現代社会では、どんな企業や個人でもなんらかの形で必ずネットワークにつながっています。
IOT技術も、どんどん普及し、我々の私生活やビジネスでも、様々な面でインターネットとつながっています。
一方で、そのような状況は、いつどのような形でサイバー攻撃を受けるか分からないという状況でもあります。
ここで問題になるのが、サイバーセキュリティに関する法律問題です。
具体的には、以下の2つが挙げられます。
日本の法律としては、2016年10月からサイバーセキュリティ基本法が施行されています(2018年12月改正法成立)。
同法に基づきサイバーセキュリティ戦略も閣議決定されており、内閣サイバーセキュリティセンター(NISC)がサイバーセキュリティ政策に関する総合調整等を行っていますが、具体的な施策レベルの対応についてはまだ十分とはいえません。
サイバー攻撃等を直接行った者は、民事上の責任を負うことは当然ですが、刑事上の責任も負います。
不正アクセス禁止法でも禁止されていますし、不正アクセスにより営業秘密を取得した場合には不正競争防止法違反、刑法(電磁的記録不正作出及び供用、不正指令電磁的記録作成・取得, 電子計算機使用詐欺など)などにより処罰されることになります。
もっとも、サイバー攻繋は海外からの攻撃(あるいは海外のサイトを踏み台とした攻略)が中心であり、攻撃の痕跡から犯人を特定することは技術的に困難であることが多いのが現状です。
また当該犯罪行為を裁判所において立証することは、専門的知識が必要であるだけでなく、立証のための方法論が確立していないこともあり、現状では非常に難しいのが現実です。
サイバー攻撃の目的が情報を盗み出すことにある場合、その情報自体に非常に価値があることが多いと考えられますが、日本の刑法においては基本的に「情報」を盗み出すことは「窃盗」には該当しないとされています。
IoTの世界でサイバー攻撃を受けた場合、直接攻撃を受けてシステムに侵入された者だけが被害者になるのではありません。
その被害者とネットワークでつながっている第三者も被害者になるのです。そのような場合には、以下の事業者も、責任を負う可能性があります。
サイバー攻撃を受けると企業には重大な金銭的被害やイメージの低下などの関連被害が発生します。
そのような損害が発生した企業の経営陣は、サイバーセキュリティ対策が不十分であったことが善管注意義務違反を構成するとして、株主代表訴訟等により株主などから法的責任を追及されるリスクがあります。
なお、経済産業省は、企業経営者ために、 「サイバーセキュリティ経営ガイドライン」を公表しています。
IoT機器のセキュリティについては、総務省が電気通信事業法に基づく端末機器の技術基準を定める省令が改正され、2020年4月から IoT機器向けの一定のセキュリティ対策が義務化されることになります。
このように、サイバー攻撃におけるセキュリティ対策は、必須のものになっていきますので、事業者としては、注意するようにしましょう!