サイバーセキュリティリスク対応についての、有事対応をみすえた平時における実務上のポイント（1）

　こうしたランサムウェア攻撃により保有する情報が暗号化され、漏えいするおそれ、また、従業員による情報の持ち出しといったインシデントが発生した場合には、まずは初期調査の実施、当局への報告その他ステークホルダーとのコミュニケーションの開始など、有事対応を迅速かつ適切に進め、また、適切な再発防止策の検討・実施をしていくことが重要である。

　そして、インシデントが発生したことのある企業はもちろんのこと、まだ重大なインシデントの発生を経験していない企業であっても、予め上記の対応事項を念頭に置いて平時対応をしていくことが、サイバーセキュリティリスクの低減につながる。このため、本ニュースレターでは、上記のようなランサムウェア攻撃による不正アクセス事案や従業者の持ち出し事案を念頭においたサイバーセキュリティー・インシデントの有事対応、これらの有事をみすえた平時対応における実務上のポイントについて2回に分けて紹介していく。第1回は、インシデントの発生時にまず問題となる初期調査と、その後の当局やステークホルダーとのコミュニケーションについて紹介し、第2回は、同様の事案を素材として、ランサムウェア攻撃の場合に特有の攻撃者からの金銭の支払要求への対応、損害賠償対応、原因分析をふまえた再発防止策の検討・実施について紹介する。

初期調査

　インシデントの発生を検知した場合には、まず初期調査により迅速に被害拡大防止を図る必要がある。ランサムウェア攻撃による不正アクセスの場合には、CSIRT (Computer Security Incident Response Team)の指揮のもと、システム部門及びその委託を受けたIT・セキュリティベンダ※1が、技術的観点から、攻撃者・攻撃対象・攻撃が始まったタイミングや侵入経路・どのようにして攻撃しているのか、などを確認することになる（なお、ダークウェブモニタリングも並行して実施することも多い）。また、従業員の情報の持ち出しの場合にも、当該従業員がいつ、どのような情報を持ち出したのか、持ち出された情報が誰に渡されたのか、といった事実関係を該当部署がシステム部門と協働して迅速に確認することが重要となる。そして、当該従業員に対してヒアリングを実施し、持ち出されたデータを破棄させ、今後第三者に対して提供・漏えいしないことの誓約書を徴求するなどして、漏えいの拡大を防止することが必要となる。

　さらに、不正アクセスについて社内に協力者がいることが疑われる場合や、従業員による情報の持ち出しの場合には、従業員に対してヒアリングを実施することはもちろんのこと、当該従業員のメールを解析するといったことも対応としては必要となり、この場合、社内の関係部門や社外の弁護士やIT・セキュリティベンダと連携して対応する必要が出てくる※2。このような調査は、メールレビュー等のコンプライアンス事案における一般的な調査手法を活用することとなる。また、インシデントの影響を受ける本人の数が多数にわたるなど社会的に影響が大きい事案である場合には、調査委員会や第三者委員会を立ち上げて調査を実施することがある。

当局やステークホルダーとのコミュニケーション

　インシデントの発生を検知した後、上記の初期調査と並行して、関係当局やインシデントにより情報が暗号化、漏えいすることにより影響を受けるであろう個人顧客や取引先などのステークホルダーとのコミュニケーションを検討する必要がある。

(1) 個人情報保護委員会への報告

　不正アクセスにより個人データが漏えいした場合や従業者が顧客の個人データを不正に持ち出して第三者に提供した場合には、「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データの漏えい等が発生し、又は発生したおそれがある事態」※3に該当し、個人情報保護委員会への報告義務※4及び本人への通知義務※5を負うこととなる。

報告義務の履行

　個人情報保護委員会に対しての報告は、①速報を「報告対象事態を知ったときは、速やかに」※6、すなわち個人情報取扱事業者が当該事態を知った時点から概ね3～5日以内※7に、②確報を事態を知った日から30日以内（不正アクセスや従業者による不正な持ち出しのような「不正なく目的をもって行われたおそれがある（以下略）」の要件に該当する場合には60日以内。）に、それぞれ個人情報保護委員会のウェブサイトを通じて実施する必要がある※8。

報告の主体

　報告義務の主体は、個人データの取扱いについて委託関係がある場合※10、委託元と委託先がそれぞれ個人情報取扱事業者として個人情報保護委員会への報告義務を負うのが原則であるが、委託先は、委託元に通知することにより個人情報保護法上は報告義務を免除される※11。

