（１）電子メールの誤送信と個人データの漏えい等について

一般論として、電子メールを誤送信してしまった場合の初動対応としては、誤送信先に直ちに連絡を行い、誤送信した電子メールの削除を求めるなどすることが重要である。

特に個情法との関係では、電子メールの誤送信があり、そこに個人データが含まれていた場合¹、誤送信した相手方から、メールに含まれる個人データを閲覧せずに削除した旨の申告を受けるなどして、相手方が当該メールを削除するまでの間に当該個人データを閲覧していないことを確認した場合は、そもそも「漏えい」に該当しないと解されている（個情法ガイドライン（通則編）3-5-1-1、個情法QA6-1参照）。したがって、誤送信先に対して直ちに連絡を行い、誤送信した電子メールの削除を求めるなどして漏えいの有無を確認することが重要といえる。

（２）電子メール守秘文言

電子メール守秘文言とは、電子メールの誤送信があった場合に備えて、送信する電子メールに以下のような文言を本文の末尾に追記することである。

契約は原則として当事者間の合意をもって成立するため、電子メールを一方的に送付し、末尾に追記した守秘文言に記載された内容に強制力を持たせることはできない。誤送信先の受信者が、その情報を保有する行為自体に違法性はないため、削除等の強制することはできず、任意の協力が得られない限り、誤送信した電子メールを削除することは困難である。ただし、誤送信された情報が営業秘密等に該当する情報であることを認識した場合には、後述するように信義則上の義務が生じると解する余地があるため、その限りにおいて有効であると考えられる。

（３）営業秘密侵害

営業秘密を保有する事業者（以下「営業秘密保有者」という。）からその営業秘密を示された者が、不正の利益を得る目的又は損害を加える目的で、営業秘密を使用する又は第三者に開示する行為は、不正競争行為となる（不正競争防止法第2条第1項第7号）。ここで、「営業秘密を示された」とは、「その営業秘密を不正取得以外の態様で営業秘密保有者から取得する場合」をいうと解されており²、「具体的には、営業秘密保有者から営業秘密を口頭で開示された場合や手交された場合、営業秘密へのアクセス権限を与えられた場合、営業秘密を職務上使用している場合などをいう」とされている³。

「営業秘密を示された」ことについて、上記具体例のほか広く解することにより、誤送信によって保有者から営業秘密の開示を受けた場合も「営業秘密を示された」にあたるとする余地はあると考えられるが、一方で、偶発的かつ一方的に誤送信メールを送信されたことにより、はじめて営業秘密であることを認識した者に対して営業秘密に関連する規律を課すことの妥当性も考慮する必要がある。

したがって、誤送信電子メールの受信者が、当該メールに送信者の営業秘密が含まれていることを認識した上で、当該営業秘密を自ら使用し若しくは第三者に開示した場合又はそのおそれがある場合に、それを不正競争防止法における営業秘密侵害行為として法的措置をとることができるか否かについては、当該メールを受信した者が「営業秘密を示された者」にあたるかどうかを含め、当該メールの文面や受信者の業務等の各種事情を総合的に考慮した上で個別具体的に判断する必要があるが、当該メールの送信者としては、不正競争防止法に基づき、受信者に対して、差止請求や損害賠償請求等の措置を講じることができる可能性がある。

なお、誤送信電子メールの受信者が不正競争防止法における営業秘密の侵害行為に該当しない場合であっても、当該受信者が誤送信された情報を営業秘密であると認識した場合には、その情報を使用開示して送信者に損害を加えてはならないことについての信義則上の義務が発生すると解する余地がある。この場合、当該受信者が、企業に対して損害が及ぶことを認識しつつ、営業秘密を使用したり、第三者に開示したり、不特定多数の者が閲覧できるようにインターネット上に公開したりすれば、当該受信者に対して不法行為責任を問い得る。

企業としては、営業秘密を誤送信してしまった場合に、受信者に対して当該企業に損害を加えてはならないとする信義則上の義務が発生するように、送信された情報が送信者の営業秘密であると認識できる状態にしておくことが重要であると考えられる。その上で、営業秘密が誤送信された事実が明らかになった段階で、受信者に対して速やかに削除要請をするとともに、当該情報は送信者の営業秘密であるから受信者は当該情報を使用し又は第三者に開示しないように申し入れる必要があろう。

（４）情報記録媒体物の返還請求

誤配送された書類などの情報記録媒体については、送信者にその所有権がある場合には、送信者は受信者に対して、所有権に基づき情報記録媒体の返還を請求する権利を有する。

（１）問題の所在

個人情報、営業秘密及び限定提供データ等の重要なデータの漏えいが起こった場合の損害賠償額がどのように算出されるのかが問題となる。

（２）個人情報漏えい事案

個人情報漏えい事案の場合、漏えいした個人情報の主体たる本人から、個人情報の管理者に対して、プライバシー権侵害に基づく損害賠償請求が行われることが想定される。当該請求において想定される損害としては精神的損害が考えられるが、その損害額算定方法を検討するに当たっては、実際に精神的損害の金額評価が争われた以下の4つの事件についての裁判例が参考になる。

（３）営業秘密等の漏えい事案

営業秘密等漏えい事案の場合、漏えいした営業秘密等の主体たる企業から、営業秘密等の漏えい者に対して、不正競争防止法第4条に基づく損害賠償請求が行われることが想定される¹。当該請求において想定される損害としては逸失利益が考えられるところ、その損害賠償額算定に当たっては、営業秘密等の漏えいの事実と、漏えいした営業秘密等の主体たる企業における売上減少等との間の相当因果関係およびその損害額の立証が必要になる。しかしながら、損害額の立証責任はその請求を行う被害者の側にあるのが原則であり、かつ、営業秘密等の漏えいの事実と営業上の利益の侵害による損害との間の相当因果関係およびその損害額の立証は、一般的にかなり困難である。

そこで、不正競争防止法第5条は、被害者の立証の負担を軽減するため、一定の不正競争行為類型に関する損害額について、その推定規定を設けている。営業秘密等の漏えいに関するものとしては、具体的には以下のとおりである。

