2017 年 59 巻 10 号 p. 676-682
インターネットの利便性をこれまでになく享受し,ネット上に拡散する情報の力が革新的な発想を後押しすることも多い21世紀初頭は,同時に情報漏えいや権利侵害,依存といった弊害や危うさを露呈し始めた時代でもある。不可視だが確実に存在する脅威,ネットにつながっているゆえの不自由さをも見極める必要がある。現代の環境を冷静に認識し,今起きていることに対してどうふるまうべきか。現代思想・法曹・警察行政・迎撃技術・情報工学・サイバーインテリジェンス等のスペシャリストが,6回に分けて考える。
第2回は,悪用された場合,ネットや情報がどのような事態を起こしうるかを,情報セキュリティーに関する最近の裁判例や報道,その背景を通して弁護士・江川剛氏が解説する。
本稿では,サイバースペースで実際に起こっている出来事を把握する手がかりとして,インターネット等のネットワーク注1)や情報セキュリティーに関する近時の裁判例や報道された事件,これらの背景を紹介する。サイバースペースとのかかわり方を考えるうえでの一助となれば幸いである。
他人のIDやパスワードを無断で用いてコンピューターのアクセス制御機能を侵害する行為や,アクセス制御機能を免れることができる情報または指令を入力してコンピューターのアクセス制御機能を侵害する行為は,2000年2月13日から施行されている「不正アクセス行為の禁止等に関する法律」(以下,不正アクセス禁止法)注2)により「不正アクセス行為」として禁止され,刑事罰(3年以下の懲役または100万円以下の罰金)の対象とされている。
たとえば,自宅のパソコンを使い,他人名義の会員IDとパスワードを不正に用いて,会員のみに利用が制限されたインターネットオークションを運営管理する会社のサーバーに合計100回にわたってアクセスした不正アクセス禁止法違反の罪で有罪とされた被告人は,当該他人名義の会員IDとパスワードを用いて,上記サーバーコンピューターにパスワードを変更した旨の虚偽の情報を送信し,さらに,変更したパスワードを用い,インターネットオークションの出品に多数回にわたって虚偽の入札に係る情報を送信したことによる私電磁的記録不正作出注3)および同供用注4)の各罪と合わせて,懲役1年4月執行猶予3年の刑注5)に処されている(大阪高裁2007年3月27日判決)注6)。
(2) Webサイトの改ざんWebサイトの改ざんは,外部からのネットワークへの侵入として不正アクセス行為に該当する場合が多いほか,電子計算機損壊等業務妨害罪注7)が適用された事例もある注8)。
2013年4月には,匿名化ソフト「Tor(トーア)」を使って発信元を特定されにくくしたうえで他人のIDやパスワードを変更し,インターネットのWebサイトを改ざんした不正アクセス禁止法違反などの疑いで,犯行当時中学生だった15歳の無職少年が京都府警サイバー犯罪対策課に逮捕されたことが報じられた注9)。2015年7月にも,上記「Tor(トーア)」を使い,自宅のパソコンから東京の出版社のサーバーに侵入し,Webサイトを改ざんした不正アクセス禁止法違反などの疑いで,17歳の無職少年が警視庁に逮捕されたことが報じられた注10)。これらの事例からは,少年でも高度な知識や技術を有している者がいること,知識や技術を誇示する目的で違法行為がなされる場合もあることがわかる。なお,これらの加害者は未成年だったため,刑事処分ではなく少年法による保護処分を受けたものと考えられる。
また,Webサイトの改ざんは,必ずしも高度な技術が用いられた手口の事件ばかりではない。
2010年3月には,偶然入手したIDとパスワードを利用してインターネット広告事業者のサーバーに侵入し,同社が運営している芸能人4人のブログに手を加え,445人分のIDやパスワードなどの一覧表がダウンロードできる「お年玉袋」の画像を張り付けて不特定多数が閲覧できるようにした不正アクセス禁止法違反の疑いで,芸能事務所元契約社員の男が警視庁に逮捕されたことが報じられたが,この報道によると,加害者の男は,上記広告事業者の従業員から届いたメールに誤って上記一覧表が添付されていたことを奇貨として犯行に及んだとのことである注11)。その他,不動産業者のWebサイトに侵入して「年中無休」などと業務内容を書き換えたり,メッセージを付け加えたりした不正アクセス禁止法違反と電子計算機損壊等業務妨害の疑いで逮捕されたのが,同社でWebサイトの作成等を担当しておりアクセスするためのIDとパスワードを知っていた同社元従業員だった,という事例も報道されている注12)。これらの事例では,IDやパスワードの管理や,従業員の情報セキュリティーに対する意識等に改善の余地があるのではないかと思われる。
インターネットの匿名性を悪用した犯行予告などの業務妨害や脅迫等の事件は多数報じられているが,その中でも無実の一般人が4人も誤認逮捕された「パソコン遠隔操作事件」は記憶に新しい。
