【マンスリーレポート2004/02】ACCSが京大研究員に約740万円の損害賠償訴訟 その真意はどこにあるのか? | ScanNetSecurity
2020.11.26(木)

【マンスリーレポート2004/02】ACCSが京大研究員に約740万円の損害賠償訴訟 その真意はどこにあるのか?

──────────────────────────────〔Info〕─ Scan Monthly Report Best Worst http://www.ns-research.jp/c2/shop/books/p-sbw01.html

製品・サービス・業界動向 業界動向
──────────────────────────────〔Info〕─
Scan Monthly Report Best Worst
http://www.ns-research.jp/c2/shop/books/p-sbw01.html

ネットワークセキュリティ・インシデント年鑑2003
http://www.ns-research.jp/c2/shop/books/p-inc02.html
───────────────────────────────────



 コンピュータソフトウェア著作権協会(ACCS)は2月27日、同協会が運営する「著作権・プライバシー相談室〜ASKACCS」から個人情報約1200人分を引き出した国立大学研究員の男性に対して損害賠償訴訟を起こしたと発表した。この国立大学研究員とは、office氏である。今年2月初めに警視庁ハイテク犯罪対策総合センターと池袋警察署がoffice氏を不正アクセス禁止法違反と威力業務妨害の疑いで逮捕しているが、今回、ACCSが損害賠償訴訟に踏み切ったことで一連の事件は、さらに波紋を広げそうだ。


>> ACCSと個人情報を公開された個人が原告、損害賠償訴訟の経緯・背景とは

 ここで、あらためて今回の事件を簡単に振り返っておこう。発端は、昨年11月にoffice氏が、ACCSの「著作権・プライバシー相談室〜ASKACCS」のサーバの脆弱性を突いて個人情報1200人分を引き出し、ACCSに対してその脆弱性を指摘したことだった。この時点では、office氏の行為は、個人情報を盗み出すのが目的ではなく、あくまでも「脆弱性を指摘し情報セキュリティの重要性を啓蒙する」ための「ホワイトハッカー」、あるいは「セキュリティ啓蒙活動家」としての行為と考えられていた。

 しかし、今年1月に警視庁が不正アクセス禁止法違反と威力業務妨害の疑いで捜査を開始したことで、状況は一変する。警視庁が捜査に乗り出した背景には、昨年11月にoffice氏も参加していたセキュリティ関連の専門家集団「A.D.200X」のセキュリティ関連のイベントで、office氏が引き出した個人情報の一部を公開し、参加者がその個人情報をコピーして持ち帰り、その後、それらの個人情報がインターネット上の掲示板で流出していたことなどがある。
 つまり、ACCSに対してサーバの脆弱性を指摘する以前に、引き出した個人情報が公開されてしまっていたのだ。その結果、今年2月初めにoffice氏は、不正アクセス禁止法違反と威力業務妨害の容疑で逮捕された。

 事件の一連の流れを振り返ると、office氏が逮捕されたことでいったんの終息が見られたかに思えた。しかし、今回、ACCSは損害賠償請求に踏み切った。その背景には何があるのだろうか。今回の訴訟では、ACCSと個人情報を公開されてしまった3名が原告となっている。損害賠償の請求金額は、個人情報の流出により業務が妨害され、信用が傷つけられたとして、ACCSが500万円の損害賠償と107万1000円の弁護士費用を求めると同時に、3名が1人あたり損害賠償30万円と弁護士費用15万5400円を求め、総額で743万7200円にも上る。ACCS側、個人情報を公開された3名にしても、この金額をoffice氏に支払ってもらえれば、それで一連の事件が終わるとは考えてはいないだろう。ACCSが損害賠償請求を起こした真意とはどこにあるのだろうか。


>> 社会的制裁でもなくお金の問題でもない、事件に関連した個人、企業、団体の責任を明確に

 ACCSの久保田裕・専務理事は、訴訟に踏み切った理由について、「office氏に社会的な制裁を加えるためではない。ましてや、損害賠償金額が欲しいわけでもない」と強調する。「本当の狙いは、当事者であるoffice氏と私たちACCS、サーバを管理していたファーストサーバ、そしてoffice氏が参加していた『A.D.200X』のイベントでの行為など、関連する全ての人たちや会社、団体の法的な責任を明確にしたかった」と語る。

 ACCSでは、個人情報の流出が発覚してから以降、現在までの間に被害者の方々に直接に謝罪に出向き、事情を説明し、さらには流出した個人情報の拡散を防ぐためにインターネット上の掲示板、ファイル交換ソフトなどを日々、事務職員総出でチェックをしているという。もちろん、個人情報が「晒されて」いた場合には、サイトや掲示板の管理者に即刻削除を要請している。

「某巨大掲示板の有名管理者をはじめ、知られた掲示板の管理者には何度、電話をかけたことかわからないほど」(久保田専務理事)という。こういった一連の作業に約2カ月間かかりきりになり、本来の業務に支障をきたしている状況だという。

 確かに、脆弱性のサーバが存在し、その脆弱性から個人情報が盗み出されたという事実を考えれば、ACCS側、つまりは「ハクられた側にも責任がある」との論調は一考に値する。ACCSでも、そのことを十分に認識し、いわばネット上をパトロールし個人情報の拡散に歯止めをかけようと精一杯の努力をしてきている。しかし、「ACCSにも責任があるのだから、自分たちで誠意を持って対応しろ」と言い切ってしまうこと、つまり、個人情報の回収、拡散防止をひとつの企業や団体などに押し付けてしまうことはできないのではないだろうか。いったんインターネット上に流出した個人情報は、回収することはおろか拡散を100%防ぐことも事実上不可能である。それだけに、今回の事件に関連した全ての個人、会社、団体の責任を「明確にしたい」という理由はうなずける。


【執筆:下玉利 尚明】

(詳しくはScan Security Managementをご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★10/15~11/30迄 創刊22周年記念価格提供中★★
★★10/15~11/30迄 創刊22周年記念価格提供中★★

2020年10月15日(木)~11月30日(月) の間 ScanNetSecurity 創刊22周年記念価格で提供。

×