侵害品の譲渡数量に被侵害品の単位数量当たりの利益額を乗じて得た額を損害額とする算定方法（不正競争防止法第5条第1項²）

侵害者が営業秘密侵害行為に係る物を譲渡したときは、その譲渡した物の数量（以下「譲渡数量」という。）に、被侵害者がその侵害行為がなければ販売することができた物の単位数量当たりの利益の額を乗じて得た額を、被侵害者が受けた損害の額とすることができる（ただし、被侵害者の当該物に係る販売その他の行為を行う能力に応じた額を超えない限度）。

侵害者の利益を被侵害者の損害額と推定する算定方法（不正競争防止法第5条第2項³）

侵害者が当該侵害行為により利益を得ているときは、その利益の額は、被侵害者が受けた損害の額と推定する。

使用料相当額を損害額とする算定方法（不正競争防止法第5条第3項⁴）

当該侵害に係る営業秘密又は限定提供データの使用に対して受けるべき金額に相当する金額（ライセンス料相当額）を、自己が受けた損害の額とする。

また、経産省は、ウェブページ「営業秘密~営業秘密を守り活用する~」において営業秘密に関係する基本資料を取りまとめている。その中の経産省知的財産政策室「営業秘密の保護・活用について」（平成29年6月）において、営業秘密の漏えいにより数百億円規模の訴訟が提起された事例が挙げられている。具体的には、日本の大手鉄鋼メーカーの元従業員と、外国競合企業が共謀して、高級鋼板の製造技術といった営業秘密を、当該競合企業が不正に取得したとして、当該鉄鋼メーカーが当該競合企業に対して約1,000億円の損害賠償請求（300億円の和解金で解決）を行ったケースや、大手電機メーカーの業務提携先の元技術者が、無断複製したフラッシュメモリに関する営業秘密を、外国競合企業に対して提供したとして、当該電機メーカーが当該競合企業に対して約1,100億円の賠償請求（330億円の和解金で解決）したケースなどがある。ここからわかるように、営業秘密が漏えいした場合には、巨額の損害を招くことが想定される。

（４）委託先に対する損害賠償請求

委託先企業が情報漏えいを行った場合、委託元企業は、委託先企業に対して、契約違反を理由とした損害賠償責任の追及が可能である。その場合、損害賠償請求の内訳としては以下のものが考えられる。

1. 委託元企業が、情報漏えいの被害者（営業秘密等の漏えい事案においては被害企業等）対して支払った損害賠償額
2. ①に関連して訴訟手続等が行われた場合の合理的な訴訟費用
3. 情報漏えいインシデント対応費用（プレスリリース、苦情対応、謝罪等）
4. 委託元企業自体の信用毀損による損害
5. その他、委託先企業の情報漏えい行為に起因する損害

委託元企業が、情報漏えいを行った委託先企業に対して損害賠償請求を行い、これが認められた事例として、東京地判平成26年1月23日判時2221号71頁が著名である（Q45も参照）。本件は、ウェブサイト上で通信販売を営んでいる原告（委託元企業）が、被告（委託先企業）との間で、原告のウェブサイトにおける商品の受注システムの設計、保守等の委託契約を締結したところ、被告が製作したアプリケーションが脆弱であったことにより、外部から「SQLインジェクション」というアプリケーションの不備を利用してデータベースを不正に操作する攻撃を受け、上記ウェブサイトで商品の注文をした顧客のクレジットカード情報が流失し、原告による顧客対応等が必要となったために損害を被ったとして、被告に対し損害の賠償を求めた事案である。判決は、その当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供することが黙示的に合意されていたとし、被告は、当該個人情報の漏えいを防ぐために必要なセキュリティ対策を施したプログラムを提供すべき債務を負っていたところ、これを怠ったとして、被告の損害賠償責任を認めた。

このような委託先に対する損害賠償請求事案においては、委託先企業は、特定のセキュリティ対策は債務の内容ではなかったという主張のほか、委託元企業自身による義務違反等もあったとして過失相殺（民法第418条）等を主張することが考えられる。また、①情報漏えいの被害者に対して払った損害賠償額の合理性、③情報漏えいインシデント対応費用の合理性や、④情報漏えいと委託元企業自体の信用毀損による損害との相当因果関係の有無等については争いになることも多い。

（１）データを受託して管理している事業者の注意義務

データを受託して管理している事業者は、「一般に、物の保管を依頼された者は、その依頼者に対し、保管対象物に関する注意義務として、それを損壊又は消滅させないように注意すべき義務を負う。この理は、保管の対象が有体物ではなく電子情報から成るファイルである場合であっても、特段の事情のない限り、異ならない。確かに電子情報は容易に複製可能であるから、依頼者の側で保管対象と同一内容のファイルを保存する場合が少なくないとしても、そのことをもって一般的に保管者の上記注意義務を否定することは妥当でない」（東京地判平成13年9月28日（平成12年（ワ）第18753号・平成12年（ワ）第18468号））とされており、ユーザから保管を委託されたデータを損壊又は消滅させないように注意すべき義務を負っている。

一方、データ管理事業者（クラウドサービス提供事業者）とユーザとの間に別の事業者が介在し、クラウドサービス提供事業者とユーザとの間に直接の契約関係がない場合について、東京地裁は、サーバに保存されたプログラムやデータの保管について寄託契約的性質があるとはいえず、契約関係にない第三者に対する関係で当然にはサーバに保管された記録について善管注意義務や記録の消失防止義務を負うことはできないとしている。また、クラウドサービス提供事業者は利用規約に責任制限規定や免責規定を設け、これを前提として料金を設定して契約者から料金の支払を受けて共用サーバホスティングサービスを提供している一方、ユーザはプログラムやデータの消失防止策を容易に講ずることができたのであるから、ユーザ及びクラウドサービス提供事業者双方の利益状況に照らせば、サーバを設置及び管理するクラウドサービス提供事業者に対し、ユーザの記録を保護するためにその消失防止義務まで負わせる理由も必要もないと判示した（東京地判平成21年5月20日判タ1308号260頁）。

（２）免責規定・責任制限規定

データを保管するサービスの利用規約（約款）には、データ消失による損害についての責任制限や免責が定められている条項が付されていることが通常であるが、ユーザが消費者の場合には、消費者契約法第8条第1項により、責任の完全な免除や故意又は重過失に対する責任の一部免除を定める条項は無効になる。一方、ユーザが事業者の場合は、消費者契約法の適用がなく、ユーザとデータ受託事業者との間で責任の完全な免除や一部免除を定める条項は、原則として有効である。

