リスクマネジメント リスクマネジメント記事一覧へ

[クラウド活用に向けた「法律+ITセキュリティ」相談室]

【第5回】不正アクセスによって情報が流出、クラウド事業者の責任は問えるか

2014年6月9日(月)「法律+ITセキュリティ」相談室

企業への導入が急速に進み始めたクラウド・サービス。しかし、データがクラウド・サービス事業者のサーバー上で保存・管理されることから、データの消失・流出といったリスクを考え、導入に二の足を踏む企業も少なくありません。クラウド・サービスの導入・活用の留意点を法律とITセキュリティの両面から解説していく本連載。弁護士の藤井 総先生とシスコシステムズの楢原 盛史セキュリティソリューションスペシャリストのそれぞれが回答します。前回は、情報流出を起こした従業員に対する責任追及について解説しました。第5回は、外部からの不正アクセスによって情報が流出した際の責任追及について解説します。

【経営者の疑問】

 外部からの不正アクセスによる情報漏えいが発覚した。莫大な数の顧客情報が漏えいしてしまい、お客様には大変な迷惑・心配を掛けている。だが、我が社も被害者ではないのだろうか。顧客への損害賠償額は、自らが漏えいさせてしまった場合と比べ軽減されないのだろうか。
そもそも、クラウドサービス・プロバイダーのシステムが十分に不正アクセス対策を取っていなかったから、こんなことになったんだ。彼らの責任は追求できないのだろうか。

【藤井 総 弁護士から回答】

関連する主な法律:不正アクセス禁止法、刑法に定められた不正指令電磁的記録(いわゆるコンピュータウイルス)に関する罪

不正アクセス者に対する法による処罰は期待薄

 企業のWebサイトやシステムへの不正アクセスに対し、法は、どのように対処しているのでしょうか。情報セキュリティの保護を目的とした法は、いくつもあります。近年の情報セキュリティ保護の重要性の高まりから、新法の制定が相次いでいるからです。

 その中でも、情報セキュリティを害する行為に刑事罰を科す法としては、「不正アクセス禁止法」と「刑法に定められた不正指令電磁的記録(いわゆるコンピュータウイルス)に関する罪」の2つが代表的です。前者は、他人の識別符号(IDやパスワード)を無断で入力したり、コンピューターの脆弱性を悪用して不正にアクセスしたりする行為を罰しています。後者は、正当な理由がないのに、不正指令電磁的記録を作成したり利用したりするといった行為を罰しています。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
登録済みの方はこちら

IT Leaders 雑誌版、電子版をご購読の方、会員登録済みの方は下記ボタンよりログインして続きをお読みください

初めての方はこちら

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます

【次ページ】損害賠償額は4万円台が相場に
  • 1
  • 2
  • 3
  • 4
バックナンバー
クラウド活用に向けた「法律+ITセキュリティ」相談室一覧へ
関連記事

【第5回】不正アクセスによって情報が流出、クラウド事業者の責任は問えるか企業への導入が急速に進み始めたクラウド・サービス。しかし、データがクラウド・サービス事業者のサーバー上で保存・管理されることから、データの消失・流出といったリスクを考え、導入に二の足を踏む企業も少なくありません。クラウド・サービスの導入・活用の留意点を法律とITセキュリティの両面から解説していく本連載。弁護士の藤井 総先生とシスコシステムズの楢原 盛史セキュリティソリューションスペシャリストのそれぞれが回答します。前回は、情報流出を起こした従業員に対する責任追及について解説しました。第5回は、外部からの不正アクセスによって情報が流出した際の責任追及について解説します。

PAGE TOP