2018.12.18 Tue

「シャドーIT」とは、従業員が企業の管理下にないIT機器等を無断で業務に使用する行為のことです。たとえば、会社で認められていないはずのクラウドサービスを、実際の業務で利用してしまっているケースなどが該当します。

 シャドーITを使うことで、情報漏えいのリスクが高まります。そのため、従業員に使用をやめるよう訴える企業も多いでしょうが、現場の危機意識は簡単には改善されません。

 しかしシャドーITで気をつけるべきなのは、情報が流出する/しないということだけではありません。シャドーITを放置することで生まれる「法的リスク」についても、気をつける必要があります。

 今回は、法律の側面から見た、シャドーITの“本当の怖さ”を紹介します。

 

シャドーITを「見て見ぬふり」すると会社のせいになる

 シャドーITがもたらす最大のリスクは、先に挙げた通り「情報漏えい」です。損害や被害を引き起こした原因が、たとえ意図せずに発生した「過失」によるものだったとしても、損害賠償などの民事責任を問われる恐れがあります。

「過失」による情報漏えいが争われた裁判に、「東京ビューティーセンター(TBC)個人情報漏えい事件」があります。これは、TBC社のサーバー設定の不備という過失により、個人情報がインターネット上に漏えいしたとして、被害者が慰謝料などを求めた裁判です。平成19年8月、東京高等裁判所は、不法行為(民法709条)と使用者責任(同法715条)の成立を認め、TBC側に慰謝料などの支払いを命じる判決を下しました。

 TBC事件の判決では、故意のみならず過失による情報漏えいであっても、法的責任が生じることが明確になりました。

 つまり、シャドーITによって従業員が情報漏えいしてしまった場合も、シャドーITを放置した企業には原則として法的リスクが発生することになります。

 

「フリーウェア」のはずが、フリーに使えない?

 シャドーITの法的リスクは、インターネット上において無償で提供されるアプリケーション「フリーウェア」も対象となります。

 フリーウェアを使うことで、企業側はお金を使わずに、無償で便利な機能が利用できます。しかし、… 続きを読む

全文(続き)を読む

続きを読むにはログインが必要です。

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

なかむら いちろう/studio woofoo(www.studio-woofoo.net)

なかむら いちろう/studio woofoo(www.studio-woofoo.net)

情報学博士・ITコンサルタント・テクニカルライター

ITと法律分野の多彩な知識を生かして「情報学」の博士号を取得し、企業や自治体でのコンサルティングや各方面での執筆をこなす。
著書に『「俺の酒が飲めねーか」は犯罪です』(講談社)、『あなたの知らない「ヘン」な法律』(三笠書房)がある。

関連キーワード