「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第三次取りまとめ」(3)

(4)マルウェアに感染し得る脆弱性を有する端末の利用者に対する注意喚起です。

ここで問題となっているのは、
「近年、IPアドレスを広範にスキャンしてパスワード設定の不備等の脆弱性を有する端末を即座に感染させるマルウェアも出てきており、インターネットに接続されるカメラやセンサーなどの機器が爆発的に増加」している
という認識を前提にして、

信頼できる第三者機関からの情報提供を受けること

により

ISPが脆弱性を有する端末を認識した場合において、当該端末のIPアドレス及びタイムスタンプと当該IPアドレスの割当て状況を確認して当該端末の利用者を割り出し

電子メールの送付等の方法で個別に注意喚起を図ることが考えられる

という手法です(同8頁)。

この問題について、結局、契約約款等に基づく事前の包括同意であっても、当該注意喚起を行うための通信の秘密に属する事項の利用等について有効な同意があるといえるものと考えられる、としています。また、正当業務行為として許容されるものとされています。

私の立場からするときに、第三者機関からの情報提供をうけることが積極的な取得に該当するのか、という問題についていえば、これ自体が、伝達に必要な取得ということではないので、積極的な取得行為ということになるのかと思います。その意味では、とりまとめと同様の理によって違法性がないという形で整理されることになります。

このとりまとめをみていくときに、もともとの「通信の秘密」が肥大化しているために、正当業務行為の法理にかなりの部分を頼らなくてはならなくなっている、ということができるかと思います。その意味で、正当業務行為自体も肥大化しているわけです。いま一つ、特に取得行為レベルの正当化が考えられているために、注意喚起なのか、遮断なのか、という終局的な行為への注目が弱まっているということもいえるかと思います。

結果としては、正当な結論が導かれており、ISPや総務省の担当課の努力は、甚大なものがあると認識されるわけですが、もともとの枠組がもたらしているセキュリティ維持行為に対する萎縮の効果というのは、否定できないだろうという感を強くします。