コラム

CSR視点で広報を考える

インターネットのコンプライアンスと危機管理

share

インターネットとは!?

「インターネット」(Internet)とはインターネット・プロトコル技術を利用して相互接続されたコンピュータネットワークを指す語である。利用者は、パソコンや、携帯電話、スマートフォンなどの携帯端末を使用してインターネットへ接続し、Webページの閲覧などを行う。インターネットが技術者や専門家ではなく一般に利用される機会が増えるにしたがって、インターネット上の一機能であるWorld Wide Web(さらにはWebページやWebサイト)のことを指して「インターネット」と呼ぶ誤用が世界的に広まった。インターネットの概念が発表されてから既に約50年が経過している。

【インターネットの歴史】
1960年:インターネットの概念が発表される。
1969年:UCLAとスタンフォード大学間で初めてインターネットが接続される。
1984年:日本の慶應義塾大学と東京工業大学間でインターネットが接続される。
1988年:米国で商用インターネットが始まる。
1990年:World Wide Webシステムのための最初のサーバとブラウザが完成。
1995年:Windows95の登場で一般個人でのインターネットの利用に加速がつく。
1999年:国内では、NTTドコモ によるi-modeの普及により携帯電話によるインターネ
    ット接続が可能となり、さらなるインターネット利用が加速化。

サイバー犯罪への対応に伴う法改正の流れ

デジタル化やネットワーク化の進展に伴い、それに関連する犯罪が新たに行われるようになった。従来の刑法規定は、コンピュータ・システムに対する攻撃を想定しておらず、コンピュータデータの不正改ざんは処罰の対象外であった。そこで、1987年5月の刑法改正で「電磁的記録不正作出罪」、「電子計算機損壊等業務妨害罪」、「電子計算機使用詐欺罪」が新設され、コンピュータの損壊やこれを使った詐欺行為が処罰の対象となった。

しかし、他人のコンピュータに無権限でアクセスすること自体は、この段階で処罰対象となっていなかったため、ネットワーク犯罪の深刻化に伴い、1999年8月に「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」が制定された。

これらの新設によりホームページの改ざん(電子計算機損壊等業務妨害罪及び不正アクセス禁止法の併合罪)、不正なアクセス行為による個人情報の盗み出し(不正アクセス禁止法)、大量のパケットをシステムに送りつけてコンピュータを利用不能の状態に追い込むDDOS 【Distributed Denial of Service】の行為(電子計算機損壊等業務妨害罪)等を処罰対象とすることが可能となった。

また、インターネット上で名誉毀損や著作権侵害等の不法行為が行われた場合に、まず責任を問われるのは情報を発信した行為者本人であるが、情報を媒介したISP(インターネットサービスプロバイダ)等の責任が問題とされることも多くなった。そこで、ISP等の媒介者の責任の範囲を明確化し、不法行為等を行った行為者本人の責任追及を可能にするために、2001年に「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律(プロバイダ責任制限法)」が制定された(2002年5月27日施行)。

不正アクセス禁止法

最近、新聞紙上でもよく耳にする「不正アクセス行為」とは以下の3つを指し(不正アクセス禁止法3条2項)、違反した場合は、1年以下の懲役又は50万円以下の罰金を科せられる。

1、アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為。
2、アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制
御機能による特定利用の制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為。
3、電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能に
よりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為。(利用対象サーバとは別に立てられた認証サーバやゲートウェイ・サーバのセキュリティ・ホールを攻撃する場合)

(注)
「電気通信回線」:インターネット及び企業内LANを含む
「特定電子計算機」:電気通信回線に接続している電子計算機(PC)
「特定利用」:コンピュータ・システムを電気通信回線を通じて利用すること
「アクセス制御機能」:アクセス管理者(法人)が特定利用に関して自動制御したもの
「利用権者」:特定利用に関してアクセス管理者の許諾を得た者
「識別符号」:アクセス管理者が利用権者を他の利用権者と区別する為に付された符号

