サイバーセキュリティリスク対応についての、有事対応をみすえた平時における実務上のポイント（2）

ランサムウェア攻撃の場合の攻撃者からの金銭の支払要求への対応

　ランサムウェア攻撃の場合には、その特有の問題として、暗号化されたデータの復旧やデータを公開しないことと引き換えに、身代金として金銭の支払いを要求される場合がある。このような場合、金銭の支払いに応じることは、攻撃者の資金源となること、攻撃者が同種犯罪を継続するモチベーションになりうること、さらには、金銭を支払ったとしてもデータが公開されない保証はなく、追加で金銭を要求される可能性もあることなどから、一般論としては、金銭の支払いをすべきでないとされている。しかし、実際上は、経営判断の問題として支払いの是非を検討せざるを得ない場合もある。

損害賠償※2

　不正アクセスの場合、従業者による情報の持ち出しの場合のそれぞれについて、企業として、漏えいにより損害が生じた本人や取引先等の第三者から損害賠償請求を受ける場合がある。この場合には、レピュテーションリスクも考慮して、一律の補償実施や示談・和解も検討することになるが、法的に損害を賠償する義務が生じるか、義務がある場合にどの程度の金額を支払うべきか、また、法的義務まではないものの今後の取引継続も考慮して補償を行うかなどについては、事案における個別事情によることになる。そのため、過去の裁判例も念頭に置きながら当該インシデントにおける各事情を考慮していくことが必要となる。

原因分析を踏まえた再発防止策の検討・実施

　ランサムウェア攻撃による不正アクセス事案や従業者による情報の持ち出し事案といったインシデントが発生した場合、信頼回復のための取組を行っていくことが企業価値の維持のためには不可欠であり、また、上記のとおり、再度、同種のインシデントが発生した場合には経営陣が善管注意義務違反を問われるリスクも高まるため、原因分析を踏まえた実効的な再発防止策を策定することの検討・実施はその中核をなすものといえる。

(1) ランサムウェア攻撃による不正アクセス事案における発生原因と再発防止策

発生原因のポイント

　ランサムウェア攻撃による不正アクセス事案では、一般的には、システムの脆弱性が直接的な原因となることが多く、技術的安全管理措置や物理的安全管理措置に関する不備が要因となることが多い。しかし、より根本的な原因として、人的安全管理措置や組織的安全管理措置の不備が要因となることも多い。例えば、医療機関に対して委託システムを経由してランサムウェア攻撃が行われた事例では、その調査委員会の報告書※6において、以下の発生要因が指摘されている。

• 技術的発生要因
  • 外部接続の管理不備：サプライチェーンにおけるVPN機器の脆弱性の放置等
  • 内部のセキュリティの脆弱性：管理者権限の設定の不備等
• 組織的発生要因
  • 情報システムにおける共通セキュリティ仕様に基づく調達の不徹底
  • システム担当部署により管理されていない情報システムの存在
  • 各システムベンダとの契約におけるセキュリティに関する責任範囲の不明確性
  • 複数のシステムベンダが関与する契約における各ベンダ間の責任分担の不明確性等

　個々のインシデントの発生原因は様々であり一律に論ずることができないものの、上記のような発生原因はどの企業にも存在しうる要因といえる。このため、平時からの対応としては、これらの不備に関するリスクを把握した上で、後述するように、組織的安全管理措置・人的安全管理措置・物理的安全管理措置・技術的安全管理措置、さらには委託先管理の観点からそれぞれ手当てをしていくことが求められる。

再発防止策の検討にあたって考慮すべき視点

　具体的な再発防止策については個々のインシデントの発生原因に応じて検討する必要があるものの、以下に記載する個人情報保護法ガイドライン（通則編）3-4-2及び同10「（別添）講ずべき安全管理措置の内容」は情報セキュリティ確保のための一般的な視点から構成されている。そのため、インシデント発生により漏えい等の対象となるデータは個人データには限られないが、再発防止策を策定するにあたっての基本的な視点として参考になるものと考えられるため紹介する。

1. 組織的安全管理措置
   • 組織体制の整備、個人データの取扱いに係る規律に従った運用、個人データの取扱状況を確認する手段の整備、漏えい等事案に対応する体制の整備、取扱状況の把握及び安全管理措置の見直し
2. 人的安全管理措置
   • 従業員の教育
3. 物理的安全管理措置
   • 個人データを取り扱う区域の管理、機器及び電子媒体等の盗難等の防止、電子媒体等を持ち運ぶ場合の漏えい等の防止、個人データの削除及び電子媒体等の廃棄
4. 技術的安全管理措置
   • アクセス制御、アクセス者の識別と認証、外部からの不正アクセス等の防止、情報システムの使用に伴う漏えい等の防止

