長期休暇前に行うべきセキュリティ対策・体制整備と企業が負う法的責任

1　年末年始やゴールデンウィークはセキュリティインシデント対応が遅れがちに

セキュリティインシデントが頻発している昨今においては、年末年始やゴールデンウィークなどの長期休暇期間中に、予想もしないインシデントに見舞われることも十分に考えられます。

一般的に、長期休暇期間中は社員が不在になり、また、役員や社員同士の連絡がつきにくくなることから、インシデントが生じてしまった際の対応が遅れがちです。対応が遅れてしまったことにより企業が負うダメージは図り知れないことからも、長期休暇前にどのようなセキュリティ対策を検討・確認しておくべきか、また、万が一、長期休暇期間中にインシデントが発生してしまった場合の対応手順・連絡体制について、十分に精査しておかなければならないことに、留意が必要です。

2　長期休暇前に検討・確認しておくべきセキュリティ対策

2-1　重要度が高い3つのセキュリティ対策

長期休暇前のセキュリティ対策に関しては、経済産業省、総務省、警察庁、内閣サイバーセキュリティセンター（NISC）が連名で公表している「長期休暇に向けて、セキュリティ対策は万全ですか？」と題するパンフレット（以下「パンフレット」といいます）¹ や、独立行政法人情報処理推進機構（IPA）の「長期休暇における情報セキュリティ対策」と題するWebページ ² でも紹介されています。

そのなかで、重要度が高い対策として、主に以下の3つがあげられます。

（パンフレットから引用）

①バックアップ、②アクセス制御、③ソフトウェアの脆弱性対策は、ともに基本的なセキュリティ対策ではありますが、長期休暇前は、特にこのような対策をしっかりととっておくことが望ましいでしょう。

2-2　対応不足による企業の法的責任

上記の③ソフトウェアの脆弱性対策のなかで「長期休暇期間中に公表された重要な脆弱性情報に対応するための体制を整える」という内容をあげましたが、実際は長期休暇期間中のために社員が不在になった結果、その間に公表された脆弱性情報に対応しきれない場合もありえます。そのことが原因となりセキュリティインシデントが生じてしまい、顧客などに損害を与えてしまった場合、十分なセキュリティ対策をとれなかった企業は法的責任を負うことになるでしょうか。

この点に関連し、制作発注したシステムにSQLインジェクションの脆弱性があったことを理由に、受注側（システムベンダー）の不法行為（使用者）責任が問われた事案において、裁判所は以下の判示をしたうえで、受注側の使用者責任を認めました。

本事案は、受注側（システムベンダー）の責任について判断した事例ではあるものの、裁判所は「その脆弱性について、業界内でどの程度周知されているか」を法的責任が生じるか否かの1つのメルクマールとしていることがうかがわれます。

当然のことながら、脆弱性情報が業界内で周知されるまでには一定の時間を要することが通常です。そうすると、長期休暇期間中に脆弱性情報が公表されたとしても、当該脆弱性情報がすぐに業界内で周知されたとまでいえることは考えにくいでしょう。

もっとも、たとえば、長期休暇期間が明けてからも、企業がその脆弱性情報を放置し続けた場合には、その間に当該脆弱性情報が業界内で周知されたといえるレベルにまで達することも考えられます。その場合には、インシデントが生じた企業において、脆弱性情報にもとづく十分な対応を行っていなかったという点に過失が認められ、当該企業が法的責任を負うことになる可能性もある点には留意が必要です。

3　セキュリティインシデント対応の手順とそのための体制整備

3-1　一般的な対応手順、連絡体制、対応マニュアル

（1）対応の流れと初動対応

セキュリティインシデントが発生した場合、長期休暇中か否かにかかわらず、一般には以下の流れで対応していきます。

このとき、インシデントの検知をしたあとの「初動対応」が非常に大切になります。なぜなら、インシデントが生じた場合には「いつからいつまでの情報が何件程度漏洩したのか」など、当該インシデントの全体像をできるだけ早く明らかにすることによって、その後の通知・公表の内容やタイミング、また、原因究明の粒度といった、企業としての対応が変わってくるためです。

