« NRIセキュア 企業における情報セキュリティ実態調査2010 | Main | 総務省 自治体クラウド推進本部 有識者懇談会(第3回) »

2010.12.11

AがXと本人確認をした情報をBが利用したが、実はXがYであったことによりBが損害をこうむった場合。。。

 こんにちは、丸山満彦です。AがXと本人確認をした情報をBが利用したが、実はXがYであったことによりBが損害をこうむった場合、(つまりなりすまし被害ですよね)、Aに過失があったのであれば、当然AはBに対して責任を負いますよね。。。
 クルデンシャルを利用するような形態のビジネスがこれからでてくるでしょうが、登録時にどの程度本人確認をするのか(つまりどの程度、なりすましがおこるのか)についての基準を確認しておかないと、思わぬ被害が生じることになるでしょうね。。。
 

 
 ほかの記事でも書いているのですが、本人を100%の確度で確認することはできないことが想定されます。つまり、一定の確率でなりすましが発生します。

 また、真正確認(Authentication)の段階(たとえば、パスワードを見破られるなど)でも成りすましの可能性がありますね。。。

|

« NRIセキュア 企業における情報セキュリティ実態調査2010 | Main | 総務省 自治体クラウド推進本部 有識者懇談会(第3回) »

Comments

丸山 様

夏井です。

昨日はお疲れ様でした。

さて,理論的にはともかくとして,実務的には,2つの方策を考えておくべきでしょうね。

1)なりすまし等により本人でない場合であっても全く問題がないようにビジネスモデルを構築する。つまり,本人確認を全く必要としないビジネスモデルに転換する。

2)法令等に基づく義務として本人確認を要する業務については,完全な本人確認などできないことを承認し,一定確率で事故が発生することを前提に,損害保険契約によってカバーするようにする。

これしかないと思います。

なお,事故による損失の程度の評価・損害の算定についてはいくらでも議論の余地があるので,顧問弁護士等とよく相談して事前に想定可能な事故により発生する可能性のある(合理的な額の範囲内での)損害額を見積もっておくことが重要だろうと思います。

その損害賠償金の支払いのための積立金等を会計上・税務上どう処理するかは会計士の仕事ですね。

Posted by: 夏井高人 | 2010.12.12 09:04

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference AがXと本人確認をした情報をBが利用したが、実はXがYであったことによりBが損害をこうむった場合。。。:

« NRIセキュア 企業における情報セキュリティ実態調査2010 | Main | 総務省 自治体クラウド推進本部 有識者懇談会(第3回) »