三井物産セキュアディレクション株式会社がウイルス感染検出の新サービスを開始
2013/02/18   コンプライアンス, 情報セキュリティ, 個人情報保護法, その他

事案の概要

三井物産セキュアディレクション株式会社は、18日、「標的型サイバー攻撃」によるウイルス感染を検出するサービスを始める事を発表した。

「標的型サイバー攻撃」とは、特定の標的に対して行われるネットワークを介した情報取得のための攻撃で、主にメールにウイルスを添付する方法が取られる。

今回のサービスは、企業のパソコンに進入したウイルスが情報を外部に送る際の通信を監視するもの。ウイルス感染の有無を１ヶ月単位で検出する機能に特化した事で価格を抑えた。そのため、感染を防止する機能はない。本サービス開始の背景には、サイバー攻撃対策を強化している大企業の情報を得るために、その取引先等の中小企業に対する標的型サイバー攻撃が増えている事実がある。

コメント

現代の企業は、大量の顧客情報を簡単に管理出来る反面、その漏出の危険と常に隣り合わせとなっている。平成23年の４月、ソニー株式会社（以下「ソニー」）が、同社のサービス「プレイステーションネットワーク」のシステムに不正侵入を受け、7700万アカウントの個人情報が流出したことも記憶に新しい。この件では、ソニーはゲームタイトルの無料提供で対応したが、流出した顧客の情報及びそれによる被害によっては、金銭賠償も必要になる。

情報が流出した顧客からの損害賠償請求に関しては、サイバー攻撃によるものではないが、「情報保護のために安全対策を講じる法的義務を怠り、プライバシーを侵害した」として、不法行為の成立及びを認めた東京地方裁判所の判決がある（下記関連判例参照）。安全対策の解釈によっては、サイバー攻撃を受けた場合であっても、情報流出の防止・追跡システムの不備により、企業側の責任が認められかねない。

一方で、サイバー攻撃の犯人を特定する事は困難であり、被害を受けた企業が犯人に損害賠償を請求することは現実的でない。平成20年には、株式会社ジャパネットたかたによる情報流出に基づく損害賠償請求を認める判決が出ているが、これは流出に関与した社員に対するもので、例外的な事例と言える。

今後、情報の通信・蓄積は益々増加してゆくであろう。それに伴い、企業がサイバー攻撃に対し、自衛手段を講ずる必要性も増してゆくと考えられる。

参照条文

民法第709条：「故意又は過失によって、他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う」

関連判例

判決／東京地方裁判所（第一審）
平成１９年　２月　８日
【事案の概要】
インターネット上に開設したウェブサイトにおいて実施したアンケート等を通じて原告らから提供され保有管理していた原告らの個人情報を、被告がインターネット上において第三者による閲覧が可能な状態に置き、実際に第三者がそれにアクセスして個人情報を流出させたとして、原告らが被告に対し慰謝料等の支払を求めた事案において、原告らは個人情報を含む本件情報がインターネット上に流出したことでプライバシーを侵害されており、場合によっては悪用されるのではないかとの不安により精神的苦痛を受けている等として、請求を一部認容した。