よくある疑問質問についてお答えします。
※社労士の方々の質問を得て、適宜バージョンアップします。
◆お問合せ・ご質問は sr-bengo@makino-law.jp までメールください。
Q1 対応が遅いのはなぜなのですか。なぜ、今なのですか?
事故は昨年6月5日に発生しましたが、当初は混乱もあり、詳細が判明せず、6月15日に緊急の全国社会保険労務士会連合会個人情報保護委員会を開催し、エムケイシステムからもヒアリングをしましたが、感染経路、原因については情報を得られませんでした。その後のエムケイシステムからの報告を踏まえて、11月10日に全国社会保険労務士会連合会(以下「社労士会連合会」という。)としてエムケイシステムに対して質問を行い、その回答を11月20日に得ましたが、発生原因と再発防止対策の整合性についての確認ができませんでした。
また、各社労士事務所から、様々な相談がなされたこともあり、社労士会連合会としては実情の調査を実施することとして、12月6日、同27日に東京・大阪の社労士事務所の先生を中心にヒアリングを実施しました。この中での意見を集約し、問題解決の方向性を探りました。
これらを踏まえ、2024年の当初から、議論を重ね、調停申し立ての方向性を提案するに至りました。
Q2 今何が提案されているのですか?どうすべきであるとの提案ですか?
ヒアリングにおいても多くの事務所で時間外勤務や休日出勤などが発生し、また、システムが実際に稼働し実用できるようになったのは8月頃からであったことから、2か月間の苦労があることが判明しました。また、顧問企業からマイナンバーの再取得の要請があり社労士事務所が費用負担を余儀なくされた事案、予定していた物価上昇に伴う顧問料の増額ができなくなったことにより実質的な赤字が発生した事案、顧問企業からの信用が失墜した事案等が報告されていました。これらの損害が補填されるどころか、エムケイシステムではその後システム利用料の値上げを行い、それに対する社労士の先生方の不満も大きいことがわかりました。こうした損失をどう補填するか、救済するか、が大きな争点の一つです。
また、再発防止対策が適切なのか、今回に限らず、再発したような場合に、顧問企業に対して社労士事務所だけが全責任を負う形のままでいいのか、エムケイシステムのシステムの安全性に関して、何も知らない状態で、社労士の先生方が責任だけ負わされる形でいいのか、という問題があります。これは、契約内容にかかわるもので、交渉を踏まえた解決が求められるところです。
以上、最大の2つの問題を見た場合に、エムケイシステムとの話し合いを前提に問題解決の道を探る必要があると考えられましたが、エムケイシステムとしては、すでに既存契約書があること、今回のランサムウエア攻撃に関してはエムケイシステム側には責任はない、との姿勢を崩しておらず、単なる交渉では解決できないため、公正な第三者の下での話し合いの道、すなわち民事調停による、協議を前提とした解決を進めるべきであるとの結論となりました。
現在、多くの社労士事務所がエムケイシステムを利用している現状を踏まえて、エムケイシステムに対して過度の負担や要求をすることは避けるべきであること、エムケイシステムにとっても望ましい方向性を提示すること、も考慮しました。賠償についてもエムケイシステム側の保険が使えるよう示唆していくことになります。
こうして、被害を受けた社労士事務所にとっても、また、エムケイシステムにとっても、合理的な解決方法が得られる方法として民事調停の申立てを提案しました。
Q3 なぜ民事調停で解決するのか
民事調停は、あくまでも話し合いが前提なので、円満解決を目指して、根気強く解決策を話し合うことになります。しかし、努力しても合意点が見いだせない場合には、調停は成立せず、「不調」(調停不成立)として終了します。その場合には、争いをあきらめるか、さらに訴訟手続に移行するか、を選択することになります。訴訟に移行しても、多くの場合には裁判官が和解提案を行い、和解で解決するケースが多くなっています。
調停手続は、話し合いを基本とし、手続は原則として非公開です。これに対して訴訟は原則として手続は公開されています(ただし、弁論準備手続は非公開で行われます。)。調停不成立となった場合、2週間以内に訴えを提起すると、手数料が減額されるというメリットもあります。
Q4 調停といっても、弁護士費用が掛かり、回収可能か不明であれば、むしろ被害が増加するのではないか
民事調停を申し立てたとしても合意に至らない場合や、損害について立証が不十分であれば、賠償金が得られるのか不明です。また、その後の裁判となった場合にも確実に賠償が確保できるかは、現状、明らかではありません。
なお、民事調停にかかる弁護士費用等については、社労士会連合会が窓口になって個々の社労士の先生方が加入されているサイバーリスク保険を活用し、「争訟費用」として保険適用を得て、弁護士費用に充てられる可能性があります。
したがって、こうした保険に加入されていれば、申立人(のちの訴訟において原告となった場合を含め)になった場合の訴訟費用は保険金から支払われる場合もあり、そうなれば社労士事務所、社労士の先生方の実質負担を低減できるものと考えます。ただし、保険金の支払には様々な条件があり、社労士の皆様に費用の自己負担が一切発生しないことを約束するものではありませんのでご承知おきください。
無保険状態におられる事務所、社労士の先生の場合には、低額の着手金で対応するなどの工夫が必要となると考えております。
Q5 民事調停などで、賠償を得られた場合には、どのように配分されるのか?