この事件では,被告人が他人のパソコンを遠隔操作するためのプログラムを作成・利用し,第三者のパソコンを遠隔操作して,犯行予告文を送信する方法により,航空機の針路の変更,警察機関,教育機関,店舗,神社,各種イベント等の業務を妨害,女優の親族を脅迫などしたとして偽計業務妨害,航空機の強取等処罰法違反,威力業務妨害,脅迫,不正指令電磁的記録供用注13)の各罪に問われ,懲役8年の実刑判決を受けた(東京地裁2015年2月4日判決・LLI/DB 判例番号L07030157)注14)。
パソコン等の端末が遠隔操作された場合でなくとも,匿名性の高いインターネット上では,第三者のなりすましによって権利を侵害される危険性は相対的に大きいといえる。たとえば,IDやパスワードなどが無断で利用されてなりすまされ,サーバー上の情報が改変されたような事例では,これまでみてきたように不正アクセス禁止法違反や私電磁的記録不正作出等の罪に問われる注15)。
これに対し,何者かが本人になりすまし,IDやパスワードなどは不正利用していないものの,インターネット上で本人のように振る舞いつつ意に反する言動を繰り返し,読者も当該言動を本人のものと誤認してしまうような事例では,不正アクセス禁止法違反には問えず,当該言動の内容に応じて,名誉毀損罪や侮辱罪,業務妨害罪,プライバシー侵害等の成否が問題となるのみである。
この点に関し,第三者が原告になりすましてインターネット上の掲示板に投稿したことによりアイデンティティー権,プライバシー権ないし肖像権を侵害され,または,名誉を毀損されたとする原告が,上記投稿をした者に対する損害賠償請求権の行使のために提起した発信者情報開示請求訴訟で,大阪地裁は,名誉毀損,プライバシー権侵害および肖像権侵害の成立をいずれも否定し,人格権としてのアイデンティティー権の侵害として不法行為が成立する場合がありえることに言及しつつも,上記投稿について損害賠償の対象となりえるような個人の人格的同一性を侵害するなりすまし行為が行われたと認めることはできないとして,原告の請求を棄却した(大阪地裁2016年2月8日判決・ウエストロー・ジャパン文献番号2016WLJPCA02086002)。結論としては認められなかったものの,名誉やプライバシー権とは別に,「他者との関係において人格的同一性を保持する利益」という意味でのアイデンティティー権の侵害が問題となりうることに司法が言及したことは初めてとの報道注16)もあり,注目すべきものである注17)。
営業秘密注18)は不正競争防止法で保護されており,近年のさまざまな情報流出事例を受けて,保護の強化が図られている注19)。
具体的な事例としては,不正の利益を得る目的で,勤務先会社の製品の生産方法に関する技術情報(営業秘密)のファイル6個を同社のサーバーからコピーして領得した不正競争防止法違反の事案で,被告人が懲役2年執行猶予4年,罰金50万円の刑に処せられた事例注20)(名古屋地裁2014年8月20日判決・LLI/DB判例番号L06950414,名古屋高裁2015年7月29日判決・LLI/DB判例番号L07020332(控訴棄却),最高裁2016年10月31日決定(上告棄却)),被害会社らが競業他社に先んじて開発した,当時世界最小の半導体メモリーであるNAND型フラッシュメモリーの信頼性検査の方法や試験データ等に係る営業秘密情報が,不正競争の目的で,被害会社が管理するコンピューター・ネットワーク内のデータベースからコピーされて他国の競業他社に流出された不正競争防止法違反の事案で,被害会社の提携先会社の元技術者である被告人が懲役5年,罰金300万円の刑に処せられた事例(東京地裁2015年3月9日判決・判例時報2276号143頁,東京高裁2015年9月4日判決(控訴棄却))などがある。これらの事例は,いずれも,不正アクセスによるものではないが,保有者から営業秘密を示されていた者がその地位を悪用して社内のサーバーやネットワーク内のデータベースから営業秘密をコピーして流出させたもので,営業秘密漏えいの実例として参考になると思われる注21)。
(2) 個人情報窃取事件外部からのネットワークへの侵入により個人情報が窃取された事件も報道されている。2016年6月には,佐賀県内の県立中学や高校の生徒らの成績をインターネット上で管理するシステムなどに侵入し,成績など個人情報を含む約21万件のファイルを盗み取った不正アクセス禁止法違反の疑いで,佐賀市在住の17歳の無職少年が警視庁と佐賀県警に再逮捕されたことが報じられている注22)。
(3) ベネッセコーポレーション顧客情報流出事件企業が管理する顧客情報が流出した事件もしばしば発生しているが,最近のものとしては,2014年7月に報じられた,通信教育の最大手企業であるベネッセコーポレーション(以下「ベネッセ社」という。)の顧客情報流出事件が挙げられる。この事件は,ベネッセ社のグループ企業でベネッセ社の顧客情報を取り扱う業務に従事していたシステムエンジニアが,売却して利益を得る目的で,ベネッセ社の営業秘密である顧客情報を自己のスマートフォンに複製し,名簿業者に売却して流出させたというもので,流出した顧客情報には子どもや保護者の氏名,住所,電話番号,性別,生年月日などが含まれており,その件数は3,504万件に及ぶと公表された注23)。加害者のシステムエンジニアの男は2014年7月17日に逮捕され注24),不正競争防止法違反の罪で懲役3年6月,罰金300万円の刑が宣告された(東京地裁立川支部2016年3月29日判決・LLI/DB判例番号L07130649,控訴中)。また,ベネッセ社は,顧客情報を流出された被害者多数からの損害賠償請求訴訟も受けている注25)。
