[情報]個人情報の流出についてセキュリティの脆弱性に問題があったとしてシステム開発業者に対する損害
■はじめに ~多くの企業が狙われている
日本でも多くの企業でロシアや中国からとみられるサイバー攻撃を受けて、個人情報や企業秘密(営業秘密)を抜き取られてしまうという事件が起きています。そのような企業が犯罪組織から身代金を要求されて対応に困るというランサム攻撃を受け、最悪の場合は個人情報や企業情報が公開にさらされてしまうという事態も起きています。
例えば、「企業研究KADOKAWA」(選択2024年8月号)によると、メディア大手KADOKAWAが管理していたシステムがロシアのハッカーに侵入され、一旦は身代金を支払ったものの、追加の請求を受け、これに応じなかったため、通信制学校に登録していた個人情報や個人事業主との契約書などが公開されてしまったということです。
動画サイトなどは、拡張と他のシステムとの連動などで継ぎはぎ状態になっていたところを狙われたということです。
■前橋市情報教育ネットワークに対する不正アクセス事件
前橋地裁令和5年2月17日判決(裁判所ウェブサイト)の事例ではシステムから個人情報が流出してしまった可能性が高いことから注文者(前橋市)はシステムを中止し、セキュリティを再確認したり、再インストールするなど対応に追われたとして損害賠償請求を起しました。
■事案の概要
前橋市は、平成27年5月システム業者との間で、前橋市情報教育ネットワーク(Maebashi Education NETwork)の設計・政策を依頼し、同年10月にデータセンターの保守契約を結んでいました。
ところがその後、何者かが、教育資料の公開サーバにバックドアと呼ばれる正規のIDやパスワードを回避する手段を設置し、遠隔操作により内部ネット―ワークにアクセスし、不正ソフトを侵入させて、共有サーバから児童や生徒の住所、氏名、生年月日、既往症など大量の個人情報を外部に流出させました。
前橋市はシステムを停止させ、セキュリティを確保するために専門家に相談し再インストールするなど多額の損害を受けました。
本件では不正アクセスは、①MENETの教育資料公開サーバにバックドアが仕掛けられたことと、②ファイアウォールの設定とが相まって発生したものであることに争いはありませんでした。
■不正アクセスはどのように発生したか
裁判例によると不正アクセスは次のように発生したとされています。
何者かは、平成29年8月頃から、MENETのDMZネットワーク(外部ネットワーク(インターネット)及び内部ネットワークの双方からの接続が許可されたネットワーク領域)に設置された教育資料公開サーバに対して、何者かが作成したバックドアを利用してアクセスを開始しました。
何者かは、平成29年12月中旬ごろから、教育資料公開サーバを経由して、内部ネットワークに侵入し、内部ネットワーク内の校務系ネットワーク及び個人情報保護ネットワークに存在する端末やサーバにおいて不正ツールを保存しました。
何者かは、平成30年3月6日、教育公開サーバから遠隔操作機能を利用して、個人情報保護ネットワーク内に設置されたドメインコントローラサーバ(あるネットワーク上の範囲(ドメイン)における利用者アカウントやコンピュータなどへのアクセス権限などを一元的に管理し、利用者の認証と利用権限許可を行うサーバコンピュータ)に管理用アカウントで接続して、管理者権限を行使し、これを踏み台にして、多数の個人情報が保存されたファイル共有サーバから、各種ファイルを圧縮して教育資料公開サーバに収集、保存しました。
MENETヘルプデスクの担当者は、平成30年3月16日、MENETの教育資料公開サーバへの不審なアクセスがされているログを確認し、本件不正アクセスが発覚しました。また、その後の調査により、同月30日、児童、生徒、その保護者等に係る多数の個人情報が流出した可能性が非常に高いことが判明しました。なお、流出した可能性のある個人情報の内容は、平成24年度から平成29年度までに、前橋市の公立の小学校、中学校及び特別支援学校に在籍した全ての児童生徒の給食費に関する4万7839人のデータ(学年、組、出席番号、氏名、性別、生年月日、国籍、住所、電話番号、保護者氏名、アレルギー、既往症等)や、同時期に前橋市立公立学校(園)で給食を喫食していた園児児童生徒及び教職員の給食費の引落口座情報2万8209件(銀行名、支店名、口座番号、預金者名、引落金額、振替結果)でした。
このように自動・生徒に関する個人情報が流出するという事態になりました。
■前橋市はどのように対応したか
前橋市は、教育資料公開サーバ及び資料管理サーバについてデジタルフォレンジックの手配、MENETをインターネットから切り離し、復旧までの間、業務上のインターネット利用環境を確保するため前橋市教委を含め各接続拠点に1ないし2台のインターネットに直接接続できる環境を準備しました。
また前橋市教委は、本件不正アクセスの原因の究明及び再発防止策を検討させるため、前橋市学校教育ネットワークセキュリティ調査対策検討委員会を設置し、平成30年4月16日、本件委員会に対し、MENETのシステム運用の経緯や本件不正アクセス発生後の初動における問題点等を検証し、それらを踏まえ、本件不正アクセスの原因究明とともに再発防止等を検討し、その結果を提言又は意見として報告書にまとめることを委嘱しました。
