
工藤靖 Yasushi Kudo
パートナー
東京
NO&T Compliance Legal Update 危機管理・コンプライアンスニュースレター
ニュースレター
サイバーセキュリティリスク対応についての、有事対応をみすえた平時における実務上のポイント(1)(2024年7月)
Podcast
「サイバーセキュリティにおけるリーガル・セキュリティの観点からのインシデント対応のポイント ~ランサムウェア攻撃への準備と対応~」
「サイバーセキュリティにおけるリーガル・セキュリティの観点からのインシデント対応のポイント ~サプライチェーンの弱点を利用した攻撃への準備~」
「サイバーセキュリティにおけるリーガル・セキュリティの観点からのインシデント対応のポイント ~社内不正によるサイバーセキュリティリスクへの準備と対応~」
セミナー
近時のセキュリティインシデント事例を踏まえた平時のコンプライアンス対応(2024年3月)
大阪開催:日本企業のコンプライアンス・プログラムを考える -組織風土との関連性や運用の要点等-(2024年7月)
前回の本テーマのニュースレター※1では、近時のサイバーセキュリティに対する脅威状況をご紹介すると共に、重大な結果を生じさせる傾向にあるランサムウェア攻撃による不正アクセス事案や従業者の持ち出し事案を念頭に、インシデントの発生時にまず問題となる初期調査、その後の当局やステークホルダーとのコミュニケーションについての対応、そして、これらの有事対応をみすえた平時対応における実務上のポイントについて紹介した。本ニュースレターでも引き続き、以下の同様の各事案を素材として、ランサムウェア攻撃の場合に特有の攻撃者からの金銭の支払要求への対応、また、各事案のそれぞれについて、損害賠償対応、原因分析を踏まえた再発防止策の検討・実施について紹介する。
ランサムウェア攻撃による不正アクセス事案
社会保険労務士の事務所等のユーザに対して社会保険/人事労務業務支援システムをSaaS環境でサービス提供していた事業者において、同社のサーバーが不正アクセスを受けた。このランサムウェア攻撃により、本件システム上で管理されていた当該ユーザの顧客である企業や事務所等の役職員に係る個人データ等が暗号化され、漏えい等のおそれが発生した事案
従業者の持ち出し事案
多数の民間事業者、独立行政法人及び地方公共団体等から委託を受けていたコールセンター事業者が、システムの保守運用をグループ会社に委託したところ、当該グループ会社の従業者が、民間事業者、独立行政法人及び地方公共団体等の顧客又は住民等に関する個人データ等合計約928万人分を不正に持ち出したことにより、漏えいが発生した事案
ランサムウェア攻撃の場合には、その特有の問題として、暗号化されたデータの復旧やデータを公開しないことと引き換えに、身代金として金銭の支払いを要求される場合がある。このような場合、金銭の支払いに応じることは、攻撃者の資金源となること、攻撃者が同種犯罪を継続するモチベーションになりうること、さらには、金銭を支払ったとしてもデータが公開されない保証はなく、追加で金銭を要求される可能性もあることなどから、一般論としては、金銭の支払いをすべきでないとされている。しかし、実際上は、経営判断の問題として支払いの是非を検討せざるを得ない場合もある。
有事対応をみすえた平時における実務上のポイント
不正アクセスの場合、従業者による情報の持ち出しの場合のそれぞれについて、企業として、漏えいにより損害が生じた本人や取引先等の第三者から損害賠償請求を受ける場合がある。この場合には、レピュテーションリスクも考慮して、一律の補償実施や示談・和解も検討することになるが、法的に損害を賠償する義務が生じるか、義務がある場合にどの程度の金額を支払うべきか、また、法的義務まではないものの今後の取引継続も考慮して補償を行うかなどについては、事案における個別事情によることになる。そのため、過去の裁判例も念頭に置きながら当該インシデントにおける各事情を考慮していくことが必要となる。
有事対応をみすえた平時における実務上のポイント