(4) 従業員による個人情報の漏えいアルバイト従業員などが,勤務中に得た著名人の個人情報やプライバシーにわたる事項をSNSなどで開示してしまう例も,いまだしばしば報じられている注26)。
中には,訴訟沙汰となってしまった例もある。訪問介護サービスの従事者によって,プライバシー侵害や名誉毀損に当たる記事をインターネット上に掲載されたために損害を被ったとして,サービスの利用者が,従事者とサービス利用契約の相手方当事者である訪問介護事業者に損害賠償を求めた訴訟で,従事者に150万円,訪問介護事業者に130万円の損害賠償が命じられている注27)(東京地裁2015年9月4日判決・LLI/DB判例番号L07031054,従事者控訴注28))。
(5) 情報窃取被害の賠償顧客情報の流出により損害を被るのは当該顧客だけではない。当該顧客情報を保有していた事業者も多大な損害を被ることになるが,このような損害の分担も問題となる。この点に関し,何者かによる不正ログイン等により顧客のクレジットカード情報が流出し顧客対応等が必要となったために損害を被った原告が,原告からWebサイトにおける商品の受注システムの設計,保守等を受託していた被告に対し,顧客のクレジットカード情報流出の原因は被告が製作したアプリケーションが脆弱(ぜいじゃく)であったことにあると主張して損害賠償を求めた事案において,原告の請求が一部認容された例がある注29)(東京地裁2014年1月23日判決・判例時報2221号71頁)。
2011年7月14日に施行された刑法改正で,コンピューターウイルス注30)の作成自体も処罰対象とされた注31)が,コンピューターウイルスは現在も多数作成され,公開され続けている注32)。これらのウイルスはインターネット上で提供されており,その気になれば誰でも入手できる実情にある注33)。
また,2013年8月には,警視庁の調べで,利用者のIDやパスワードを盗むウイルスに感染したパソコンが国内で少なくとも1万5,000台あると判明したことが報じられた注34)。2015年11月には,法務省への不正アクセスに使われたレンタルサーバーを虚偽情報で不正契約した私電磁的記録不正作出・同供用の疑いで,中国籍の男が警視庁公安部に逮捕されたが,この男は約1,000台のサーバーを同様に不正契約し,転売したとみられている旨も報じられている注35)。その他に,いわゆる闇サイトでは,ウイルスに感染し遠隔操作できるパソコンが有料で貸与されているとの報道もある注36)。このように,ネットワークや情報セキュリティーに対する攻撃のためのツールは,悪意のある者にとっては簡単に入手できる環境が整っている実情がある。
(2) 個人情報市場の存在また,個人情報については,海外にある複数のWebサイトで,日本人のものも含む大量のクレジットカード情報が売買されている実態が報じられている注37)。国内でも,資産家などの個人情報を取り扱う「名簿屋」と呼ばれる業者が存在しており,振り込め詐欺や投資詐欺グループに悪用されている実態がある。名簿業者は所管官庁も定まっておらず,事実上「野放し」の状態である注38)。個人情報を不正に取得しようとする者が後を絶たない背景には,このような実情もあるのである注39)。
(3) 加害者の低年齢化近年,青少年にもスマートフォンが普及しており,青少年のインターネット利用率も上昇している注40)。そんな中で,警察庁などによると2014年,不正アクセス禁止法違反で摘発された容疑者の年齢層は4年連続で10代が最多だったと報じられている。その背景として,いわゆる闇サイトを通じてウイルス作成ツールや攻撃指導のサービスなどが提供されている実態が挙げられている注41)。本稿で紹介した事例の中にも10代の少年による犯行のものが複数あり,このような少年らは,興味本位やいたずら感覚,自己顕示欲などから安易に犯行に及んでいるようである。
ネットワークや情報セキュリティーに関する近時の裁判例や報道されたさまざまな事件と,その背景を紹介した注42)。社会の変化に対応するために法改正等が繰り返されているが,技術の進歩は速く,いまだ課題は多く残されているように思われる。そもそも法や制度の改正は後追いにならざるをえないから,その間隙(かんげき)に当たるような課題はひとまずは利用者のモラルに委ねられるともいえる。ネットワークや情報は有用である反面,悪用された場合には多大な損害をもたらす危険性があることも事実であり,利用者としては,この点をあらためて見つめ直す必要があるように思われる。
2004年京都大学法学部卒,2006年弁護士登録(第二東京弁護士会)。リンク総合法律事務所所属。第二東京弁護士会消費者問題対策委員会副委員長,オリンパス株主被害弁護団事務局長,カンボジア不動産投資被害弁護団事務局次長。インターネット上の業務妨害や名誉きそんといったトラブルのほか,悪質商法被害,宗教問題なども扱っている。