スパムメールの発信基地にされたり、あるいは踏み台にされる、という様なことも出てくると思います。 踏み台にされるということの法的評価ですけれども、セキュリティ対策を取る必要というのは当然あるわけです。 しかし、それが法律上の義務になるのか、すなわち、それを懈怠した時に懈怠責任というのでしょうか、その義務を尽くさないことが刑事罰になるということになるのか。 現段階のセキュリティ対策をとる義務・必要性というのは、先程少しお話がありましたけれども努力義務、あるいは、民事的な要素が出てくるか、という辺りになると理解しております。 実際に基礎的なセキュリティ対策が一般化した場合にはどうなのか、ということです。 例えば、Firewallもかつての様な値段ではなくて、私の知りうる範囲ですが、Personal Firewall 六千何百円とか、八千何百円とかで売っている、という場合に、専門のサーバが何もFirewallを入れてない、セキュリティ対策してない、ということになりますと、これはちょっと問題外だと思います。 そういう意味では、クラッキングの事故発生報告とそれに対する対応策、あるいはパッチ等の指導、あるいは配付が成されている場合、どう対応するのか、ということになります。 先程警察庁の方からご説明ありましたし、私もどういう対策が取られるべきだとされているのかと思い見てみました。 確かにホームページに出ております。 インターネットをちょっと検索するだけで、ホームページのクラッキング事件に関してはこういう対応してください、とリンクまで張ってパッチが配られているわけです。 今までそんなことなかったと思うのですが、警察庁のホームページでキッチリと教えてくれているわけです。 そうしますと、そこまで対策が示されていながら管理者がそのホームページを見てないということは、かなり大きな落ち度になるでしょう。 要するに、パッチが配られていることを知らなかった、とは言わせないという国家の対策があるのでしょうか。(笑) 知らないとは言わせないぞ、薬がちゃんとここに置いてあるのに、なぜ取りに来ないか、という職業人としての責任を徐々に高めていくというのが、我々の義務だと思います。その意味では、やはり昔の様にどう対応したら良いのか、ということを考える段階はもう終わっています。 そうすると、あとは確かにパッチを当てる時に変に当てるとサーバがダウンしてしまうので、そう簡単に当てられないよ、とか、色々費用の問題やダブルで走らせなければならない問題、あるいは、もっと大事な情報が無くなってしまうからそう簡単には出来ない、という様なそういう事情はあろうかと思います。 そういったことは、細かくメモして頂いて、業務報告をして頂いて、常に全体でセキュリティのことを考えて頂くということは、どうしても必要になってくるでしょう。 そういうことを小まめにやって頂けてれば、そういう意味での民事責任も含めて大きな法律問題にはならない、と考えて頂いて良いと思っております。
ここでは一つの視点としまして、不正アクセス禁止法というところで、管理者の責任という規定がございました。 それをここに、第5条ですけれども、写させて頂きましたので、少し見て頂ければ助かります。
この5条では、一番最後のところに、「速やかにその機能の高度化その他当該特定電子計算機を不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとする。」ということで、管理者としては常にこうした努力を払わなければいけない、ということになってくるわけです。 この辺は実は私は行為者の不正アクセス行為をやって逮捕された人の弁護などをやる場合に、大変よく思うわけであります。 実際には、非常にズル抜けのところが多いのです。 つい先日もある有名な化粧品会社でしょうか、ホームページに個人情報のファイルをポンッとオンラインに置いておいて(それがクラックされたんでしょうか、と彼らは言っておりますが)、表に出てしまって漏洩事件起こしたというのがつい先日ありました。私の立場では、クラックされたのかもしれませんけど、管理者の落ち度の方が大きすぎる、あれは本当に民事訴訟で責任を問われても致し方ない世界だろう、と思うわけです。 そういう意味で、必要な措置を講ずるというレベルは毎年高くなってきている。 ところが、それをキチッと守っておられないズル抜けの管理が大変多い、その意味では、先生方もズル抜けになっていないかどうかを良く注意をして頂きたい、ということであります。
時々感じるのが、大学もそうですが、サーバ管理者が不用意にサーバを又貸ししたり無断でレンタルしてるケースがあります。 わいせつサイト等で色々問題が起きて、とんでもないということで潰しにかかってみると、どうも正規の所に寄生しているわけです。 正規の管理者はそれを認識してないらしく、サーバが大きいものですから、その中のある部分に変なサイトが出来上がってるというのがあるわけです。 私達は内容証明郵便で上に上に辿っていった管理者の大元のところに刃を突きつけるわけでありますけれども、それをやって初めて気がついた、という管理者の方が結構いらっしゃいます。 そういう意味では、サーバ全体のお掃除の様なことを常にやって頂かないと、どういう構成で何が入っているのかというのを徹底的にチェックしていくことも管理業務の一つとなります。 担当者任せにしておくと、とんでもない痛い思いをする、ということもございます。 その辺では、やはり管理責任というのは出てくるだろうと思われます。 これは民事責任という主旨でありますけれども、強く感じるところであります。
|
