OpenSSL「致命傷」個人情報が流出したら誰の罪?

インターネットのセキュリティを向上させる暗号通信ソフトウェア「OpenSSL」に重大な欠陥が見つかったと、世界中で話題になっています。

情報セキュリティー大手「トレンドマイクロ社」が国内1万7,852サイトを対象に行った調査では、その3%が問題の技術を利用しているとのことですから、私たちが普段使っているサイトも例外ではなさそうです。

今回見つかった致命的な脆弱性を悪意のある第三者に突かれると、最悪の場合あらゆる情報が筒抜けになってしまう可能性がある、ということでまさに「これまでの中で最も重大な欠陥」と言える状況となっています。

サービス提供各社、パスワード変更を依頼するなどして顧客対応をとっている模様ですが、もし、あなたがこれまでに登録・入力していたクレジットカード番号や住所などの個人情報が流出し悪用されたとして補償はされるのでしょうか?

OpenSSL

■責任はサービス提供主体に生じ得る

結論からいうと、OpenSSLを採用していたサービス提供主体が責任を負うことになると思われます。

仮に何かの損害が発生したという場合、直接的な原因はOpenSSLの欠陥にあったことになりますが、サービス提供主体がサイトの安全性についての責任を負うべき責任があるからです。

■過失がなく責任を負わない可能性も

しかし、OpenSSLはこれまで重大な欠陥があるということが一般に知られていませんでした。

一般には、安全な暗号化技術であると考えられていたわけであり、これを採用していたことに安全配慮義務違反や過失があるということは難しいようにも思います。

したがって、サービス提供主体が責任を負うとしても、欠陥が発覚したにもかかわらず、手当てをせずに情報流出等が発生し、それによる損害が発生したような場合になるのではないかと思われます。

もっとも、銀行を利用して被害に遭った場合は、預金者保護法によって保護されるため、いずれにしても被害者は保護される可能性が高いのではないかと思います。

この点については以前書いた「銀行も「よく似ている」詐欺サイトから身を守る鉄則」を参照してみてください。

清水 陽平 しみずようへい

法律事務所アルシエン

東京都千代田区霞ヶ関3-6-15 霞ヶ関MHタワーズ2F

コメント

コメント