工藤靖 Yasushi Kudo
パートナー
東京
NO&T Compliance Legal Update 危機管理・コンプライアンスニュースレター
ニュースレター
サイバーセキュリティリスク対応についての、有事対応をみすえた平時における実務上のポイント(2)(2024年7月)
Podcast
「サイバーセキュリティにおけるリーガル・セキュリティの観点からのインシデント対応のポイント ~ランサムウェア攻撃への準備と対応~」
「サイバーセキュリティにおけるリーガル・セキュリティの観点からのインシデント対応のポイント ~サプライチェーンの弱点を利用した攻撃への準備~」
セミナー
近時のセキュリティインシデント事例を踏まえた平時のコンプライアンス対応(2024年3月)
大阪開催:日本企業のコンプライアンス・プログラムを考える -組織風土との関連性や運用の要点等-(2024年7月)
警察庁は本年3月14日「令和5年におけるサイバー空間をめぐる脅威の情勢等について」を公表している。令和5年におけるランサムウェアによる被害件数は197件(前年比で14.3%減少)であり、引き続き高い水準で推移し、手口としては、データの暗号化のみならず、データを窃取した上、企業・団体等に対し「対価を支払わなければ当該データを公開する」などと対価を要求する二重恐喝(ダブルエクストーション)が多くを占める。また、独立行政法人情報処理推進機構は本年1月25日「情報セキュリティ10大脅威」を公表し、その「組織」向け脅威においては、ランサムウェア攻撃が1位になっているが、2016年以降の取扱いをみると、2位のサプライチェーンの弱点を悪用した攻撃、3位の内部不正による情報漏えい等の被害など、いずれも、複数年にわたり、脅威であることが示されている。そして、本年6月に公表された「令和5年度個人情報保護委員会年次報告」の概要版では、重大な事案として以下のようなランサムウェア攻撃による不正アクセス事案や従業者の持ち出し事案等を挙げている。
ランサムウェア攻撃による不正アクセス事案
社会保険労務士の事務所等のユーザに対して社会保険/人事労務業務支援システムをSaaS環境でサービス提供していた事業者において、同社のサーバーが不正アクセスを受けた。このランサムウェア攻撃により、本件システム上で管理されていた当該ユーザの顧客である企業や事務所等の役職員に係る個人データ等が暗号化され、漏えい等のおそれが発生した事案
従業者の持ち出し事案
多数の民間事業者、独立行政法人及び地方公共団体等から委託を受けていたコールセンター事業者が、システムの保守運用をグループ会社に委託したところ、当該グループ会社の従業者が、民間事業者、独立行政法人及び地方公共団体等の顧客又は住民等に関する個人データ等合計約928万人分を不正に持ち出したことにより、漏えいが発生した事案
こうしたランサムウェア攻撃により保有する情報が暗号化され、漏えいするおそれ、また、従業員による情報の持ち出しといったインシデントが発生した場合には、まずは初期調査の実施、当局への報告その他ステークホルダーとのコミュニケーションの開始など、有事対応を迅速かつ適切に進め、また、適切な再発防止策の検討・実施をしていくことが重要である。
そして、インシデントが発生したことのある企業はもちろんのこと、まだ重大なインシデントの発生を経験していない企業であっても、予め上記の対応事項を念頭に置いて平時対応をしていくことが、サイバーセキュリティリスクの低減につながる。このため、本ニュースレターでは、上記のようなランサムウェア攻撃による不正アクセス事案や従業者の持ち出し事案を念頭においたサイバーセキュリティー・インシデントの有事対応、これらの有事をみすえた平時対応における実務上のポイントについて2回に分けて紹介していく。第1回は、インシデントの発生時にまず問題となる初期調査と、その後の当局やステークホルダーとのコミュニケーションについて紹介し、第2回は、同様の事案を素材として、ランサムウェア攻撃の場合に特有の攻撃者からの金銭の支払要求への対応、損害賠償対応、原因分析をふまえた再発防止策の検討・実施について紹介する。
インシデントの発生を検知した場合には、まず初期調査により迅速に被害拡大防止を図る必要がある。ランサムウェア攻撃による不正アクセスの場合には、CSIRT (Computer Security Incident Response Team)の指揮のもと、システム部門及びその委託を受けたIT・セキュリティベンダ※1が、技術的観点から、攻撃者・攻撃対象・攻撃が始まったタイミングや侵入経路・どのようにして攻撃しているのか、などを確認することになる(なお、ダークウェブモニタリングも並行して実施することも多い)。また、従業員の情報の持ち出しの場合にも、当該従業員がいつ、どのような情報を持ち出したのか、持ち出された情報が誰に渡されたのか、といった事実関係を該当部署がシステム部門と協働して迅速に確認することが重要となる。そして、当該従業員に対してヒアリングを実施し、持ち出されたデータを破棄させ、今後第三者に対して提供・漏えいしないことの誓約書を徴求するなどして、漏えいの拡大を防止することが必要となる。
