前のエントリでふれた事件について、逮捕された従業員の雇用主が、
「お知らせ:当社社員の不正指令電磁的記録(ウイルス)保管容疑で逮捕された件について」というコメントを出しています(平成29年11月日付け)。
会社において、会社の不正行為が疑われる場合、もしくは、従業員の不正行為が疑われる場合の対応については、いろいろな鉄則があります。
それこそ、Tycssのイベント(サイバー犯罪の傾向と対策・対応 )でも話してきましたし、詳しくは、情報漏えい発生時の対応ポイント集」や私が、調査委員長を務めました報告書「情報漏えいインシデント対応方策に関する調査」で詳しくふれているところです。
要は、「正確な事実」に基づいて「透明性原則をもとに、真摯に対応する」ということかとおもいます。事実に基づかない憶測は述べないということがここから導かれるわけです。
思い起こすと、大学の研究員の不正アクセス禁止法違反のケースで、大学の報道担当の人(記憶が正しければ、正式の人は都合がつかなくて代理で担当したはず)が、「不正アクセスには該当しないと考えています」とか答えて、その大学の刑法の先生は、誰だっけ?という事件がありました。事件の経緯は、こちらにまとめられています。
京都大学のコメントとしては、「京大は『倫理上の問題はあるものの、目的は情報化社会の安全性に警鐘を鳴らすことだった』と記者会見で述べ警視庁は『「ネット犯罪の芽を摘み取る」狙いから逮捕に踏み切ったと報じられ・・』という」というのは、ここで確認できます。
あと、また違った角度からの記事として「セキュリティ啓 者が「テロリスト」と呼ばれた顛末」という記事(佐々木俊尚 インターネットマガジン)があります。これも、これで興味深いです。
この事件のこの会社のコメントについていうと、
このコメントを出した段階で、会社は、事実関係を確認しているのかどうか、社内サーバにおける保管とShareでの保管とではまったく話が別なのではないか、この会社は、レスポンスについてもアドバイスするのではないか、そうだとすると、情報の一元的管理等の観点から、力量が推し量られるのではないか
などの疑問がでてきてしまいます。
(なお、表現を正確にすると、「社内サーバにおける保管であって外部との共有が予定されていない保管とShareでの共有を前提とした保管とではまったく話が別なのではないか」という表現のほうがいいですね。ここは、修正します。会社のプレスは、前者の意味に読めたところです。11月4日 1551加筆 /さらに、このエントリは、プレスリリースの出し方の問題についてふれたもので、実体法的な問題は、前のエントリで論じているわけなので、そちらも読んでもらえるといいです。では、ファイル共有ソフト内のネットワークにおいてクライアント会社の秘密のファイルが流れていないか、というのをみていて、そこで、マルウエアも保管していたらどうか、という問題についても、そちらの問題ですね。11月5日 0904加筆)
上の京都大学の研究員の事件では、現実に有罪判決がなされているわけです(東京地裁 平成17年3月25日)。セキュリティの会社がレスポンスの原則からみて?のコメントをしたねということにならなければいいなあとおもいます。