ホームページ個人情報流出事件

事件概要

エステティックサロンのウェブサイトで、無料体験や資料送付等に応募した者の氏名、住所、電話番号、メールアドレス等の個人情報が、エステティック会社が業務委託した会社の過失により流出した。

判決

流出した情報を元とするダイレクトメールや迷惑メール、いたずら電話などの二次流出・被害が生じたことから、エステティック会社に対し、民法715条に基づく損害賠償として、原告(消費者)1 名につき慰謝料 3 万円と弁護士費用5 千円を認めた。

工学的検討

情報漏洩の原因は、ウェブサイトの閲覧制限の設定ミスだという。エステティック会社が業務委託した会社の設定ミスによって、ウェブサイト上の個人情報ファイルが誰にでも閲覧できる状態になっていた。このような設定ミスは、それ自体が本来のウェブサイトの正常な機能に直接影響を与えないことから、発見が難しい。本件は、10 年以上前の事例であるが、現在は疑似的な侵入テストを行う専用ソフトウェアによって、ウェブサイトの意図しない設定ミス等を事前に発見する手法が広く用いられている。一方、これらの疑似侵入テストを行うソフトウェアは、誰でも簡単に入手できるものも多く、使い方によっては、実際の侵入・攻撃に転用可能である。例えば、パソコン1 台と、インターネットで入手した侵入テスト用のソフトウェアさえあれば、特定のウェブサイトに対してログイン ID やパスワードを取得する攻撃を行うことは、技術的に難しくない。ウェブサイト等の情報漏洩対策は、まずは、このようなインターネット環境の現状を知っておくことが重要であると思われる。

著者