さらに、不正アクセスについて社内に協力者がいることが疑われる場合や、従業員による情報の持ち出しの場合には、従業員に対してヒアリングを実施することはもちろんのこと、当該従業員のメールを解析するといったことも対応としては必要となり、この場合、社内の関係部門や社外の弁護士やIT・セキュリティベンダと連携して対応する必要が出てくる※2。このような調査は、メールレビュー等のコンプライアンス事案における一般的な調査手法を活用することとなる。また、インシデントの影響を受ける本人の数が多数にわたるなど社会的に影響が大きい事案である場合には、調査委員会や第三者委員会を立ち上げて調査を実施することがある。
有事対応をみすえた平時における実務上のポイント
インシデントの発生を検知した後、上記の初期調査と並行して、関係当局やインシデントにより情報が暗号化、漏えいすることにより影響を受けるであろう個人顧客や取引先などのステークホルダーとのコミュニケーションを検討する必要がある。
不正アクセスにより個人データが漏えいした場合や従業者が顧客の個人データを不正に持ち出して第三者に提供した場合には、「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データの漏えい等が発生し、又は発生したおそれがある事態」※3に該当し、個人情報保護委員会への報告義務※4及び本人への通知義務※5を負うこととなる。
報告義務の履行
個人情報保護委員会に対しての報告は、①速報を「報告対象事態を知ったときは、速やかに」※6、すなわち個人情報取扱事業者が当該事態を知った時点から概ね3~5日以内※7に、②確報を事態を知った日から30日以内(不正アクセスや従業者による不正な持ち出しのような「不正なく目的をもって行われたおそれがある(以下略)」の要件に該当する場合には60日以内。)に、それぞれ個人情報保護委員会のウェブサイトを通じて実施する必要がある※8。
有事対応をみすえた平時における実務上のポイント
報告の主体
報告義務の主体は、個人データの取扱いについて委託関係がある場合※10、委託元と委託先がそれぞれ個人情報取扱事業者として個人情報保護委員会への報告義務を負うのが原則であるが、委託先は、委託元に通知することにより個人情報保護法上は報告義務を免除される※11。
有事対応をみすえた平時における実務上のポイント
個人情報保護委員会からの照会事項への対応
個人情報保護委員会への報告に関して、事業者における個人情報保護法の遵守を念頭に置いて報告内容に含まれている事項についての質問を受けることがあり、適切に対応することが必要となる。
有事対応をみすえた平時における実務上のポイント
本人への通知
個人情報保護委員会への報告義務を負う場合には、漏えい等が生じた個人情報から特定される本人に対しても、「事態の状況に応じて速やかに」通知する義務を負う(ただし、本人への通知が困難である場合は、例外的に、本人の権利利益を保護するために事案の公表等の必要な代替措置を講ずることによる対応が認められる※14)。なお、本人に対してどの時点で通知するかの判断については実務上悩ましい場合もあり、例えば、不正アクセス等の場合で事案がほとんど判明しておらず本人通知をすることによってかえって混乱が生じることが懸念される状況であれば、事案がほとんど判明していないタイミングでは本人の通知は実施せず、調査が進展してより事案が判明してから本人への通知を行うような対応も考えられる※15。
有事対応をみすえた平時における実務上のポイント
取引先への連絡
漏えいした情報に取引先の役職員らの情報が含まれていた場合、まずは本人通知の一環として当該取引先に連絡することが一般的であると考えられるが、取引上の機密情報などが含まれている場合には、契約上の義務として取引先に対する通知義務が課されている場合がある。このため、初期調査の結果、取引先との取引上の機密情報等が含まれていることを把握した場合には、契約上の通知義務の有無とその範囲を検討する必要がある。
有事対応をみすえた平時における実務上のポイント
公表
個人データの漏えい等のインシデントが生じた場合、個人情報保護法上、「公表」は義務とはされていないが、事業者が保有する個人データの中に本人の連絡先が含まれていない場合など本人への通知が困難である場合には、本人への通知義務を果たすために、本人の権利利益を保護するために必要な代替措置として事案の公表をするといった対応をすることがある。また、このような代替措置として事案の公表を行わない場合であっても、当該事態の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、公表を行うことが望ましいとされている。
