IT & Information security Journal
蔦 大輔
森・濱田松本法律事務所外国法共同事業 弁護士
嶋村 直登
森・濱田松本法律事務所外国法共同事業 弁護士
当社は、ウェブサイトに登録したユーザーに対して、さまざまなサービスを提供しています。先日、何者かが正規のユーザーになりすまし、ウェブサイトに不正ログインしたことが判明しました。この場合、当社は、不正にログインをした者に対して、どのような法的手段をとることができるでしょうか。また、関連する政府機関(当局)に対して、どのような対応を行わなければならないでしょうか。
不正ログイン者には、不正アクセス禁止法違反等の犯罪が成立するため、サービス提供者は、警察や検察に対して、捜査および不正ログイン者に対する刑事処分を行うよう求めることができます。また、不正ログイン者の身元が特定できれば、サービス提供者は、不正ログインにより発生した損害について、損害賠償請求が可能です。
当局対応としては、仮に不正ログインにより個人データの漏えいなどがあれば、個人情報保護委員会への報告が必要となるほか、個別の業種によっては、監督官庁への報告が必要になる場合があります。
サービスを提供する事業者(以下「サービス提供者」といいます)が、当該サービスに不正にログインした者(以下「不正ログイン者」といいます)に対する法的措置を行うにあたっては、多くの場合、警察や検察などの捜査機関の捜査に頼って、不正ログイン者の身元の特定を試みることになります。ただし、一部の事案については、弁護士会照会などを通じて、捜査機関に頼らなくても、その身元を特定できる場合があります。
サービス提供者が不正ログイン者に対してとり得る法的措置としては、次のとおり、刑事告訴などの刑事責任追及、損害賠償請求などの民事責任追及が考えられます。
| 法的措置 | 具体的アプローチ |
|---|---|
| 刑事責任の追及 | 法律上の犯罪が成立する場合、被害届の提出や刑事告訴を行う |
| 民事責任の追及 | 不正ログインに関して被った損害について、不法行為に基づく損害賠償請求を行う |
犯人(不正ログイン者)の身元の特定は捜査機関の職務である一方、実際には、犯人が特定されていないと、捜査機関としても捜査が容易ではなく、また、捜査機関もリソースが無限にあるわけではないため、優先的に捜査をしてもらえず、先に進まない場合もあります。したがって、捜査機関への相談と並行して自社でも可能な限り犯人の特定を試みることが望ましいと考えられます。
なお、特に不正ログイン者がサイバー犯罪者の場合、巧妙に発信元が隠され、また、日本に所在していないことが大半であるため、捜査機関の捜査によっても、その身元を特定することは非常に時間がかかる、または、最終的に特定が困難となることもしばしばあります 2。ただし、不正ログイン者は必ずしもサイバー犯罪者とは限らず、著者らの経験上も、実際に身元を特定できたケースもありますので、はじめから諦める必要はありません。
警察や検察などに捜査を開始してもらうには、それらの捜査機関に対して相談を行う、被害届を提出する、または、刑事告訴を行うことが考えられます。この手続は、犯人が特定されていなくても行うことが可能です。
具体的には、捜査機関は、捜査に必要な情報である限り、裁判所から令状を取得することで、不正ログインがなされたインターネット回線を提供する電気通信事業者(インターネットサービスプロバイダ(ISP)など)に対して、強制的な情報開示を求めることができます。ただし、捜査機関が令状を取得して捜査を進めてくれるかどうかは、捜査手法に関わる問題として、捜査機関の専権事項であることから、一般の民間企業が捜査機関に対して令状を取得するよう請求したり、捜査を進めるよう請求したりする法律上の権利はなく、お願いができるにとどまります。
一般論として、捜査機関ではない民間企業が、犯人の情報を調査することは困難な場合が多いと考えられます。というのも、仮にアクセスログから、犯人のIPアドレス・タイムスタンプが判明し、そのIPアドレスを管理するISPに対して、契約者情報の問い合わせをしたとしても、ISPは、「通信の秘密」を守る立場にあり 3、原則としてそのIPアドレス・タイムスタンプに関する回線契約者の情報を開示できないためです。
仮に不特定の者が閲覧できる掲示板などに名誉毀損や著作権侵害などの投稿がなされた場合、被害者は、プロバイダ責任制限法 4 に基づき、裁判手続によってISPに対して回線契約者の情報の開示を求めることができます(発信者情報開示請求)5。
