2021月6月3日、ヴァン・ビューレン対アメリカ合衆国事件(Van Buren v. United States, No. 1-783, 2021 WL 2229206)で、米国最高裁判所は、コンピュータ犯罪法(Computer Fraud and Abuse Act)(以下、「CFAA」といいます。)の適用範囲に関する、長年の巡回区控訴裁判所間の判断の相違を解消しました。CFAAは、「故意に許可なくコンピュータにアクセスし、もしくは許可されたアクセスを超え」、かつ、保護対象である会社から情報を入手した者について、民事上の損害賠償責任と刑事罰を定めています。使用者は、ときに、コンピュータ・システムから営業秘密その他の秘密情報を不正に取得し、または不正に使用した被用者の責任を追及するために、CFAAを利用してきました。
本判決が下されるまでは、連邦巡回区控訴裁判所では、「許容されたアクセスを超え(exceeds authorized access)」という文言の解釈について判断が相違していました。第1巡回区、第5巡回区、第7巡回区および第11巡回区控訴裁判所は、この文言を広く解釈し、個人が取得した情報を不正な目的で、または使用者の規則に反して使用する場合は、当該個人が一般的なアクセス権限を有していたとしても、「許可されたアクセスを超え」るものであるとしていました。他方、第2巡回区、第4巡回区、第6巡回区および第9巡回区控訴裁判所は、これよりも狭い解釈を採用していました。これらの裁判所は、取得された情報へのアクセス権限が個人に与えられている限り、後にその情報を許可されていない目的のために使用としたとしても、CFAA違反ではないと判断していました。
本事件で、最高裁は、第2巡回区、第4巡回区、第6巡回区および第9巡回区控訴裁判所の見解を支持し、個人が許可を得てコンピュータにアクセスし、その後に、その個人によるアクセスが禁じられている当該コンピュータ内の特定の場所に保存された情報を取得した場合に限り、当該個人が「許可されたアクセスを超えたことになる」と判断しました。言い換えれば、当該個人が当該情報へのアクセスを許可されている限り、不正な動機をもってコンピュータから情報を取得した、または当該情報を許可された目的以外に当該情報を使用した個人にはCFAAは適用されないことになります。
本判決により、使用者が被用者に情報へのアクセス権限を与えていた場合には、当該使用者は、使用者のコンピュータ・システムから不正に取得しまたはその他不正に使用した被用者に対しCFAAに基づく請求をすることができなくなりました。もちろん、使用者がこのような被用者に対して責任を追及する手段は他にもありますが、本判決により、そのような手段がひとつ失われたことになります。
© 2024 Masuda, Funai, Eifert & Mitchell, Ltd. All rights reserved. 本書は、特定の事実や状況に関する法務アドバイスまたは法的見解に代わるものではありません。本書に含まれる内容は、情報の提供を目的としたものです。かかる情報を利用なさる場合は、弁護士にご相談の上、アドバイスに従ってください。本書は、広告物とみなされることもあります。