また、上場企業の場合には、これに加えて、証券取引所の上場規程において会社情報の適時開示に関して投資者の投資判断に著しい影響を及ぼす事実が発生した場合等に適時開示を行うべき旨を定めるいわゆるバスケット条項※17、有価証券報告書上のリスク開示※18、(株主総会を控えている場合)事業報告における報告※19、さらには任意の開示実務※20などを考慮に入れる必要がある。
有事対応をみすえた平時における実務上のポイント
コールセンターの設置・広報対応
インシデント対応においては、広範囲の情報漏えい等が発生した場合(例えば大量の個人データの漏えいが認められた場合など)には、専用のコールセンターを設けることにより、事案を対外的に開示・公表した後の個別の問い合わせに対応する場合もある。また、これに加えて、社会的に影響が大きい事案である場合には、報道機関、取引先、個人顧客や一般株主からの問い合わせや質問への対応が必要となる。この場合、予め、Q&Aリストを作成し、回答先の属性に応じた適切な回答を統一的に行えるようにしておくことが望ましい。
有事対応をみすえた平時における実務上のポイント
ランサムウェア攻撃による不正アクセスにより被害を被った場合には、警察からの情報提供・助言を得るためにも警察署やサイバー犯罪相談窓口への通報・相談を検討することが望ましく※21、また、従業者による情報の持ち出しの場合にも、不正競争防止法違反等に関する刑事告発を検討すべき場合がある。
有事対応をみすえた平時における実務上のポイント
上記では、ランサムウェア攻撃による不正アクセスの場合と従業者による情報の持ち出しの場合を念頭に、初期調査と当局やステークホルダーとのコミュニケーションについて特に論点になりうる実務上のポイントを紹介したが、有事の際には、初期調査を迅速かつ適切に行うと共に、当局対応やそれ以外の多岐にわたるタスクを同時並行で行う必要があり、各プロセスにおいて優先順位の判断、優先性を踏まえた社内リソースの配分、外部専門家の利用とその範囲といった判断を迅速・適切に行って(状況に応じて修正して)いく必要がある。そして、有事対応においてこれらの判断を迅速・適切に行うためには、平時から準備しておくことが必要になるため、有事をみすえた平時の実務上のポイントとして記載した点について、社内で対応できているかについてはぜひご確認いただきたい。
次回の本テーマのニュースレターでは、引き続き、ランサムウェア攻撃による不正アクセス事案と従業者の持ち出し事案を素材として、ランサムウェア攻撃に特有の攻撃者からの金銭の支払要求への対応、損害賠償対応、原因分析をふまえた再発防止策の検討・実施について紹介する。
※1
なお、クレジットカード情報の漏えいの場合の調査機関としては、PCI SSCから正式な認定を受けたPFI(PCI Forensic Investigator)に依頼することが実務上必要とされている点には留意が必要である。
※2
対象となる従業者が退職済みである場合には、人事部に連絡をとり、ヒアリングへの任意の協力を求めることとなる。会社と利害が対立する場合には任意の協力が得にくい場合もあるが、退職の際に、退職後も会社の必要な調査に協力するといった同意書を徴求しておくなどといった対応を予めとることとしておくことも検討に値する。
※3
個人情報保護法施行規則7条3号
※4
個人情報保護法26条1項
※5
個人情報保護法26条2項
※6
個人情報保護法施行規則8条1項柱書き
※7
個人情報保護法ガイドライン(通則編)3-5-3-3
※8
なお、漏えい等が発生した「おそれ」とは、個別の事案ごとの蓋然性をいい、その時点で判明している事実関係からして漏えい等が疑われるものの漏えい等が生じた確証がない場合がこれに該当するが、抽象的な可能性をもってみとめられるものではないと考えられている(個人情報保護法ガイドライン(通則編)3-5-3-1、「『個人情報の保護に関する法律についてのガイドライン(通則編)の一部を改正する告示案』に関する意見募集結果」(2021年8月2日に結果公示)の188番参照)。その上で、初期調査の結果「おそれ」がないと考えていたものの、その後の継続調査により「おそれ」が判明した場合には、その時点を起算点として報告すべきことになる。
※9
個人情報保護委員会事務局の監視・監督室の責任者・担当者が執筆する、連載「個人データ等の漏えい等の発生時の対応と安全管理措置~個人情報保護委員会の監視・監督活動の視点から」(株式会社商事法務・NBL No.1265(2024年5月1日号))の「第2回 漏えい等報告の義務と報告の種類」においても、「報告期限を徒過すると、場合によっては行政指導がなされるので注意していただきたい」との注意喚起がされており、個人情報保護法ガイドライン(通則編)10-3(4)でも、「漏えい等事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための体制を整備しなければならない」としている。
