第111号コラム:金子 宏直 氏(東京工業大学大学院 社会理工学研究科 准教授)
題:「外国判例事情 -ブラックベリーのデータについても保存義務-」
先日の法務・監査分科会で取り上げた米国のe-Discovery事例の中から1件簡単に紹介する。米国では、訴訟が予測される時点で、企業は速やかにメールサーバーや問題の鍵となる人物の使用しているPC等のデータが消去、改変されないように保存する義務が判例法上認められるようになっている。数年前であれば、都合の悪いデータを故意に消去して、訴訟の相手方当事者からのディスカバリの要求に対応しないという者も存在していたが、近時は、そのような故意による消去は裁判所による金銭負担その他の制裁の対象となるため、制裁を覚悟の上でなければ行われない。そして、訴訟が予測される時点でも、通常業務の関係で意図せずに古いメールやファイルを順次消去することがあるため、企業は社内全体に対して適切なデータ保存を即時に行うように周知し、かつ、システム管理者等の専門家による適切な保存手順を踏むことが求められている。
情報管理の進んだ企業であれば、個人PC等の社内のシステムへの接続、USBメモリーの接続の禁止はもちろんのこと、個人用PC等へのメール転送も禁止することになる。しかし、同時に、社員の社外での活動にはメール機能等が使える携帯電話、PDA等が不可欠となる。そこで、情報管理を徹底するのであれば、企業が社員に社用の携帯通信機器を購入し貸与の上使用させ、業務での個人の携帯機器の使用を禁止する必要がある。ブラックベリーはオバマ大統領が選挙で活用していたことでも話題になったが、企業が情報管理するのに適したメール機能の使える携帯通信機器として米国で広く使われているようである。
そのようなブラックベリーを導入している企業が、データ保存義務との関係で災難にあったのが本件である。原告が以前雇用していた社員3名と新しい雇用主の企業に対して、社外秘の情報や営業秘密などを不正に利用していると訴えた事件において、ディスカバリをめぐる争いが起きた。はじめのディスカバリの争いは被告らが原告に対してメールサーバーのバックアップを適正に保存しなかったことに対する制裁の申立であったが、この被告の申立は裁判所により認められなかった。しかし、次に、原告から被告らに対して、3名が被告会社から社用に貸与されていたブラックベリーのデータ(アドレス帳、スケジュール、通話記録、テキストメール等)を適正に保存していないことが、訴訟が予測される段階に求められるデータ保存義務を果たしていない、さらには、データを破棄したことに相当するとして裁判所へ制裁の申立をしたものである。Southeastern Mechanical Svs., Inc. v. Brody et al., 657 F.Supp.2d 1293 (M.D. Fla. Aug. 31, 2009).
裁判所の認定した経緯は以下のようである。被告会社は、原告から訴訟提起の通知を受け、情報システムの管理者が当該社員のメールアカウントの使用停止、サーバーのデータの保存を行うとともに、訴訟提起当日には個人PC、ブラックベリーを社員から返却させる措置を行った。そして、PCやブラックベリーを原告側のフォレンジックを担当する訴訟支援会社へと梱包して発送した。原告側フォレンジック担当技術者が検証したところ、ブラックベリーにはデータは保存されていないが、電話のみの使用状態でもないし、手動で消去されたものではないことが分かった。未使用ブラックベリーのメモリーの状態と比較しても同一の状態ではなかった。そこで、検証から推測されるのは、使用者が①データ消去(wipe)したかハードリセットしたか、②間違ったパスワードを10回入力し続けたかということである結論した。被告側フォレンジック担当技術者も検証を行い、SIMカードに残された情報から問題の機器は電話のみに使用されたものではないことが分かるとして原告側フォレンジック技術者の検証結果に同意した。裁判所はこれらのフォレンジック技術者による検証結果に基づき、SIMカードの情報から電子メールやテキストメッセージ、連絡先情報、カレンダーの日付は関係のある三週間の期間にブラックベリーの中にあったことを示しているのに、問題の機器は使われていない状態になっているから、被告によるブラックベリーの故意によるメモリーの消去が行われたと判断し、制裁を課すのに適切であると判断した。被告が故意にデータを消去したことは被告に不利になる事実であることを陪審に説示するという制裁が命じられることになった。
ブラックベリーはサーバーとデータが常に同期するようになっているものの、機器が紛失され第三者が利用しようとすると機器上のデータが消去されるワイプ機能がある。ワイプ機能を使用すると同期していない時期のメール等のデータは機器からもサーバーからも復元することができないようである。被告ら社員は動揺して間違ったパスワードを入力してしまった可能性はある。本件裁判所の判断は、本件の具体的な事実関係に基づくもので、企業のシステムや情報管理ポリシーの違いから一般化されるかは明らかではない。しかし、企業は訴訟提起が予想される段階で社員の業務に利用する携帯情報機器のデータを決して消去しないように必要な周知をする必要があることを示している事例といえる。
【著作権は金子氏に属します】