　また、委託先におけるインシデントの場合には、これに加えて、委託先の管理（個人情報保護法25条）の観点から「適切な委託先の選定」、「委託契約の締結」、「委託先における個人データ取扱い状況の把握」についての必要かつ適切な措置といえるかという視点で再発防止策を検討すべきこととなる※7。

　なお、内閣官房内閣サイバーセキュリティセンターは、2023年7月に「重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書」を公表している。同手引書では「重要インフラ事業者等」※8を想定してリスクマネジメントのフレームワークとして①リスクマネジメントにおけるコミュニケーション及び協議、②組織の状況の特定、③リスクアセスメント、④リスク対応、⑤コンティンジェンシープラン及び事業継続計画（BCP）の策定、⑥運用、⑦モニタリング及びレビュー、⑧記録及び報告のプロセスを挙げているものの、このプロセスについては、「重要インフラ事業者等」以外の事業者にとっても実務上参考になる。

(2) 従業者の持ち出し事案における発生原因と再発防止策

発生原因のポイント

　従業者の持ち出し事案では、一般的には、悪意をもった従業者による情報の持ち出しを阻止するための技術的管理措置や物理的管理措置の不備が直接的な原因となることが多い。例えば、冒頭で紹介した個人情報保護委員会が令和5年度の重大な事案として挙げていた従業員の持ち出し事案において、その調査委員会は、従業者による持ち出しが可能となった原因として、主に以下の発生要因を指摘している。

• 直接的原因：技術的な管理措置に係る重大な不備
  • サーバーから顧客データのダウンロードを制御する措置の不存在
  • 私有USBメモリ等の外部記録媒体への書き出しを防止する措置の不存在
  • 保守端末からのインターネット接続を制限する措置の不存在
  • ログ監視の不存在
  • 私有端末によるアクセスを制限する措置の不存在
• 組織的原因：内部者による情報漏えいリスクを高める業務運営体制
  • 持ち出しを行った従業者が長年にわたりサーバーの運用保守及びサポート業務に従事し豊富な知見を有しており業務を当該従業者に依存することが長きにわたり固定化して業務監視も機能していなかったこと

再発防止策の検討にあたって考慮すべき視点

　従業者による情報の持ち出しは、内部不正に該当するため、再発防止策を検討する上では、独立行政法人情報処理推進機構（IPA）が公表している「組織における内部不正防止ガイドライン」（本ニュースレター執筆時は改訂版第5版）が参考になる。同ガイドラインは、①基本方針、②秘密指定、③アクセス権指定、④物理的管理、⑤技術・運用管理、⑥原因究明と証拠確保、⑦人的管理、⑧コンプライアンス、⑨職場環境、⑩事後対策、⑪組織の管理等、10の観点のもと33項目の対策を示しており、上記の事案において従業者による持ち出しを許した原因との関連でも、再発防止策として検討されるべきといえる。

(3) 再発防止策の実施に関する留意点等

サプライチェーン全体でのリスク対応の必要性

　前回の本テーマのニュースレターで紹介した、本年1月25日付で独立行政法人情報処理推進機構（IPA）が公表した「情報セキュリティ10大脅威」においては、サプライチェーンの弱点を悪用した攻撃は「組織」向け脅威の2位となっており、複数年にわたって脅威となっていることが示されている。上記で紹介したランサムウェア攻撃による不正アクセス事案や医療機関に対して委託システムを経由してランサムウェア攻撃が行われた事例もサプライチェーンの弱点を攻撃された事例とも考えられる。このようなサプライチェーンにおけるサイバーセキュリティリスク対応は、取引先や委託先を含むサプライチェーン全体で行う必要がある。そのため、新たな取引先や委託先との取引を開始するにあたっては、予め策定された取引先選定基準・委託先選定基準に従って選定を行った上で、契約条項において、セキュリティ対策上の要求事項を具体的に定めておく必要がある。

　具体的にどのような契約条項を定めるべきかは、委託先との取引内容・委託内容等に照らして検討する必要があるが、例えば、取引先・委託先が実施すべきセキュリティ対策の内容のほか、秘密保持義務、セキュリティ対策の実施状況に対する検証を可能にするための証拠の確保・共有や監査への協力、再委託の禁止又は制限・管理策、契約終了後の提供情報・データの取扱い、ベンダーロックインを回避するためのデータ移行等に関する協力義務、インシデント発生時の対応協力義務や発生した損害の責任負担等が考えられる※10。

　また、サプライチェーン全体でのリスク対応については、経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律（いわゆる経済安全保障推進法）における基幹インフラ役務の安定的な提供の確保に関する制度において参照されるリスク管理措置も参考になる。この制度は、基幹インフラ役務の提供を阻害する海外からのサイバー攻撃等に対する対応として、特定社会基盤事業者を指定し、電気、ガス等の指定基幹インフラ役務の安定的な提供のため、特定社会基盤事業者が、①その事業の用に供する重要な一定の設備、機器、装置又はプログラムの導入を行う場合や、②他の事業者に対してこれらの設備、機器、装置又はプログラムの導入を委託する場合には、予め計画書を提出し、主務大臣による審査をうけることが求められる。この計画書には、一定のリスク管理措置の記載が求められ、主務大臣による事前審査の対象となる。このリスク管理措置について、国は、各特定社会基盤事業者が実施すべきリスク管理措置は、その事業に関するリスクの内容及びリスクの程度に応じて定めるべきものとして、その考え方を公表しており、その内容はサプライチェーンにおけるセキュリティ対応にとって示唆に富むものとなっている※11。