ただし、システム開発に関する裁判例（Q45参照）として、東京地裁は、一律に責任を免除する規定について、被告が「権利・法益侵害の結果について故意を有する場合や重過失がある場合（その結果についての予見が可能かつ容易であり、その結果の回避も可能かつ容易であるといった故意に準ずる場合）にまで同条項によって被告の損害賠償義務の範囲が制限されるとすることは、著しく衡平を害するものであって、当事者の通常の意思に合致しない」と判示しており（東京地判平成26年1月23日判時2221号71頁）、当該裁判例に照らすと、データ管理事業者に故意又は重過失がある場合でも一律に責任を免除する旨の免責規定は無効とされる可能性がある。

当該免責規定の有効性については、その他の裁判例¹も踏まえると、当事者間の信義誠実の原則及び公平の原則に照らし、責任制限規定の趣旨や内容、契約に至る経緯等の個別的事情を総合的に考慮したうえで判断することとなると考えられる²。

なお、SLA（Service Level Agreement）が設定されている場合には、SLAが充足されなかった場合の責任規定があれば、その内容に従って補償される。このようなSLAのデータ管理の規定には、通常、バックアップの方法、バックアップデータの保存期間といったデータ管理の項目が設定されている。なお、SLAを設定するにはSLO（Service Level Objective）³を考慮して決定することになる。

（３）過失相殺

データを委託したユーザが、自身で容易にバックアップを取得できる場合には、バックアップをしなかったことによってデータ受託事業者の下でデータが消失した場合にデータを復元できなかったことについて、ユーザにも一定の過失が認められるため、過失相殺により損害賠償額が減額される可能性がある。

東京地裁は、「原告は、本件ファイルの内容につき容易にバックアップ等の措置をとることができ、それによって…（中略）…損害の発生を防止し、又は損害の発生をきわめて軽微なものにとどめることができたにもかかわらず、本件消滅事故当時、原告側で本件ファイルのデータ内容を何ら残していなかったものと認められる」とした上で、「本件においては、被告の損害賠償責任の負担額を決するに当たり、この点を斟酌して過失相殺の規定を適用することが、損害賠償法上の衡平の理念に適うというべきである」（前掲・東京地判平成13年9月28日）と判示した。

また、同裁判例では、ユーザ(原告)の予見可能性について、「過失相殺を適用するに当たっては、原告に本件ファイルの消滅という結果発生に対する予見可能性が認められれば十分であって、その結果に至る因果経過として、被告の本件注意義務違反により本件ファイルが消滅したことに対する予見可能性までは必要ないと解すべきである。…（中略）…原告代表者Ｂは、ホームページにハッカー等が侵入する危険について認識していたことが明らかであり、また、原告は、インターネット通信には情報の改変、破壊の危険があり、その危険は予見可能であったことを認めているのであるから、原告は、インターネット通信固有の原因により本件ファイルが消滅する危険は予見していたと判断され、本件ファイルの消滅という結果発生に対する予見可能性が十分に肯定され、過失相殺の適用を肯定する上での支障は到底認められない」と判断している。その上で、「原告の過失…（中略）…の内容及び程度に、被告の過失の内容及びその程度、原告の損害の額、その他本件に表れた諸般の事情を斟酌すれば、過失相殺として原告の損害…（中略）…の2分の1を減額するのが相当である」と判示した。

（４）行政規律、罰則等

データ管理事業者が電気通信事業者に該当する場合、当該データは事業法第4条第1項に規定する通信の秘密の保護対象となり得、その消失については通信の秘密の漏えいと判断され得る。漏えいが発生した際、データ管理事業者の業務の方法に関して、通信の秘密の保護に支障がある等の過失が認められる場合には、同法第29条第1項第1号の規定に基づき、当該データ管理事業者は、業務の方法の改善その他の措置をとるべきことを命じられることがある。この命令に従わない場合には、200万円以下の罰金に処せられる（同法第186条第3号、第190条第2号）。

また、この漏えいが、電気通信事業者たるデータ管理事業者の従業員等が故意に行ったと認められる場合には、事業法第179条第2項の規定に基づき、3年以下の懲役又は200万円以下の罰金に処せられ、当該事業者も200万円以下の罰金に処せられる（同法第190条第2号）。なお、故意による漏えいは、未遂も処罰の対象である（同法第179条第3項）。

（１）ランサムウェア攻撃とは

サイバー攻撃の一類型として、ランサムウェアと呼ばれるウイルスを使用し、攻撃先の端末上のデータを暗号化する等して、その復元と引き換えに（身代金¹として）金銭を脅し取ろうとする類型（以下「ランサムウェア攻撃」という。）がある²。

ランサムウェアとは、パソコン等の端末及びネットワーク接続された共有フォルダ等に保管されたファイルを、利用者の意図に沿わず暗号化して使用を不可能にし又は画面ロック等により操作を不可能にするマルウェアの総称である³。

近時、ランサムウェア攻撃の手口は大きく変化しており、いわゆる標的型ランサム⁴が増加するとともに、暗号化前にデータを窃取し、ランサムウェアにより暗号化したデータの復元に対する身代金に加えて、窃取したデータを公開しないことに対する身代金を要求する「二重の脅迫」を行うケースが多くの割合を占めるようになってきている。

（２）ランサムウェア攻撃と個人データの「漏えい等」

令和2年個情法改正により、個人データの漏えい等に関する報告等を義務付ける規制が新たに導入された（同法第26条。詳細についてQ7参照）ため、ランサムウェア攻撃を受けた場合には、報告等の要否を検討する必要がある。

「漏えい等」とは、「漏えい、滅失若しくは毀損」を指すところ、ランサムウェアによって個人データが暗号化され復元できなくなった場合には、個人データの「毀損」に該当するとともに、ランサムウェアによる暗号化に際して個人データが窃取されている場合には、「漏えい」にも該当する。

そして、ランサムウェア攻撃による個人データの漏えい等は、報告対象事態の１類型である「不正の目的をもって行われたおそれがある」個人データの漏えい等（個情法施行規則第7条第3号）に該当するため、漏えい等した個人データの内容や件数に関係なく、個情委への報告及び本人への通知が必要となる点に留意が必要である。

