はじめに
2022年6月10日に開催された日弁連第73回定期総会において、第5号議案「弁護士情報セキュリティ規程制定の件」が可決されました。同規程は、「成立の日から起算して二年を超えない範囲内において理事会で定める日から施行」されることとなっています。
まだとはいえ近いうちに施行されるので、いまのうちに少し中身を確認して「これからなにをすればよいのか」を確認しておきましょう。
(2024年2月2日 追記)
まだ確定情報ではありませんが、施行日が2024年6月1日となったようです。
どんな義務が追加されたのか
0 ざっくりとした概要
おおまかにいうと、「情報セキュリティを確保するために、PDCAサイクルをまわせ!事故がおきたらそれなりに対処しろ!」ということが義務づけられました。ベースはISMS(情報セキュリティマネジメント JISQ27000とかISO27000シリーズとか)。
https://www.jisc.go.jp/app/jis/general/GnrJISNumberNameSearchList?show&jisStdNo=Q27000
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-1.html
A 追加された義務
①取扱情報の基本的な取扱い方法の策定(3条2項) → Plan
弁護士等は、取扱情報の情報セキュリティを確保するための「基本的な取扱方法」を定めなければならないこととされました。これがPDCAサイクルのPlanに相当する部分なので、まず最初に取り組まなければならないところです。
一般的なところでいう「セキュリティポリシー」ですね。セキュリティポリシーには、基本方針(企業としてどのように取り組むかを明文化したもの)と対策基準(基本方針を実現するために行うべき対策や基準を定めるもの)を記載し、詳細な実施手順は別途定めるのが一般的なようです。
②安全管理措置義務(4条1項・2項) → Do
基本的な取扱方法の策定を前提として、管理体制を整備し、組織的、人的、物理的及び技術的な安全管理措置を講じる義務のほか、事務職員等にも情報セキュリティ対策を講じさせるべき義務が追加されました。PDCAサイクルのDoに相当する部分です。事務職員や修習生等にも情報セキュリティ対策を講じさせないといけないというのがポイント。
③情報のライフサイクル管理(5条) → Do
情報ライフサイクルの全段階(作成、取得、保管、利用、提供、運搬、送信及び廃棄)において、情報セキュリティが確保されるよう取扱情報を取り扱う義務が追加されました。情報ライフサイクルの段階は、生成、保存、利用、廃棄だけのシンプルなものからやたら詳細なものまで結構バラバラなのですが、日弁連は「政府機関等のサイバーセキュリティ対策のための統一規範」14条に準拠することとしたようです。
結局、「情報を作成ないし取得してから廃棄するまでの全段階で情報セキュリティを確保せよ」という内容なのですけどね。
④事故発生時の対応(7条) → Do
事故が発生した場合、影響範囲の把握や被害の拡大防止、原因調査、再発防止策の検討その他の措置を講じるべき義務が追加されました。
なお、逐条解説によれば、この「事故」は、情報セキュリティインシデントすべてをさすのではなく、「守秘義務(弁護士法第23条、弁護士職務基本規程第23条等)及び事件記録管理義務(同規程第18条等)に抵触する重大な事象、すなわち取扱情報の漏えい、滅失、毀損等に限られている」ということです。
もっとも、比較的軽微なセキュリティ「事案」(事故にあたらない情報セキュリティインシデント?)への対応については、「弁護士職務基本規程に規律された信義誠実義務(同規程第5条等)及び信用等保持義務(同規程第6条等)として捉えるべき」とされているので、上記事故にあたらなければ適切な措置を講じなくていいということにはなりません。気をつけましょう。
B 追加されたが努力義務にとどまるもの
①危険把握義務(3条1項・努力義務) → Planの一部
取扱情報の種類や性質等に応じた情報セキュリティに対する危険を把握するよう努める義務が追加されました。リスクマネジメントにおけるリスクアセスメントに相当するので、ここが努力義務でいいのかという気はしますが・・・
注:あらゆるリスクについて把握しきることは困難であることに鑑み努力義務とされているようです(逐条解説)
