IT法務・AI・暗号資産ブロックチェーンNFT・web3の法律に詳しい弁護士|中野秀俊
グローウィル国際法律事務所
03-6263-0447
10:00~18:00(月~金)

IOT・AI時代におけるサイバーセキュリティの法律的ポイント

ロボット・AI・ドローンの法律

IOT、AI時代のサイバーセキュリティの重要性

IOTAIの時代になり、我々の身の回りでは、あらゆるものがインターネットでつながる社会が実現することになります。そうなると、我々の日常の周りにあるものが、サイバー攻撃の対象になるということです。

2015年には、ジープのSUV車がネットワーク経由のハッキングにより外部から遠隔操作可能であることが、コンピューターのセキュリティの専門家によって、判明されました。

Black Hat USA 2015:ジープのハッキングの全容が明らかに

これにより、当該車両を販売していたメーカーは、全米で約140万台をリコールせざる得ない状況に追い込まれました。

将来的に自動運転車が、主流になったときに、大規模なハッキングが可能となってしまえば、テロ行為などに悪用される可能性があります。

また、インターネットに接続されている世界中の監視カメラの映像をライブで配信するサイトもあり、個人情報の流出も懸念されています。

サイバー攻撃による損害の発生した場合、攻撃者以外の者は、どのような責任を問われるのでしょうか。解説していきます。

サイバー攻撃を受けたIOT機器・ハードメーカーの責任

サイバー攻撃を受けた場合に、責任が発生する主体としては、サイバー攻撃を受けたIOT機器などのハードメーカーが考えられます。

例えば、自動運転車の場合であれば、自動車を製造した自動車メーカーです。

ここで、問題になるのが、製造物責任法です。IOT機器などのハード面は、「製造物」に該当するので、製造物責任法の適用対象となるのです。

製造物責任が認められるのは、製造物に「欠陥」があった場合です。

ここでいう「欠陥」とは、製造物が「通常有すべき安全性」を欠いていることをいうとされています。

具体的には、以下のような類型があるとされています。

  1. 製品の設計上、その製品にとって合理的な安全性を確保していないとき(設計上の欠落
  2. 製造の製造過程で、欠陥が含まれ、その結果、その製品に必要な合理的な安全性が確保されていないとき(製造上の欠陥
  3. その製品が有し得る危険性とその回避方法を適切な方法で使用者に表示・通知していないとき(指示・警告上の欠陥

IOT機器などのサイバー攻撃がされる事案では、設計段階で、セキュリティホールが存在したことが通常有すべき安全性を欠くものといえるかどうか、つまり、設計上の欠陥があるかが問題となるケースが多いと思われます。

設計上の欠陥について、評価の問題があるため、どこまでやっておけば、大丈夫という絶対的な基準はありません。

ただ、一般的な目安としては、サイバー攻撃により発生しうる被害の性質、程度が重大であればあるほど、より高いレベルのセキュリティ対策が求められることになります。

例えば、IOTといっても、遠隔で家電が操作できるという商品と自動運転車とでは、サイバー攻撃されたときの結果の重大さが異なります。

後者が外部から不正に操作された場合には、人命にかかわることですので、両者が同様のセキュリティを施していたとしても、自動運転車の方が「欠陥」の存在が認められやすくなります。

サイバー攻撃された結果、人命にかかわるような場合には、事業者としては、サイバーセキュリティの設計は、十分注意して行う必要があります。

サイバー攻撃を受けたシステム管理者の責任

サイバー攻撃を受けたものが、IOT機器やハードであった場合については、上記のように製造物責任が問われます。しかし、AIプログラムのように、特に機器やハードがない場合には、製造物責任法は適用されません。このような場合、システムの管理者が責任を負う可能性があります。

例えば、ユーザーがシステムの管理者に対して、損害賠償請求をすることが考えられます。

もっとも、どのような法律構成を取るにしろ、システムの管理者に、サイバー攻撃を受けたことに対する責任があること(故意・過失)が必要になります。

システムの管理者としては、どこまでの対策を講じるべきなのでしょうか。

この点、サイバー攻撃によって顧客のクレジットカード情報が7000件流失したケースで、システム開発会社の賠償責任を認めた「SQLインジェクション攻撃事件」(東京地裁平成 26 年 1 月 23 日判決)があります。

この事案は、開発代金の合計が約2000万円。システム開発会社が開発を完成し、通販会社がシステムを稼働したところ、何者かがこのウェブ受注システムに対し「SQL インジェクション攻撃」を行い、通販会社の顧客のクレジットカード情報、約7000件が流出してしまったという事件です。

判決では、システム開発会社に対し、通販会社へ約2200万円の賠償を命じる判決をしました。

上記の判例では、平成21年1月のシステム開発契約締結時点で「当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供することが黙示的に合意されていた」として、システム開発会社が「当時の技術水準に沿ったセキュリティ対策実施義務」ともいうべき義務を負う」としました。そして、義務の具体的内容として、以下の点を考慮するとしました。

  1. 経済産業省が、SQL インジェクション攻撃によるデータ流出事件が多発していることから、独立行政法人情報処理推進機構(IPA)が紹介するSQL インジェクション対策を重点的に実施することを求める旨の「注意喚起」をしていたこと
  2. IPA が「バインド機構の使用」または「エスケープ処理を施したプログラムの提供」により、SQL インジェクション対策をすることが必要である旨明示していたこと

これらの事実をもとに、システム開発会社は「SQL インジェクション対策」として、「バインド機構の使用」または「エスケープ処理を施したプログラムの提供」をすべき債務を負っていたと認定しました。

このように、システムの管理者としては、サイバーセキュリティに関する政府のガイドラインなどについては、検討する必要があり、そこまでの準備が求められているといえるのです。

事業者として、サイバー攻撃には、十分な注意を

IOTやAI事業者としては、サイバーセキュリティ対策は、十分に検討しておく必要があります。万が一攻撃されたときのリスクも大きい以上、万全の対策を経て、行うようにしましょう。