不正アクセス
アクセス管理者の義務と不正アクセス被害の防止
【アクセス管理者に対する義務】
不正アクセス禁止法は、不正アクセス行為を禁止する法律であるが、不正アクセスを受ける側であるアクセス管理者や、国などに対しても一定の義務を課している。
その義務の内容は、以下の通りである。
・防御措置構築(努力義務)
・不正アクセス再発防止のための都道府県公安委員会による援助
・国家公安委員会、総務大臣及び経済産業大臣に対する、不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況の公表
・国家公安委員会、総務大臣及び経済産業大臣に対する、関係団体への情報の提供その他の援助(努力義務)
・国の不正アクセス行為からの防御に関する啓発及び知識の普及(努力義務)
※アクセス管理者による防御措置構築は努力義務であるから、アクセス管理者が防御措置構築を怠っていたとしても、不正アクセス禁止法の処罰対象となるわけではない。しかし、セキュリティ、管理体制を全く講じていない場合や極めて不十分な防御措置しか構築していない場合には、民事賠償責任を問われる可能性がある。
【不正アクセスが発生したことによるレピュテーションリスク】
不正アクセスの被害が発生した場合、不正アクセスの被害を受けたアクセス管理者はあくまで被害者である。しかし、不正アクセス被害を受けることにより、当該事業者のイメージに対するマイナスはもとより、個人情報が流出したような場合には、非常に厳しい社会的批判を受けることが多い。
このように、不正アクセスの被害が発生すると、当該事業者としては被害を受けながらも非難されるという極めて難しい立場に立つこととなる。
このような場合には、速やかに不正アクセス被害について情報を開示し、不正アクセスの被害状況、原因などについて調査を行うことが肝要である。
また、不正アクセス被害に遭う前であっても、システムの脆弱性について認識した段階で速やかに情報およびその対応策を開示することが望まれる。