Quantcast
Channel: 企業法務ナビ
Viewing all articles
Browse latest Browse all 2999

サイバー犯罪と会社の責任

$
0
0

スマートフォン

はじめに

 朝日新聞デジタルによると、家電など「IoT」機器を経由した新手のサイバー攻撃に悪用される恐れがあるとして、無線LAN製品の出荷を停止した会社があるようです。同製品は既に約1万5千台出荷されており、同社は、修正プログラムの配布まで、製品の使用を中止するよう利用者に呼びかけています。今回は、世間を騒がせることの多いサイバー攻撃と企業の法的な責任について見ていこうと思います。

サイバー攻撃

 サイバー攻撃とは、コンピューターシステムやネットワークを対象に、破壊活動やデータの窃取、改ざんなどを行うことを指します。サイバー攻撃の詳しい内容や防止策については、内閣サイバーセキュリティセンター(NISC)のホームページや配布資料等をご参照ください。

NISCホームページ
ネットワークビギナーのための情報セキュリティハンドブック

過去の事例

 京都府宇治市から住民基本台帳の情報が漏えいした事件では、一人あたり1万5千円の賠償金支払いの判決が宣言されました。また、ある会社のエステコースに関する個人情報が漏えいした事件では、一人当たり3万5千円の賠償が命ぜられました。このようにみると一人当たりの賠償額は決して高いとは言えません。しかし、ベネッセの個人情報流出事件では、1万人が原告となる集団訴訟が起こされました。情報漏えいの規模が広がると、利害関係人が当然増えます。ベネッセの事件では、原告一人当たり5万円を訴額としたため、約1万人の原告が約5億9千万円の支払いをベネッセに求めています。仮に1万円前後の賠償額が判決として命令されるとしても、約1億円程度の賠償が予想されます。

法的観点での検討

 裁判上損害賠償を請求する場合、民法415条の債務不履行に基づくか、同法709条の不法行為に基づく賠償請求が考えられます。これらの条文はどちらも過失があったことを賠償請求の要件としています。
 この過失について東京地方裁判所で注目すべき判決が下りました。この裁判は、ウェブサイト上の商品受注システムを利用した顧客の、クレジット情報が流出した事件に関するものです。流出の原因は、システム開発を受託した会社のアプリケーションに脆弱性があったということでした。この裁判では複数の争点が形成されましたが、注目されるのは、アプリを開発した会社の過失について、当時の技術水準として適切なセキュリティ対策が講じる「黙示の合意」(暗黙の内に意思の合致があったこと。)があったとされたことです。契約上黙示の合意が認定されると、それは契約の内容となり当事者双方を拘束します。誤解を恐れず端的に言いますと、社会全体でセキュリティへの関心が高まっており、サイバー攻撃に対して一定以上の備えをすることが、明示するまでもなく当然の認識になってきたということを、裁判所が認定しています。そして、この裁判ではアプリを開発した会社に債務不履行責任として2千2百万円以上の賠償命令が出ています。
 このようにセキュリティの対策を進めるべき注意義務が認められるとすると、これに違反することが過失となります。そこで、更に進んで考えられるのは、同じように過失が要件となる取締役個人への損害賠償請求においても、セキュリティ対策を行うべき体制作りなどで、過失の認定に影響が出るということです。会社自体への損害の他、取締役等の責任についても今後の展開に注目する必要がありそうです。

参考
日本ネットワークセキュリティ協会
東京地方裁判所判決(PDF)
国民生活センター
BUSINESS LAWYERS

一歩進んで

 サイバー攻撃についての過去の事例や法的問題については上で見てきました。しかし、今回のルーター回収騒動では一歩進んだ検討が必要になる問題だと考えられます。それはサイバー攻撃がルーターというIoTについて仕掛けられるリスクです。
 IoTとはInternet of Things の略称で、従来はサーバー、プリンタ等のIT関連の物がインターネットに接続されていましたが、IoTとはそれ以外の様々なものをインターネットに接続することを言います。これに関連して既にWebカメラへの不正アクセスによる盗撮の危険、自動化された車が遠隔操作される危険、IoT対応機器を踏み台としたサイバー攻撃の危険が指摘されています。
参照

 IoT関連の事件については未だ法律上の検討は十分にされていません。しかし、車の自動運転が実用化されそうな昨今の事情を見ると、従来は考え辛かったサイバー攻撃により人が傷つく攻殻機動隊のような時代がくることは十分予見できます。サイバーセキュリティを十分に構築しない企業には、人を傷つけたことに関する不法行為責任や、製造物責任が負わされる可能性があります。つまりIoTのセキュリティを構築しない会社のリスクは法律上も高まり、人が傷つけば傷害、死亡に対応した損害賠償金の支払いが命じられるリスクが高まるということです。この問題に対応した法律の整備は現状十分とは言えません。
 また、必ずしもIoT独自の問題とは言い難いのですが、サイバー攻撃(DDos攻撃など)の踏み台にIoT関連機器が利用される懸念があります。この場合、企業がセキュリティの脆弱性を放置したと認められれば、その企業がサイバー攻撃を行っていなくとも、攻撃に加担した側として法律上の責任が問われる可能性はあります。法律上は、被害者救済が第一と考えられる場合、多少責任の中心から遠い当事者であっても責任が認められる場合はあります(IoT機器では開発、セキュリティ管理など責任の根拠になり得る事実は存在すると考えられます)。

コメント

 サイバー攻撃に十分備える必要が法律上も認められるという傾向は、今後も拡大するかと考えられます。程度によっては家の戸締りをするというのと同レベルでセキュリティが語られるかもしれません。確かに最も責任を問われるべきは攻撃を加える人間ですが、真昼間に玄関の扉を全開で外出するかのようなセキュリティ意識であれば、その意識に対しても批判は集まるでしょう。また、自社に損失が出る以上、法務担当の視点でもサイバーセキュリティに備える必要性は大きそうです。サイバーセキュリティに関しては、社員の意識を変えるだけで効果が上がる対策もありますので、上記内閣サイバーセキュリティセンターのハンドブックを利用した社内研修を行うなど、対策を始めると良いかもしれません。IoTについては、開発の段階から特許権等に関連して法律上の問題は生じます。その際には、製品化後の製造物責任、不法行為責任のリスクを考慮する必要も出てきそうです。
参考
サイバー攻撃の可視化
サイバー攻撃の可視化で見えてくるもの


Viewing all articles
Browse latest Browse all 2999

Trending Articles