私の所属するシンクタンクでは、A社に起因するB社のサイバー被害について、過失割合を含めてもっと簡便に解決できないかの議論(*1)を進めている。日経誌の記者さんも取材に来てくれて、ベンダーと発注企業の係争と併せて記事にしてくれた。
サイバー被害、相次ぐベンダーへの賠償請求 過失割合の基準求める声 - 日本経済新聞
いわゆるユーザ企業間で、踏み台になった企業、実害があった企業の係争とは少し違うのだが、ITベンダーが十分配慮していればユーザ企業が被害をまぬかれたかもしれないという事案も多い。そんなケ-ススタディを続けていこうとしているのだが、似たようなリアル空間での犯罪はないかについても探している。今回法学の教授と議論していて、最近の例が参考になるのではとの結論になった。それは、
足立の盗難車暴走、逮捕の男が事故起こして逃走したと認める「車そのままにして自宅に帰った」 : 読売新聞
痛ましい事件である。2人の方が亡くなり、9人の負傷者も出た。容疑者は、展示会場のナンバープレートもない車に乗り込み、公道を走って赤信号を無視、歩道でも次々に人を撥ね、トラックに追突するなどして停止、車を捨てて徒歩で逃げた。この経緯が、踏み台になった企業、実害を受けた企業のサイバー犯罪事案に似ていると思った。
・鍵を車中に放置していて、容易に乗り逃げされてしまった展示場
⇒ セキュリティが甘く、情報を抜かれてしまった企業
・自らの落ち度はないのに、死傷してしまった人たち
⇒ 抜かれた情報を悪用されて、被害を受けてしまった企業
のような構図である。本当に悪いのは乗り逃げして、後に逮捕された容疑者であるが、展示場側に問題はなかったのか、死傷した人たちは展示場に被害救済を求めることができるのか?
法学の教授によれば、乗り逃げされたことと死傷事故が起きたことの間に<因果関係>があるかどうかによって、仮に訴訟となった時の判決は分かれるという。この事件については、サイバー空間の犯罪研究者も注目して推移を見つめることになるだろう。
