個人情報を盗まれた人たちの不安を被告はわかっていない

記事検索

特別企画

【 2009/06/11 】

■	6月のマイクロソフトセキュリティ更新を確認する［20:03］

【 2009/06/09 】

■	「Googleブック検索」和解案と電子書籍ビジネスの行方（後編）［12:52］

【 2009/06/08 】

■	「Googleブック検索」和解案と電子書籍ビジネスの行方（前編）［14:12］

【 2009/06/04 】

■	多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」［10:54］

【 2009/06/02 】

■	DirectShowのゼロデイ脆弱性に対応する［14:18］

【 2009/05/28 】

■	ソニー「nav-u」の小さいカーナビ使ってみました＜徒歩・自転車編＞［10:56］

【 2009/05/26 】

■	SNSはメールの10倍危険？「心がけ」が大事とカスペルスキー氏［11:24］

【 2009/05/21 】

■	被害が多発する「Gumblarウイルス」への対策を実施しよう［19:20］

■	ソニー「nav-u」の小さいカーナビ使ってみました＜基本機能編＞［11:00］

【 2009/05/15 】

■	Adobe Reader/Acrobatの脆弱性対策を考える［15:27］

【 2009/05/14 】

■	5月のマイクロソフトセキュリティ更新を確認する［12:58］

【 2009/04/16 】

■	4月のマイクロソフトセキュリティ更新を確認する［15:57］

個人情報を盗まれた人たちの不安を被告はわかっていない

ACCSの久保田専務理事が語る個人情報流出訴訟の背景（前編）

　CGIプログラムの脆弱性を突いてコンピュータソフトウェア著作権協会（ACCS）の運営するWebサイト「著作権・プライバシー相談室～ASKACCS」から個人情報約1,200件を引き出した国立大学研究員の男性を相手取り、同協会が2月26日、東京地方裁判所に損害賠償訴訟を起こした。訴訟に踏み切った理由を、ACCSの久保田裕専務理事に聞いた。

● セキュリティの研究者ならば、個人情報の拡散防止に努めてほしい

──男性はすでに不正アクセス禁止法違反で起訴されている。今回、それとは別に民事訴訟に踏み切った理由は何なのか？

　昨年11月下旬、研究員の男性からお詫びに来たいという連絡があって面会した。捜査情報を漏らすことにもつながるので、警察からはできれば応じないでほしいと言われたのだが、謝罪したいというのなら、私は人として会おうと判断した。しかし残念ながら、その時の彼の言動から謝罪の意志がまったく感じられなかった。個人情報を盗まれた人たちの不安というか、スパムメールや無言電話、あるいは２ちゃんねるでお祭り騒ぎの道具にされるかもしれないという危機感は、ネットユーザーであれば当然想像できるだろう。彼はそういうことがまったく理解できないようだった。まずそれが訴訟を起こした理由の1つ。

　我々に脆弱性の問題を通知する前に、イベントでそれを説明し、プレゼンテーションの中で個人情報の一部を公開している点も問題視した。個人情報へのアクセス手法も教えていたため、実際にその手法でアクセスしてくる者も何人か出ている。

　一方、流出が発覚してからというもの、我々は個人情報の拡散を防ぐために、朝・昼・晩とファイル交換ソフトや２ちゃんねるなど、ネットのチェックをしており、ACCSの本来の業務に支障を来たしている。しかし今年1月末には、彼がイベントで使用したプレゼンテーション資料が２ちゃんねるのアップローダに掲載される事態が発生した。彼が我々のところに来て、「『A.D.200X（※）』の中では、自分が個人情報の流出をすべて止めています。自分自身もハードディスクの中に入っているデータを消去しました。大丈夫です」と明確に言ったにも関わらずだ。完璧に対処したと言っておいて、実際はボロボロと出てきた。

　結局、我々ばかりがしゃかりきになって情報が流出していないかをチェックし、被害者の方にはお詫びに行き、この2カ月以上、この問題にかかりっきりの状況だ。刑事上の威力業務妨害に当たらなくても、当然、民事上の不法行為としては成立すると考えた。

（※）研究員の男性も参加していたセキュリティ関連の専門家の集団。A.D.200Xが2003年11月上旬に開催したイベント「A.D.2003」において、実際に引き出された中の4名分の個人情報ととともに、そのCGIの脆弱性を突く手法が男性によって公開された。

