PR

銀行のネットバンキング・サービスが悪用され,1600万円が不正に引き出される事件が発生した。この事件はECサイトを運営する管理者にとって他人事ではない。これを契機に,IDとパスワードだけを使った認証では「セキュリティが確保されていない」と判断され,民事的責任が発生する可能性があるからだ。

 警視庁は3月6日までに,ネットバンクに不正アクセスし1600万円を不法に得た容疑者を逮捕した。不正アクセスの手口は,ネットカフェのPCにキーボードの入力履歴を記録するソフトを仕掛け,収集したIDやパスワードを使ったものとされている。

 今回の事件では,不正アクセスを受けたのがネットバンクのサイトであるため,サイト側は現段階で刑事上の被害者と言える。しかし,民事裁判となるとそう簡単には言えなくなるかもしれない。セキュリティが確保されていないサイトだと判断された場合は,サイト側に落ち度があるとされ,民事的な責任が生じる可能性があるのだ。つまり,不正に入手したIDとパスワードで行われた取引(今回は約1600万円の詐取)は無効で,免責事項も効力がなくなり,サイト側が取引金額を補償しなければならなくなる。

 通常,ECサイトを利用するためのIDとパスワードは,サイト側がユーザーに貸与する。そして,ユーザーはIDとパスワードを適正かつ安全に管理しなければならない。今回の事件では,ネットカフェを利用した本来のユーザーに重大な過失はなく,ネットバンク側も本人からのアクセスだと認めざるを得なかったので,「ネットバンク側に責任はないと考えられる」(牧野法律事務所 牧野二郎弁護士)。これは,取引で“なりすまし”の被害を受けた者(今回はネットバンク)を民法で保護する規定があるためだ。

 ただし,この規定を「ネット上の取引に対して全く同じように適用してよいかどうかは,議論の分かれるところ」(岡村・堀・中道法律事務所 岡村久道弁護士)という見方もある。このため民事では,サイト側が十分なセキュリティ対策を施していたと裁判所が判断するか否かが焦点になる。

図●ネットバンク事件から学ぶポイントと対策
ECサイトやネットカフェの管理者は,ユーザーに対して安全性と危険性を分かりやすく明示することも必要だ

 いずれにしても,今回の事件を機に,ECサイトなどの管理者は現状のセキュリティを見直し,民法で保護されるようなレベルを保っているかを確認すべきだ(図1[拡大表示])。特にログインのセキュリティ向上は急務。1組のIDとパスワードだけの単純な認証では危ない。牧野弁護士は「IDとパスワードにはセキュリティはない」とも話す。

 対策としては,例えばワンタイム・パスワードや電子署名を使う方法がある。セキュリティとユーザーの利便性はトレードオフの関係にあるので,サイトのサービスに見合った方法を選ぶ。このほか,ユーザーに対しては,サイトの安全性と危険性を分かりやすく明示することも必要だ。

(岡本 藍=a-okamot@nikkeibp.co.jp)