« 「電子登録債権法制に関する中間試案」のパブコメ | トップページ | 知財信託の話題 »

2006年8月 7日 (月)

ヤフーBB事件大阪地裁判決について(その2)

このところ、ブログの更新があまりできず、少し間があいてしまいましたが、ヤフーBB事件大阪地裁判決について(その1)の続編です。

今回は、過失に対する裁判所の判断の続きからです。

過失の有無については次の3点が検討され、今回は、「イ」の検討からです。

 ア 一般的な注意義務
 イ リモートアクセスに関しての注意義務
 ウ 本件不正取得についての予見可能性及び結果回避可能性

一般的な注意義務だけではなく、「リモートアクセス」の注意義務について検討されている部分は、情報セキュリティに関して裁判所がどのように注意義務違反を認定するのかを見る上で参考になる部分が多いのではないかと思います。

リモートアクセスに関する注意義務の存在については、

リモートアクセスについては,JIS規格や,コンピュータ不正アクセス対策基準(平成8年通商産業省告示第362号)で,その危険性が指摘され,不正アクセスへの対策について各種の規定がされているところであり(規定の内容については被告らも争わない。),これらの規定等の存在が示すように,あるサーバーに対してリモートアクセスを可能にすることは,それ自体,当該サーバーに対する外部からの不正アクセスの危険を高めるものであるといえる。

このようにJIS規格や告示を元にリモートアクセスの義務の内容を判断しており、

本件顧客データベースサーバーについて,そもそも必要性がない場合又は必要性のない範囲にリモートアクセスを認めることは許されず,また,リモートアクセスを可能にするに当たっては,不正アクセスを防止するための相当な措置を講ずべき注意義務を負っていたというべきである。

として、リモートアクセスの必要性及びその範囲の相当性と、不正アクセス防止のための相当な措置を講ずべき義務があるとしています。

なお、リモートアクセスの必要性及びその範囲の相当性の要件なのですが、不正アクセス防止義務との関係がよくわからないところです。リモートアクセスの必要性、範囲の相当性がない場合は、それだけで注意義務違反が生じるという意味にも読めそうですが、そうすると不必要なリモートアクセスがあるけれども、不正アクセス防止措置は完璧であった場合であっても注意義務違反が認められることになります。しかし、おそらくそのようなことは意図していないと思います。必要性および相当性の有無は、相当な措置の一要素にすぎないのですが、重要な要素なので個別に検討しているのではないかと思います。

裁判所の認定ですが、リモートアクセスの必要性及びその範囲の相当性については、まず、顧客データベースに不具合が生じた場合に緊急メンテナンスが必要で、実際にトラブルが生じているとして、その必要性を認めています。また、社外からのメンテナンス作業を行うために付与していたのだから、相当性も認められるとしています(裁判所の判断理由を見る限り、必要性、範囲の相当性はそれほど厳格なものではなさそうです)。

不正アクセス防止のための相当な措置の点ですが、

  • ユーザー名とパスワードによる認証は行っていたが、特定のコンピュータからのみアクセスを認めるような措置(コールバック機能等)はなかった
  • 共有アカウントとして付与していた、退職時にアカウントの削除を行っていなかった、リモートメンテナンスサーバー設置から1年間パスワード変更を行っていなかった、勝手にパスワード変更、アカウント削除が行われていたにもかかわらず、従前のパスワードに戻した

といった時事上から、ユーザー名及びパスワードの管理が極めて不十分であったとして、リモートアクセスによる不正アクセスを防止するための相当な措置を講ずべき義務を怠っていると判断しています。この点については、アカウントおよびパスワードの管理のずさんさからすると妥当な認定というべきでしょう。

次の要件としては、予見可能性と結果回避可能性が検討されています。

予見可能性については、不正アクセスを行った者の行っていた業務内容、権限、および秘密保持についての誓約書を書かせていたことを理由に不正取得は予見可能であると結論づけています。

結果回避可能性は、被告側が本件で問題になったアカウント以外からもアクセスがなされていたようで、一アカウントを抹消しても不正アクセスは防げなかったという主張のようですが、裁判所はアカウント全体を管理すべきことは当然であるとして、結論として結果回避可能性ありと認定してます。

したがって、外部からの不正アクセスを防止するための相当な措置を講ずべき注意義務を怠った過失があるという結論を導いています。

(その3)では、「被告ヤフーの過失及び共同不法行為責任」(消極判断)についてを取り上げる予定(いつになるかわかりませんが)。

 

 

|

« 「電子登録債権法制に関する中間試案」のパブコメ | トップページ | 知財信託の話題 »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/125798/11319998

この記事へのトラックバック一覧です: ヤフーBB事件大阪地裁判決について(その2):

« 「電子登録債権法制に関する中間試案」のパブコメ | トップページ | 知財信託の話題 »