調停でも裁判でも、賠償金が支払われる場合には、各申立人の実情、被害額に応じて、裁判所が判断した金額が、エムケイシステムから支払われることになります。その額が、実際に支払われた場合には、その獲得した金額のおおよそ1割が弁護士の成功報酬とさせていただくことを考えております。そのような内容の訴訟契約書を作成して、あらかじめ合意することになります。賠償額が得られれば、その9割が事務所、先生方の賠償金となり、これには税金がかからない仕組みとなっています。
Q6 この提案の場合、民事調停では社労士会連合会が申立人となるのでしょか?社労士会連合会の関係はどうなるのですか?
社労士連合会がエムケイシステムと契約していれば申立人となれますが、現時点では、社労士会連合会は契約者ではないので、申立人とはなれません。また、社労士の先生方全員がエムケイシステムを利用しているわけでもないので、社労士会連合会が中心となって行動することもできません。
社労士会連合会は、社労士の地位向上のために行動するものであって、一部の先生のためにだけ行動することもできません。しかし、多くの社労士事務所や社労士の先生方が被害を受けているような場合や、顧問企業に対する影響が大きい場合などには、社労士会連合会として問題解決に向けた援助が必要となります。
したがって、社労士会連合会としては、事案の解明への対応、影響などの調査、ヒアリングを行い、社労士事務所、社労士の先生方への影響などを点検、確認し、具体的な行動等に関しては契約した社労士事務所や社労士の先生方が不当な扱いを受けないように助力をすることが求められるでしょう。
以上から、民事調停などは契約者である社労士事務所や社労士の先生方が中心となり行動し、費用負担も社労士事務所、社労士の先生方が負うこととなり、各自の保険を利用する、という関係になり、社労士会連合会はこうした費用を一切負担することはありませんし補助することもありません。社労士会連合会は、多くの被害者となって社労士事務所や社労士の先生方が、不当な扱いをされないように注視し、相談を受け、必要なアドバイスなどを行う立場になります。
Q7 申立人となる場合には、どのような作業、手続きが必要でしょうか?
まず、調停申立ての趣旨を理解いただき、弁護士に調停を委任するための訴訟委任契約の締結、委任状の作成・提出をお願いします。契約書には、ご自身の損害内容をできるだけ詳細に記載したもの、それを示す資料などを添付していただきます。形式は別途ご説明しますが、基本は作成者の氏名がわかるようにしていただきます。
同時に、加入している保険会社に対して、今回の調停申立の件をお知らせいただき、「争訟費用」と認定して、必要な費用の支払い請求をしていただきます。なお、社労士会連合会が団体契約者となっている「社会保険労務士賠償責任保険」における特約「サイバーリスク保険」及び「サイバーリスク保険情報漏えい限定補償プラン」に加入している場合は、トラブル弁護団を窓口として対応できるよう保険会社と協議を進める予定です。
無保険の事務所、先生におかれては、トラブル弁護団に連絡いただければ、対応を協議させていただきます。
以上の作業で、調停申立と提出資料がそろったところで、弁護士が大阪地方裁判所に申立てを行います。その後、裁判所が求めることに対応することになりますが、こうしたケースでは、社労士の先生方に、裁判所に出ていただくことはほぼないと思います。ただ、大きな額の請求の場合には、その内容の確認のために裁判所への出頭をお願いすることがあるかもしれません。
交渉、協議等に関しては、受任した弁護士が担当しますので、その交渉内容については、後日、ご報告することになります。
交渉が成立する見込みの場合には、委任状を提出された先生方に同意していただく必要があり、メールなどにて同意の意思表示をお願いすることになります。
Q8 私が参加しなくても、皆さんが頑張ってくれれば大丈夫なのではないですか?参加しなくても得られる利益(契約改定の利益)は得られそうですが?
