ダークウェブに流出した情報の取得・拡散は違法？ 抵触する法律や企業の対応策を弁護士が解説

企業からの漏洩情報を拡散した場合には、不法行為にあたる

たとえば、自社が保有する個人情報や営業秘密などの情報がダークウェブに流出した場合、企業は、その情報をダウンロードしたり拡散した人物を訴えることができるのでしょうか。

まず、個人情報保護法との関係についてお話ししますと、個人情報保護法はあくまで個人情報を取扱う事業者等を規制する法律ですので、個人情報をダウンロードしたり拡散したのが個人であった場合には適用されません。

次に、営業秘密を不正に取得した者がダークウェブに流出させた情報をダウンロードして、その情報をWebに公開したり拡散した場合にどうなるかです。経済産業省の逐条解説（※） ³などでも明確にされているわけではないので、解釈の余地はありますが、営業秘密の侵害として不正競争防止法違反に問うことは難しいのではないかと思われます。

営業秘密とは、秘密管理性・有用性・非公知性という３つの要件を満たしたものを指します（不正競争防止法2条6項）。ダークウェブは、特定のツールさえあれば誰でも見ようと思えば見ることができますので、公開されてしまった時点で、非公知性がなくなってしまうのではないかと思われます。もちろん、攻撃者がデータを窃取し、ダークウェブに情報を公開するまでは、その行為時点での非公知性はあると考えることは可能ですが、ダークウェブに公開された後、さらに攻撃者以外の第三者がその情報を取得・拡散する行為については、その時点での非公知性は失われているということになるのではないかと考えられます。

このように、個人によるダークウェブからの情報の取得や拡散については、個人情報保護法や不正競争防止法といった法令違反にあたるものではないと思われます。その他、知的財産法の観点でいうと、著作権法では、違法にアップロードされたコンテンツ（著作物）のダウンロードが一部違法となっていますが（著作権法30条1項3号）、これはいわゆる海賊版を念頭に置いた規定であり、特に刑事罰を科すためには有償で販売されているコンテンツの著作権を反復・継続して侵害しているという要件も必要（同法119条3項2号）ですので、ダークウェブからの情報の取得についてこの規定をもとに刑事罰まで科すことは基本的に難しいように思われます。なお、ダウンロードして取得したコンテンツ（著作物）をインターネット上に拡散した場合は、著作権侵害として刑事罰となり得ますが（同法119条1項）、著作権法に定められた刑事罰はいわゆる親告罪が多く（同法123条1項）、被害者などによる告訴がなければ公訴提起ができないため、ハードルも多いです。

以上を踏まえると、ダークウェブに流出したコンテンツを個人がダウンロードしただけの場合に、刑事罰の対象になるとは考えづらいところです。

ただ、以上はあくまで刑事罰が科せられるかどうかであり、ダークウェブからの情報の取得や拡散が違法かどうかでいうと、もちろん違法となる可能性はあります。取得だけで違法かというとなかなか難しいのですが、たとえば先ほどの著作権法の観点では、違法にアップロードされた著作物をダウンロードして取得する行為は、私的使用目的であっても違法ですし、それを拡散する行為も違法と考えられます。

その他一般的には、企業が持っている機微性が高い情報を勝手に拡散する行為は不法行為にあたると思われます。企業は情報を拡散した人物に対し、民法709条にもとづいて不法行為による損害賠償請求を行うことができると考えられます。

また、拡散された情報のなかに個人情報が含まれていれば、その拡散行為は個人情報の本人のプライバシー侵害にあたります。そのため、個人情報を拡散された本人も同様に、不法行為に対する損害賠償を請求できると考えられます。また、拡散された自身の情報の削除を求めることも可能です。最近発生した事案では、悪ふざけ的にダウンロードした情報をSNSで投稿したり拡散している者が散見されたと認識していますが、拡散した人物を特定できれば損害賠償を求めることは可能ではないかと思われます。少なくとも、ダークウェブに掲載されてしまったサイバー攻撃被害者の情報の拡散は、決して悪ふざけでやっていいことではありません。

数年前に、コンビニのアイスケースに入った写真をSNSに投稿する、レストランに置いてある調味料入れを口に含む動画をSNSに投稿するなどといった迷惑行為が話題になりました。ダークウェブにアップロードされた情報の拡散は、これらの迷惑行為と同種のものと思われ、関係する会社に多大な被害をもたらすおそれがあることはもちろんですが、悪ふざけで投稿した自分自身が法的責任を負う可能性があること、そしていわゆる「炎上」を起こす可能性があることにも気をつけた方がよいと思います。

企業や個人が損害賠償請求や情報の削除請求を行ううえでのポイントはありますか。

損害賠償請求を行うためには、発信者情報開示請求をするなどして情報を拡散した人物の特定からはじめなければなりません。一定の労力・コストを要するため、個人ですべて対応するのは難しいとも考えられます。所属元の組織の支援が得られるのであれば、そのようにしたほうがよいでしょう。削除請求については、情報を拡散した人物を特定できなくとも、SNSを運営している事業者に削除を求めたり、検索に引っかからないように検索事業者に対応を求めるといった方策も考えられます。

自社からの漏洩情報がダークウェブに掲載されてしまった場合の対応

自社が保有する情報がダークウェブに流出した疑いがある場合、法的な側面の他には、どのような対応をとるべきでしょうか。

まずはダークウェブ上の情報の確認が必要ではないかと考えられます。たとえば、ランサムウェア攻撃に遭い窃取された情報である場合には、その攻撃者グループがわかっていれば、そのグループが運用しているリークサイトを確認する、攻撃者グループが特定できないのであれば、ダークウェブ調査をしているセキュリティベンダーに頼んで調べてもらうなどの方法があります。また、セキュリティ関係機関や、リサーチャーの方から任意に情報提供してもらえるケースもあると思います。調査したうえで、実際に自社から漏れた情報がダークウェブに流出していることがわかった場合は、それがどんなデータなのかを分析し、影響範囲を確定していくことが考えられます。

また、セキュリティ関連の事業者のなかには自社のPRのために「当社はこんな情報が漏洩しているのを発見した」などと記事やブログの形で発表してしまうところも見受けられ、その他、攻撃者自身が積極的に情報発信する可能性もありますので、自社の情報の漏洩を把握した場合は、先手を打ってプレスリリースを出すことなども検討したほうがよいと思います。情報漏洩の疑いが先立って拡散してしまい、当事者の企業がその後何も反応しないとなれば、いろいろな憶測が飛び交い、事態が深刻化していくことも考えられます。レピュテーションリスクや危機管理広報の観点にもとづく対応を検討すべきでしょう。公表の目的・時期・内容等については、手前味噌になりますが、私も策定に関与した「サイバー攻撃被害に係る情報の共有・公表ガイダンス」（2023年3月）が参考になるのではないかと思います。

ありがとうございました。

（取材：UNITIS編集部、文：渡邊智則）