本記事では、国内外のサイバー攻撃に対する法律に関して詳しく解説します。
近年は巧妙なサイバー攻撃が増えているため、自分でも知らないうちにサイバー攻撃に加担してしまう可能性があることをご存知でしょうか?
また、損害賠償を負う立場になっていれば、自社が直接的原因でなくとも、賠償金の支払い義務が発生しています。
しかし、セキュリティに関する法律を知っていれば、事故を未然に防ぎ、被害を最小限に抑えることができます。正しい情報を知っているかどうかは、会社の未来を大きく左右します。
サイバーテロに対してどういった法律があり、それをどう活用していくのかを本記事で詳しく見ていきましょう。
1.サイバーセキュリティ【昨今の動き】
情報通信技術は社会インフラから日々の買い物までさまざまなところで利用され、もはや私達の生活になくてはならない存在です。
しかし、そのような情報通信技術が日々の生活に浸透するほど、システムを破壊されたり、個人情報を抜き取られたりするサイバー攻撃にあうリスクが高まります。
さらには抜き取られた情報を犯罪に悪用されるといった二次被害は、さらに深刻なダメージを会社・個人に与えています。
サイバーテロの脅威に対処するため、アメリカでは2010年にサイバー軍が発足されました。日本は2014年に、自衛隊にサイバー防衛隊を新設。2019年には、自民党のサイバーセキュリティ対策本部が「サイバーセキュリティ庁を2025年までに新設すること」を安倍首相に提言しています。
サイバー犯罪の中には、社会インフラなどをめぐって国家やテロリストが関与するものから、特定企業の機密情報を狙ったものまで、さまざまな種類があります。
目的や規模の異なるサイバーテロに対して、どのような法律が適用されるのでしょうか?
2.国内外のサイバー攻撃に適用される法律とは?
他国からのサイバー攻撃に適用される法律
アメリカのセキュリティー企業ファイア・アイ社(FireEye、FEYE)によると、今や60もの国がサイバー攻撃の専門部隊を保有していると言われています。
国家によって組織されたサイバー軍が、敵対する国家、企業、集団、個人などを攻撃する「サイバー戦争」は、今もわたしたちの知らないところで火花を散らし、年々過激さを増しているのです。
自衛権は、他国からの武力攻撃が行われた際に発動するものですが、サイバー攻撃に対しては、自衛権の発動はなされるのでしょうか?
答えはとしては、サイバー攻撃により引き起こされた何らかの事態が武力攻撃に当たるか否かは、“状況を踏まえて判断すべきもの”であるとされています。
仮に武力攻撃の一環としてサイバー攻撃が行われた場合、自衛権発動の第一要件は満たすことになると考えられています。ただ、第一要件を満たしたとしても、どのように対応するのかは明確に定まってはいないのです。
自衛権発動の三要件:
- 我が国に対する急迫かつ不正の侵害があること
- これを排除するために他の適当な手段がないこと
- 必要最小限度の実力行使にとどまるべきこと。
日本だけでなく国際社会においても、サイバー攻撃の法的位置づけは明確に定まっておらず、その位置づけについては活発な議論がなされているところです。
また、ここで述べているサイバー攻撃とは、基本的に主権国家が主体となって行われるものです。仮に海外の個人や組織からサイバー攻撃が行われた場合、日本の国内法を適用しつつ、現地の当局に協力を要請しながら解決を目指す形となります。
国内からのサイバー攻撃に適用される法律
国内では2014年に、サイバーセキュリティ基本法が成立しました。
この法律は、サイバーセキュリティに関して国の組織編制、および国、企業、国民の責務や努力について明記したものです。つまり国のサイバーセキュリティ政策の基本方針や行政手続きを定めたものであり、サイバー犯罪、サイバー攻撃に対して罰則を加えるようなものではないのです。
サイバー攻撃によって生じる損害賠償および責任などは、どのような法律によって規律されているのでしょうか。
これらは「刑事法」と「民事法」の大きく2つで規律されています。その他、個々に特別法が存在する場合もあります。
刑事的側面
そもそも“サイバー犯罪”とは何なのでしょうか?