ACCSの久保田裕専務理事

──損害賠償が目的なのか？

　賠償金が欲しいというのではなく、彼がやった行為の責任を法的に明確にしたい。新聞などで取り上げているような、（脆弱性を突く行為が）不正アクセスに該当するかどうかという議論も、我々にとってのいちばんの問題ではない。これは、個人情報を盗まれた、もしくは個人情報が拡散するような脅威にさらされた人たちに対する法益侵害の問題だと考えている。また、ACCSが個人情報を預かっていたことによって、流出させる側に回ってしまったことに対しての痛みを考える意味でも、裁判所のもとでその責任を明確にしたい。そのために、損害賠償というかたちで、問題を提起したつもりだ。

　本当に考えているのは、我々が現在やっている情報の拡散防止作業と同じことを彼にもやってもらいたいということだ。今後も、ACCSから引き出された個人情報がいつどこに流出するかわからない。流出した場合に、それを削除する作為義務を彼に課すべきだと思うし、その債務名義をもらえる訴訟も検討中だ。

　これにはどれだけ法的効果があるかは疑問だが、意識の持ち方を確認するということにはつながると思う。彼は、「セキュリティ技術に対して警鐘を鳴らし、よりセキュアなネット社会を作る」という言い方の下に、今回のような行為をしている。しかし、残念ながら、彼がやった行為で実際に個人情報が流出している。その矛盾に対しては、自分で後始末をやってください、という感情にならざるを得ない。

　自分がネットワーク社会の住人であり、セキュリティの研究者であるというのならば、今回漏洩した個人情報が二度とインターネット上に流出してこないように、努力してもらいたい。

● 個人情報が流出した1,200人がACCSを訴える可能性についても覚悟はしている

──訴訟では、ACCSとともに、個人情報をさらされた3人も原告となっている。どういう経緯で参加することになったのか？

　（個人情報流出の対象となった人に）お詫びに行くと、逆に「ACCSだって加害者だ。どう対処するつもりなのか？」と問われることもある。そのようなやり取りの過程で、「自分たちがひとりひとり弁護士を雇ってやるわけにはいかない。全部ACCSでやって欲しい」と要望された。訴訟に踏み切った理由としては、やはり人権を侵害された人たちから、ACCSとしてきちんと対処して欲しいという要望が強かったことも挙げられる。

　訴訟を起こした時点で連絡がつかなかったために、原告にはまだ加わっていない残りの1人も含めて、（プレゼンテーション資料で個人情報をさらされた）4人が、研究員の男性だけでなくACCSを訴えることも当然あり得るだろう。それは我々も理解しているところで、個人の方の弁護士はACCSとは別に立てた。男性に対する訴訟は一緒にやるが、将来的にはわからない。4人だけでなく、1,200名がACCSを訴えることも、可能性としては考えられるだろうが、その覚悟はしている。

──被害者のACCSに対する反応はどういうものか？

　我々としては、叱られつつも、誠心誠意、顔を見せてお詫びをしている。その後の電話等でも、彼らの要求に対してはできる限り誠意を持って対応している。ただし、「お金でなんとか解決したい」という話ではないことは、ずっと説明してきた。そういう意味では、一緒に訴訟を起こすところまで理解してもらえた部分はある。とはいえ、それでも彼らとしてみれば、何か不安なことが起きれば、「ACCSに提供した個人情報が漏れたから」と一生言われるだろう。我々は十字架を背負いながら、彼らの日常生活の平穏が害される危惧や危機感について、できる限りのことをしていかなければならない。

　ただ、そのことが、法的責任を負うほどの注意義務違反がACCSにあったことにつながるのかはわからない。少なくとも、私はそこまでの注意義務違反はないのではないかと思ってる。もし注意義務違反だというような認定が下って、（ACCSの被害者に対する）損害賠償が成立するというようなことになれば、ガチガチのセキュリティをかけているごく一部の上場企業以外は、どこも個人情報を扱うことが困難になるのではないかとも思う。

　もちろん、法的な注意義務に違反していたことが裁判所によって評価されるのであれば、ACCSの責任は真摯に受け止める。

　責任の所在については、研究員の男性やACCS自身だけでなく、CGIを提供していたレンタルサーバー会社や、実際に引き出された個人情報の一部とアクセス手法が公開されたイベントの主催者など、事故をとりまく関係者も含めて考えなければならないという。後編では、責任問題や今回の訴訟が与える影響について久保田専務理事の考えを聞く。

（永沢茂）
2004/03/18 12:52

- ページの先頭へ-

Internet Watch ホームページ