個人情報保護委員会からの照会事項への対応

　個人情報保護委員会への報告に関して、事業者における個人情報保護法の遵守を念頭に置いて報告内容に含まれている事項についての質問を受けることがあり、適切に対応することが必要となる。

(2) 本人通知・取引先への連絡・公表

本人への通知

　個人情報保護委員会への報告義務を負う場合には、漏えい等が生じた個人情報から特定される本人に対しても、「事態の状況に応じて速やかに」通知する義務を負う（ただし、本人への通知が困難である場合は、例外的に、本人の権利利益を保護するために事案の公表等の必要な代替措置を講ずることによる対応が認められる※14）。なお、本人に対してどの時点で通知するかの判断については実務上悩ましい場合もあり、例えば、不正アクセス等の場合で事案がほとんど判明しておらず本人通知をすることによってかえって混乱が生じることが懸念される状況であれば、事案がほとんど判明していないタイミングでは本人の通知は実施せず、調査が進展してより事案が判明してから本人への通知を行うような対応も考えられる※15。

取引先への連絡

　漏えいした情報に取引先の役職員らの情報が含まれていた場合、まずは本人通知の一環として当該取引先に連絡することが一般的であると考えられるが、取引上の機密情報などが含まれている場合には、契約上の義務として取引先に対する通知義務が課されている場合がある。このため、初期調査の結果、取引先との取引上の機密情報等が含まれていることを把握した場合には、契約上の通知義務の有無とその範囲を検討する必要がある。

公表

　個人データの漏えい等のインシデントが生じた場合、個人情報保護法上、「公表」は義務とはされていないが、事業者が保有する個人データの中に本人の連絡先が含まれていない場合など本人への通知が困難である場合には、本人への通知義務を果たすために、本人の権利利益を保護するために必要な代替措置として事案の公表をするといった対応をすることがある。また、このような代替措置として事案の公表を行わない場合であっても、当該事態の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、公表を行うことが望ましいとされている。

　また、上場企業の場合には、これに加えて、証券取引所の上場規程において会社情報の適時開示に関して投資者の投資判断に著しい影響を及ぼす事実が発生した場合等に適時開示を行うべき旨を定めるいわゆるバスケット条項※17、有価証券報告書上のリスク開示※18、（株主総会を控えている場合）事業報告における報告※19、さらには任意の開示実務※20などを考慮に入れる必要がある。

コールセンターの設置・広報対応

　インシデント対応においては、広範囲の情報漏えい等が発生した場合（例えば大量の個人データの漏えいが認められた場合など）には、専用のコールセンターを設けることにより、事案を対外的に開示・公表した後の個別の問い合わせに対応する場合もある。また、これに加えて、社会的に影響が大きい事案である場合には、報道機関、取引先、個人顧客や一般株主からの問い合わせや質問への対応が必要となる。この場合、予め、Q&Aリストを作成し、回答先の属性に応じた適切な回答を統一的に行えるようにしておくことが望ましい。

(3) 警察への相談

　ランサムウェア攻撃による不正アクセスにより被害を被った場合には、警察からの情報提供・助言を得るためにも警察署やサイバー犯罪相談窓口への通報・相談を検討することが望ましく※21、また、従業者による情報の持ち出しの場合にも、不正競争防止法違反等に関する刑事告発を検討すべき場合がある。

まとめ

　上記では、ランサムウェア攻撃による不正アクセスの場合と従業者による情報の持ち出しの場合を念頭に、初期調査と当局やステークホルダーとのコミュニケーションについて特に論点になりうる実務上のポイントを紹介したが、有事の際には、初期調査を迅速かつ適切に行うと共に、当局対応やそれ以外の多岐にわたるタスクを同時並行で行う必要があり、各プロセスにおいて優先順位の判断、優先性を踏まえた社内リソースの配分、外部専門家の利用とその範囲といった判断を迅速・適切に行って（状況に応じて修正して）いく必要がある。そして、有事対応においてこれらの判断を迅速・適切に行うためには、平時から準備しておくことが必要になるため、有事をみすえた平時の実務上のポイントとして記載した点について、社内で対応できているかについてはぜひご確認いただきたい。

　次回の本テーマのニュースレターでは、引き続き、ランサムウェア攻撃による不正アクセス事案と従業者の持ち出し事案を素材として、ランサムウェア攻撃に特有の攻撃者からの金銭の支払要求への対応、損害賠償対応、原因分析をふまえた再発防止策の検討・実施について紹介する。