ランサムウェア攻撃による不正アクセス事案や従業者による情報の持ち出し事案といったインシデントが発生した場合、信頼回復のための取組を行っていくことが企業価値の維持のためには不可欠であり、また、上記のとおり、再度、同種のインシデントが発生した場合には経営陣が善管注意義務違反を問われるリスクも高まるため、原因分析を踏まえた実効的な再発防止策を策定することの検討・実施はその中核をなすものといえる。
ランサムウェア攻撃による不正アクセス事案では、一般的には、システムの脆弱性が直接的な原因となることが多く、技術的安全管理措置や物理的安全管理措置に関する不備が要因となることが多い。しかし、より根本的な原因として、人的安全管理措置や組織的安全管理措置の不備が要因となることも多い。例えば、医療機関に対して委託システムを経由してランサムウェア攻撃が行われた事例では、その調査委員会の報告書※6において、以下の発生要因が指摘されている。
個々のインシデントの発生原因は様々であり一律に論ずることができないものの、上記のような発生原因はどの企業にも存在しうる要因といえる。このため、平時からの対応としては、これらの不備に関するリスクを把握した上で、後述するように、組織的安全管理措置・人的安全管理措置・物理的安全管理措置・技術的安全管理措置、さらには委託先管理の観点からそれぞれ手当てをしていくことが求められる。
具体的な再発防止策については個々のインシデントの発生原因に応じて検討する必要があるものの、以下に記載する個人情報保護法ガイドライン(通則編)3-4-2及び同10「(別添)講ずべき安全管理措置の内容」は情報セキュリティ確保のための一般的な視点から構成されている。そのため、インシデント発生により漏えい等の対象となるデータは個人データには限られないが、再発防止策を策定するにあたっての基本的な視点として参考になるものと考えられるため紹介する。
また、委託先におけるインシデントの場合には、これに加えて、委託先の管理(個人情報保護法25条)の観点から「適切な委託先の選定」、「委託契約の締結」、「委託先における個人データ取扱い状況の把握」についての必要かつ適切な措置といえるかという視点で再発防止策を検討すべきこととなる※7。
なお、内閣官房内閣サイバーセキュリティセンターは、2023年7月に「重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書」を公表している。同手引書では「重要インフラ事業者等」※8を想定してリスクマネジメントのフレームワークとして①リスクマネジメントにおけるコミュニケーション及び協議、②組織の状況の特定、③リスクアセスメント、④リスク対応、⑤コンティンジェンシープラン及び事業継続計画(BCP)の策定、⑥運用、⑦モニタリング及びレビュー、⑧記録及び報告のプロセスを挙げているものの、このプロセスについては、「重要インフラ事業者等」以外の事業者にとっても実務上参考になる。
有事対応をみすえた平時における実務上のポイント
従業者の持ち出し事案では、一般的には、悪意をもった従業者による情報の持ち出しを阻止するための技術的管理措置や物理的管理措置の不備が直接的な原因となることが多い。例えば、冒頭で紹介した個人情報保護委員会が令和5年度の重大な事案として挙げていた従業員の持ち出し事案において、その調査委員会は、従業者による持ち出しが可能となった原因として、主に以下の発生要因を指摘している。
従業者による情報の持ち出しは、内部不正に該当するため、再発防止策を検討する上では、独立行政法人情報処理推進機構(IPA)が公表している「組織における内部不正防止ガイドライン」(本ニュースレター執筆時は改訂版第5版)が参考になる。同ガイドラインは、①基本方針、②秘密指定、③アクセス権指定、④物理的管理、⑤技術・運用管理、⑥原因究明と証拠確保、⑦人的管理、⑧コンプライアンス、⑨職場環境、⑩事後対策、⑪組織の管理等、10の観点のもと33項目の対策を示しており、上記の事案において従業者による持ち出しを許した原因との関連でも、再発防止策として検討されるべきといえる。
有事対応をみすえた平時における実務上のポイント