取引先や委託先に対するセキュリティ対策実施要請における国内法上の留意点

　もっとも、取引先や委託先に対してセキュリティ対策の実施を要請する場合には、取引先や委託先に一定のコスト負担を要請することとなるため、独占禁止法・下請法との関係で一定の留意が必要である。すなわち、これらに対してサイバーセキュリティ対策の実施を要請すること自体が直ちに独占禁止法・下請法との関係で問題となるわけではないものの、その対策実施について双方が合意に至った場合であっても、その背景にある事実関係や実施内容によっては、独占禁止法上の優越的地位の濫用※12や下請法上の親事業者の禁止行為※13として問題となりうる。

　例えば、取引上の地位が相手方に優越している事業者が、取引の相手方に対し、①サイバーセキュリティ対策の実施要請を行い、サイバーセキュリティ対策の実施によって取引の相手方に生じるコスト上昇分を考慮することなく、一方的に著しく低い対価を定める場合（対価の一方的決定）、②セキュリティ対策費等の名目で金銭の負担を要請し、当該セキュリティ対策費の負担額及びその算出根拠等について、取引の相手方との間で明確になっておらず、取引の相手方にあらかじめ計算できない不利益を与えることとなる場合（セキュリティ対策費の負担の要請）、③サイバーセキュリティ対策の実施の要請に際して、合理的な必要性がないにもかかわらず、自己の指定する商品の購入や役務の利用を強制する場合（購入・利用強制）などの場合には問題になりうる※14。

　このため、実務上の対応としては、取引先や委託先に対してセキュリティ対策の実施を要請するにあたり、十分な周知期間を確保した上で、丁寧な説明・協議を行い、これらの説明・協議の結果合意に至るプロセスを適切に記録化（議事録・説明資料の保管等）しておくことが肝要である。

海外法令によるサプライチェーン全体でのリスク対応への影響

　紙幅の関係上、本ニュースレターではその詳細には触れないが、2024年3月12日、欧州議会(European Parliament)は、サイバーレジリエンス法(Cyber Resilience Act)を採択した※15。このサイバーレジリエンス法は、EU市場内のデジタル要素を含む製品（Products with digital elements）※16に不可欠なサイバーセキュリティについて統一的な法的枠組みを定め、製品の信頼性向上と利用者の安全を図ることを目的としている。規制対象者として、当該製品の製造業者、輸入業者及び流通業者が定められており、製造業者に課される主な義務として、①市場流通前に当該製品のサイバーリスク評価を実施すること(当該製品を構成する第三者からのコンポーネントに関するデューデリジェンスも含む）、②当該製品のライフサイクルにおいて、その脆弱性を効果的に継続管理すること、③当該製品に影響を及ぼす脆弱性の悪用を認識し又は重大なインシデントの発生を認識してから24時間以内に関係当局に報告すること、適時のタイミングでこれらの影響を受けるユーザへ通知することなどが定められている。これらの製造業者に課された義務違反に対しては、1,500万ユーロ又は前会計年度の全世界売上高の2.5％のいずれか高い方を上限とする制裁金が課されることとなっており、違反リスクは無視できないものと考えられる。今後、サイバーレジリエンス法は、欧州理事会(Council of the European Union)で正式に採択された後に発効することとなる。その発効後36ヶ月以内に各義務が適用されるが、製造業者による上記の報告義務は発効から21ヶ月以内に適用されるとされている。

　上記のとおり、サイバーレジリエンス法に定められた各種義務の適用開始には時間があるものの、対応する製品を取り扱う製造業者は、製品のライフサイクルを踏まえた継続的な脆弱性管理や脆弱性・インシデント報告義務を果たすため、取引相手方との契約上の手当を含む製品サプライチェーンを踏まえた対応が必要となることが想定され、その準備は不可欠なものと考えられる。

まとめ

　サイバーセキュリティリスクは、悪意ある第三者による攻撃や内部による犯行・協力により、インシデントとしての顕在化を予測することが困難である一方で、その被害件数は引き続き高い水準で推移していることから、企業において平時からの不断の取組が求められるところである。当事務所においても、インシデント対応について助言させていただくことが多くなっており、平時の対応の必要性を改めて認識していただく必要があると考え、本ニュースレターにて実務上のポイントをご紹介した。今後も、サイバーセキュリティリスクについて実務上の対応として参考になる情報をご紹介していく予定である。