IOTやAIでサイバー攻撃を受けたら、誰が責任を負うことになるのか？【２０２３年３月加筆】

IOT・AIで不正アクセスが起きたら誰が責任をとるのか

lOT機器に外部からサイバー攻撃がなされ、これにより被害が生じた場合、誰がどのような責任を負うのでしょうか。

例えば、以下のようなことが起こったら、誰が責任を負うことになるのでしょうか。

• 自動運転車が外部からのサイバー攻撃により遠隔操作され操縦不能になり、交通事故が発生した
• AIがユーザーから取得した情報を処理して病気の診療サービスを提供するオンライン上のシステムがサイバー攻撃を受け、個人情報が流出した

もちろん、第１に責任を負うのは、サイバー攻撃を行った者です。

しかしながら、サイバー攻撃を行った者の特定は、難しい面があります。また、仮に警察の捜査等により特定されたとしても、当該人物から損害の賠償を受けられるとは限りません。

それでは、サイバー攻撃による損害の発生につき、攻撃者自身以外の者は、どのような責任を問われるのでしょうか。

今回は、攻撃を受けた「lOT機器等のメーカー」と「攻撃を受けたシステム管理者の責任」に注目して検討していきます。

lOT機器等のメーカーが問われる責任とは

攻撃者自身以外の者で、サイバー攻撃による損害の発生につき責任を問われる者として、サイバー攻撃を受けたlOT機器等のメーカーが考えられます。

自動運転者でいえば、サイバー攻撃を受けた自動運転車を製造した自動車メーカーや、攻撃を受けたIOT機器等のメーカーの責任です。

どのような場合に、責任が認められるかについては、絶対的な基準はなく、個々の事例に応じた判断をせざる得ないものとされています。

ただ、事業者としては「製造物の特性」に照らし、サイバー攻撃により発生し得る被害の性質・程度が重大であればあるほど、より高いレベルのセキュリティ対策が求められるものと考えられます。

例えば、正規のユーザーが外部から操作することのできる機能をもつエアコンと自動運転車があるとして、両者につき同程度の不正アクセス対策が施されていたとしたとします。

エアコンの場合には、外部から不正に操作されたとしても、せいぜい住居内が寒くなったり暑くなったりする（そのせいで住人が体調を崩す）程度ですみますが、自動運転車の場合には、外部から不正に操作されると、人の命に関わることになります。

よって、自動運転者の方が、より高度なセキュリティを求められるのです。

製造物責任法に基づく「責任」

責任が認められるためには、ハードウェアに「欠陥」があったと認められる必要があります。「欠陥」とは具体的には製造物が「通常有すべき安全性」を欠いていることをいいます。

lOT機器等にサイバー攻撃がなされるような事案では、設計段階でセキュリティホールが存在したことが通常有すべき安全性を欠く「欠陥」といえるかどうかが多いです。

なお、製造物責任法にいう「欠陥」に該当するためには、人の身体・生命または財産に被害を生じさせる客観的な危険性がなければなりません。

そのため、例えば、家庭内に設置されているlOT機器にセキュリティの不備があり、外部からのサイバー攻撃によりセンサー等が遠隔操作され、室内の映像がネット上で公開されてしまう可能性があるような場合のように、「人の身体・生命又は財産」に被害が生じる危険性がないセキュリティの不備にの例では、製造物責任法にいう「欠陥」には該当しません。

攻撃を受けたシステム管理者が問われる責任とは

サイバー攻撃を受けたのが自動運転車のような「機器」であった場合には、すでに述べた通りメーカーには、製造物責任法に基づく責任が認められる可能性があります。

しかしながら、攻撃を受けたのが「システム」そのものであり、ユーザーとの関係で特段「機器」と呼べるようなものが引き渡されていないような場合には、製造物責任法に基づく責任は生じません。AIプログラムなどがその一例です。

それでは、このようなシステムの管理者は、サイバー攻撃による被害についてどのような責任を負うのでしょうか？

可能性としてまず考えられるのは、民法709条に基づく一般的な不法行為責任が挙げられます。

また、このようなシステムの利用に関しては、システム管理者とユーザーとの間に何らかの契約関係（サービス提供契約）があることが多いと思われます。そのため、当該契約に付随する義務として、システム管理者に適切なセキュリティ対策を講じるべき義務があり、システム管理者がこれに違反したことを理由として、債務不履行責任をユーザーに対して負うという可能性も考えられます。

いずれにせよ、システム管理者がユーザーに対して法的責任を負うというためには、セキュリティ上の不備につきシステム管理者に故意または過失がなければなりません。

裁判例

この点に関し参考となる裁判例として、ウェブサイトにおける商品の受注システムが外部からの攻撃にさらされ、顧客情報が流出した事案において、
裁判所は、当事者間で「その当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供すること」が合意されていたと認定し、ベンダーは、この合意に従い、顧客情報の漏洩を防ぐために必要なセキュリティ対策を施したプログラムを提供すべきであったとしました。

また、この事案における具体的な当てはめとして、当時、経済産業省およびIPA（独立行政法人情報処理推進機構）が脆弱性の指摘および対応の必要性を注意喚起していたSQLインジェクション対策についてはベンダーがこれを実施する義務を負っていたと認定しました。

ここで、過失の有無は、責任の有無が問題となっている者が属する人的グループの平均的な人（例えば、交通事故であれば一般的なドライバー、医療過誤であれば一般的な医師）の能力を基準に判断されることになります。

本件のような事例においては、「平均的なシステム管理者として果たすべき平均的な注意を果たしていたか否か」が問われることとなります。

このような観点からいうと、サイバー攻撃を受けたシステムの管理者の過失を考えるに当たっては、この裁判例が示す通り、問題となったセキュリティ体制の脆弱性につき、以下のような点が重要な判断要素になるものと考えられます。

• 官公庁や専門機関、業界団体による注意喚起がなされていたのか否か
• 一定の対応を行うべきことが推奨されていたのか否か、またその推奨の程度はどの程度だったのか
  （最低限の対策として行うべきものとされていたのか、ベストプラクティスとして推奨されていたにすぎないのか）

Tweet