パスワード管理サービスを提供する「SplashData」は1月、ネット上で使われている「最悪なパスワード」のランキング(25位まで)を発表した。トップ5は、(1)123456(2)password(3)12345678(4)qwerty(5)12345。
「SplashData」は、こうしたパスワードについて、「ハッカーによって容易に推測することができる」とセキュリティの面から警鐘を鳴らしている。
もし、会社のパソコンや仕事上で使用するクラウドサービスなどで、従業員がこうしたパスワードを設定していて、情報が漏洩してしまった場合、どのような責任を負うのだろうか。石井邦尚弁護士に聞いた。
●カギは指示の「強さ」と「明確さ」
「不適切なパスワードを設定していたり、不適切な管理でパスワードを漏えいしたりして、会社に損害が発生した場合、(1)それを理由とする『懲戒処分』(実際に損害が発生していなくても問題となり得ます)や、(2)労働契約上の義務違反あるいは不法行為に基づく『損害賠償』が問題となり得ます」
石井弁護士はこのように指摘する。具体的にはどんなケースだろうか。
「不適切なパスワード設定・管理等が、社内規定や会社の業務命令・指示等に対する違反となることが前提です。
実際に懲戒処分が適法と認められるか、どの程度の懲戒処分が認められるか、あるいは、損害賠償請求が認められるかは、会社の社内規定や従業員への教育・指示などが、どのようなものかにもよるでしょう。
指示等については、私の造語ですが、『指示等の強さ』と『指示等の明確さ』の2つの軸で考えると良いと思います。
何らかの指示等があったとして、それが、上司から口頭で言われただけなのか、教育・研修がなされたりしていたのか、文書に残る形での指示があったのか、何らかの社内規定が設けられたのか、といった事情も影響してきます。日頃からどの程度『口うるさく』言われていたか、といったことも影響するでしょう。これが『指示等の強さ』です。
そして、指示等がどの程度具体的で明確だったか、ということも重要な判断要素になり得ます。単に『パスワードを設定するように』という指示等しかないときに、容易に推測できるようなパスワードを設定してしまった場合と、『●文字以上で、必ず英数字を混在させること。一般名詞や固有名詞、誕生日や電話番号の数字など推測されやすいパスワードは避けること』などと具体的な指示等がなされているのに、それに明確に違反するパスワードを設定した場合では、評価が異なってくるでしょう。これが『指示等の明確さ』です。
指示等が曖昧な場合、「最悪なパスワード」ランキング25位以内に入るようなパスワードだからといって、そもそも指示等への違反とはならないと評価される可能性も十分にあります。
現在のセキュリティ意識が高まってきている状況からすれば、さすがに『123456』や『password』では、『実質的にパスワードを設定していないと同じ』という評価もあり得るかもしれません。しかし、ランクインした『dragon』『starwars』などであれば、そこまで評価するのは難しいように思います。
また、指示の内容の他にも、担当する業務の内容や、パスワードを設定するシステム等の性質などといった、さまざまな要素を考慮して、評価されることになると考えられます」
●従業員任せにせず、セキュリティ対策を
やはり、トップ25に入るようなパスワードの使用は、控えたほうがよいのだろうか。
「そうですね。不適切なパスワード設定・管理等があったからといって、直ちに懲戒処分や損害賠償となるとは限りませんが、トラブルを避けるためにも、適切にパスワードを設定するよう、心がけてほしいと思います。
また、会社も、単に『パスワードを設定しておくように』という指示だけで済ますのではなく、『指示等の強さ』『指示等の明確さ』を意識して、より具体的な指示をしたり、社内教育や社内規定の整備等を行うことも大切です。
さらに、重要なものについては、できれば、パスワード管理を従業員任せにしないで済むようなシステムや、セキュリティのための設備(たとえば、生体認証)を導入することも検討することが望ましいと思います。
なお、今回は詳しく説明しませんが、従業員の過失に基づく会社から従業員への損害賠償請求については、『責任制限の法理』と呼ばれる判例法理があり、従業員に何らかの過失があったからといって、直ちに損害賠償請求が認められるわけではなく、認められる場合にも金額が限定されたりします」
