26） 企業リスクマネジメント　第16話
　 ～身近な犯罪不正アクセス－貴方のメールは見られていない？～

過日、夫の知人女性のメールを、“のぞき見”したとして、不正アクセス禁止法違反などの疑いで、37歳の妻が書類送検された。「2人（夫と知人女性）の仲が気になり、やりとりが知りたかった」という理由で、妻は夫の知人女性のメールのIDとパスワードを盗み、05年4月頃から7月頃にかけ、不正にこの女性の携帯メールにアクセスを繰り返し、本人になりすまして友人とのやりとりをしていたメールを盗み見ていたという。夫の携帯電話を操作して、夫の着信したメールが自分のパソコンに転送されるように設定、その内容から夫のメール相手のアドレスやパスワードを割り出していた。

その上で4カ月の間に約500回、自分のパソコンや携帯電話から、知人の女性メールアドレスに不正にアクセスしていた。被害女性が、自分が読んでいないのにメールが「開封済み」になっているのを不審に思って警察に届け発覚した事件であった。夫が浮気していたかどうかは別として、明らかにこれは犯罪行為であり、こういった不正アクセス行為による損害は企業にだけ起こるものとは限らなくなってきている。1人の妻がITを駆使し、夫になりすましてサイバー犯罪ができるほど、IT技術や操作は一般的かつ容易になり、便利になった半面、現代のメール社会の恐ろしさが伺える。

不正アクセス行為の禁止等が一部施行されたのは2000年2月、日本は欧米に比べてはるかに遅れており、犯罪か否かの認定も難しいと聞く。この法律は不正アクセス行為に対する禁止、処罰を規定しているだけでなく、システム管理者に不正アクセス行為を防御するための適切な対策を講じる努力義務を課している点も大きな特徴である。

鍵を盗み、窓を割って進入した泥棒は罪人だが、鍵がぶら下がっている扉を開けて入ってきた泥棒は、この法律には違反していない。不正アクセス行為とは、(1)他人のID、パスワード等の識別符号を無断で利用する行為(2)セキュリティーホールを攻撃し、ID、パスワード等を入力しないでコンピュータに侵入する行為等で、懲役1年以下、50万円以下の罰金に科せられる。また不正アクセス行為を助長する行為とは、無償有償にかかわらず無断で第三者にID、パスワード等を提供する行為で、これも犯罪行為であり罰則規定がある。但し、罰則はないが、先に述べたように不正アクセスを防御する努力を企業は講じていなければならない。

自分のことに置き換えると、仕事であれ、プライベートであれ、自分宛のメールが、知らないうちに他人に勝手に読まれていると考えると背筋がツーンと寒くなる。しかし、本件は決して特別な環境下で起こったわけではない。例えば、これが会社の中で起こったと仮定すると、会社は一人の人間に会社生命を握らせてしまう羽目になる。会社の重要決定や戦略、そういったことにかかわる社員や役員のコンピュータに侵入し、メールを盗み見ることができたとしたら、その情報が競合他社へ漏洩されたとしたらどうなるか。また、場合によっては“ゆすられる”材料にならないか。システム管理者は唯一社内コンピュータを自在に扱える権限を持っているが、資質上問題はないか、責任に応じた契約内容になっているか。

私はこの事件を家庭の恥として示談で済ませず、公にしてくれた夫に感謝したい。妻の気持ちを優先するか、法に従うか悩んだであろうが、社会に警鐘を鳴らし“自分のメールは自分で守る”といった、日頃気付いていないことを教えてくれ、今一度自分の環境をチェックするべきと感じた。

常に危機管理意識を持ち続けることは難しいことだが、企業も、人も“備えあれば憂いなし”。災害から身を守るためには自らの意識と事前対策、そして危険を探知するアンテナが必要である。

(06年7月26日掲載記事)