同委員会は、平成30年6月25日頃、同日付け検証報告書により、本件不正アクセスの原因は、教育資料公開サーバの脆弱性の放置及びファイアウォールの設定の不備に原因があったとの判断を示しました。なお、同報告書には、MENET内の端末やファイル共有サーバには、本件不正アクセスの原因となったものに限らず、それ以前からウイルスが存在し、ウイルス対策ソフトで検知されたものがあったとされています。
■どのような対応が期待されているか。
「サイバーセキュリティ法務」と題する書籍には、インシデント対応の基本手順につき、①インシデント情報の検知、②インシデント情報の分析(トリアージ)、③初動対応及び証拠保全、④当局対応及び情報開示、⑤原因分析及び再発防止、⑥事後対応(被害者への補償、被害回復及び責任追及)と整理されているとのことです。
また「情報セキュリティセミナーインシデントマネジメント(v1.0)」との書面では、インシデントの対応手順について、①組織体内部のコミュニケーションや関連組織とのコミュニケーション、②暫定的対応として、ネットワーク接続の切断、サービスの停止などを行うこと、③本格的対応として、攻撃者にシステム特権を奪われてしまったときは、悪意あるプログラムを仕掛けられていないことを検出し、それが存在しないことを保証することは不可能に近く困難であることから、原則としてクリーンなシステムを再構築する必要があり、信頼できるメディアからクリーンなシステムを再インストールし、修正プログラムを適用した上で、設定ファイルの情報やデータをバックアップから復旧すること、④改善を図ることとされているとのことです。
■契約書に記載がない義務があるか?
本件では特にファイアウォールがアクセスを許可する設定になっていたことが債務不履行といえるかについて、システム業者に契約書に明確な記載のない債務(義務)があるのかが問題になりました。
裁判所は、「ソフトウェアの開発に係る業務委託契約においては、契約締結の前後に提案依頼書、提案書、要件定義書、基本設計書などをやり取りすることにより委託業務の内容を確定していくものであるから、本件委託契約において受託者である被告が負う債務の内容は、同契約の契約書の記載の内容のみならず、同契約の前後にやり取りがされた要件定義書や基本設計書などの内容を総合的に考慮して確定すべきである」として契約書に記載がなくても義務が派生し得ることを示しました。
そして「(本件システムについて、①提案依頼書、提案書、要件定義書及び基本設計書には、外部ファイアウォール及び内部ファイアウォールにより通信制限を行うものと記載されていること、②設計方針及び基本設計書には、データセンター内理論接続図及び通信制限イメージにおいて、DMZネットワークと個人情報保護ネットワークとをつなぐ通信経路が存在しないことがそれぞれ認められ、これらの事実に加えて、③被告は、経験豊富な専門家を多数擁する技術的セキュリティ対策チームによる総合的なセキュリティソリューションを提供することを可能とする技術力を有していたこと)から、システム業者は「本件委託契約において、DMZネットワークと個人情報保護ネットワークとの間の通信経路を遮断するため、本件システムの提供に当たり、その外部ファイアウォール及び内部ファイアウォールを適切に設定して通信制限を行う債務を負っていた」と判断しました。
■どの行為が適切に設定して通信制限を行う債務に違反するか?
では具体的にシステム業者のどの行為がファイアウォールを適切に設定して通信制限を行う債務に違反したのでしょうか。
裁判所は、「①被告は、原告に対し、本件システムの外部ファイアウォールをDMZネットワークから個人情報保護ネットワークを含む全ての内部ネットワークへの全ての通信を許可するとの設定及び内部ファイアウォールをDMZネットワークを含む全てのネットワークからの個人情報保護ネットワークへの全ての通信を許可するとの設定としたまま、同システムを引き渡していること、②上記1⑸ウによれば、被告において、このような設定が不適切であったこと自体は自認していたことがそれぞれ認められ、これらの事実に加えて、本件記録を見ても、被告において、原告に対して外部ファイアウォール及び内部ファイアウォールを上記①のように設定したまま本件システムを引き渡した理由について合理的な理由がある旨の主張は見当たらないことを併せ考えると、被告には、本件システムの外部ファイアウォール及び内部ファイアウォールを適切に設定して通信制限を行う債務の不履行があるものと認めるのが相当である。」としました。
このように本件ではファイアウォールがいずれも悪説を許可する設定のまま引き渡した行為について債務不履行があるとしました。
必ずしも契約書に明記されているわけではありませんが一定のセキュリティ義務を認めたことになります。
■本件不正アクセスがファイアウォールの設定ミスによるものといえるか(相当因果関係があるか)?