（３）身代金の支払いと関連法令

ランサムウェア攻撃を受けた場合の対応において、実務上重要な論点は、要求された身代金を支払うことの是非である。以下のとおり、ランサムウェア攻撃で要求された身代金を支払うことを直接禁止する法令はないが、身代金の支払いには様々な問題が生じうる。

（４）参考ウェブサイトなど

実際にランサムウェア攻撃を受けてしまった場合には、上記のような法的な考慮以外にも様々な対応が必要となるところ、例えば以下のウェブサイトが参考になる。

1. NISC　ランサムウェア特設ページ STOP! RANSOMWARE
   https://www.nisc.go.jp/tokusetsu/stopransomware/index.html 各セキュリティ機関におけるランサムウェア攻撃に関するウェブページへのリンク集
2. JPCERT/CC　侵入型ランサムウェア攻撃を受けたら読むFAQ
   https://www.jpcert.or.jp/magazine/security/ransom-faq.html ランサムウェア攻撃の被害に遭った場合の対応ポイントや留意点をFAQ形式で記載

（１）サイバー攻撃を受けた場合の損害

サイバー攻撃のインシデント発生時には、主に、以下のような損害の発生が想定される。

まず、サイバー攻撃を原因とする当該企業における逸失利益が挙げられる。例えば、サイバー攻撃によって工場等の操業が停止した場合、製品等を製造し、販売することによって得られたであろう利益を得ることができなくなる。工場等の操業の停止のほか、倉庫・配送システム・その他の事業に関するシステム等の停止等によって事業活動に係る機能が停止した場合において、その機能が停止していなければ得られたはずである利益も同様であり、これらは逸失利益に該当する。

次に、サイバー攻撃により、攻撃を受けた企業が保有する個人情報が漏えいした場合、漏えいした個人情報の本人等から当該会社に対する損害賠償請求が行われる可能性がある。サイバー攻撃を受けた企業は、本来被害者の立場ではあるものの、個人情報の管理等について過失があり、それが原因で情報漏えいが発生してしまったという場合は、賠償責任を負うことになる。個人情報を含むデータ漏えい時の損害賠償額に関してはQ61を参照されたい。

（２）サイバー攻撃を受けた場合の費用

一般的に、サイバー攻撃等のインシデントの発生時には、以下のような費用が生じうる。

まず、Q9のとおり、サイバー攻撃の原因調査等のためには、デジタル・フォレンジックによる調査が必要となることが多く、専門性・迅速性等の観点からも、外部の専門業者にその対応を依頼することも多いため、これらの費用が生じる。

次に、サイバー攻撃によって個人情報等が漏えいした場合においては、Q7のとおり、漏えいした個人情報の本人への連絡や、具体的な態様等によっては当該内容の公表が必要となる場合もある。これらの情報流出に関する説明・対応等に係る費用（広報、コールセンター設置等）も生じうる。

さらに、個人情報の漏えいが生じた場合には、Q7やQ8のとおり、個情委をはじめとする当局等に対する報告や、その後の対応等について協議等を行う必要が生じる。なお、一般的には、このような対応の要否やその内容の検討に当たっては、弁護士等の専門家に相談することが多いと考えられる。また、上記で述べたような、逸失利益の考え方、個人情報の漏えいに伴う損害賠償請求及び取引先等からの損害賠償請求への対応についても、弁護士等の専門家に助力を求めることが通常と思われ、これらの対応のための専門家に対する委託費用・相談費用等も発生する。

上記のほか、Q9のとおり、インシデントへの対応の一環として、同様の事態の発生を防ぐ観点から、再発防止策を策定し、実施する必要があるところ、当該再発防止策の策定・実施に際しては、専門家の関与のほか、各種システム等の購入改修・交換等が必要となる場合も多いため、その費用も発生する。

（３）サイバー保険について

上記（１）、（２）において述べた損害や費用に備えることを目的に、多くの保険会社から、いわゆる「サイバー保険」と呼称される保険商品が提供されている。それぞれの保険商品における補償範囲、補償額及び補償条件は、各商品に係る約款等によって異なるものの、その補償の対象となる項目は、主に以下の3つに分類が可能である。

一つ目は「損害賠償補償」である。これは、被保険者（補償の対象者）が法律上負担する損害賠償金を補償する保険である。（１）の漏えいした個人情報の本人等に対する損害賠償、取引先等との契約関係にある法人に対する損害賠償等の賠償額を填補するものである。

二つ目は、「費用損害補償」である。これは、サイバー攻撃等のインシデントに起因して生じた費用のうち、一定期間内に生じた費用を補償することをその内容とする。具体的には、（２）の原因調査等のための専門家費用や情報流出に関する説明・対応等に係る費用がこれに該当する。なお、個別の保険商品の設計によるものの、弁護士費用（訴訟費用）を、損害賠償補償として填補するものもある。

三つ目は、「利益損害補償」である。これは、当該事故が無ければ被保険者が得ていたであろう利益（逸失利益）を補償するものである。具体的には、（１）の工場が停止して製造・販売できなくなったことで生じた損害や、倉庫や冷蔵庫の機能が停止し、生鮮食品等が売り物にならなくなった場合の損害がカバーされることになる。

なお、インシデント発生時には外部のデジタル・フォレンジック事業者や弁護士といった専門家によるインシデント対応支援が重要となるところ、各社が提供するサイバー保険の中には、これらの外部事業者の紹介サービスが付帯しているものもあり、こうした要素もサイバー保険選択のポイントとなり得る。

（４）サイバー保険とランサムウェアとの関係

ランサムウェア攻撃については、近時、暗号化の前に企業が保有する様々なデータを窃取しておき、その後データの暗号化を行い、データの復号及び窃取したデータの公開取りやめと引き換えに身代金を要求する、いわゆる「二重の脅迫」のパターンが増加している（詳細はQ64を参照）。この場合、特定の大企業がターゲットとして攻撃され、身代金も数千万円から数億円と高額に設定される傾向があるところ、それをサイバー保険で補填することができるかどうかが問題となりうる。

少なくとも日本の保険会社が提供するサイバー保険においては、ランサムウェアの被害に遭い、データの復旧のために身代金を支払った場合において、その金銭はサイバー保険の補償対象にならないとされている¹¹。一般社団法人損害保険協会が公開するQ&Aでは、「ランサムウェアの被害に遭い、データの復旧のために身代金を支払った場合もサイバー保険の補償対象になりますか？」という質問に対し、「ランサムウェアの被害によって支払った身代金はサイバー保険の補償対象になりません」との回答がある。

