第183号コラム:小向 太郎 理事(株式会社情報通信総合研究所
法制度研究グループ 部長 兼 主席研究員、IDF「法務・監査」分科会主査)
題:「サイバー攻撃と情報保有者の責任」
わが国でも、サイバー攻撃が急速に注目を集めています。海外では、以前から重要インフラへのサイバー攻撃の脅威が指摘されており、昨年には実際にインフラ設備を制御するシステムを狙ったウィルスなどが話題になりました。
これらの報には接しながら、国内ではまだ具体的な攻撃があまり話題になっていませんでした。しかし、この秋に三菱重工業等の国防関連の製品を扱う企業に対する大規模かつ組織的なサイバー攻撃が発覚し、国家機密に当たる情報も漏洩した危険があるとして大きな注目を集めました。その後、衆議院や政府機関への攻撃も報じられており、政府も2011年10月7日に「情報セキュリティ政策会議」(議長・藤村修官房長官)を開いて、情報共有など官民連携の強化を検討しています。
企業による情報漏洩について最近、マスコミ等の論調が微妙に変化しているように感じます。従来、個人情報等の漏洩がおきた場合、企業はひたすらごめんなさいでした。しかし、組織的な標的型攻撃は通常のセキュリティ対策では防ぎようがないという認識が急速に浸透しているように思います。
時代をさかのぼると、少なくとも20年くらい前までは、情報を保有していることでその管理について責任が増すことについては、あまり意識されていませんでした。21世紀に入るころに、他人にとって重要な情報を持っている情報保有者には、一定の責任があると言う考え方が強くなってきたのです。これは、明らかにコンピュータ・ネットワークの拡大と、それに伴う個人情報保護の要請からくるものです。リアルな世界では、戸締まりが不十分で泥棒に入られた人を非難することはあまりありません。自ら漏洩してしまった場合を別として、当たり前のことですが、本来非難されるべきは盗み出した側なのだと思います。過去に係争になった例を見ると、確かにセキュリティ対策が不十分だったかも知れないと思わせる場合もあります。そういう意味では、過渡期だったのかも知れません。これからは、どのようなレベルのセキュリティが求められるのかについて、情報保有者の責任に関する一層実質的な議論がされていることになるでしょう。
ところで、わが国には、外部の者が国家秘密を収集することを直接処罰する法律がありません。公務員への「そそのかし」や幇助として処罰されていますが、協力する公務員のいないハッキングはこの対象とならない可能性があります。もちろん、こうした行為は不正アクセス禁止法によって禁止される場合が多いでしょうが、これで十分かどうかは議論があり得ます。また、わが国には諸外国に見られる国家秘密を指定(限定)する制度もありません。一方で、国家が秘密と考える情報すべてを国家機密であるとしてしまうと、国民の知る権利を制約してしまう危険が大きくなります。情報に対する保護の必要性が高まり、侵害者に対する処罰の強化が行われるのであれば、保護の範囲が適当であるかどうかを客観的に監督する仕組みも必要になるはずです。例えば、米国等で行われているような、一定期間の機密指定を行ってその後指定解除されるような仕組みも、検討に値すると思います。サイバー攻撃に対応するためには、技術的な対応だけでなく制度についても、少なくとも検討はしていく必要があります。
【著作権は小向氏に属します】