※10
なお、冒頭で紹介した「ランサムウェア攻撃による不正アクセス事案」に関し、本年3月25日に個人情報保護委員会は事業者に対する処分を公表している。この公表において、個人情報保護委員会は、①利用規約において、保守・運用上等必要であると判断した場合といった特定の場合には、ユーザの個人データを使用等できることとなっていたこと、②事業者が保守用のIDを有し、ユーザの個人データにアクセス可能な状態となっており、取扱いを防止するための技術的なアクセス制御等の措置が講じられていなかったこと、③ユーザと確認書を取り交わした上で、実際にクラウドサービス利用者の個人データを取り扱っていたことをあげて、個人データの取扱いの委託があったと認定している。
※11
個人情報保護法26条1項ただし書き
※12
個人情報保護法ガイドライン(通則編)3-5-3-2
※13
なお、実務上、連名で報告する場合で報告フォームに入力しきれない等の事情がある場合は、「(9)その他参考となる事項」で別途リストを提出する旨を記入した上で、個人情報保護委員会が指定する方法によりリストを提出することが想定されている。以下の、「クラウドサービス利用事業者の報告を、クラウドサービスの提供事業者が代行する場合の記入例」参照。
※14
個人情報保護法ガイドライン(通則編)3-5-4-5
※15
個人情報保護法ガイドライン(通則編)3-5-4-2でも、このような場合には「その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される蓋然性、本人への通知を行うことで生じる弊害等を勘案して通知の時点を判断することが望ましい」としている。
※16
なお、本人通知の場面だけでなく、個人情報保護委員会への漏えい等の報告の要件該当性についてもこのような漏えい元基準を前提に考えるべきことにも留意が必要である。
※17
有価証券上場規程(東京証券取引所)402条2号xなど。
※18
企業内容等の開示に関する内閣府令第三号様式記載上の注意(11)、第二号様式記載上の注意(31)a等
※19
会社法施行規則120条1項8号・9号
※20
適時開示や法令上開示の必要がない場合でも、被害拡大の防止やレピュテーション維持の観点から公表の要否を検討することもあり、被害拡大のおそれの程度や、公開することによりかえって被害が拡大するおそれの有無等も考慮しながらインシデントの事案の性質に応じて判断する必要がある。
※21
例えば、警察庁は、2024年2月に、ランサムウェアLockBitによる暗号化被害データに関する復号ツールの開発をしたと公表している。https://www.npa.go.jp/news/release/2024/release2.pdf
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
(2025年1月)
殿村桂司、壱岐祐哉(共著)
(2025年1月)
東崎賢治
(2025年1月)
内海健司、齋藤理、鈴木謙輔、洞口信一郎、鳥巣正憲、滝沢由佳(インタビュー)
鈴木明美、椎名紗彩、正井勇、植松茉理乃(共著)
鈴木明美、椎名紗彩、正井勇、植松茉理乃(共著)
(2025年1月)
森大樹、工藤靖、早川健(共著)
鈴木明美、松宮優貴(共著)
(2024年11月)
殿村桂司、水越政輝、武原宇宙、河野ひとみ(共著)
箕輪俊介
(2024年12月)
福原あゆみ(共著)
若江悠
新日本法規 (2024年11月)
犬飼貴之、丸田颯人(共著)
逵本麻佑子、水越政輝、内海裕也、木原慧人アンドリュー(共著)
(2025年1月)
東崎賢治
鈴木明美、椎名紗彩、正井勇、植松茉理乃(共著)
(2025年1月)
森大樹、工藤靖、早川健(共著)
(2024年12月)
田中亮平、一色毅、伊藤伸明、小山遥暉(共著)
大久保涼、小川聖史、逵本麻佑子、佐藤恭平(共著)
(2024年11月)
山本匡、小川聖史(共著)
(2024年11月)
福井信雄、小宮千枝(共著)
大久保涼、小川聖史、逵本麻佑子、佐藤恭平(共著)
服部薫、柳澤宏輝、一色毅、清水美彩惠(共著)
塚本宏達、緒方絵里子、伊藤伸明、中村勇貴(共著)
塚本宏達、緒方絵里子、伊藤伸明、中村勇貴(共著)
(2025年1月)
殿村桂司、壱岐祐哉(共著)
(2025年1月)
三笘裕、片瀬麻紗子(共著)
箕輪俊介
大久保涼
(2025年1月)
三笘裕、片瀬麻紗子(共著)
箕輪俊介
金田聡
(2024年12月)
三笘裕、伊藤環(共著)