（１）デジタル・フォレンジック

デジタル・フォレンジックの定義は、前述したとおりであるが、サイバーセキュリティ戦略本部、デジタル・フォレンジック研究会、警察庁とでその定義が異なっているのは、次の理由によるものである。警察庁の場合は、デジタル・フォレンジックは、犯罪の立証のために実施するものであるため、刑事事件を念頭に置いた定義になっている。一方、サイバーセキュリティ戦略本部及びデジタル・フォレンジック研究会の場合は、民事訴訟も念頭に、インシデントレスポンスの対応も視野に入れた定義になっているためにやや広くなっている。

デジタル・フォレンジックの大きな流れとしては、電磁的記録が保存されている電子計算機等の端末の収集又は特定、当該端末に対する電磁的記録の保全、電磁的記録の解析、解析結果報告書の作成¹がある。

（２）デジタル・フォレンジックの民事的活用

民事訴訟において電磁的記録を証拠として提出する場合、当事者は、当該記録が作成者の意思に基づき真正に成立したものであることを証明しなければならない。

電磁的記録が、例えば電子商取引でやりとりされたものであれば、電子署名の方法が法定されており、これにより成立の真正を証明することが考えられる²。ところが損害賠償請求訴訟では、このようなデータ等が整っていることは少なく、訴訟の相手方が争った場合に、成立の真正を証明する方法が問題となる。そこで、電磁的記録の意味内容を証拠資料とするためには、その電磁的記録としてのファイルがいつできたのか、最後に修正を加えられたのがいつかを明らかにするためのタイムスタンプや、修正履歴を記録しておくことが考えられる。また、こうした電磁的記録を特定し、成立の真正を証明するためには、デジタル・フォレンジック技術の活用が有用である。

具体的には、電磁的記録が作成された電子計算機等において当該電磁的記録としてのファイルが作成、変更等がされたのか、クラウド上に保存された痕跡が存在するか、あるいは、電磁的記録内に保存されるメタデータの整合性や同ファイルが他にコピーされた場合のハッシュ値の比較などが考えられる。

（３）デジタル・フォレンジックの刑事的活用

サイバーセキュリティの侵害が行われた場合、犯罪の立証に電磁的記録は不可欠な状況になってきている。デジタル・フォレンジックの大きな流れは前述したとおりであるが、留意すべき点としては保全と解析である。保全と解析が適切でないときは、電磁的記録、あるいはその解析結果の証明力が否定され得るからである。

（４）調査委員会による不正調査におけるデジタル・フォレンジックの活用

企業において不正や不祥事が発覚すると、その調査を実施する調査委員会が設置されることが多い。調査委員会には、社内調査委員会、外部調査委員会、第三者委員会などがある。これらの調査委員会で全容解明や類似不正の有無の確認等を目的として、電子計算機内に保存された電磁的記録や電子メール等が調査対象になることがあり、これらの調査にデジタル・フォレンジックが用いられる。

このような調査において重要な電磁的記録は、作成されたファイルや電子メールである。ファイルや電子メールによって、不正の動機や手口、期間、関与者の範囲、隠語、俗語、対象物品、金額等を把握し、その後に関係者に対して聞き取り調査を行う。さらに、昨今解析対象として重要になってきているのはコミュニケーションツールである。コミュニケーションツールには、LINEやTwitter、Facebook、WeChat、SlackやTeams等があり、やり取りされた過去の履歴等がパソコンやスマートフォン等に保存されていることがあるため、解析対象となる。

大量のファイルや電子メールを全て網羅的に調査対象にすることは、不要なファイルや電子メールが数多く含まれていることから非常に非効率となる。そのため、実務上は、特定のキーワードによってヒットした検索結果のみの調査やAIを用いた調査を行い、効率化を図ることが多い。

（５）e-Discoveryにおけるデジタル・フォレンジックの活用

米国の民事訴訟においては、電子保存情報（Electronically Stored Information）を対象とするディスカバリー³であるe-Discoveryが、平成18年12月に施行された連邦民事訴訟規則（FRCP）改正により導入された。e-Discoveryの対象である電子保存情報には、保存されたあらゆる種類のデータ及びコンテンツが含まれる。e-Discoveryに関する規定やルールに違反した場合には、事実の推定、訴えの全部又は一部の却下、法廷侮辱罪に基づく制裁金又は拘禁等、幅広い内容の制裁が科される。e-Discoveryの違反に対する制裁例は多数存在しており、違反をした当事者の請求を棄却したものや、違反をした当事者に対して高額な金銭的制裁（2500万ドルの支払い）を加えたもの等が存在する⁴。

e-Discoveryを含むディスカバリーに関連して、当事者は、（訴訟係属前であったとしても）訴訟を合理的に予期できるに至った時点から⁵、情報保全義務（Duty To Preserve Information）を負い、当該時点で存在する訴訟に関連する情報、証拠を保全し、かつそれ以降に作成された訴訟に関連する情報、証拠を保全しなければならない。そして、情報保全義務を履行する手段として、Litigation Holdと呼ばれる、訴訟に関連する情報・証拠を保全するための手続を実施することが一般的である。Litigation Holdを実施するに際しては、少なくとも、①関連する情報、証拠の廃棄を止めるよう求める社内通達の交付、②キープレイヤーとなる従業員の特定、③電子データや紙媒体の資料の保全、④電子メール自動消去プログラムの停止、⑤元従業員の資料の保全、⑥（必要に応じて）バックアップデータの保全を検討することが必要となる。

Litigation Holdのうち、上記③の電子データの保全を適切に実施するためには、デジタル・フォレンジック技術の活用が有用である。

（６）デジタル・フォレンジックを行う際の法的課題

以下のとおり、デジタル・フォレンジックを行うに際しては、種々の法的課題が生じ得るため、注意する必要がある。

（７）情報セキュリティサービス基準

経産省は、情報セキュリティサービスに関する一定の技術要件及び品質管理要件を示し、品質の維持・向上に努めている情報セキュリティサービスを明らかにするための基準を設けている。そして、デジタルフォレンジックサービスを提供しようとする者は、技術要件として、専門性を有する者の在籍状況やサービス仕様を明らかにしていること、品質管理要件として、品質管理者の割当状況や品質管理マニュアル等の整備、品質の維持・向上に関する手続等の導入状況を明らかにしていることを充足しているかを確認し、これを満たしているサービス名がリスト化 ⁷されて公開されている。

