ユーザーに被害を及ぼす「ウェブサイト改ざん」 気づかず「放置」した企業の責任は？

「企業のウェブサイトがこっそり改ざんされるケースが増えている」。警察庁サイバーテロ対策技術室がこう注意を呼びかけている。ウェブサイトの改ざんはその企業にダメージをもたらすだけではない。そのサイトを訪れたネットユーザーにも深刻な被害を与える恐れがあるので、注意が必要だ。

【関連記事：乳液容器に漂白剤を入れておいたら、盗んだ人からクレームが・・・悪いのはどっち？】

同庁サイバーテロ対策室によると、今年1～2月のウェブサイト改ざんはサイトに「犯行声明」を置くなど、明らかに改ざんされたことが分かるケースが多かった。しかし、5～6月の改ざん事例は「サイトの外見上変化がない」「閲覧者が気づかないまま悪意あるサイトに誘導される」「誘導されると不正プログラムに感染するおそれがある」など、新たな特徴が出てきているという。

不正プログラムに感染すると、ネットバンキングの口座番号やパスワードなどが盗まれる可能性があるほか、偽のウイルス対策ソフトを購入させるための誘導メッセージが出たり、コンピュータを使うために300ドル支払えといった「身代金」を要求されるケースもあるという。

ウェブサイトの改ざんが犯罪なのはもちろんだが、改ざん被害を受けた企業側が「改ざんに気づかず放置した」場合はどうなるのだろうか。改ざんされたサイトにアクセスして個人情報などをだまし取られた人は企業に「責任を取れ」と言えるのだろうか。情報セキュリティをめぐる法律問題にくわしい高橋郁夫弁護士に聞いた。

●企業にはウェブサイトの「改ざん防止」の努力義務がある

まず、ウェブサイトの第三者による改ざんに対して、企業はどう対処しなければならないか？

「その改ざんがなされたサイトの主体である企業は、できるかぎり被害を最小限にするための合理的な努力をしなければならないといえるでしょうね。情報セキュリティの世界で、『インシデントレスポンス』といわれる分野ですね」

企業は、不正アクセスや改ざんなどの「インシデント」に対する防止措置をとることが求められるほか、万が一「インシデント」が起きてしまった場合には、早急に復旧などの「レスポンス」を行う努力義務があるという。

そのような「インシデントレスポンス」が行われず、企業が事態を放置していた場合はどうか。放置された改ざんサイトにアクセスして被害にあった人が、民事訴訟で損害賠償を請求できるのだろうか。

●裁判で企業の責任を問うには「立証」のハードルがある

「改ざんサイトを閲覧した際に悪意あるプログラムがダウンロードされ、結果として不正に情報が取得された場合（いわゆる『ドライブ・バイ・ダウンロード攻撃』）を例に考えてみましょう」

改ざんされた企業のサイトを開いたことによって、いわゆる「スパイウェア」や「トロイの木馬」といったコンピュータ・ウィルスに感染させられ、改ざん者に個人情報を盗まれたようなケースだ。

「この場合、取得された情報が損害といえるのか、実際の損害は何なのか、また、サイトの改ざんの放置とその情報が取得されたこととの間に責任を問いうるほどの因果関係があったといえるのかという論点があります」

裁判では、原告側、つまり被害者が「損害」や「因果関係」を立証しなければならない。これが第一の関門だ。

「その上で、改ざんされたサイトの主体である企業は、みずからの行為によって、そのような結果を導いたわけではないので、そもそも、そのような改ざんをチェックしてそのような結果を引き起こさないように努めなければならない立場にあるのかという法的な問題もクリアしなければなりません」

このようなケースでは企業も「被害者」だ。その企業に責任を問うには、それなりのハードルがあるということだ。現実には、これらの関門をくぐり抜けるのはなかなか厳しいようだ。

「法的な理論からいうと、これらの論点をクリアして損害が認められる場合が、ないとはいいきれないでしょうが、実際にはきわめて困難であると思われます」

いくらインターネットのセキュリティ技術が進化しても、その壁をすり抜けてくるハッカーやクラッカー。大企業であっても完全無欠な対策は取りにくい。ユーザーのほうも、最新のセキュリティソフトを入れておくなど、個人レベルで十分な注意を払うことが重要といえるだろう。

（弁護士ドットコム トピックス）

【取材協力弁護士】
高橋 郁夫（たかはし・いくお）弁護士
BLT法律事務所／宇都宮大学大学院工学部講師。情報セキュリティ/電子商取引の法律問題を専門として研究する。また、法律と情報セキュリティに関する種々の報告書などに関与。
事務所名：BLT法律事務所
事務所URL：http://www.comit.jp/BLTJ/