- ●●●1.ログイン名とパスワードによる本人の同一性 確認システムの問題点
- ●●●2.不正アクセスに適用される法律の概要
- 1.刑事責任に関する法律
- 2.民事責任に関する法律
- ●●●3.不正アクセスに対する対応策
- ●●●1.“ニセ夜間金庫”問題
- ●●●2.さまざまな防御策
- 1.認証システムの活用
- 2.Payment upon Delivery
- 3.メンバーシップ制、格付け
また、社内のLANに社外からリモートアクセスができるように、ダイアルアッ プ接続の設定をする企業もずいぶん多くなってきました[2]。この場合も、ログイン名とパスワードによって、 LAN上のリソースへのアクセス権が認められた者か否かを識別することにしてい る場合がほとんどです。
ネットワークの外の世界では[3]、会員しか入場で きない施設の入口には、門番がいて、身分証明書や会員証の写真と目の前の人物 の顔とを照合して、入場が認められた者かどうかを確認する方法などが用いられ ます。しかし、ネットワークの世界では、アクセスしようとしている人物の顔を (通常は)確認できないので、正規の会員しか知らない(はずの)ログイン名と パスワードを入力させることによって、本人の同一性を確認することにしている わけです[4]。
このログイン名とパスワードによる本人の同一性確認システムは、「これらの 情報を知っているユーザは、本人しかいないだろう」という前提の下で成り立っ ているものでありますが、読者の皆さんもご承知のとおり、ログイン名やパスワー ドは、漏出したり解析されたりする危険がつきまとっており、きちんと管理して いないと相当危うい面もあります[5]。
何らかの方法で、正規の会員のログイン名とパスワードを入手して、正規の会 員になりすまして、有料のコンテンツをただで入手したり、正規の会員向けの有 料サービスの提供を受けたりする例も後を絶たないようです。また、本人になり すまして、本人の名誉を毀損するような発言をしたりするケースも頻発していま す[6]。
コンテンツの利用料は、多くはクレジットカードや銀行振り込みによって、決 済する仕組みになっているので、本人の同一性をきちんと確認できるシステムは、 大変重要です。正規の会員以外のものが正規の会員になりすまして、コンテンツ を入手すれば、正規の会員の口座から利用料が引き落とされることになり、会員 が被害を被ることになりますし、「アクセスしたのは俺じゃないから、利用料は 払わない」と言われて、利用料を回収できなければ、コンテンツ提供者が被害を 被ることになります。また、社内LANに外部のものにアクセスされれば、社内の 機密事項が漏洩したり個人のプライバシーが侵害されたりすることになりますか ら、大問題になりかねません。
もっとも、ネットワークに不正にアクセスして、コンピュータや記録データを 「損壊」することなどにより、コンピュータに「使用目的に沿うべき動作をさせ ず、又は使用目的に反する動作をさせて、人の業務を妨害した者」は、電子計算 機損壊等業務妨害罪[10]という罪を犯したことにな ります。また、コンピュータに「虚偽の情報若しくは不正な指令を与えて財産権 の得喪若しくは変更に係る不実の電磁的記録を作り、又は財産権の得喪若しくは 変更に係る虚偽の電磁的記録を人の事務処理の用に供して財産上不法な利益を得、 又は他人にこれを得させたもの」は、電子計算機使用詐欺罪という罪を犯したこ とになり、刑事責任を問われることになります。さらに、不正にダウンロードし たものが著作物であれば、著作権侵害の罪が問題とされる余地があります[11]。
しかし、ネットワークに不正にアクセスすること自体に関しては、犯罪は成立 しないという見解が一般的であるため、「不正アクセス禁止法制の整備」につい ての検討が必要であると言われております[12]。
では、次に、寺本氏に別の観点から不正アクセスに関する問題についてお話し いただきましょう。
さて、インターネット上のB to C(企業対消費者)の商売の議論をするときには、 正当な消費者のふりをして企業に害を及ぼすような不正アクセスを防止する方法 について、よく議論されます。しかしながら、正当な商店のふりをして消費者か らお金をまきあげる“不正なアクセス勧誘”については、それほど議論されてい ないようにも見えます。それもそのはずで、さまざまな委員会や業界団体の議論 の場に出てくる企業は、もともと、自分が“不正なアクセス勧誘”をするつもり はありませんから、自分に対して不正アクセスがなされることを防止すれば足り るように、一応は見えるからです。
