《 不正アクセス 》 ◆コンプライアンスリスク
§ 経済的負担
前掲ACCS事件においても、システムの脆弱性対策のためにファーストサーバは1億円程度の予算を費やし、セキュリティ環境の再構築しており、不正アクセス被害の発生は事業者にとってのコスト負担増というリスクもある。
それ以上に、事業者にとっては損害賠償リスクが大きい。特に不正アクセスにより、当該事業者の提供するシステムの利用者のシステムが利用できなくなった場合や、秘密情報が漏洩した場合などは、当該利用者に対する損害賠償責任* を負うリスクがあり、特に、その情報が個人情報などの場合には、多数の個人ユーザーに対し、債務不履行または不法行為に基づく損害賠償責任を負うことになる。例えば、エステティック事業者の個人情報漏洩事件では、漏洩した個人情報により識別される個人に対して1人あたり35,000円の損害賠償義務が認められている** 。
もちろん、何らかのセキュリティ対策を講じていたにもかかわらず、不正アクセス被害にあったような場合で、安全対策を講じる注意義務を尽くしていたと言えるような場合には、ただちに損害賠償責任を負うわけではない。そこで問題となるのは、アクセス管理者として、どの程度のセキュリティ対策を講じていれば注意義務を尽くしていたと言えるかという点である。
この点については一義的な基準を設けることは難しい。ただ、一般的にはシステムのセキュリティに対する各種ガイドラインなどに準拠してセキュリティ対策を施していれば、注意義務違反を問われる可能性を減らすことはできよう*** 。
過去の判例では、エステティック事業者が顧客の個人情報をウェブサイトの公開領域に置いていたためにこれが流出した事件について、裁判所は「個人情報を含む電子ファイルについては、一般のインターネット利用者からのアクセスが制限されるウェブサーバーの「非公開領域」に置くか、「公開領域」(ドキュメントルートディレクトリ)に置く場合であっても、アクセスを制限するための「アクセス権限の設定」か「パスワードの設定」の方法によって安全対策を講ずる注意義務があったものというべきである」と判示している 。
このケースは、サイトの公開領域に個人情報を置いていたという、いわば注意義務を全く尽くしていないといわれても仕方のないケースである。不正アクセス禁止法上も当該個人情報の取得が不正アクセス行為とすら言えない可能性のあるものであったが、少なくとも個人情報などの情報を取り扱う事業者において一定のセキュリティ対策を講じる必要があることが示されたものと言える。
* 事業者がシステムを利用できなかったことによる逸失利益や秘密情報が漏洩したことにより被った経済的損失の賠償などが考えられる。
** エステティックホームページ個人情報流出事件(東京地判平19・2・8判時1964号113頁)
*** 事業者にとって、どの程度のセキュリティ対策を講じうるかは得られる利益とコストとの関係で決せられる面がある。億単位の金額で提供されるシステムに求められるセキュリティレベルと無償で提供されるシステムのセキュリティレベルは異なっても仕方ない面もある。このほか不正アクセスにより漏洩する可能性のある情報の内容などによっても、求められるセキュリティレベルは違ってくるはずである。