ユーザーに被害を及ぼす「ウェブサイト改ざん」 気づかず「放置」した企業の責任は?

弁護士ドットコムニュース / 2013年10月18日 19時0分

写真

関連画像

「企業のウェブサイトがこっそり改ざんされるケースが増えている」。警察庁サイバーテロ対策技術室がこう注意を呼びかけている。ウェブサイトの改ざんはその企業にダメージをもたらすだけではない。そのサイトを訪れたネットユーザーにも深刻な被害を与える恐れがあるので、注意が必要だ。

同庁サイバーテロ対策室によると、今年1~2月のウェブサイト改ざんはサイトに「犯行声明」を置くなど、明らかに改ざんされたことが分かるケースが多かった。しかし、5~6月の改ざん事例は「サイトの外見上変化がない」「閲覧者が気づかないまま悪意あるサイトに誘導される」「誘導されると不正プログラムに感染するおそれがある」など、新たな特徴が出てきているという。

不正プログラムに感染すると、ネットバンキングの口座番号やパスワードなどが盗まれる可能性があるほか、偽のウイルス対策ソフトを購入させるための誘導メッセージが出たり、コンピュータを使うために300ドル支払えといった「身代金」を要求されるケースもあるという。

ウェブサイトの改ざんが犯罪なのはもちろんだが、改ざん被害を受けた企業側が「改ざんに気づかず放置した」場合はどうなるのだろうか。改ざんされたサイトにアクセスして個人情報などをだまし取られた人は企業に「責任を取れ」と言えるのだろうか。情報セキュリティをめぐる法律問題にくわしい高橋郁夫弁護士に聞いた。

●企業にはウェブサイトの「改ざん防止」の努力義務がある

まず、ウェブサイトの第三者による改ざんに対して、企業はどう対処しなければならないか?

「その改ざんがなされたサイトの主体である企業は、できるかぎり被害を最小限にするための合理的な努力をしなければならないといえるでしょうね。情報セキュリティの世界で、『インシデントレスポンス』といわれる分野ですね」

企業は、不正アクセスや改ざんなどの「インシデント」に対する防止措置をとることが求められるほか、万が一「インシデント」が起きてしまった場合には、早急に復旧などの「レスポンス」を行う努力義務があるという。

そのような「インシデントレスポンス」が行われず、企業が事態を放置していた場合はどうか。放置された改ざんサイトにアクセスして被害にあった人が、民事訴訟で損害賠償を請求できるのだろうか。

●裁判で企業の責任を問うには「立証」のハードルがある

「改ざんサイトを閲覧した際に悪意あるプログラムがダウンロードされ、結果として不正に情報が取得された場合(いわゆる『ドライブ・バイ・ダウンロード攻撃』)を例に考えてみましょう」

この記事に関連するニュース

トピックスRSS

ランキング