会員企業のプレスリリースなどを配信する「PR TIMES」社は7月9日、発表前の一部プレスリリースおよび関連データが外部の第三者からのアクセスによって取得されていたことを公表した。
同社によると、流出したファイルは、会員企業のプレスリリースにひもづく画像のZIPファイル230点と、文書のPDFファイル28点。非公開や下書きの段階でも、URLを直接指定すればアクセスしてダウンロードができる状態となっていたといい、過去に用いられたURLから第三者が推測・解析してアクセスしたものとみられる。
同社は、今回の流出について、「不正アクセス」による「不正取得」としている。
ところが、ネットでは「これは不正アクセスというのかな」「推測できるURLなのに不正取得?」などの疑問の声があがっており、「単に設定・運用をミスしただけでは」といった意見もあった。
●「法律用語として引用したものではない」
「不正アクセス」「不正取得」どちらも一般的な用語として使われるが、法律でもそれぞれ定義されている。
不正アクセス行為の禁止等に関する法律が「不正アクセス行為」を、不正競争防止法が「営業秘密不正取得行為」などを定めている。
「PR TIMES」社は、今回の流出をこれら法律に触れる行為だと考えているのだろうか。
同社は、弁護士ドットコムニュースの取材に対し、「発表前の情報を不正に取得する行為は許されてはならないと考え、弊社の原因と対策を開示しつつ、不正取得に言及する内容とした」と回答した。
そのうえで、「いずれの言葉も特定の法令から法律用語として引用したものではありませんが、様々な立場の関係者様へ事象と経緯、弊社の姿勢が伝わることを主眼に記載した」という。法律上の「不正アクセス」「不正取得」に該当するものとの趣旨で記載したものではないようだ。
では、今回の流出は、法令違反に当たる「不正アクセス」「不正取得」ではないのだろうかか。中村穂積弁護士に聞いた。
●認証不要な非公開URLを入力するだけなら「不正アクセス」に当たらない
——今回の流出について、法律上の「不正アクセス」に当たる行為はあったといえるのでしょうか。
不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)は、情報通信ネットワークを通じた社会経済活動の安全の確保がアクセス制御機能に依拠する権限者識別機能にあることに鑑み、これらに対する信頼を保護するものです。
したがって、不正に情報を入手する行為すべてを処罰対象とするものではなく、上記信頼を害する不正アクセス行為のみを処罰対象としています。
不正アクセス禁止法は「不正アクセス行為」を禁止していますが(3条)、今回のケースが同法2条4項1号で定める「不正ログイン行為」に該当するか否かが問題となります。
——具体的にはどのような行為が「不正ログイン行為」になるのでしょうか。
不正ログイン行為とは、「アクセス制御機能」を有する情報機器やサービスに、「他人の識別符号」を入力することによりそれらを利用する行為をいいます。
「識別符号」の典型例は、いわゆる「ID・パスワード」です。識別符号といえるためには、(1)利用を認める相手方ごとに違うものであること、(2)その相手方以外に用いることができないようなものであること、という2つの要件を備える必要があります。
「アクセス制御機能」とは、アクセスを自動的に制御するために管理者によって付加されている機能であって、当該機能を有する符号が識別符号であることを確認して、利用制限の全部又は一部を解除するものをいうとされています。
——今回のケースのように、公開されていないURLを入力する行為についてはどうでしょうか。
非公開URLは、利用を認める相手方ごとに違うものではなく、相手方以外に用いることができないようなものではないと考えられるので、「識別符号」とはいえないでしょう。
また、非公開URLの送信により、サーバーは自動的にページのデータを送りますので、管理者により識別符号であることを確認し、アクセス制限の全部又は一部を解除する機能が付加されたものとはいえず、アクセス制御機能の要件もみたさないと考えられます。
もっとも、非公開URLに認証が設定されていた場合や、別途IDやパスワードによる入力等認証が必要な場合はこの限りではありません。
●「営業秘密」に該当するデータかどうか
——法律上の「不正取得」に当たるかどうかという点はどうでしょうか。
不正競争防止法で保護されるためには、取得された公開前データが「営業秘密」に該当することが必要です。
「営業秘密」といえるためには、(1)秘密として管理されていること(秘密管理性)、(2)事業活動に有用な技術上又は営業上の情報であること(有用性)、(3)公然と知られていないこと(非公知性)の3要件が必要です。
今回のケースにおいても、当該公開前データが上記(1)~(3)の要件を満たすのであれば「営業秘密」といえるでしょう。
——もし公開前のデータが営業秘密に該当した場合、公開されていないURLからその公開前のデータをダウンロードしたら「不正取得」になるのでしょうか。
「不正取得」とは、「窃取、詐欺、強迫その他の不正の手段により営業秘密を取得する行為」をいいます(不正競争防止法2条1項4号)。
「窃取、詐欺、強迫」は不正の手段の例示であり、窃盗罪や詐欺罪などの刑罰法規に該当するような行為だけでなく、社会通念上、これと同等の違法性を有すると判断される公序良俗に反する手段を用いる場合も「不正取得」に含まれると解されています。
今回のケースでも、未公開データをダウンロードする行為が公序良俗に反すると解される場合なら、不正取得に該当する可能性があります。
——上記の法律以外で、今回のデータの取得行為はなにか法律違反になりますか。
不法行為(民法709条)の要件を満たせば、データの取得者に対し、損害賠償請求が可能だと思います。
情報の性質等により法律で保護されるか否か、どの法令が適用されるかどうかが異なります。企業側としては、社内でどのような情報を扱っているかを洗い出し、管理方法等について十分に検討しておくことが肝要です。
