[クラウド活用に向けた「法律＋ITセキュリティ」相談室]

2014年6月9日(月)「法律＋ITセキュリティ」相談室

【経営者の疑問】

　外部からの不正アクセスによる情報漏えいが発覚した。莫大な数の顧客情報が漏えいしてしまい、お客様には大変な迷惑・心配を掛けている。だが、我が社も被害者ではないのだろうか。顧客への損害賠償額は、自らが漏えいさせてしまった場合と比べ軽減されないのだろうか。
そもそも、クラウドサービス・プロバイダーのシステムが十分に不正アクセス対策を取っていなかったから、こんなことになったんだ。彼らの責任は追求できないのだろうか。

【藤井 総 弁護士から回答】

関連する主な法律：不正アクセス禁止法、刑法に定められた不正指令電磁的記録（いわゆるコンピュータウイルス）に関する罪

不正アクセス者に対する法による処罰は期待薄

　企業のWebサイトやシステムへの不正アクセスに対し、法は、どのように対処しているのでしょうか。情報セキュリティの保護を目的とした法は、いくつもあります。近年の情報セキュリティ保護の重要性の高まりから、新法の制定が相次いでいるからです。

　その中でも、情報セキュリティを害する行為に刑事罰を科す法としては、「不正アクセス禁止法」と「刑法に定められた不正指令電磁的記録（いわゆるコンピュータウイルス）に関する罪」の2つが代表的です。前者は、他人の識別符号（IDやパスワード）を無断で入力したり、コンピューターの脆弱性を悪用して不正にアクセスしたりする行為を罰しています。後者は、正当な理由がないのに、不正指令電磁的記録を作成したり利用したりするといった行為を罰しています。

　ただし、これらの法が、不正アクセスに対する抑止力や不正アクセス者の処罰による根絶などで十分な効果を上げているかというと、必ずしもそうではありません。犯罪者に対して刑事罰を科すためには、当然ながら、犯罪者を特定する必要があります。しかし、ほとんどすべての不正アクセス事件では、不正アクセスの痕跡が巧妙に隠ぺいされているため、不正アクセス者の特定が極めて困難だからです。

　警察に被害届を出したところで、不正アクセス者を特定して、処罰にまで至るケースはほとんどありません。残念ながら、不正アクセスに対しては、法ではなく、自社のセキュリティ対策で対処するしかないのが現状なのです。

顧客情報の管理は、顧客に対する業務／サービスの一部

　不正アクセスによって顧客情報が流出した場合、企業は顧客に対し、どのような責任を負うことになるのでしょうか。

　顧客情報の管理も、自社の顧客に対する業務（サービスの提供）の一部です。従って、セキュリティ対策に問題があるなど、その内容が不十分で、結果として事故が起きれば、たとえそれが外部からの不正アクセスであったとしても、顧客に対して責任を負います。

　逆に言えば、通常要求される程度のセキュリティ対策を採っていれば、未知のウイルスによる不正アクセスを受けたような場合は、責任を負わずに済むか、あるいは、責任が軽減することになります。

　顧客に対して責任を負う場合、すでに流出した顧客情報を回収することは不可能です。そこで、責任の内容としては、記者会見の開催やクレジットカード会社への協力要請など、被害の拡大阻止に努めるとともに、顧客に対する損害賠償が中心になります。

顧客情報流出時の損害賠償額は4万円台が相場に

　顧客情報が流出した場合の損害賠償は、どの程度になるのでしょうか。以前は1人当たり500円分の金券やポイントを交付することが主流でした。これは、2003年にローソンによる個人情報漏えい事件が起きた際に、500円分の商品券を郵送し、それに倣う企業が増えたからです。

　しかし最近の賠償額の平均は4万円程度です。2007年に東京高裁判決の出た、TBC顧客情報流出事件では、1人当たり慰謝料3万円、弁護士費用5000円の合計3万5000円の損害賠償義務が、裁判所によって認定されました。日本ネットワークセキュリティ協会（JNSA）の『2011年情報セキュリティインシデントに関する調査報告書』でも、個人情報漏えい時の1人当たりの平均想定損害賠償額は4万1192円になっています。

　最終的な損害賠償額は、事故前にどれだけセキュリティ対策を講じてきたか、事故後にどのような対応を打ったのか、などによって増減します。JNSAの『2010年情報セキュリティインシデントに関する調査報告書』では、それらの事情を踏まえて損害賠償額を算定する数式が公表されています。

　できれば責任を負わずに済むために、また、負うとしてもそれを軽減できるように、セキュリティ対策はしっかりと実施すべきだということです。

プロバイダーの責任追及は困難、SLAや利用規約を入念に検討

　さて、情報漏えいを招いた不正アクセスが自社内のシステムに対するものではなく、顧客情報などの管理を委託していたクラウドサービス・プロバイダーのシステムに対するものだった場合、自社の責任は軽減されるのでしょうか。結論からいえば、原則として軽減されません。

　自社の顧客に対する業務の一部（顧客情報の管理）を他者（クラウドサービス・プロバイダー）に委託した場合、この他者（「履行補助者」と呼びます）の行為は、顧客との関係では、自社の行為と同視されます。そのため、他者の情報セキュリティに関する失敗は、自社の顧客に対する義務違反になってしまうのです。

　顧客との関係で自社が責任を負うのは仕方ないにせよ、クラウドサービス・プロバイダーに対して責任を追及すること、例えば顧客に対する損害賠償も含めて、事後の対策に要した費用を請求することは、可能なのでしょうか。法の原則では可能ですが、実際には難しいでしょう。

　というのは、クラウドサービス・プロバイダーは、まさにこのような事態に備えて、SLA（Service Level Agreement：サービスレベル契約）において、厳格な基準の情報セキュリティに関する規定を（あえて）設けていなかったり、利用規約において自社の責任を大幅に制限する規定を設けていたりする場合が多いからです。

　2012年6月に発生した、大手レンタルサーバー事業者であるファーストサーバのデータ消失事故では、同社は、利用規約内の損害賠償額制限条項を根拠に、契約者がこれまで支払ったサービス利用料相当額を上限とした賠償金しか支払いませんでした。

　このようなことからも、顧客情報の管理をクラウドベンダーに委託する場合は、SLAや利用規約を入念に検討し、自社のセキュリティ要求事項を満たしているか、事故時に責任を追及できる内容になっているかを確認しておく必要があります。