まず、賠償請求はご本人が参加しないとできないことなので、その点は参加いただくことが必須となります。
次に、契約改定の件について検討します。そもそも、契約は当事者ごとに締結することが基本ではあるので、契約に意義のある事業者は、自ら契約者として異議を出す必要があります。ただ、当事者が多数いる場合には、契約の一部を約款として定型化して合意することがあり、民法では定型約款(548条の2)の規定を置いて、合理的な内容、相手方の権利を害するものでない場合であれば合意したものとみなすものとしました。したがって、システムの取り扱い条件(価格等)、利用条件などを約款で定めることは可能であって、こうした部分では改定の利益は万人に及ぶといえるでしょう。
しかし、責任の範囲や免責条件、権利行使の方法などに関して、契約で個別に定めることは可能であって、システム提供事業者の判断で、あまねく広く認めるのではコストが膨大となる等のため、一部の事業者のみ認める、といった判断をした場合には、これを否定することはできません。調停を起こした事業者に対してのみ一定の権限や請求権を認める、という方法がとられるかもしれません。
契約は、基本的には事業者相互の個別合意が基本であって、その内容は当事者の合意によってのみ成立するということからは、安易な「フリーライド」が可能だから万全とは言えないでしょう。
私法の世界では「より勤勉な債権者が守られる」という格言があります。申立人となるのは、まさに勤勉な債権者として、言うべきことを言い、なすべきことをなす、ことにより、自らの権利を守ることができる、ということでしょう。
Q9 訴訟に移行する場合には、調停の時と何が違うのですか?
訴訟に移行すると、原告の主張立証がまず必要となります。主張としては法律構成とその構成を支える具体的な事実を示し、さらに立証としては様々な記録が証拠として提出され、また、必要に応じて人証調べ(本人尋問、証人尋問など)が行われます。
これに対して被告は反論を行い、必要な反証を行い、手続は原則として公開されます。
こうして、攻撃防御を行い、和解ができなかった場合は判決に至る、という手続になります。
Q10 今締結している契約は、ユーザにとって大変不利な内容となっていると思いますが、今後、契約や約款の変更は可能なのですか?
大変不利な契約を締結されていること自体をまず問題としなければなりません。制限された現行契約の中で適正な情報処理、責任分担ができていないことを示して、契約の改定、約款の改定を求めていくことが必要だと私たちは考えています。契約は両当事者の合意によって成り立ちますので、多くの社労士事務所、社労士の先生の統一的な意向を示すことが重要になってきます。仮に、合理的な変更を求めたのに、相手方がこれを受け入れないということになれば、途中解約や契約の不更新を検討すべきこととなるでしょう。エムケイシステムは一度契約している以上は慎重に検討することになるでしょうが、途中解約や契約の不更新は望ましくないでしょうから、合理的な内容への変更についても検討せざるを得ないと考えます。
Q11 エムケイシステムは、過失はないと言っているようですが、本当に過失がないのでしょうか?
現時点では、事故の原因、侵入された時期とネットワーク経路、感染経路などが明確にされていないので、過失の有無についての明確な判断はできない状況です。エムケイシステムの一部の発言では、ユーザ側(一部の社労士事務所)から侵入され、それが管理サーバへの侵入原因であるとの説明がされたと聞き及んでいます。しかし、そもそも単なる利用者に過ぎない社労士事務所のIDパスワードが乗っ取られたからといって、管理サーバにアクセスできるはずはなく、仮に実態がそうであったならば、基本的にサーバ管理者の管理ミス、重大な善管注意義務となるはずです。特に、エムケイシステムは「可能な限りのセキュリティ対策のもとサービスを提供」すると契約で明記していますので、「可能な限りのセキュリティ対策」をしたことを示して、かつ、不可抗力であったということを示さない限り、過失がないとは言えないことになるでしょう。
Q12 一般にクラウド事業者は責任を取らないといっているようですが、今回のケースではどうですか?