デジタル・フォレンジックを第三者に依頼する必要が生じた場合には、このリストを参考にすることも選択肢の一つとして挙げられる。

（１）はじめに

ソフトウェア製品又はソフトウェアが組み込まれたハードウェアの中には、脆弱性が存在することがある。脆弱性とは、「コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となりうる安全性上の問題箇所」²をいい、特に、汎用品として様々な企業等で広く利用されているソフトウェア等に脆弱性が発見された場合、それを放置すれば、当該ソフトウェア等を利用する不特定多数の者に対して大きな被害が発生するおそれがある。

一方で、脆弱性に対処するには、ソフトウェアのアップデートやその他回避策を取る等の対応が必要となるところ、そのような対策なく脆弱性に関する情報を公開すると、攻撃者が当該脆弱性を用いてサイバー攻撃等を行うおそれがあるため、脆弱性の情報の取扱いには慎重な対応が必要である。

そこで、脆弱性に関連する情報の取扱いについては、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」（平成29年経済産業省告示第19号。以下「本規程」という。）が、ソフトウェア製品（ソフトウェア又はそれを組み込んだハードウェアであって、汎用性を有する製品）及びウェブアプリケーション（インターネット上のウェブサイトで稼働する固有のシステム）に係る脆弱性関連情報等を取り扱う際に推奨される行為等を定めている。

なお、本規程は、日本国内で利用されているソフトウェア製品又は日本国内からのアクセスが想定されているウェブサイトで稼働するウェブアプリケーションに係る脆弱性であって、その脆弱性に起因する影響が不特定又は多数の者におよぶおそれがあるものを適用範囲としているため、汎用性を有しないソフトウェア製品、例えば、システム開発契約等に基づきオーダーメードで作成されるソフトウェア等に脆弱性が発見された場合については、同規程は適用されず契約等に基づく対応が必要となる（Q45参照）。

（２）本規程の制定経緯

平成28年の情促法改正により、IPAの業務に、サイバーセキュリティに関する調査を行った場合、必要に応じて、その結果に基づき、事業者等のサイバーセキュリティの確保のため講ずべき措置の内容を公表するものとする業務が追加されるとともに、その公表の手続及び方法は経産省令で定めることとされた（情促法第51条第1項第7号、同条第3項、同条第4項）。これに基づき、経産省令においては、公表の方法として、インターネットの利用その他適切な手段により一般的に公表する方法とされ、その他の公表の方法及び手続に必要な事項は、経済産業大臣が定めることとされた（情促法施行規則第47条、第48条）。

そして、情促法施行規則第48条の規定に基づき、及び情促法を実施するため、ソフトウエア等脆弱性関連情報取扱基準（平成26年経済産業省告示第110号）を廃止するとともに本規程が新たに制定された。本規程における脆弱性関連情報の届出を受け付ける機関としてIPA、脆弱性の発見者やソフトウェア製品の開発者等と協力しながら脆弱性対策情報の公表日の決定等の調整を担う機関としてJPCERT/CCが指定されている（平成31年経済産業省告示第19号）。

（３）本規程に基づく制度の概要

本規程は、ソフトウェア製品に係る脆弱性関連情報の取扱い及びウェブアプリケーションに係る脆弱性関連情報の取扱いに関する手続を定めている。各々概要は以下のとおりである。

（１）問題の所在

自社のロゴマーク・商品名・サービス名などの商標と同様、自社の商標やブランド名を含むドメイン名は企業の重要財産であり、その管理は、ブランド保護戦略上、商標の管理と同様の重要性を持つ。特に、ドメイン名登録は、先願主義・無審査で行われることから、これを悪用して、後で高く売りつけるために他人の商標や名称と同一又は類似のドメイン名を取得するサイバースクワッティングと呼ばれる行為が行われることがある。これにより、正当な権利者のブランドの評判、顧客からの信頼や収益性は危険にさらされ、多額のマーケティング・ブランディング投資の効果が大きく弱体化される結果となり得る。このような、第三者に、自社の商標やブランド名を含むドメイン名を勝手に使用されている場合などにおいて、企業が取り得る手続の種類・内容が問題となる。

（２）不正競争防止法

サイバースクワッティングに対しては、国内法上、不正競争防止法の規定が抑止力になり得る。具体的には、同法第2条第1項第19号が、「不正の利益を得る目的で、又は他人に損害を加える目的で、他人の特定商品等表示（人の業務に係る氏名、商号、商標、標章その他の商品又は役務を表示するものをいう。）と同一若しくは類似のドメイン名を使用する権利を取得し、若しくは保有し、又はそのドメイン名を使用する行為」を禁止している。

不正競争防止法は、「不正の利益を得る目的」又は「他人に損害を加える目的」（いわゆる図利加害目的）を主観的要件として要求するが、前者は、公序良俗、信義則に反する形で自己又は他人の利益を不当に図る目的を、後者は、他者に対して財産上の損害、信用の失墜といった有形無形の損害を加える目的を、それぞれ指すものと考えられている。いかなる場合に図利加害目的が認められるかについては、個別具体的な事例における裁判所の判断に委ねられることとなるものの、当該目的が認められる行為の例としては、①ある特定商品等表示の正当な権利者に対して、不当な高額で買い取らせることを目的として、当該表示と同一又は類似のドメイン名を先に取得・保有する行為や、②他人の特定商品等表示を希釈化・汚染する目的で当該表示と同一又は類似のドメイン名のもとアダルトサイト等を開設する行為などが当たると考えられる。

