さて、2番目として、セキュリティ侵害の類型と法的責任ということでありますけれども、一応いくつかの類型を分けて、違法性の中身が違ってくるだろうということで、検討しておくべきと思いました。
まず皆さんのコントロールされてますサーバが停止する、機能停止ということがあるとします。 先程申し上げたDoS攻撃等でサーバがダウンするということがあろうかと思います。 この場合は、どちらかと言うと、全くの被害者になるわけで、確かに他の人のデータを預かっている、あるいは、通信の媒介行為を行っている、そのサービスが停止するということはあろうかと思います。 サービス停止については、恐らく契約の中で、短時間サーバがダウンしてサービスの提供が出来なかった場合の損害賠償あるいは利用課金の返済、あるいは免責、という規定があろうかと思います。 従って、そこは余り大きな問題にはならないでしょう。
86年頃に、世田谷区で地下ケーブルが燃えてしまった事案において、NTTに対して損害賠償請求の裁判が起こされましたけども、いわゆる通信料以外では損害賠償の責任は無いということで結論が落ちております。
で、もう一つ、どこまでこれは法律論になるのか、是非専門の皆さんと我々法律家が研究しないといけない事だと思うのですが、インターネットというのは、いわゆる専用回線の(電話回線と違って)Best Effortというのでしょうか、繋がるかどうか分からない、極力頑張りましょう、メールが届かないということもままある、という前提を置きます。 メールが届かないから損害賠償という話は聞いたことが無いわけです。 そうしますと、いわゆる今のNTTの事件で、電話回線が止まった、これはもう死活問題だというのは何となくわかるわけで、それでも責任が無いという判例が出ているわけです。 そうすると、インターネット回線がダウンしたからと言って損害賠償請求されるのか、ということで言いますと、どうもBest Effortというのが、もう一つフィルターになって責任関係が弱くなってくるのかな、と私は理解しております。 ただ、現在の様に大変強いインフラというのか、だんだん重要なインフラ(基幹インフラ)になって来ましたので、そうなってきますと、また考え方を少しずつ修正しなければいけない事態も生まれてくる、と思っております。 ただ、そういう意味では、通信が仮に途絶えたとし、あるいは落ちたとしても、そう大きな責任は出てこないというのと、Best Effortの世界という2重の安全面が働いていると考えております。 ただ、民事責任を負うかどうか、という点でありますけれども、1つご注意頂きたいのは、民事責任は無くても、民事訴訟で引きずり回されるという事は山ほどありますので、これはなかなか避けられない。 不当訴訟だといって反訴起こしても結構ですけれども、あまり生産性が無いということになります。 そうしますと、初期対応の問題として、こうした攻撃への危険性というのは予測できるのだろうか、予測出来たとすると予防策はあり得るのだろうか、それに対する対策というのは実施されていたのかどうか、この辺りが恐らく事前対策としての被害者もしくは関係者に対する説明という意味で役に立ってくるだろう、と私は理解しております。
現時点では、私はこの秋くらいからものすごい勢いでこのDoS攻撃が再発するだろうと実は思っています。常時接続そしてブロードバンドが、低料金で接続し利用が可能です。先日あるソフトウェアをはめ込んで外からの攻撃を見てみましたら、1日に4〜5回攻撃が入ってくるのが見えるわけです。インターネットに直付けしてPort Scanかけられて、攻撃用ソフトを産み落とされていれば、常時接続でありますし、ケーブルを使って、ボンボン放り込んでいったら、とんでもないことになる、というのは目に見えるものです。 そうしますと、私はこれは「怖い、怖い、怖い。」という話ではなくて、皆さんの責任がその度にグレードが上がっているとも理解出来るわけです。 要するに、低料金で通常の市民が大変高機能のコンピュータを常時接続で接続し、メールに対するセキュリティもほとんどしていないという条件がかみ合ってくる場合、いつDoS攻撃がかけられてもおかしくは無いと判断するのが、だんだん常識になってくるのでは無いかと思います。 ですから、その意味では、注意義務がものすごく高くなりつつありますよ、ということだと思います。 DoS攻撃の危険性を予測して頂きたい。 予防策はあるのか、予防出来ないこと、あるいは、予防することに猛烈な費用がかかる場合はそんなことしなくて良いのです。 要するに、期待可能性という議論がございます。 簡単にできるかどうか、ということでありますが、どうも私の聞いた範囲では、ある一定の機能のルーターをかませることでも対応できる、と聞いておりますし、ソフトウェアのFirewallの様な形でも対応ができる、とも聞いております。 これに関しては、技術者ではありませんので、専門の先生方のご判断だと思います。 ある程度廉価に対応ができるということになって参りますと、これは注意義務の範囲に徐々に入ってくるということになるだろう、と思います。
具体的に実際に対応は施されていたのかどうか、例えば、ある一定の監視が出来る様になっていたのかどうか、あるいは負荷がかかったら、1度回線を切ってしまうという様な一時的に回線を切って防御する様な仕組みを考えていたかどうか、あるいはそういう措置が取られていたかどうか、ということが問題にはなるでしょう。 そうしますと、事故が起きた時にすぐに損害が拡大し、あるいは、波及していくことを防止するべくメールを打って、「実はこういう事態が発生しました」「当方ではあらかじめこういうことを予想して、こういう対策をうって参りました」「こういうことで最低限の形でくい止めました」もしくは「残念ながらこういうことになりました」という説明が出来る。 そうなってきますと、充分な対応をしていたということになると、それを持って弁護士のところに行って、「損害を受けたのですがどうでしょうか」と言った時に、分からないながらも弁護士は、「だってこんなこと一生懸命やっていたらこれ以上訴訟起こしたって絶対勝てない」「過失の範囲がこれじゃ特定出来ない」「過失のレベルまで行ってない」「これじゃ無理だよ」と、要するにズル抜けだったら法的責任追求してもいいかもしれないけれども、それ以外ダメだよ、と相談された弁護士の方で「これは訴訟起こせないな」「立証大変だな」と答えるでしょう。 立証になったとしても先生方の方が猛烈な資料を持っておられるし、技術的なスキルもありますので、よほどあちらが鑑定人、技術士か何かを使って被害の中身を徹底的に洗って対決してこない限り、まあまあ比較的優位かと思われます。 その意味ではあまり心配いらないと思われます。 専門家として最低限のキチッとした注意義務を果たして頂ければ、いいだろうと思います。 ただ今後は注意していないと、お医者さんの訴訟でもそうですが、お医者さんの方がスキル持ってるから大丈夫だと思っていますと、必ず被害者側にも医師を加えた弁護団というのが出来上がりますし、被害者側でカルテを開示して、やはりミスはミスとして見つかるという確度がものすごく高くなってきております。 インターネットはだんだん、だんだん、オープンになってきておりますので、落ち度は比較的見えるだろう、と考えられます。 充分注意は必要だ、ということかと思います。
|
