事件の概要
講座受講時に企業に提供した個人情報が、外部に流出した。講座受講者の保護者は、その企業に対して損害賠償を請求した。
根拠条文
- 民法709条:不法行為による損害賠償
- 民法719条:共同不法行為者の責任
システム
ユーザー名とパスワードが同一8文字のアカウント
本件で使用されたサーバーへのログイン・アカウントは、ユーザー名がアルファベット小文字8文字、かつパスワードはユーザー名と同一の8文字だった。このような条件でアカウント情報が第三者に知られる可能性は次のように計算できる。
英語アルファベットの小文字は26文字なので、8文字の組み合わせは26の8乗=208,827,064,576= 約2,000億通りの組み合わせになる。この約2,000通りの組み合わせから1つを選んで1秒間に一回サーバーへのログインを試行したとすると、すべて の組み合わせを試すのに約158,924年かかる。このため、このような前提条件では、第三者にアカウント情報を知られる可能性は低い。
しかし、英語アルファベットを意味のある英単語に限定すると組み合わせはずっと少なくなる。例えばOxfore English Dictionaryに は、およそ60万ワードが収録されている。仮に、60万ワードすべてが8文字であったとしても、60万通りから1つを選んで1秒間に一回サーバーへのログ インを試行したとすると1週間ほどで全ての組み合わせを試行できる。サーバー側に不審なログインを検知する機能が備わっていなければ、1週間よりも短い時 間で第三者にアカウント情報を知られてしまう可能性がある。
リモートデスクトップ
本件では、外部から社内のネットワークのアクセスに、マイクロソフト社Windows OSのリモートデスクトップと呼ばれる機能が使用された。リモートデスクトップを利用すると、ネットワーク経由でWindowsパソコンにログオンすることができる。
リモートデスクトップ接続アプリは、Windowsのどのバージョンでも見た目はさほど変わらない。
個人情報やリモートアクセスに関する法律やガイドライン
本件当時(2002年)の個人情報やリモートアクセスに関する状況として、次の法律やガイドライン等が判判決文で引用されている。コンピュータ不正アクセス対策基準では、ユーザーIDは個人単位に割り当てること等、システムのアカウントに関する基準が記載されている。
個人情報やリモートアクセスに関する法律やガイドライン
本件当時(2002年)の個人情報やリモートアクセスに関する状況として、次の法律やガイドライン等が判判決文で引用されている。コンピュータ不正アクセス対策基準では、ユーザーIDは個人単位に割り当てること等、システムのアカウントに関する基準が記載されている。
電気通信事業における個人情報保護に関するガイドライン(1998年12月2日郵政省告示570号)
- 5条4項: 電 気通信事業者が個人情報を管理するに当たっては、当該情報への不正なアクセス又は当該情報の紛失、破壊、改ざん、漏えいの防止その他の個人情報の適切な管 理のために必要な措置を講ずるものとする。特に情報通信ネットワークにおける情報保護及び不正アクセスの防止に当たっては、情報通信ネットワーク安全・信 頼性基準(昭和62年郵政省告示第73号)等の基準を活用するものとする。
個人情報保護法 (2003年5月30日成立)
- 20条:(安全管理措置)個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
コンピュータ不正アクセス対策基準(1996年年通商産業省告示第362号)
2.システム管理者基準(2)システムユーザ管理
- システムユーザの登録は、必要な機器に限定し、システムユーザの権限を必要最小限に設定すること。
- ネットワークを介して外部からアクセスできるユーザIDは、必要最小限にすること。
- ユーザIDは、個人単位に割り当て、パスワードを必ず設定すること。
- 長期間利用していないユーザIDは、速やかに停止すること。
考察
本 件のように、複数人で1つのアカウントを共有する方法は、システム管理者が管理するアカウント数が少なくなるので一見管理しやすいようにも見える。しか し、アカウント利用者の交代ごとにアカウント情報の変更とアカウント利用者への変更の周知が必要になり、手続きが煩雑になる。
また、複数人 で1つのアカウントを共有していると、不正アクセスが疑われる状況でのログ解析などによる原因の特定が困難になる。仮に複数人でアカウントを共有せざるを 得ない状況であったとしても、本件のようにそのアカウント自身にパスワードを変更できる権限があると、さらに不正アクセスの原因特定が困難になる。
本件はネットカフェから圧縮した個人情報データをダウンロードしているが、そのファイルの転送に約2日かかる計算であったという。
参考リンク
判例
| 裁判所ウェブサイト | https://www.courts.go.jp/app/hanrei_jp/detail4?id=37924 |
関連する法律、ガイドライン、仕様等
| 電気通信事業における個人情報保護に関するガイドライン(平成10年12月2日郵政省告示第570号) | https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/d_guide_01.html |
| 個人情報の保護に関する法律(個人情報保護法) | https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=415AC0000000057 |
| コンピュータ不正アクセス対策基準平成8年8月8日(通商産業省告示第362号) | https://www.meti.go.jp/policy/netsecurity/UAaccessCMG.htm |
| JISQ15001 個人情報保護 | https://www.meti.go.jp/policy/it_policy/privacy/jis_shian.pdf |
| JISQ27002 情報セキュリティマネジメントの実践のための規範 | https://www.jisc.go.jp/app/jis/general/GnrJISNumberNameSearchList?toGnrJISStandardDetailList |
| Remote Desktop Protocol | https://docs.microsoft.com/ja-jp/windows/win32/termserv/remote-desktop-protocol?redirectedfrom=MSDN |
| Understanding the Remote Desktop Protocol (RDP) | https://docs.microsoft.com/en-us/troubleshoot/windows-server/remote/understanding-remote-desktop-protocol |