しかしながら、一般の消費者の立場からすれば、“自分は別に不正アクセスを しようとは思っていないから、企業が不正アクセスを防止するのは御随意にといっ たところです。だが、自分が正当な商店にアクセスしているつもりが、実は、ニ セ商店にアクセスしていたという事故を回避するためには、どうすれば良いのだ ろうか?”ということが大きな関心事となります。
本当は、正当に商売をしようと思っている企業の側としても、“不正なアクセ ス勧誘”を防止する仕組みについて、もっと関心を持たなければならないはずで す。それは、次のような状況を心配する必要があるからです。仮に、インターネッ ト上に“ニセ商店”が横行し、消費者がだまされて“金は払ったが商品が来ない” という事件が続出したとしましょう。消費者は、仮に正当な商店にアクセスして いるときも、“これは本物だろうか?”という疑いを払拭することはできないで しょう。その結果、ネット上のB to Cの取引が萎縮し、結局、正当な商売を行お うとする企業にとってもはなはだ不都合なことになります。
ただし、消費者側からすると、仮に“そのネット上の商店が本物である”と確 認できたとしても、それで安心できるわけではありません。依然として、次のよ うな疑問が残ります。
その“本物”とはいったい誰なんだ?いちいち登記簿謄本を取って確認するわ けにはいくまい。
その“本物”は、本当に信頼できる商店なのか?例えば、対面の取引で何度も ヤマト運輸やFedExに荷物の配送を頼んできた人ならば、ネット上にあるヤマト 運輸やFedExに間違いないと確認できれば、あとは、そんなに心配する必要はな くなります。あるいは、長年多くのSONY製品を愛用してきた人ならば、ネット上 にあるSONYらしく見えるサイトが本当にSONYのものに間違いないと確認できれば、 ほぼ安心して買い物ができます。ですが、多くの場合、ネット上で初めて知った 企業と初めて取引をすることになります。したがって、それが本物であると確認 できたとしても、消費者は安心できないのです。
さらに、ネット上で電子決済手段を用いて支払いを済ませてしまったものの、 商品がいつになっても届かないという事態を防ぐためには、どうすればよいので しょうか?
たとえば、ネット上で、電子決済手段で支払いができるようにして、コンピュー タプログラムを販売している商店があるとします。もし、先に支払いをすませな いとプログラムのダウンロードができないとするとどうなるでしょうか?仮にそ れが正当な商店であったとしても、ダウンロード中に消費者のコンピュータがハ ングしたとすると、消費者は損失を被ります。ニセ商店ならば、消費者のコンピュー タのハングか回線の切断を装って、うまく金だけをせしめるように仕組むでしょ う。困ったことには、多くの消費者が利用している汎用システムには十分な程度 にまでは信頼性がないため、いつコンピュータがハングしてもおかしくはありま せん。したがって、ニセ商店が、それを装うこともおそろしく容易なこととなり ます。当然、コンピュータのハングに対して、システム供給者は、責任を負うつ もりはないでしょう。それが“仕様”なのですから。
このような状況に対して、正当な商店と消費者とは互いの知恵と共同によって 対処しなければなりません。正当な商店は、なるべくPayment upon Deliveryの ポリシーを採用すべきです。例えば、プログラムのファイルが完全に消費者側の システムにダウンロードされたことを条件として、消費者側のシステムから商店 に向けて電子決済手段による支払いが実行されるような仕組みを採用するという ことです。また、消費者も、そのようなポリシーを採用している商店を選んで取 引するようにつとめ、ニセ商店が横行する機会を減らすように誘導していくべき でしょう。
ネット上で商品の引き渡しを完結できない商品(パソコン、書籍など)の場合 には、“商店”と“信頼できる宅配業者”と“電子決済手段の提供者”との三者 が提携し、かつ宅配業者が消費者に商品を届けたいという確認データを電子決済 手段の提供者に送ることにより、初めて商店向けの決済が行われるような仕組み を採用することが望まれます。この文脈においては、商店がどのような宅配業者 を採用しているかを表示する一方、信頼できる宅配業者を採用している商店を消 費者が選択して取引することも重要です。