システム業者に設定ミスという債務不履行があるとしてもこれと本件の不正アクセスとが相当因果関係にあるかが問題なります。これがなければ不正アクセスに対応するための損害が賠償の範囲に含まれなくなってしまうからです。
裁判所は、「本件不正アクセスは、①MENETの教育資料公開サーバにバックドアが仕掛けられたことと②本件システムにおける外部ファイアウォール及び内部ファイアウォールにおける通信制限の設定が不適切であったことの両方の事象が相まって発生したものであることが認められるのであり、したがって、被告の債務不履行の結果である上記②の事実がなければ、本件不正アクセスは発生しなかったということができるのであるから、上記①の事実について原告に過失(教育資料公開サーバについて適切な管理を怠ったこと)があるか否かにかかわらず、被告の上記の債務不履行と本件不正アクセスとの間には相当因果関係があると認めるのが相当である。」として相当引火関係を認めました。
確かに②に注目すれば裁判所のいうとおりなのですが、①については市教委がサーバを適切に管理していればバックドアを仕掛けられることはなかったのではないかという疑問があるところで、裁判所は「あれなければこれなし」という条件関係のみで相当因果関係(社会通念からその結果が生じたといえるか)について検討していないようにも読めます。
もっとも本件においいて、どこにどのようなバックドアが仕掛けられたのか、担当者がどの程度しっかりと管理や監視していたのか、などといった事情がわからないため、バックドアを仕掛けられたことに管理者に過失はなかったという前提になっています。
この点について裁判所は、「被告の上記⑴の主張は、原告が本件システムの適切な管理を怠ったことから何者かによって教育資料公開サーバにバックドアが仕掛けられ管理者権限が行使されたとの過失相殺の主張を含むものとも解されるが、仮にそうであったとしても、本件記録を見ても、上記のバックドアが仕掛けられた経緯や原因を具体的に認定するに足りる的確な証拠は見当たらないから、原告の過失は認定できず、仮に被告が過失相殺の主張をしているとしても、同主張は採用することができない。」と判事しています。
つまり前橋市(原告)側にバックドアを仕掛けられたことや発見できなかったことについて不注意(過失)はなかったとしています。
■損害はどこまでふくまれるか?
前橋市は不正アクセスにより大量の個人情報が外部に流出したことを受けて、専門家に相談したりシステムを停止し再インストールをするなど多くの時間、労力、費用を使った対応を迫られ、これらを損害として求めました。
また、デジタルフォレンジック対応業務委託料としての918万円について、裁判所は前提として、「インシデント対応の基本手順につき、①インシデント情報の検知、②インシデント情報の分析(トリアージ)、③初動対応及び証拠保全、④当局対応及び情報開示、⑤原因分析及び再発防止、⑥事後対応(被害者への補償、被害回復及び責任追及)と整理している書籍があり、本件記録を見ても、その内容の信用性を疑わせる事情は特段見当たらないから、原告における上記①~⑥に該当する対応にかかった費用については、相当と認められる範囲において、被告の債務不履行を原因とする本件不正アクセスとの関係で相当因果関係のある通常生ずべき損害(通常損害)と認めるのが相当である。」としました。
そして「本件不正アクセスの原因、個人情報の漏えいの有無、マルウェアの感染状況等の調査を委託したことは、その内容に照らし、上記②のインシデント情報の分析や同③の初動対応及び証拠保全に該当するものと認められ、本件不正アクセスが検知された後の対応として必要かつ相当な範囲のものといえるから、その委託にかかった上記の918万円の費用は、被告の債務不履行との関係で相当因果関係のある通常生ずべき損害と認めるのが相当である。」として賠償の範囲に含まれるとしました。
またインシデント対応支援コンサルティング業務委託料としての540万についても裁判所は、「業務の委託は、その内容に照らし、上記⑴で認定したインシデント対応の基本手順の③初動対応及び証拠保全並びに④当局対応及び情報開示に係る対応に係るコンサルティング業務であると認められ、また、本件システムの規模や本件不正アクセスの内容に照らし、原告において専門的知識や経験を前提としたコンサルティング業務を依頼することも合理的であるというべきであるから、上記の540万円の費用は、被告の債務不履行と相当因果関係のある通常損害と認めるのが相当である。」として認めました。
その他、保護者・教職員宛て通知のための郵送料等としての370万0766円、職員時間外勤務手当分等としての455万8066円など合計して、1億4298万0444円(1億2998万2222円+1299万8222円としました。
なお本件では債務不履行を原因とする損害でしたが内容面の専門性などから弁護士費用も認められています。
■契約書の責任限定契が適用されるか?