また、不正競争防止法は、「他人の特定商品等表示」と「同一若しくは類似」のドメイン名であることを客観的要件として要求するが、この「同一若しくは類似」性の判断についても、個別具体的な事例における過去の裁判例が参考になる。例えば、富山地判平成12年12月6日判時1734号3頁（名古屋高金沢支判平13年9月10日（平成12年（ネ）第244号・平成13年（ネ）第130号）でも判断維持）では、「『JACCS』と『jaccs』とを対比すると、アルファベットが大文字か小文字かの違いがあるほかは、同一である。そして、実際上、小文字のアルファベットで構成されているドメイン名がほとんどであることに照らせば、大文字か小文字かの違いは重要ではないというべきである」と判示された。また、東京地判平成13年4月24日判時1755号43頁（東京高判平13年10月25日でも判断維持）では、「被告が本件ウェブサイト上に表示した本件表示は、『J-PHONE』、『ジェイフォン』、『J-フォン』を横書きにしたものであって、本件ウェブサイト上の前記の『J-PHONE』と同一ないし類似するものである」と判示された。

以上の要件を満たす「ドメイン名を使用する権利を取得し、若しくは保有し、又はそのドメイン名を使用する行為」に対しては、不正競争防止法第3条に基づくドメイン名の使用差止請求、同法第4条に基づく損害賠償請求、同法第14条に基づく信用回復措置請求等が可能である。

しかしながら、不正競争防止法に基づく請求においては、差止めの内容としてドメイン名の登録抹消も求め得ると考えられるものの、ドメイン名の自己への移転請求は認められていない。また、一般的に、裁判手続は時間と費用を要し、特に、被告たるドメイン名登録者が海外に所在する場合等には判決を取得してもその執行が困難なケースもあり、必ずしも有効ではない場合があることには留意が必要である。

（３）UDRP及びJP-DRP

そこで、裁判手続の代替手段として、裁判外紛争処理制度の利用、例えば、UDRP（Uniform Domain Name Dispute Resolution Policy；統一ドメイン名紛争処理方針）や、JP-DRP（JP- Domain Name Dispute Resolution Policy ；JPドメイン名紛争処理方針）に基づく仲裁手続での解決が考えられる¹。

UDRPは、ICANN（The Internet Corporation for Assigned Names and Numbers）が採択した統一ドメイン名紛争処理方針であり、「.com、.net、.org、.biz、.info、.name」等のgTLD（generic TLD；分野別トップレベルドメイン）及び「.jp .kr .cn .us .uk .fr .ca .au」等のccTLD（country code TLD；国別トップレベルドメイン）に適用される紛争処理方針である。仲裁機関としては、WIPO（World Intellectual Property Organization；世界知的所有権機関）の仲裁調停センターや、NAF（The National Arbitration Forum；全米仲裁協会）、ADNDRC（Asian Domain Name Dispute Resolution Center；アジアドメイン名紛争解決センター）などがある。

他方、JP-DRPは、JPNIC（一般社団法人日本ネットワークインフォメーションセンター）が採択したJPドメイン名紛争処理方針であり、「.jp」ドメインに適用される、UDRP処理方針を日本にローカライズして作成された紛争処理方針である。仲裁機関としては、日本知的財産仲裁センターがある。

以下、UDRP手続の中でも、WIPO仲裁調停センターにおけるUDRP手続につき、内容を解説する²。なお、JP-DRPの内容も非常に類似している³。

（４）URS

また、裁判手続における仮処分にあたる手続である、URS（Uniform Rapid Suspension; 統一早期凍結）を活用することも考えられる。URSとは、UDRP同様、ICANNが採択した手続であり⁷、2013年に追加された新gTLD（New Generic Top-Level Domain）と呼ばれるドメイン名について、これを保護するために活用が可能である。URSは、明確な侵害に対して、従来のUDRPと比較してもさらに安価に、かつ迅速に解決できる正当権利者にとっての救済措置とされる。

URS申立ての要件は、UDRPと同様であり、ドメインの不正目的による登録・使用が行われていることの主張立証が必要になる。

URSとUDRPの違いは、UDRPはドメイン名の移転・取消を求めることができるが、URSはドメイン名の一定期間の凍結のみを求めることができる点である。ドメイン名の移転や取消を求めることができない代わりに、URSでは、申立受領後の事務的なチェックが済み次第、迅速にドメイン名の登録内容がロックされ、ドメイン名の移転やレジストラ変更等ができない状態になり、かつ、その後迅速に裁定が行われ、申立人の主張が認められれば、ドメイン名の使用の差止が実現できる（具体的には、当該ドメイン名を持つウェブサイトなどにアクセスしても差止中である旨表示する紛争処理機関のウェブサイトにリダイレクトされるようになる）。

仲裁機関としては、本稿作成日現在、前述のNAF（全米仲裁協議会）とADNDRC（アジアドメイン名仲裁センター）に加え、MFSD srl（イタリアの知的財産紛争解決機関）がある。

（１）営業秘密侵害

営業秘密を保有する事業者（以下「営業秘密保有者」という。）からその営業秘密を示された者が、不正の利益を得る目的又は損害を加える目的で、営業秘密を使用する又は第三者に開示する行為は、不正競争行為となる（不正競争防止法第2条第1項第7号）。

したがって、インターネット上で公開されてしまった営業秘密保有者の情報が秘密管理性、有用性、非公知性の要件（Q20参照）を満たしている場合には、その発信者が、不正の利益を得る目的又は損害を加える目的で当該情報を開示する行為は、不正競争防止法第2条第1項第7号の不正競争行為に該当し、営業秘密保有者は発信者に対して損害賠償請求や差止請求等の請求をすることが考えられる。

なお、発信者の開示行為に不正の利益を得る目的や損害を加える目的が認められるかという点については、インターネット上に公開した情報が営業秘密保有者の営業秘密であることを認識した上で、当該情報を営業秘密保有者に無断で開示した場合には、少なくとも発信者には損害を加える目的が存在すると認められることが多いと考えられる。