これらの3つの不正なアクセス行為を具体的な事件の視点から見ていくと、以下のように分類されるが、状況の解釈によっては難解なものもある。
(1)他人の識別符号を無断入力して侵入(1号)
(2)システムのセキュリティ・ホールを攻撃して侵入(2及び3号)
(3)一度侵入に成功した犯人(クラッカー)が、後日再度侵入しやすくするため「バ
   ック・ドア」と呼ばれる侵入路を構築し、新たなID/パスワードを付け加えた(2
   号)
(4)利用権者でなくなった者(退職者等)のID/パスワードをアクセス管理者が消し
   忘れており、それを利用して侵入(2号)→ 「識別符号」にあたらず2号を適
   用。
(5)サーバー・ルームに忍び込みコンピュータ・システムを直接操作し、内部データ
   を閲覧(非該当) → 「電気通信回線を通じて」に該当せず。
(6)DDOS【サービス拒否攻撃】(非該当) → 「制限されている特定利用をし得る
   状態にさせる行為」に該当せず。
(7)ネットバンキングで、他人の口座から不正送金するため、当該他人の送金用の識
   別符号と送金内容とを単一操作で行った場合(1号及び電子計算機使用詐欺罪の
   競合)

ちなみに、不正アクセス禁止法は、不正アクセス行為を助長する行為についても禁止しており、違反した場合は、30万円以下の罰金(不正アクセス禁止法9条)を科せられる。

プロバイダ責任制限法

対象者である「特定電気通信役務提供者」とは、不特定の者によって受診されることを目的とする通信サービスを提供・媒介する者全般であり、ISPはもちろん掲示板管理者等も広く対象となる。本法律では、プロバイダの媒介情報に対する責任を、当該情報の送信を技術的に防止できる場合であって、プロバイダが権利侵害を知りまたは知りうる場合に限定している。また、当該発信情報が権利侵害であると認めるに足る相当の理由があれば削除等の措置を取ることを許容している。侵害の有無が不明の場合は、発信者に照会の上、7日以内に回答がなければ削除するという手続が想定されている。これらの規定は、基本的にプロバイダが免責される場合を特に設けたものであり、契約上の提供義務との関係で民法等の責任を負うとされる場合であっても、これらの免責規定に該当すればプロバイダ等は責任を免れると考えられる。

【発信者情報開示請求権】

権利侵害を受けたことが明らかであり、かつ損害賠償請求権の行使の為に情報開示を必要とする者に、発信者情報開示請求権を認めている。また、ISP等は開示を拒否しても、故意又は重過失でない限り責任を負わない。一方、開示した場合の免責規定はなく、結果として開示請求について慎重に対応すべきとの趣旨と認識されている。

【発信者情報開示訴訟】

発信者情報開示請求権に基づき、不法行為等を行ったとされる発信者の情報開示を求める訴訟が相次いで提起されている。これまでの判例より掲示板でのアクセス(経由)プロバイダは特定電気通信役務提供者に該当し、発信者情報開示請求の対象者となることにほぼ争いはない(東京地判平15.9.17)。また、ファイル交換ソフトによるファイル送信に関しても発信者情報開示請求が認められている(東京地判平16.5.26)。これらの訴訟中に発信者情報が消去されることを回避するために、通信記録の保存を命じる仮処分命令や、仮処分による発信者情報の開示が認められている(東京地決平16.4.9)。尚、掲示板等の管理者に対する発信者情報開示請求権は、対象となる情報がIPアドレスとタイムスタンプ等に限られるため、住所氏名等の発信者を特定して訴訟提起をするに足りる情報を得るためには掲示板等の管理者から得た情報をもとに、アクセスプロバイダに対して再度発信者情報の開示請求を行う必要がある。

(注)
「タイムスタンプ」:広義には「ファイルなどの電子データにおいて、その作成や更新などが行われた日時を示す情報」のことを指し、狭義には「第三者機関により電子データに対して正確な日時情報を付与し、その時点での電子データの存在証明と非改ざん証明を行う仕組みあるいは技術」をいう。

次ページヘ続く

「CSR視点で広報を考える」バックナンバー

Follow Us