しかし、不正ログインのケースでは、この制度を利用することはできません。なぜなら、発信者情報開示請求は、「特定電気通信による情報の流通によって自己の権利を侵害された」ことが必要であるところ、ここで「特定電気通信」とは、「不特定の者によって受信されることを目的とする電気通信」であり 6、また、「情報の流通によって」というのは、「当該情報を特定電気通信により不特定の者が受信し得る状態に置いたことが問題とされるもの」ですので 7、サイバー攻撃で行われる通信のように、特定の者を対象とする通信には適用がありません。
不正ログイン者の身元の特定を試みるにあたっては、弁護士に依頼のうえで、弁護士会照会を行うことも考えられます。弁護士会照会とは、弁護士が依頼を受けた事件について、弁護士会が、証拠や資料を収集し、事実を調査するなど、その職務活動を円滑に行うために設けられた法律上の制度です 8。
弁護士会照会でも、通信の秘密に該当する情報は原則として開示されず、また、照会を受けた者は、開示を拒否した場合でも罰則が課されるわけではありません。しかし、弁護士会照会は、弁護士会という公的な団体が審査をしたうえで行うものであって、法律上の根拠を有する照会であること、さらに、個人情報保護法との関係でも、弁護士会照会に対して個人データを開示することは許容されていること 9 から、弁護士会照会に対して回答が得られる可能性は、民間企業が何の制度も利用しないで問い合わせをする場合と比べて、相対的に高まると考えられます。
弁護士会照会の利用を検討できる事例として、たとえば、オンラインショッピングサイトへの不正ログインがあった場合は、攻撃者が配送先の情報を改ざんして自らの管理下の場所に商品等を配送するよう設定している可能性があり、ここから不正ログイン者を特定できる可能性もあります。
なお、弁護士会照会を使わずに、問い合わせを行い任意の回答を求めることも可能ではありますが、上記のとおり、回答を得られる可能性は必ずしも高くないと考えられます。
不正ログイン者には、通常、不正アクセス禁止法違反が成立します。
加えて、ログイン後の行為によっては、電子計算機使用詐欺罪や電磁的記録不正作出罪が成立することもあります(下記の関連記事参照)。
不正ログイン者を特定でき、その刑事責任の追及を行う場合には、告訴をすることが考えられます。告訴とは、訴追を求める意思表示であり、これを受理した捜査機関は、捜査を行うことになります。
また、不正ログイン者が特定されれば、サービス提供者は、不正ログインに関して被った損害について、不法行為に基づく損害賠償請求を行うことが可能です。
不正ログインが発生した場合には、サービス提供者は、当局に対してその不正ログインにより生じた事情を報告するなどの対応が求められる場合があります。
以下では、代表的なものとして、個人情報保護法 10 や業法に基づく報告についてご紹介します。その他セキュリティインシデントの報告制度については、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」(2023年3月)87頁以下もご参照ください。
不正ログイン者が、正規ユーザーの個人情報にアクセスした場合、または、その痕跡がある場合には、個人情報保護法上の報告義務の対象である「不正の目的をもって行われたおそれがある個人データの漏えいまたはそのおそれ」に該当し、個人情報保護委員会等に報告することが義務づけられています 11。また、個人情報保護委員会等への報告を行った場合には、原則として、本人への通知が必要となります(個人情報保護法26条2項)。
個人情報保護法上、次の事項を個人情報保護委員会(ただし、個人情報保護委員会が報告受理権限を他機関(例:金融庁)に委任している場合には、当該機関)に報告を行う必要があります 12。
報告の期限は、2段階に分かれています。
まず、第1階は、報告対象事態を知った後、速やか(個人情報保護法ガイドライン通則編によると、概ね3~5日以内が目安)に、その時点において把握している内容を報告することになります(いわゆる「速報」)。
次に、第2段階は、報告対象事態を知ってから30日以内(ただし、本件のような不正アクセス事案を含め、不正の目的 13 の場合は60日)に上記の事項をすべて報告する必要があります(いわゆる「確報」)。ただし、ガイドラインによれば、確報を行う時点において、合理的努力を尽くしたうえで、一部の事項が判明しておらず、すべての事項を報告することができない場合には、その時点で把握している内容を報告し、判明次第、報告を追完することも認められています。
