ルール運用のコツ

(1) はじめに：筆者の経験筆者は、弁護士としての独立が比較的、早いほうであったため、業務に使うITツールを自分で決める必要があった。業務の効率化、コストの削減、そしてセキュリティの確保など、いろいろな基準でツールを選び、あるいは変更してきたが、教訓としては、次のようなものがある。これは、企業におけるネットトラブルの防止の観点からも参考になる視点ではないかと思う。① システムのコストは金銭コストだけではなくて、運用の手間隙も含まれる。そして、後者のほうが過酷である。② 素晴らしいルールを定めても、遵守に手間隙がかかるのであれば、①と同じ問題が生じる。③ 手間隙がかかるルールは、守れなくなるばかりか、かえってミスを誘発して事故の原因となる。④ 自分のミスは自分では気づかない。企業におけるネットトラブルの予防法というと、厳格なルールを定めることが有効に思われがちであるが、そうではない。筆者は、情報漏えいや不適切な発信などのネットトラブルについて相談が持ち込まれると、まず社内ルールの有無とその運用状態を尋ねるが、全くルールがないというケースばかりではなく、むしろ厳格なルールが定められていたにもかかわらず守られていなかった、というケースもしばしば目にする。したがって、ルールの策定にあたって、守りやすさなども考慮する必要がある（詳細は(2)で述べる）。コラム4 弁護士業界と情報漏えいと IT 化米国には、スミソニアン博物館という国立の博物館がある。博物館の展示品は多岐にわたるが、その中の1つにタイプライターで有名な産業遺産というものがある。この産業遺産に、「ファクシミリ」が加わったというニュースが報じられたが、同時に、いまだに日本ではファクシミリが現役であることが話題になった。法律事務所においては、ファクシミリはまだまだ現役バリバリである。何といっても、こんな定めがあるくらいである。民事訴訟規則3条1項柱書裁判所に提出すべき書面は、次に掲げるものを除き、ファクシミリを利用して送信することにより提出することができる。（以下略）同2項ファクシミリを利用して書面が提出されたときは、裁判所が受信した時に、当該書面が裁判所に提出されたものとみなす。わざわざ裁判所の窓口まで持参する、郵送する（センシティブな情報が満載なので、郵送には本当に気を使う）などよりも、ファクシミリのほうがはるかに便利であるが、時代遅れの感は否めない。ファクシミリの誤送信の事故はたびたびあるので、事前にテスト送信する、電話して「届きましたか？」と確認するなど、未だに本当にアナログなことをしている。このような事務コストは、最終的には弁護士の依頼者に転嫁されかねないので、依頼者にとっても裁判手続のIT化は喫緊の課題であるといえる。特に、令和2年以降、新型コロナウイルスの爆発的感染拡大に伴い、極力、裁判や法廷に行くことは避けるべきとされた。現在、行動制限は緩和され、マスクも個人の判断ということとされたが、それでも新型コロナウイルスは未だに猛威を振るっている。裁判所も弁護士会も、テレビ電話の活用を続けているという状況である。こうした中、裁判所は、インターネットを利用して双方の画像と音声を認識できる、いわゆるウェブ会議システムを利用したテレビ電話にて裁判期日を実施することを広く認めている。もちろん、尋問など難しいが、法廷に行かないでできることは、極力オンラインでやろう、ということである。裁判所のそばに法律事務所を設置している弁護士でも、往復時間や待ち時間などで30分程度は使うし、裁判期日本体は数分で終わる、一時時間がかかるのは、「次の期日の調整」であったりする。このような不合理な時間の使い方を防止でき、移動時間が削減できれば、お互いの時間設定を柔軟にできるので、期日調整もスムーズである。民事訴訪のIT化は、裁判の迅速化にもつながっている。ところで、IT化するとなると、弁護士が保存している裁判資料、電子化されることになる、たとえば、事件記録をPDFで保存するなどである。そうすると、当然、情報漏えいが問題になる。もちろん、以前から、書類が紙に吹かれて飛んでいった、などというような漏えいはあったが、電子化された書類であると、その影響は深刻である。1枚2枚の書類であれば紙に書かれるが、記録のファイル1冊がまるごと吹き飛ぶことはない。しかし、電子化された場合、たとえば、USBメモリであれば、落としてファイル1冊分の情報が漏えいする可能性を洗る。筆者が耳にしただけでも、事件記録を入れたUSBメモリを紛失した、事件について投稿するメーリングリストについて第三者が閲覧できるようになっていた、そのような事例が発生している。さらに、弁護士が参加するメーリングリストに、故意に投稿するとやりとりなどが誤送信されるという事故も目にするところがある。