このような場合、消費者としては、ある程度信頼できる電子決済手段の提供者 のメンバーになっている商店との取引を選択することによって、電子決済手段の 提供者のチェックシステムに依存することも考えられます。この文脈においては、 流通自由な電子マネーを使っていきなり買い物をするのはなかなか問題があり、 クローズドな電子決済手段での買い物を選択するようにしておくことも保守的な 考え方といえましょう。
あるいは、証券の世界で行われているように、第三者がネット上の商店の信頼 性を格付けして公表するようなビジネスがあると消費者にとっては判断材料が増 えてよいのでしょうね。
[2] 確かに、社外から社内のLANのリソースにアクセスできれば便利ですが、不正ア クセスのリスクを考えると、ダイアルアップ接続の設定をすることにも躊躇を感 じます。私の所属する事務所でも、専用線を引いてサーバーを立ち上げたものの、 いまだにリモートアクセスができるように設定していません。気にしすぎかもし れませんが、万一のことを考えると、不正アクセスのリスクを過小評価するのも 危険であると思います。
[3] もちろん、人物の顔写真で本人の同一性を確認する手法も完全ではありません。 整形手術の技術もかなり進んでいるようだし、世の中には、自分にそっくりの人 物もいるかもしれませんよね(それに、“Mission Impossible”のトム・クルー ズみたいなスパイも、もしかしたら、いるかも知れない!)。とは言え、顔写真 による本人の同一性確認システムは、相当程度信頼でき、かつさほど費用もかか らない方式であるものと思われます。
[4] 最近は、指紋等のような個人の身体的特徴によって、本人の同一性を識別するシ ステムも実用化されつつありますが、今のところ、多くのシステムは、ログイン 名とパスワードに頼っているのが実情です。
[5] ユーザー側の管理がずさんである例としては、「ログイン名とパスワードを忘れ ないようにメモして、机の近くに張り付けていた」、「ログイン名をそのままパ スワードにした」、「そもそもパスワードの設定をしていなかった」等が挙げら れます。
[6] たとえば、朝日新聞の1997年11月27日朝刊によると、ある女性会員になりすまし て、「失楽園して」等と書き込みをした者が、名誉毀損の容疑で逮捕された事件 も起きているようです。
[7] 刑法第130条。刑罰は「3年以下の懲役又は10万円以下の罰金」です。
[8] 刑法第235条。刑罰は「10年以下の懲役」です。
[9] 刑法第245条には、「電気は、財物とみなす」との規定があるので、「電気」に ついては、窃盗の罪が問題となり得ます。そこで、「自然力の利用によるエネル ギー」に関しては、この規定を手がかりに、窃盗の罪を問題とすることが考えら れますが、記録媒体という物理的なものではなく、電子的データ自体に関して、 窃盗の罪で言う「窃取」があり得ると考えるのは、困難です。
[10] 刑法第234条の2。刑罰は、「5年以下の懲役又は100万円以下の罰金」です。
[11] 著作権法119条。刑罰は、「3年以下の懲役又は100万円以下の罰金」です。
[12] 1995年7月21日付の「セキュリティ・プライバシー問題検討委員会報告書」や 1997年6月9日付の「情報通信ネットワークの安全・信頼性に関する研究会報告書」 等において、その趣旨の提言がなされています。なお、上記「情報通信ネットワー クの安全・信頼性に関する研究会報告書」によると、米国、英国、フランス、ド イツ、カナダにおいては、すでに不正アクセスを禁止する法律が制定されている ようです。
[13] 民法709条には、「故意又は過失によりて他人の権利を侵害したる者は之により て生じたる損害を賠償する責に任ず」と規定されています。この規定で言う「権 利」の侵害は、「必ずしも厳密な法律上の具体的権利の侵害であることを要せず、 法的保護に値する利益の侵害をもって足りるというべきである」(東京高裁平成 3年12月17日判決)と解されていますから、コンテンツを不正に取得された場合 にも、この規定に基づいて損害賠償ができるものと思われます。
[14] 不正競争防止法によると、「不正の手段による営業秘密を取得する行為」により、 「営業上の利益を侵害され、又は侵害される恐れがあるもの」は、「侵害の停止 又は予防を請求することができる」ものとされていますが、ネットワークへの不 正アクセスは、他人の物理的なものを勝手に使用する行為を伴うものであるので、 所有権侵害に基づく差し止め請求も可能であると考えられます。