また、業種によっては、その監督官庁への報告が必要になる場合があります。
たとえば、電気通信事業者は、電気通信業務に関して、「通信の秘密の漏えい」が発生した場合には、総務省への報告が求められます 14。具体的には、電気通信サービスについての利用者アカウントに不正にログインがなされ、通信履歴などにアクセスされてしまった場合がこれにあたります。
ほかにも、医療機関等がサイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個人情報の漏えいや医療サービスの提供体制に支障が生じるまたはそのおそれがある事案であると判断された場合には、厚生労働省等の所管省庁への連絡等が求められています 15。
2024年3月29日から、警察庁ウェブサイトにおいて、都道府県警察に対するサイバー事案に関する通報等の統一窓口(サイバー事案に関する相談窓口)が設置されています。従来は個別の警察署の連絡先のみを掲載していたところ、窓口を一本化することを目的とするものです。
この窓口を利用すると、サイバー犯罪事案について、通報、相談、情報提供について、警察本部または個別の警察署を選んで連絡ができます。
警察に連絡しても、必ずしも犯人が特定されるというわけではありませんが、警察からサイバー攻撃に関する有益な情報を提供してもらえる可能性があります。また、警察に相談したということ自体も、サービス提供者として不正ログイン事案に真摯に対応している姿勢を、社内外のステークホルダーに対して示すことができます。
プライバシーマーク(Pマーク)付与事業者において、個人情報の外部への漏えい等が発生した場合には、「プライバシーマーク付与に関する規約(PMK500)」に則り、審査機関への事故報告が義務づけられています 16。
基本的には個人情報保護法に基づく漏えい等報告と同様ではありますが、客体が「個人データ」ではなく「個人情報」であること、また、漏えい、滅失、毀損以外の事象も「事故等」(たとえば、改ざん、不正取得、目的外利用・提供、不正利用など)と位置づけられており、個人情報保護法で報告等が求められる範囲より広い点に留意が必要です。
正規のユーザーには、法的な義務がある場合はもちろん、そうでない場合にも、さらなる被害拡大を防ぐため、不正ログインがあったことを通知するなどの対応をとることが望ましいといえます。詳細は、下記の関連記事をご参照ください。
この記事は会員限定です。
登録すると続きをお読みいただけます。
このサイトはreCAPTCHAによって保護されており、
Googleの
プライバシーポリシー
と
利用規約
が適用されます。
蔦 大輔
森・濱田松本法律事務所外国法共同事業 弁護士
サイバーセキュリティ、個人情報保護・プライバシー、IT・ICTを主たる取扱分野とする。サイバー攻撃対策として、事前の体制整備等の取組、攻撃を受けてしまった後の被害拡大防止のための事後対応について豊富な知見を有する。元内閣官房内閣サイバーセキュリティセンター(NISC)上席サイバーセキュリティ分析官。慶應義塾大学大学院政策・メディア研究科特任准教授。サイバーセキュリティ法制学会理事。総務省、警察庁、経済産業省などで有識者委員を歴任。近時の著書として、「クロスセクター・サイバーセキュリティ法」(商事法務NBL連載)、『情報刑法I サイバーセキュリティ関連犯罪」(弘文堂、2022年)、『60分でわかる!改正個人情報保護法超入門』(共著、技術評論社、2022年)ほか多数。
嶋村 直登
森・濱田松本法律事務所外国法共同事業 弁護士
情報処理安全確保支援士。CIPP/E/US。ウェブサイトやアプリケーションのプログラミングの経験と、複数のIT企業での執務経験を活かし、サイバーセキュリティ、個人情報、生成AI、フィンテック、知的財産、消費者保護等の分野でテクノロジーにまつわる法律問題を解決に導いた豊富な経験を有する。2022~2024年グーグル合同会社出向、2016~2018年ソフトバンク株式会社出向。ニューヨーク州およびカリフォルニア州弁護士。お茶の水女子大学および日本女子大学講師。
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
この記事をシェアする
最新情報をフォローする