本件の契約書には、損害賠償責任の範囲につき、契約金額を限度として現実に生じた通常の直接損害を賠償するものとする旨の規定があったことから損害賠償の金額が制限されるのではないかが問題になりました。
裁判所は、「本件委託契約の17条は、ソフトウェアの開発に係る契約に関連して生じる損害額が、その契約の性質上、想定外に多額に上るおそれがあることから、被告が原告に対して負うべき損害賠償金額を契約金額の範囲内に制限し、被告はそれを前提として当該契約の金額を設定できるという意味で一定の合理性がある約定であるということはできるが、他方で、被告が、権利・法益侵害の結果について故意又は重過失がある場合にまで、当該条項によって被告の損害賠償義務の範囲が制限されるということは著しく衡平を害するものであり、当事者の通常の意思に合致していないというべきであるから、本件委託契約の17条は、被告に故意又は重過失がある場合には適用されないと解するのが相当である(東京地裁平成26年1月23日判決・判例時報2221号71頁参照)。」とする判断を引用しました。
そして、「被告は、原告との間で、本件委託契約の前後における提案依頼書、提案書、要件定義書、設計方針及び基本設計書において、外部ファイアウォールないし内部ファイアウォールによる外部からのアクセス制限を行うことを複数回にわたって確認していたことが認められるから、被告が原告に対して不適切な設定のまま本件システムを引き渡したことは、単純かつ明白なミスであるというべきであり、かつ、被告が情報セキュリティについて高度な専門的知見を有していることを併せ考えると、被告には本件委託契約の債務不履行について少なくとも重過失があることは明らかというべきである。」としました。
システム業者がセキュリティの不十分な設定のまま注文者に引き渡した点に著しい不注意があったとして重過失を認めたものです。システム業者が高度な専門知識をもっており情報の格差があることを考慮したものです。
ただこの裁判例では不法行為を否定しており重過失がありながら不法行為にあたらないというのが整合しているのかという疑問もあります。
■システム御者に厳しい判断
以上みてきたとおり裁判所は高度な専門知識を有するシステム業者に対してセキュリティの不十分なシステムを引き渡した点に厳しく対応しました。
契約書にないファイアウォールの設定に不注意を認めただけでなく、契約書に規定があった損害額を制限する合意については業者に重過失があったとして損害額の限定を認めませんでした。
なお本件は控訴審に事件が係属しており高裁での判断も注目されます。
■国展地方公共団体のセキュリティ意識も求められている
さて本件では前橋市が犯罪組織からランサム攻撃を受けたのか否かについて言及しておらず現時点ではわかりません。
一方報道では、『日本行政の全情報を握る「アマゾン」』(選択2024年9月号記事)によると、日本の国、地方公共団体ではさまざまな情報をクラウドに一元化するというガバメントクラウド(ガバクラ)への移行が進んでいるとのことですが、元デジタル大臣平井氏の意向でアマゾンウェブシステム(AWS)が事実上使われるということで、政府では大口利用での割引制度を申請しようとしているということです。
住民基本台帳、健康保険、税務などの個人情報や政府の機密情報も含まれている形ですべてを米国のアマゾンに管理させることの危うさが指摘されています。
国民の個人情報や国家・地方公共団体の機密情報は国家主権の根幹にも関わる情報であり、例えばドイツでは公開されていない情報は国内のサーバで管理されているということです。
日本の閣僚は政策や政治的な駆け引きは行うが、デジタル情報の管理に関してはあまり関与しようとせず、現場の担当者に任せる傾向が強いということで、そのため国家の主権にかかわる情報が国外の私企業に丸投げすることの危機感が全くないということらしいです。
前橋市の情報教育ネットワークについてもシステム業者に高いセキュリティ意識が求められるのは当然として、地方公共団体側でもネットワークに個人情報や行政に関する機密情報が含まれていることをしっかりと認識して独立した組織としてシステム業者に問題を指摘できるだけの知識を身に着ける必要があるように思います。
名古屋市中区栄2丁目2番17号名古屋情報センタービル7A
水野健司特許法律事務所
弁護士 水野健司
電話(052)218-6790
お気軽にお問合せください。