《 不正アクセス 》　◆コンプライアンスリスク

←　前へ

§ 不正アクセスが発生したことによるレピュテーションリスク

　不正アクセスの被害を受けたアクセス管理者はあくまで被害者である。しかし、不正アクセス被害を受けることにより、当該事業者のイメージに対するマイナスはもとより、個人情報が流出したような場合には、セキュリティ対策の不十分性があったのではないか等、非常に厳しい社会的批判を受けることが多い。被害に遭っている以上、システムのセキュリティや管理体制に何らかの問題があった（と言われる）ことは避け難く、事業者としては被害を受けながらも非難されるという極めて難しい立場に立つこととなる。

　このような場合には、速やかに不正アクセス被害について情報を開示し、不正アクセスの被害状況、原因などについて調査を行うことが肝要である* 。

　なお、前掲ACCS事件では、不正アクセス被害が発生する以前よりサーバーを提供していたファーストサーバはシステムに脆弱性があることを認識していたが、あえてこれを開示しなかった。このことでファーストサーバが直接的な損害を被ったわけではないが、事件の発生した当時とは異なり、不正アクセスに対する社会的な注目度も上がっている現在において、このような対応は非常に法的リスクが高く、推奨されるものではない。

　不正アクセス被害に遭う前であっても、システムの脆弱性について認識した段階で速やかに情報およびその対応策を開示することが望まれる** 。　　

* 情報の開示は被害に遭った段階での報告、その後調査の進捗に応じて必要な情報を開示しておくことが望ましい。

** 具体的な情報開示の手順については、システムの脆弱性に対する対策が明らかになっているか等、タイミングと公表する情報内容を検討する必要があろう。しかし、不必要に脆弱性情報を秘匿することはリスクを増加させるもので、推奨されるものではない。