クラウド事業者にもさまざま形態があり、クラウド事業者だからと言って一律の責任に免れることができるわけではありません。提供するサービスと利用者との合意の中で、どのような管理が必要であるかを見ていく必要があります。
一般にクラウドに挙げられたデータに関してクラウド側が管理責任を負わない場合には、クラウド事業者は「悪意重過失」によって、情報を破壊したり、漏洩したりした場合以外は責任を負わないということが多いようです。これは、システムの完全性や攻撃の多様性を配慮し、サービス提供に限界があることを示しているケースといえます。
これらに対して、あたかも、銀行のように、情報を重要資産として認識し、それを安全確実に管理し、顧客(社労士事務所)が保管するよりも、はるかに安全に保管管理するというケースでは「善管注意義務」が基本となり、高度の注意義務が課され、したがって、高度の責任が発生することになります。銀行が、金融資産を預かり保管している場合とほぼ同様であると考えられます。エムケイシステムは、「可能な限りのセキュリティ対策」を行っていることを明記しているので、高度の注意義務とそれに対応した責任を負うべきだと考えられます。
Q13 契約している社労士事務所が、エムケイシステムを監督できていない、という場合には、社労士事務所にはどのような責任があるのですか?
社労士事務所がエムケイシステムに対して個人データの取扱いを委託していると解される場合、個人情報保護法上、社労士事務所は委託元として、委託先のエムケイシステムを監督する義務があり、この義務に違反することになります。万が一、この義務に違反した状態で、漏えい等が発生した場合、社労士事務所は、個人データの本人に対して、不法行為に基づく損害賠償責任を負うことになります。
また、社労士事務所は、顧問先企業から個人データ(特定個人情報を含む)を預かり、取り扱っていることから、顧問先企業との間の業務委託契約上の義務(善管注意義務)にも違反することになります。その場合、社労士事務所は、顧問先企業に対して債務不履行に基づく損害賠償責任を負うことになります。
Q14 この調停でエムケイシステムが賠償責任を認めたら、エムケイシステムが倒産する危険はありませんか?
エムケイシステムも、情報漏えい等を起こし、顧客から損害賠償請求を受けた場合に備えて、サイバーリスク保険に加入しており、数億円の賠償金を保険でカバーできるようになっていると考えられます。したがって、賠償責任を認めたからといって、即倒産ということになるわけではないと考えます。
Q15 値上げが承服できないのですが、申立では、値上分について損害賠償の範囲に含めず、契約改定などの措置を求めているのはなぜですか?
エムケイシステムが昨年12月分から利用料を値上げした手続には問題があると考えられ、場合によっては値上分を損害または不当利得として請求することも考えられます。
ただ、今回行うのは「民事調停」という話し合いですので、まずはエムケイシステムが話し合う余地があることを主張する必要があります。
値上分を一律返還するとすればエムケイシステムの経営に与える影響は大きく(しかもサイバー保険でてん補されないと考えられます。)、これを請求してしまうと話し合いにはなりにくいと考えています。
もっとも、話し合いに誠実に応じないなどエムケイシステム側の対応によっては、民事訴訟で請求することも検討すべきと考えます。
Q16 私は、エムケイシステムは使い物にならないと判断して契約を解除し、現在は社労夢ユーザーではありません。しかし、被害を受けたので怒りがあり、今回の調停に参加したいのですが、参加できますか?
もちろん参加できます。今回の調停の法律構成は、エムケイシステムとの契約があり、それに基づいてエムケイシステム側の債務不履行(システム停止等)があり、被害を受けたことついて賠償を求めることになります。
債務不履行による損害が発生している場合には、仮に契約を解除したとしても、損害賠償請求権が消滅するものではありませんので、調停申立の当事者となることに何らの支障もありません。
Q17 現状、エムケイシステムは自身の過失を認めておらず、真の原因が不明ですが、そのような場合でも、エムケイシステムに損害賠償義務を負わせることができるのでしょうか?
社労士の先生方とエムケイシステムとの間には、「社労夢」の利用契約がありますので、エムケイシステムは、社労士の先生方に対して、「社労夢」を利用させる義務を負っています。この利用させる義務を果たせないということは、債務不履行となります。債務不履行の場合、条文上、損害賠償を請求する社労士の先生方は、債務が履行されていないことや損害の発生、その金額などを主張・立証する必要がありますが、エムケイシステムに帰責事由(故意・過失を含む)があることまで主張・立証する必要はなく、逆に、エムケイシステムの側において、帰責事由が無いことを主張・立証する必要があります。したがって、エムケイシステムが自身の過失を認めておらず、原因が不明であるからといって、損害賠償請求が認められないということにはなりません。ただし、実際の裁判では、原告・被告を問わず、可能な限りの証拠を提出して、真実を究明していくことになります。
Q18 サイバー保険に加入しているので、今後の何らかの損害が生じたとしても保険でカバーできるはずです。調停に参加する意味はどこにあるのでしょうか?