サイバー犯罪とはコンピュータ技術および電気通信技術を悪用した犯罪であるとされており、大きく3つの類型に分けられています。
1. コンピュータ、電磁的記録を対象とした犯罪
刑法に規定されているコンピュータや電磁的記録を対象とした犯罪
Ex. ウィルスや大量の電子メールを送付し、サーバーシステムをダウンさせる。金融機関などのオンライン端末を不正操作する。
2. ネットワーク利用犯罪
上記の1.以外で、犯罪の実行にネットワークを利用した犯罪、または、犯罪行為そのものではないものの、犯罪の敢行に必要不可欠な手段としてネットワークを利用した犯罪
Ex. 掲示板で覚せい剤や薬物を販売する。脅迫恐喝電子メールを送付する。
3. 不正アクセス行為の禁止などに関する法律違反
コンピュータネットワーク上で他人の識別符号(ID、パスワード等)や特殊な情報などを入力することにより、他人のコンピュータに侵入する行為
以上が刑事分野における基本的な法律体系となっています。
刑事分野では国家が犯罪者に対して責任を追及します。犯罪者に対して重い制裁を与え、大きく権利を侵害するので、個人の人権や自由が尊重される現代日本では過度に適用されることがないように慎重に扱われます。
そのため違法行為の範囲が限定され、意図的にその行為を行った故意犯が対象となります。
民事的側面
民事分野では損害が発生したことが最も重要視されます。損害を発生させた場合、故意犯はもちろん、注意義務を怠ってしまった過失犯にも違法行為があるとされ、損害賠償請求の対象となりえます。
以下のイメージ図にある通り、民法上の損害賠償請求の対象となりうる違法行為の範囲は刑法上の範囲よりさらに広がります。最近ではどのような事件があったのでしょうか。さまざまな事例が存在しますが、代表例を見ていきましょう。
3.事例「ベネッセ個人情報漏洩事件」を振り返る
ベネッセ個人情報漏洩事件は、株式会社ベネッセコーポレーションから、最大で2,070万件の顧客情報が流出した大規模情報漏事件です。
2014年6月下旬から、通信教育事業を行う事業者からのダイレクトメールが、ベネッセの顧客に届き始め、顧客からベネッセに対する問い合わせが急増しました。
それをきっかけに、ベネッセが調査を行ってはじめて、同社から顧客情報が流出している可能性が高いと判断され、その旨が発表されたのです。
流出したのは、同社が運営する進研ゼミなどの通信教育サービスを利用した顧客の情報で、子供や保護者の氏名、住所、電話番号、性別、生年月日などが含まれていました。
なおこの事件は一般的にイメージする外部からのサイバー攻撃ではなく、ベネッセのシステム開発・運用を行っているグループ会社の業務委託先元社員により外部に持ち出されたものでした。この社員は不正競争防止法違反の疑いで逮捕され、刑事裁判が行われて有罪判決を受けています。
ベネッセの負担した損害賠償は…
大きくインパクトがあったのはベネッセへの民法上の損害賠償請求です。ベネッセ事件ではのべ1万人もの顧客が集団訴訟を行っており、個人情報流出に対して損害賠償を請求しています。
現在も裁判は進行しているため最終的な賠償金額は確定していませんが、ベネッセホールディングスが2014年7月31日に発表した2014年4~6月期の連結決算は、事件対処の費用などが重なった影響で、136億円の最終赤字となっています。
ベネッセの事例では、外部の攻撃に対し万全な対策を行っていたとしても、内部に敵がいる場合、いとも簡単に情報の持ち出しができてしまうということが明らかになりました。個人情報流出は、一人当たりの損害賠償額が少なくとも、流出数が多いと総額はかなりの額となり、企業のブランドイメージや信用にも傷がついてしまいます。そしてこの事件は立法にも影響を及ぼし、個人情報保護法の改正にもつながりました。
4. まとめ
今回は、サイバー攻撃に対して留意すべき法律に関して、ご紹介しました。
今までの情報をまとめると、他国からのサイバー攻撃に対しては、その法的位置づけや、対処方法は明確に定まっておらず、今後どうすべきか活発な議論がなされているところであるとご紹介しました。
国内からのサイバー攻撃に関しては、サイバーセキュリティ基本法や、刑事法、民法が適用されることをご紹介しました。
民法の分野では、注意義務を怠ってしまった過失者にも違法行為があるとされ、損害賠償請求の対象となりえます。これにより、ベネッセは2014年の個人情報漏洩事件で多額の賠償金支払いを余儀なくされました。
変化が激しいIT分野の法律情報に常に追いつくことは大変です。しかし、情報技術が日常に深く浸透している以上、避けて通ることはできません。
法律をしっかり理解し、安心安全な情報技術の発展に貢献するのは、情報分野に携わる人々の使命とも言えるのではないでしょうか。
あなたの会社は、情報セキュリティに関する法律を100%理解していますか?
ベルウクリエイティブでは、情報セキュリティ対策はもちろん、社員教育などの個別コンサルティングも行っています。
お客様に100%の安心を持って日々の業務を行っていただくことが私達の喜びです。
03-6206-2066