（2）連絡体制の確立

上記の初動対応を迅速に行うためには、インシデントを検知した場合の連絡体制を明確にしておくことが重要です。企業にインシデント対応委員会が設置されていれば、当該インシデントを検知した部署（たとえば、情報セキュリティ部門）からインシデント対応委員会を通じて、必要な関係部署（広報部門・法務部門など）に情報を展開していくことになります。

また、検知したインシデントに関する情報は、逐一、経営陣（担当役員）にも展開することが必要になります。たとえば、インシデントに関する速報版の通知・公表を行うにあたっては、その内容やタイミングについて経営判断が関わることから、担当役員の判断を仰ぐことが多いです。それにもかかわらず、当該担当役員に必要な情報の展開がなされていないと、その通知・公表に関するGOサインのタイミングが遅れてしまいます。

（3）対応マニュアルの作成・周知

上記（1）（2）の対応手順と連絡体制については、自社の事情も加味した具体的内容に落とし込んだうえで、それを対応マニュアルにまとめ、社員に対して周知しておくことが肝要です。なぜなら、情報セキュリティ部門の担当者であってもインシデント対応の経験がないことが一般的であり、対応マニュアルがないなかで実際にインシデントが生じてしまうと、その担当者であっても何から対応していけばよいかわからなくなってしまうケースが非常に多いためです。その結果、企業としての対応の遅れの発生が懸念されます。

3-2　長期休暇前に検討・確認しておくべきポイント

（1）役員等と連絡がつかなくなった場合に備える

上記3-1（2）の連絡体制に関して、長期休暇期間中は、担当役員や関係部署の担当者と連絡がつかず、適切な情報展開がなされないことも懸念されます。そのため、たとえば、1人の役員と連絡がつかない場合でも、緊急の場合には別の役員の判断でインシデント対応を進められるような仕組み作りをしておくことが求められます。

前述のパンフレットでも、長期休暇期間中にインシデントが発生してしまった場合に備え、インシデントの対処手順を確認し、連絡体制を更新することが、長期休暇前に実施すべき重要な対策としてあげられています。

（2）長期休暇中のインシデントにも向けた対応マニュアルを整備する

上記3-1（3）の対応マニュアルの作成・周知は、長期休暇への備えとしても有効です。対応マニュアルの内容が長期休暇中のインシデントにも向けたものになっているかを事前に確認しておくとともに、すぐに読み返せるようにしておくことが望ましいです。

4　長期休暇明けに確認・対応すべきポイント

最後に、長期休暇明けに確認・対応すべきポイントについても簡単に触れておきます。

4-1　長期休暇明けに確認すべきセキュリティ対策

パンフレットでも紹介されていますが、長期休暇明けに確認すべきセキュリティ対策のなかで重要なものとして、以下の3つがあげられます。

（パンフレットから引用）

情報セキュリティ部門の担当者としては、長期休暇明けにこれらの点を確認するのがよいでしょう。

4-2　長期休暇中にインシデントが起きてしまった場合の速報のタイミング

たとえば、1,000件を超える個人情報の漏洩が起きてしまった場合、当該個人情報を管理していた企業は、報告対象の事態を知ってから「速やかに」、当該漏洩に関して個人情報保護委員会に報告し、また、本人に通知する必要があります（速報）。そして、この「速やかに」とは、個別の事案によるものの、当該事態を知ってから概ね3～5日以内と考えられています。

そのため、万が一、長期休暇中に情報漏洩を覚知した場合、暦によっては長期休暇中に速報まで行うことが望まれることもあり得ます。もちろん、長期休暇中の事案であるという「個別の」事情が考慮され、必ずしも長期休暇中に速報まで行いきれない場合もありますが、企業としては、少なくとも、長期休暇明けのタイミングでは何らかの速報が行えるよう対応していくことが望ましいです。