前回の本テーマのニュースレターで紹介した、本年1月25日付で独立行政法人情報処理推進機構(IPA)が公表した「情報セキュリティ10大脅威」においては、サプライチェーンの弱点を悪用した攻撃は「組織」向け脅威の2位となっており、複数年にわたって脅威となっていることが示されている。上記で紹介したランサムウェア攻撃による不正アクセス事案や医療機関に対して委託システムを経由してランサムウェア攻撃が行われた事例もサプライチェーンの弱点を攻撃された事例とも考えられる。このようなサプライチェーンにおけるサイバーセキュリティリスク対応は、取引先や委託先を含むサプライチェーン全体で行う必要がある。そのため、新たな取引先や委託先との取引を開始するにあたっては、予め策定された取引先選定基準・委託先選定基準に従って選定を行った上で、契約条項において、セキュリティ対策上の要求事項を具体的に定めておく必要がある。
具体的にどのような契約条項を定めるべきかは、委託先との取引内容・委託内容等に照らして検討する必要があるが、例えば、取引先・委託先が実施すべきセキュリティ対策の内容のほか、秘密保持義務、セキュリティ対策の実施状況に対する検証を可能にするための証拠の確保・共有や監査への協力、再委託の禁止又は制限・管理策、契約終了後の提供情報・データの取扱い、ベンダーロックインを回避するためのデータ移行等に関する協力義務、インシデント発生時の対応協力義務や発生した損害の責任負担等が考えられる※10。
また、サプライチェーン全体でのリスク対応については、経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(いわゆる経済安全保障推進法)における基幹インフラ役務の安定的な提供の確保に関する制度において参照されるリスク管理措置も参考になる。この制度は、基幹インフラ役務の提供を阻害する海外からのサイバー攻撃等に対する対応として、特定社会基盤事業者を指定し、電気、ガス等の指定基幹インフラ役務の安定的な提供のため、特定社会基盤事業者が、①その事業の用に供する重要な一定の設備、機器、装置又はプログラムの導入を行う場合や、②他の事業者に対してこれらの設備、機器、装置又はプログラムの導入を委託する場合には、予め計画書を提出し、主務大臣による審査をうけることが求められる。この計画書には、一定のリスク管理措置の記載が求められ、主務大臣による事前審査の対象となる。このリスク管理措置について、国は、各特定社会基盤事業者が実施すべきリスク管理措置は、その事業に関するリスクの内容及びリスクの程度に応じて定めるべきものとして、その考え方を公表しており、その内容はサプライチェーンにおけるセキュリティ対応にとって示唆に富むものとなっている※11。
もっとも、取引先や委託先に対してセキュリティ対策の実施を要請する場合には、取引先や委託先に一定のコスト負担を要請することとなるため、独占禁止法・下請法との関係で一定の留意が必要である。すなわち、これらに対してサイバーセキュリティ対策の実施を要請すること自体が直ちに独占禁止法・下請法との関係で問題となるわけではないものの、その対策実施について双方が合意に至った場合であっても、その背景にある事実関係や実施内容によっては、独占禁止法上の優越的地位の濫用※12や下請法上の親事業者の禁止行為※13として問題となりうる。
例えば、取引上の地位が相手方に優越している事業者が、取引の相手方に対し、①サイバーセキュリティ対策の実施要請を行い、サイバーセキュリティ対策の実施によって取引の相手方に生じるコスト上昇分を考慮することなく、一方的に著しく低い対価を定める場合(対価の一方的決定)、②セキュリティ対策費等の名目で金銭の負担を要請し、当該セキュリティ対策費の負担額及びその算出根拠等について、取引の相手方との間で明確になっておらず、取引の相手方にあらかじめ計算できない不利益を与えることとなる場合(セキュリティ対策費の負担の要請)、③サイバーセキュリティ対策の実施の要請に際して、合理的な必要性がないにもかかわらず、自己の指定する商品の購入や役務の利用を強制する場合(購入・利用強制)などの場合には問題になりうる※14。
このため、実務上の対応としては、取引先や委託先に対してセキュリティ対策の実施を要請するにあたり、十分な周知期間を確保した上で、丁寧な説明・協議を行い、これらの説明・協議の結果合意に至るプロセスを適切に記録化(議事録・説明資料の保管等)しておくことが肝要である。