（２）発信者情報開示請求

発信者が不明である場合は、営業秘密保有者が損害賠償請求や差止請求等の請求をする相手方自体が不明であることから、まず、その発信者を特定する必要がある。

インターネット上のウェブサイト等に掲載されることにより自己の権利を侵害された者は、①「当該開示の請求に係る侵害情報の流通によって当該開示の請求をする者の権利が侵害されたことが明らかであるとき」であって、②「当該発信者情報が当該開示の請求をする者の損害賠償請求権の行使のために必要である場合その他発信者情報の開示を受けるべき正当な理由があるとき」は、その情報を流通させた電気通信の役務提供者に対して、当該権利の侵害に係る発信者情報（氏名、住所その他の侵害情報の発信者の特定に資する情報であって総務省令で定めるもの⁸をいう（プロバイダ責任制限法第2条第6号）。ただし、特定発信者情報の開示を請求する場合には、脚注9のとおり、更に補充的な要件を満たす必要がある。）の開示を請求することができる（プロバイダ責任制限法第5条第1項）⁹。なお、プロバイダ責任制限法における「権利の侵害」とは、不特定の権利侵害を対象とするものではなく、個人法益の侵害として、民事上の不法行為等の要件としての権利侵害に該当するものとされており¹⁰、裁判例の存在は確認されていないが、営業秘密の開示による不正競争行為についても、その対象となると考えられる。したがって、営業秘密保有者は、営業秘密が掲載されたウェブサイトを提供するプロバイダ等に対して、発信者情報の開示請求をすることができると考えられる。

①の「明らか」とは、権利の侵害がなされたことが明白であるという趣旨であり、不法行為等の成立を阻却する事由の存在をうかがわせるような事情が存在しないことまでを意味する¹¹。もっとも、名誉毀損、プライバシー侵害、著作権等侵害、商標権侵害については、プロバイダ責任制限法に関連するプロバイダ等の行動基準を明確化するためのガイドラインが公表されているが、不正競争行為については同様のガイドライン等が存在しないため、プロバイダ等における権利侵害の判断が困難となる可能性があることに留意が必要である。

②の「発信者情報の開示を受けるべき正当な理由があるとき」とは、開示請求者が発信者情報を入手することの合理的な必要性が認められることを意味し、この必要性の判断には、開示請求を認めることにより制約される発信者の利益（プライバシー等）に考慮した「相当性」の判断をも含むものである¹²が、発信者に対して損害賠償請求や差止請求等の請求を行う予定であるときは、正当な理由があると認められるものと考えられる。

脚注8でも述べたとおり、令和3年4月にプロバイダ責任制限法の改正が行われたところ、従来の裁判手続とは別に新たな裁判手続として「発信者情報開示命令事件に関する裁判手続」が創設された。SNS等を運営する情報・サービス提供事業者（以下「コンテンツプロバイダ」という。）は、権利侵害を行った発信者の氏名・住所等の情報を有していないことが多いため、従来、裁判外で開示がなされない場合には、①発信者が権利侵害の投稿等の発信をした際のIPアドレス及びタイムスタンプ等の開示請求（仮処分の手続によることが多い。）を行い、②その結果判明した、ユーザに対してインターネット接続サービスを提供する事業者（以下「アクセスプロバイダ」という。）に対して、発信者の氏名、住所等の開示請求（訴訟手続による）を行うというように、多くの場合、発信者を特定するために2段階の裁判手続を経る必要があった。令和3年の法改正では、上記一連の手続を1つの裁判手続で完結させることができるようになった¹³。具体的な手続として、以下の流れが想定されている。

1. 申立人からコンテンツプロバイダに対して開示命令（プロバイダ責任制限法第8条。申立人に対する発信者情報の開示の命令）・提供命令（同法第15条。(a)申立人に対してアクセスプロバイダの名称等の情報を提供すること、(b)申立人が③の申立てを行ったことをコンテンツプロバイダに通知した場合（④）に、コンテンツプロバイダが保有する発信者情報をアクセスプロバイダに対して提供することの命令）を申立て
2. ①(a)の提供命令により申立人に対してアクセスプロバイダの情報の提供（同法第15条第1項第1号イ）
3. 申立人からアクセスプロバイダに対する開示命令（同法第8条。申立人に対する発信者情報の開示の命令）・消去禁止命令（同法第16条。発信者情報開示命令申立事件が終了するまでの間、保有する発信者情報を消去してはならないことの命令）を申立て
4. 申立人が③の申立てを行ったことをコンテンツプロバイダに対して通知（同法第15条第1項第2号）
5. ①（b）の提供命令により、コンテンツプロバイダが保有する発信者情報がアクセスプロバイダに提供され、①の開示命令により、当該発信者情報が申立人に開示

なお、法改正によって創設された新たな裁判手続は、従来の訴訟手続とは異なって、非訟手続であることから、迅速な審理が行われることが期待される。また、これらの発信者情報開示命令事件に関する決定について不服がある場合、不服がある当事者は1か月の不変期間内に異議の訴えを提起することができ（同法第14条第1項）、この期間内に異議の訴えが提起されない場合には当該決定は確定判決と同一の効力を有するものとされている（同法第14条第5項）。

令和3年4月の改正法の内容も含め、総務省ウェブサイト「インターネット上の違法・有害情報に対する対応（プロバイダ責任制限法）」¹⁴も参照。

（３）削除請求

さらに、営業秘密保有者は、営業秘密が掲載されたウェブサイトを提供するプロバイダ等に対して、当該情報の送信を防止するための措置を講ずるよう依頼をすることが考えられる。

特に、発信者に対する差止請求又はプロバイダ等による発信者情報の開示を待っては、損害が拡大するような場合には、プロバイダ等に対して一時的に送信防止措置を依頼することにより公開された情報を非公開にすることが有効となる。

なお、かかる依頼を受けたプロバイダ等は、送信防止措置を講じなかったことについて、当該情報の流通により権利を侵害されたとする営業秘密保有者との関係で損害賠償責任（不法行為責任）が生じる場合があり得る。プロバイダ責任制限法第3条第1項は、損害賠償責任を負い得る場合の要件として、①当該情報の流通によって他人の権利が侵害されていることを知っていたとき、又は、②当該情報が流通していることを知っていた場合であって当該情報の流通によって他人の権利が侵害されていることを知ることができたと認めるに足りる相当な理由があるときと規定している。

他方、プロバイダ責任制限法第3条第2項は、プロバイダ等が送信防止措置を講じた場合において、当該措置の対象情報の発信者に損害が生じた場合であっても、当該措置が当該情報の不特定の者に対する送信を防止するために必要な限度において行われたものである場合で、①当該情報の流通によって他人の権利が侵害されていると信じるに足りる相当の理由があったとき、又は、②当該情報の発信者に対し当該送信防止措置を講ずることに同意するかどうかを照会し、当該発信者が当該照会を受けた日から7日を経過しても当該発信者から同意しない旨の申出がなかったときは、プロバイダ等の発信者に対する損害賠償責任が制限される旨を規定している。