②研鑽教育義務(4条3項・努力義務)
情報セキュリティに対する知識を涵養し、研鑽及び教育の努力義務が追加されました。あくまで努力義務ですけど。なお、法令及び法律事務に対する「精通」と同様の水準を求めるものではないらしいです(逐条解説)。
③点検及び改善義務(6条・努力義務) → Check/Action
安全管理措置及び情報のライフサイクル管理の方法が適切に機能しているか点検(Check)し、必要に講じてこれらの改善(Action)をする努力義務が追加されました。努力義務となっていますが、情報セキュリティに関する環境(技術や攻撃方法等)は日々変化しているので、基本的な取扱い方法や具体的な安全管理措置については定期的な見直しが必要です。適宜改善していきましょう。
Q&Aでも、「基本的な取扱い方法」を実施していないことが懲戒対象となるかにつき、「具体的な事案における個別事情を総合的に勘案して判断される」としながらも、「実際の場面では、当該弁護士等が定めていた「基本的な取扱方法」の内容も含めて、当該弁護士等が講じていた情報セキュリティ対策が、その時点におけるセキュリティ対策に関する社会のすう勢を踏まえた一定の水準から見て非難されてもやむを得ないものであったか否かが重要な判断要素になる」とされていますので、定期的に見直しをしていないと足をすくわれるかもしれません。
C その他
①情報セキュリティの定義(2条1項)
情報セキュリティ規程における「情報セキュリティ」は、機密性(1号)・完全性(2号)・可用性(3号)という情報セキュリティの3要素が維持された状態をいうものとされていますが、可能であれば責任追跡性、否認防止等の要素も検討できるとよいかもしれません。
②対象となる情報の範囲(2条2項)
なお、情報セキュリティ規程における「取扱情報」とは、弁護士等がその職務上取り扱う情報(紙、電磁的記録等その保管媒体を問わない。)から、情報セキュリティの3要素をいずれも維持する必要がないことが明らかな情報を除いたものというかなり広い定義となっています。
機密性を維持する必要がないという条件であればともかく、完全性(情報が書き換えられたり消去されたりしていないこと)や、可用性(必要なときに情報にアクセスできること)を維持する必要がない情報というのは通常廃棄されてしまうため、基本的に職務上取り扱うすべての情報について同規程が適用されると考えておいたほうがいいように思います。
注: 情報セキュリティの3要素をいずれも維持する必要がないことが明らかな情報の例として、逐条解説では業者のチラシやFAX等が、Q&Aではこれらに加え一般的な書籍や法律雑誌等がその例としてあげられています。
③規程の目的
なお、同規程の目的は、弁護士等がその職務上取り扱う情報の情報セキュリティを確保するために必要な事項を定めること(1条)です。
どこから手をつける?
規程の内容からすると、まずは「基本的な取扱方法」(3条2項)を策定する必要がありますが、近いうちに日弁連から「基本的な取扱方法」のモデル案が公開される予定なので、ゼロから策定する必要はなさそうです。
といっても、公開されるモデル案が安全性最優先で利便性を全く考慮していないものであったり、逆に利便性を重視しすぎて安全性に欠けているものである可能性もあります。そこで、当面は公開されるモデル案を参考に執務環境や業務態様に適合した適切な「基本的な取扱方法」を策定できるよう、基本的な情報セキュリティについて学んでおくというのはいかがでしょうか。
サイトだと、総務省の「国民のためのサイバーセキュリティサイト」はわりとおすすめです。
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/index.html
なお、興味と時間がある人は、情報セキュリティの歴史から学べる『情報セキュリティの敗北史』や、小規模事業者向けに書かれている『小さな企業がすぐにできるセキュリティ入門』(お金や手間をかけずにできる対策からセキュリティ計画の立案まで対応!)、値段もサイズもお手頃な『情報セキュリティ読本』(なんと600円!でもIPAが出しているちゃんとした本。サイズもおてごろ。なお、最新は今年10月に発売された六訂版)といった書籍で学ぶのがおすすめです。
ちなみに、従前の弁護士情報セキュリティガイドラインは廃止されます。