紙幅の関係上、本ニュースレターではその詳細には触れないが、2024年3月12日、欧州議会(European Parliament)は、サイバーレジリエンス法(Cyber Resilience Act)を採択した※15。このサイバーレジリエンス法は、EU市場内のデジタル要素を含む製品(Products with digital elements)※16に不可欠なサイバーセキュリティについて統一的な法的枠組みを定め、製品の信頼性向上と利用者の安全を図ることを目的としている。規制対象者として、当該製品の製造業者、輸入業者及び流通業者が定められており、製造業者に課される主な義務として、①市場流通前に当該製品のサイバーリスク評価を実施すること(当該製品を構成する第三者からのコンポーネントに関するデューデリジェンスも含む)、②当該製品のライフサイクルにおいて、その脆弱性を効果的に継続管理すること、③当該製品に影響を及ぼす脆弱性の悪用を認識し又は重大なインシデントの発生を認識してから24時間以内に関係当局に報告すること、適時のタイミングでこれらの影響を受けるユーザへ通知することなどが定められている。これらの製造業者に課された義務違反に対しては、1,500万ユーロ又は前会計年度の全世界売上高の2.5%のいずれか高い方を上限とする制裁金が課されることとなっており、違反リスクは無視できないものと考えられる。今後、サイバーレジリエンス法は、欧州理事会(Council of the European Union)で正式に採択された後に発効することとなる。その発効後36ヶ月以内に各義務が適用されるが、製造業者による上記の報告義務は発効から21ヶ月以内に適用されるとされている。
上記のとおり、サイバーレジリエンス法に定められた各種義務の適用開始には時間があるものの、対応する製品を取り扱う製造業者は、製品のライフサイクルを踏まえた継続的な脆弱性管理や脆弱性・インシデント報告義務を果たすため、取引相手方との契約上の手当を含む製品サプライチェーンを踏まえた対応が必要となることが想定され、その準備は不可欠なものと考えられる。
サイバーセキュリティリスクは、悪意ある第三者による攻撃や内部による犯行・協力により、インシデントとしての顕在化を予測することが困難である一方で、その被害件数は引き続き高い水準で推移していることから、企業において平時からの不断の取組が求められるところである。当事務所においても、インシデント対応について助言させていただくことが多くなっており、平時の対応の必要性を改めて認識していただく必要があると考え、本ニュースレターにて実務上のポイントをご紹介した。今後も、サイバーセキュリティリスクについて実務上の対応として参考になる情報をご紹介していく予定である。
※1
危機管理・コンプライアンスニュースレター第93号「サイバーセキュリティリスク対応についての、有事対応をみすえた平時における実務上のポイント(1)」
※2
このほか、企業において損害が発生した場合には、サイバー保険に加入している場合にはサイバー保険による補償がどの程度なされるのかについて、サイバー保険における具体的な契約条項を元に確認していくことも必要となる。
※3
会社法423条1項・847条、429条1項
※4
例えば、サイバーセキュリティ戦略本部の「重要インフラのサイバーセキュリティに係る行動計画」は、「組織におけるサイバーセキュリティに関する体制は、その組織の内部統制システムの一部といえる。経営層の内部統制システム構築義務には、適切なサイバーセキュリティを講じる義務が含まれ得る。」と述べている。また、経済産業省の「グループ・ガバナンス・システムに関する実務指針(グループガイドライン)」も、グループ単位の内部統制システムの重要性について「親会社の取締役会は、『企業集団(グループ)』全体の内部統制システムの構築に関する基本方針を決定し、『企業(法人)』単位と並びグループ単位での『内部統制システム』を構築・運用することが求められている」と述べている。
※5
最判平成21年7月9日(日本システム技術事件判決)集民第231号241頁
※6
https://www.gh.opho.jp/pdf/reportgaiyo_v01.pdf(調査報告書・概要版)