サイバー保険に加入されているのは、生じた損害についてのリスクが回避できるので、とても良いことだと思います。しかし、顧客に対する信用といった無形の財産は保険でカバーすることは困難です。
そもそも保険でカバーできるのは事後的に生じた損害であり、サイバー保険に加入したとしても、社労士の方々が顧客からお預かりしている個人情報を保護することには直ちにつながりません。
サイバーセキュリティを確実にするためには、環境を徹底して改善し、最新レベルの防御態勢をとって、情報を守り切ることであり、十分な再発防止策が策定される必要があります。
今回申立てる民事調停では、今回の事故で実際に生じた損害の賠償のほか、サイバーセキュリティを確実にするための解決を求めることも行いますので、十分に意味のあるものだと私たちは考えています。
Q19 私の事務所の場合、従業員もおらず、敢えて損害を計算してみてもわずかな額で請求するつもりもありません。それでも、調停に参加する意味があるのでしょうか?
この調停は金銭賠償だけが目的ではありません。金銭賠償に加え、契約の改定や値上げの見直しなどの「相当な解決」を求めていきます。引き続き「社労夢」をお使いになる場合には、こうした事故が再発しないための対応を明確にしたり、事故が再発した場合の責任の取り方を考えなければなりません。
エムケイシステムとの契約のなかでは、利用者は「必要な措置」を求めることができると規定されており、適切な再発防止策の策定や監査の実施などを求めることができます。顧問企業から信頼され、預けられた個人情報などを適切に管理するのが社労士の責任であり、義務でもあります。責任ある社労士と評価されるように、今はっきりと対応していくことが重要です。
また、金銭賠償の点からいっても、今回の事故により、利用者の方の信用が毀損されている可能性があります。私たちが聴き取りをおこなっているなかでも、顧問企業から契約を解除されたり、マイナンバーの書き換え費用を負担させられたり、値上げ交渉ができなくなったりしたという声をたくさんいただいております。こうした事情からすると、利用者である社労士の皆さんの信用は大きく毀損されていると評価することができます。したがって、実損がなかったとしても、潜在的な顧客を失うといった信用の毀損があり、これによって生じた損害を請求することはできます。今一度、冷静に損害の有無を判断されるのが良いと思います。
Q20 エムケイシステムからは、クラウドサービスなので社労士からの個人データの取扱いの再委託はないと説明されています。そのような場合に、エムケイシステムにセキュリティの監督・監査を求めることができるのでしょうか?
クラウドサービスについて監督・監査を求められるのかという点ですが、個人データの取扱いについての監督については、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となり、当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には委託元は監督責任を負いません(ガイドラインQ&A7-53)。そして、当該個人データを取り扱わないこととなっている場合とは、契約条項によってクラウド事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合が考えられるとされています(同)。
「社労夢ハウス」利用契約書によれば、30条でエムケイシステム(乙)も「本サービスの遂行目的(第31条第2号の「データ処理」を含む。)の範囲内でのみ使用し」と明記しており、自ら使用することを明記し、かつその使用を甲に認めさせていることから、個人データの取扱いを委託していることが認定できるでしょう。さらには、31条1項2号で個人データの処理が可能であること、さらにその場合には「特定することが不可能となる措置」を乙が実施するとしており、安全管理の一環を乙にゆだねていることになります。したがいまして「個人データを取り扱わないこととなっている場合」に該当せず、利用者の皆さんはエムケイシステムに対して委託先監督責任を負うと考えられます。
仮に「委託」に該当しない場合であっても、クラウドサービスを利用する事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります(ガイドラインQ&A7-55)。エムケイシステムがいうように再委託がないと仮定したとしても「安全管理措置の一環として」セキュリティの監督・監査を求めるべきでしょう。
いずれにしても、社労士としては、エムケイシステムに対して監督し、監査を行うことが必要でしょう。
Q21 法人の場合、誰が調停の申立人になるのですか?法人ではなく、個人事業主の場合はどうですか?
通常、法人の場合、法人自体が権利義務の主体となりますので、法人が調停の申立人となります。他方、個人事業主の場合は、個人が調停の申立人となります。ただし、本件は、契約に基づく損害賠償や、契約内容の改訂等を求めることになりますので、エムケイシステムと契約を締結している人が申立人となる必要があります。例えば、法人がエムケイシステムと契約していれば法人が申立人となりますが、法人であっても、社労士の先生個人がエムケイシステムと契約していたときには、社労士の先生個人が申立人となる必要があります。