレージサービス利用に際して気を付けなければならないもう一つの点として、“著作権侵害リスク”があります。

例えば、第三者が著作権を持つデータをオンラインストレージサービスにアップロードして企業内で共有する場合、議論のあるところですが、著作者の複製権(著作権法21条)や公衆送信権等(著作権法23条)などを侵害することとなり、損害賠償責任を追及される可能性があります。

オンラインストレージサービスの利用が著作権侵害にあたるかについては、私的使用(著作権法30条)として許される余地があるのではないかという論点もあるのですが、企業内でオンラインストレージサービスを利用する場合には「個人的に又は家庭内その他これに準ずる限られた範囲内において使用」する場合(著作権法30条1項柱書)とは言いにくく、第三者が著作権を持つデータについてはオンラインストレージサービスの利用は避けた方が良いでしょう。

 

企業における対応

 前述のようなオンラインストレージサービス利用に伴う法的リスクを回避するためには、社内規程によってオンラインストレージサービスの利用を禁止してしまう方法もありますが、それでも従業員が会社に無断で使用することによりリスクが発生する場合もありますし、何よりサービス利用により受けるメリットが失われてしまいます。

 オンラインストレージサービスをはじめとするクラウドサービスの利用は、企業における情報システム構築・運営コストを低減させるだけでなく、在宅業務の実現や業務効率化においてもメリットを発揮します。

 重要なのは、法的リスクを適切に管理した上で、メリットを企業活動に活かしていくことであると考えます。

 それでは、企業においてオンラインストレージサービスを積極的に利用していく場合、どのような実務的対応をとるべきでしょうか。

 特に情報セキュリティに関する法的リスクは、外部のサーバコンピュータを利用する以上、その発生が不可避となる場合もあります。その際に、企業が重い責任を問われないために重要なのは、法的リスクに対して適切に対応をとるなど注意義務を果たしていたかどうかということになります。

 そこで、おおまかにではありますが、次のような対応をとっていくのが良いと考えています。

  1. オンラインストレージサービスを企業活動に利用すること、利用の範囲、条件、情報セキュリティの方針等について意思決定をする。
  2. 意思決定した内容を社内規程に落とし込んでルール化する。
  3. 社内規程に沿ったオンラインストレージサービスの利用がされていることについて情報管理責任者などによる定期点検等を実施し、ルールが適切に運用されているかモニタリングを行う。

 上記1の意思決定は、どの範囲でオンラインストレージサービスを導入するかによりますが、社内の重要情報について対象に含める場合には「重要な業務執行の決定」(会社法362条4項)として、取締役会決議を必要とする場合もあるように考えます。

 上記2の社内規程(ルール)の内容としては、対象データの範囲、データ管理の方法、データ管理責任者・組織、モニタリングの方法、セキュリティインシデント(情報セキュリティに関するアクシデント)が発生した場合の対応などについて定めておくことが考えられます。

 

参考資料

経済産業省  「クラウドサービス利用のための情報セキュリティマネジメントガイドライン(改訂版)」http://www.meti.go.jp/press/2013/03/20140314004/20140314004.html

上記ガイドラインは、クラウドサービスの有用性に着目してその利用を推進するという目的のもと、クラウドサービスを安全・安心に利用するための情報セキュリティ管理や情報セキュリティ監査についてチェックすべき点が包括的指針としてまとめられています。

本記事は、2014年03月18日公開時点での情報です。個々の状況によっては、結果や数値が異なる場合があります。特別な事情がある場合には、専門家にご相談ください。
ご自身の責任のもと安全性・有用性を考慮してご利用いただくようお願い致します。


この記事のアドバイザー

yoshida 吉田秀平

弁護士

上場企業の総務・法務を担当した経験を活かして、中小企業、ベンチャー企業、スタートアップの支援をさせて頂きたく思っています。訴訟になる前に、リスクが顕在化する前に、低コストで高い効果の予防法務サービスを提供することが目標です。

  • 所属:しぶや総和法律事務所


新着記事
公式Facebookページ 公式Facebookページ
誰に何と相談していいかわからない方へ
050-7576-0762
[日本法規情報]
  • 平日10:00~20:00
  • 土日祝終日、受付のみ対応

誰に何と相談していいかわからないあなた。
私達が相談相手探しのお手伝いをいたします。

無料相談・全国対応 050-7576-0762 お電話ボタン