※7
なお、委託先がグループ会社の場合、委託先グループ会社における安全管理措置のレベルの向上について統括会社・本社が関与することも実際上可能な場合も多いと考えられるため、統括会社・本社が委託先グループ会社におけるサイバーセキュリティ対策の支援を平時から行っていくのが望ましい。この点について、先述の経済産業省の「グループ・ガバナンス・システムに関する実務指針(グループガイドライン)」も参考になる。
※8
サイバーセキュリティ戦略本部の「重要インフラのサイバーセキュリティに係る行動計画」別紙1「対象となる重要インフラ事業者等と重要システム例」の「対象となる重要インフラ事業者等」欄において指定されているものをいう(例えば、重要インフラ分野ごとに、「主要な電気通信事業者」、「銀行」、「主たる定期航空運送事業者」、「一般送配電事業者」等が挙げられている。具体的な内容は、当該別紙を参照されたい。)。
※9
本ニュースレターでの詳細な紹介は割愛するものの、経済産業省・独立行政法人情報処理推進機構(IPA)が公表している「サイバーセキュリティ経営ガイドライン Ver 3.0」で、経営者が自らのリーダーシップのもとで対策を進めることが必要である旨が指摘されているとおり、経営者によるリーダーシップはサイバーセキュリティリスクへの対応の観点からは極めて重要なポイントである。
※10
詳細については、工藤靖「サプライチェーンにおけるサイバーセキュリティリスク対応」(上)・(下)NBL1222号36頁、NBL1223号31頁も参照されたい。
※11
2024年5月17日付、内閣府政策統括官「経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度の解説」の「第2部リスク管理措置の解説」参照
※12
独占禁止法2条9項5号
※13
下請法4条1項、2項
※14
2022年10月28日付、経済産業省・公正取引委員会「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」参照
※16
サイバーレジリエンス法において、デジタル要素を含む製品とは、あらゆるソフトウェア又はハードウェア製品及びその遠隔データ処理ソリューションをいい、本体とは別に市場流通するソフトウェア又はハードウェアのコンポーネントも含むものと定義されている(3条1号)。そして、その重要性に応じて対象製品が分類され、異なる規制が課されている。例えば、重要な製品としては、ID管理システム、VPN機能を有するデジタル製品、OS、ルータなどがあげられている。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
長谷川良和、今野由紀子(共著)
森大樹、早川健、関口朋宏、灘本宥也(共著)
殿村桂司、近藤正篤、丸田颯人、小宮千枝(共著)
(2025年1月)
殿村桂司、壱岐祐哉(共著)
森大樹、早川健、関口朋宏、灘本宥也(共著)
殿村桂司、近藤正篤、丸田颯人、小宮千枝(共著)
鈴木明美、椎名紗彩、正井勇、植松茉理乃(共著)
(2025年1月)
森大樹、工藤靖、早川健(共著)
(2025年1月)
福原あゆみ(共著)
箕輪俊介
(2024年12月)
福原あゆみ(共著)
若江悠
長谷川良和、今野由紀子(共著)
森大樹、早川健、関口朋宏、灘本宥也(共著)
(2025年1月)
澤山啓伍
殿村桂司、近藤正篤、丸田颯人、小宮千枝(共著)
伊藤伸明、小山遥暉(共著)
(2025年1月)
服部薫、井本吉俊、田中亮平(共著)
大久保涼、佐藤恭平(共著)
(2024年12月)
田中亮平、一色毅、伊藤伸明、小山遥暉(共著)
伊藤伸明、小山遥暉(共著)
大久保涼、佐藤恭平(共著)
大久保涼、小川聖史、逵本麻佑子、佐藤恭平(共著)
服部薫、柳澤宏輝、一色毅、清水美彩惠(共著)
(2025年1月)
水越恭平
(2025年1月)
松尾博憲、鈴木三四郎(共著)
有斐閣 (2025年1月)
伊藤眞(編集代表)
(2025年1月)
殿村桂司、壱岐祐哉(共著)
(2025年1月)
松尾博憲、鈴木三四郎(共著)
有斐閣 (2025年1月)
伊藤眞(編集代表)
(2025年1月)
三笘裕、片瀬麻紗子(共著)
箕輪俊介