大勢の弁護士が参加しているので、相手方（敵方）の弁護士もいるかもしれない、自分の身に起きたら……と考えると非常に心配になる（こうした事故の防止方法、心がけについては、本書においても扱う）。このような情報漏えいについて、IT化、記録の電子化が原因であるとして、そもそもセンシティブな情報を電子化するべきではない、という議論もある。しかしながら、紙にしたところで風に吹かれて飛んで行ってしまうことはあるため、電子化されたから危険であるということとは必ずしもいえない。さらに、弁護士が作成する文書は、証拠類と同様にセンシティブな内容が含まれる。センシティブな情報の電子化を拒むのであれば、同時に、文書作成の電子化してはいけない、ということになる。そうすると、文書作成にパソコンを使わないで手書きで行うべき、ということになりかねない。つまり、IT化はもはや避けがたい、どのように情報漏えいなどのトラブルを避けるべきか、それを真剣に考えるべきである。「情報漏えいが怖いので電子化はしない」は、もはや時代遅れの発想であるだろう。(2) ルール作りと運用の3原則① わかりやすいこと② 実行が簡単であること③ 文書にしておくことまず、①が大事なのは、理解していただきやすいと思う。ルールは守ってもらうためにあるわけだから、わかりやすいことは、どんなルールにおいても必須である。もっとも、ネットトラブル防止の観点からは、わかりやすいことは十分に意識しないといけない。しかし、こうしたルールを作るのは「詳しい」人が担うことが多い。そのため、詳しい人が詳しい人のために、詳しい人でないとわからないような難しいルールを作ってしまいがちである。実際、筆者の経験上も、失語や情報漏えいの事件を起こした企業の中には、立派なルールが備わっていたことも少なくない。しかし、ルールが守られていないから、事故が発生したのである。といっても、ルール無視の不良社員が起こしたかと思いきや、そういうわけではなく、ルールの内容を正確に理解していなかったことが原因であるケースが大半である。具体例を挙げると、公式アカウントの情報発信について、「意見が対立している分野については言及しないこと」「政治的なことは発信しないこと」などのルールがあり得る。しかし、意見が対立している分野かどうかについては、個々人の基準次第でどうにでも解釈されてしまう。電車と飛行機、どちらが速いかと聞かれれば、飛行機と答える方が多そうだが、値段や手続時間、遅延リスクまで入れたらどうなのか、と問われると答えが分かれるだろう。この例において、あらゆる分野について意見の対立は想定されるのであり、厳密に考えれば何も言うなということ等しい。逆に厳密に考えないのであれば、自由に何でも発信してよいのか、ということになる。もっとも、情報漏えい防止のためのルールとして、「指示されたソフトウェア以外はインストールしないこと」と定めたところで、ダウンロードしたファイル（ソフトウェア）をダブルクリックして実行してしまう人にはあまり意味がない。その他、「業務用データを外部に持ち出さないように」と定めたところで、USBメモリに入れて持ち出しはしなくても、個人用の電子メールアドレスに業務用データを送信して、それで持ち帰り仕事をするのは持ち出しではない、と勘違いされることはあり得る。ルール上のニュアンスについて、知っている人は詳しいかもしれないが、そんなことはないという場合は「（笑）」と思われるかもしれないが、実際にはよくある話である。では、具体的に、「わかりやすい」とはどのようなルールをいうのだろうか。具体例については、本章3節以降のそれぞれトピック（注意点）において説明するが、「誰が読んでも同じ意味にとれること」が望ましい。もっとも、法律の条文が、読んでも同じ意味にとれる解釈の幅がない、あっても少ない）ということがポイントである。もっとも、法律がそうであるように、あるルールを、誰もが見ても同じ意味に理解できるように文章化することは不可能である。ただ、それに近づけることはできるので、できる限り工夫をしよう、ということである。次に実行が簡単であること、実はこれが最も重要である。企業の情報セキュリティに関する情報漏えい防止の策に、実行が簡単でないと困る、つまりは面倒なのはだめだというは何の持ち事か、と思われるかもしれない。しかし、これこそが最も重要な要素である。面倒なルールは、特にそれが事故防止、安全にかかわるものであり、守らなくても普段は大丈夫（事故にまでつながらない）なので、守られにくくなってしまうからである。したがって、不適切な情報発信の防止のために、SNSの投稿1つひとつに、複数の担当者の決裁を必須にする、情報漏えいの防止のために、ファイルごとに、個別に暗号化、使用のたびに暗号化（暗号化した状態に戻すこと）を徹底する、そのような手間のかかるルールを定めるべきではない。誰でも、さほど手間をかけずに実行できるルールを設定することが有効である。これについても、具体例は、本章3節以降でそれぞれ解説する。