【マンスリーレポート2004/02】ACCSが京大研究員に約740万円の損害賠償訴訟 その真意はどこにあるのか? | ScanNetSecurity
2024.05.04(土)

【マンスリーレポート2004/02】ACCSが京大研究員に約740万円の損害賠償訴訟 その真意はどこにあるのか?

──────────────────────────────〔Info〕─
Scan Monthly Report Best Worst
http://www.ns-research.jp/c2/shop/books/p-sbw01.html

製品・サービス・業界動向 業界動向
facebookLINE
──────────────────────────────〔Info〕─
Scan Monthly Report Best Worst
http://www.ns-research.jp/c2/shop/books/p-sbw01.html

ネットワークセキュリティ・インシデント年鑑2003
http://www.ns-research.jp/c2/shop/books/p-inc02.html
───────────────────────────────────



 コンピュータソフトウェア著作権協会(ACCS)は2月27日、同協会が運営する「著作権・プライバシー相談室〜ASKACCS」から個人情報約1200人分を引き出した国立大学研究員の男性に対して損害賠償訴訟を起こしたと発表した。この国立大学研究員とは、office氏である。今年2月初めに警視庁ハイテク犯罪対策総合センターと池袋警察署がoffice氏を不正アクセス禁止法違反と威力業務妨害の疑いで逮捕しているが、今回、ACCSが損害賠償訴訟に踏み切ったことで一連の事件は、さらに波紋を広げそうだ。


>> ACCSと個人情報を公開された個人が原告、損害賠償訴訟の経緯・背景とは

 ここで、あらためて今回の事件を簡単に振り返っておこう。発端は、昨年11月にoffice氏が、ACCSの「著作権・プライバシー相談室〜ASKACCS」のサーバの脆弱性を突いて個人情報1200人分を引き出し、ACCSに対してその脆弱性を指摘したことだった。この時点では、office氏の行為は、個人情報を盗み出すのが目的ではなく、あくまでも「脆弱性を指摘し情報セキュリティの重要性を啓蒙する」ための「ホワイトハッカー」、あるいは「セキュリティ啓蒙活動家」としての行為と考えられていた。

 しかし、今年1月に警視庁が不正アクセス禁止法違反と威力業務妨害の疑いで捜査を開始したことで、状況は一変する。警視庁が捜査に乗り出した背景には、昨年11月にoffice氏も参加していたセキュリティ関連の専門家集団「A.D.200X」のセキュリティ関連のイベントで、office氏が引き出した個人情報の一部を公開し、参加者がその個人情報をコピーして持ち帰り、その後、それらの個人情報がインターネット上の掲示板で流出していたことなどがある。
 つまり、ACCSに対してサーバの脆弱性を指摘する以前に、引き出した個人情報が公開されてしまっていたのだ。その結果、今年2月初めにoffice氏は、不正アクセス禁止法違反と威力業務妨害の容疑で逮捕された。

 事件の一連の流れを振り返ると、office氏が逮捕されたことでいったんの終息が見られたかに思えた。しかし、今回、ACCSは損害賠償請求に踏み切った。その背景には何があるのだろうか。今回の訴訟では、ACCSと個人情報を公開されてしまった3名が原告となっている。損害賠償の請求金額は、個人情報の流出により業務が妨害され、信用が傷つけられたとして、ACCSが500万円の損害賠償と107万1000円の弁護士費用を求めると同時に、3名が1人あたり損害賠償30万円と弁護士費用15万5400円を求め、総額で743万7200円にも上る。ACCS側、個人情報を公開された3名にしても、この金額をoffice氏に支払ってもらえれば、それで一連の事件が終わるとは考えてはいないだろう。ACCSが損害賠償請求を起こした真意とはどこにあるのだろうか。


>> 社会的制裁でもなくお金の問題でもない、事件に関連した個人、企業、団体の責任を明確に

 ACCSの久保田裕・専務理事は、訴訟に踏み切った理由について、「office氏に社会的な制裁を加えるためではない。ましてや、損害賠償金額が欲しいわけでもない」と強調する。「本当の狙いは、当事者であるoffice氏と私たちACCS、サーバを管理していたファーストサーバ、そしてoffice氏が参加していた『A.D.200X』のイベントでの行為など、関連する全ての人たちや会社、団体の法的な責任を明確にしたかった」と語る。

 ACCSでは、個人情報の流出が発覚してから以降、現在までの間に被害者の方々に直接に謝罪に出向き、事情を説明し、さらには流出した個人情報の拡散を防ぐためにインターネット上の掲示板、ファイル交換ソフトなどを日々、事務職員総出でチェックをしているという。もちろん、個人情報が「晒されて」いた場合には、サイトや掲示板の管理者に即刻削除を要請している。

「某巨大掲示板の有名管理者をはじめ、知られた掲示板の管理者には何度、電話をかけたことかわからないほど」(久保田専務理事)という。こういった一連の作業に約2カ月間かかりきりになり、本来の業務に支障をきたしている状況だという。

 確かに、脆弱性のサーバが存在し、その脆弱性から個人情報が盗み出されたという事実を考えれば、ACCS側、つまりは「ハクられた側にも責任がある」との論調は一考に値する。ACCSでも、そのことを十分に認識し、いわばネット上をパトロールし個人情報の拡散に歯止めをかけようと精一杯の努力をしてきている。しかし、「ACCSにも責任があるのだから、自分たちで誠意を持って対応しろ」と言い切ってしまうこと、つまり、個人情報の回収、拡散防止をひとつの企業や団体などに押し付けてしまうことはできないのではないだろうか。いったんインターネット上に流出した個人情報は、回収することはおろか拡散を100%防ぐことも事実上不可能である。それだけに、今回の事件に関連した全ての個人、会社、団体の責任を「明確にしたい」という理由はうなずける。


【執筆:下玉利 尚明】

(詳しくはScan Security Managementをご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_netsec

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  6. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  7. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  8. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  9. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  10. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

ランキングをもっと見る
ホーム 製品・サービス・業界動向 業界動向 記事
TOP