この記事のポイント
- サイバーセキュリティに関連する法律は、①民事法、②刑事法、③行政法の3つの分野にわけることで、実務の整理が行いやすくなる
- 有事における初動対応では、「フォレンジックによるログ復旧」を行うことが重要。現状把握や故意過失がないことの証明、将来的な訴訟への備えなどのメリットがある
- ランサムウェア被害で「身代金」を支払うと、取締役の善管注意義務違反となる可能性がある
セキュリティ関連法は「民事・刑事・行政」の3つに仕分けて整理、平時と有事のセキュリティ実務のポイント
近年、サプライチェーンや海外子会社を標的とするサイバー攻撃が増加するなか、企業は情報セキュリティ体制の構築にあたってどのような水準を目指すべきなのでしょうか。また、インシデント発生時には、どのような実務上の対応が求められるのでしょうか。
本記事では、2023年11月15日に開催されたオンラインセミナー「ケーススタディで学ぶDXを成功に導く法務実務 第5回 情報セキュリティの法律実務」(BUSINESS LAWYERS主催)で、TMI総合法律事務所 パートナー 山郷 琢也弁護士が情報セキュリティに関する法令の全体像を踏まえて行った平時と有事のサイバーセキュリティ実務に関する解説の内容をレポートします。
サイバーセキュリティに関する主な法律の全体像
サイバーセキュリティには、多くの法律が関係していますが、日本において、サイバーセキュリティを包括する法律はありません。サイバーセキュリティに特化した法律として、唯一「サイバーセキュリティ基本法」があげられますが、この法律は政府機関が施策を行ううえでの基本的な方向性を定めたものであり、民間企業が参照すべき具体的なサイバーセキュリティ対策に関する記載はないと山郷弁護士は指摘します。したがって、企業は個別の法律を参照しながら具体策を検討していく必要があるといいます。
サイバーセキュリティに関わる多様な法律を、企業はどのように整理すればよいのでしょうか。この点について山郷弁護士は、①民事法、②刑事法、③行政法の3つの分野にわけることで、企業は実務の整理が行いやすくなると説明します。
平時のサイバーセキュリティ実務
取締役が負う責任
山郷弁護士は、平時において特に意識すべきなのは会社法だと指摘します。取締役等は、善管注意義務、忠実義務、または内部統制システム構築義務の一環として、情報セキュリティ体制の構築義務を負うと解されているためです 1。
適切な情報セキュリティ体制の構築・運用がなされていない企業では、取締役や監査役個人が、会社や第三者から損害賠償請求訴訟を起こされるリスクがあると、山郷弁護士はいいます。たとえば、取締役(会)が決定した情報セキュリティ体制が形骸化し、適切に運用されていない状態にあるようなケースで、取締役や監査役がそのような状況を知りながら放置したような場合も同様であるとします。
山郷弁護士は、会社あるいは取締役が行うべき情報セキュリティ体制の整備に関する判断がなされた裁判例として、2014年に発生したベネッセ事件に関する訴訟をあげます。同事件は、株式会社ベネッセコーポレーションが顧客情報の管理を委託していた関連会社の社員が個人情報を漏えいさせたものです。株式会社ベネッセコーポレーションの個人株主らが起こした株主代表訴訟について、2019年に広島高裁で示された判決では、情報セキュリティに関する企業の責任に関して次のように言及しています。
ベネッセ事件(広島高裁令和元年10月18日判決)
内部統制の具体的水準は、当該会社ないし企業グループの事業内容や規模、経営状態等を踏まえつつ取締役がその裁量に基づいて判断すべき
情報セキュリティ体制構築のヒント
以下の図は、経営者が把握すべき情報セキュリティ体制の全体像を表しています。
ここで特に重要なのが、赤い点線で囲んだポイントだと山郷弁護士は強調します。情報セキュリティの実務について取締役等が細部にわたる指示を行うことは非現実的であるため、取締役と現場レベルの役割分担がなされるべきだと考えられています。
具体的には、情報セキュリティ部門の責任者であるCISOを任命して権限を委譲し、CISOによる監督のもとに情報セキュリティ専門部隊を立ち上げることが重要です。そのうえで山郷弁護士は、情報セキュリティ体制の構築が恒常的に回っていくPDCAサイクルづくりを行うことが大切だといいます。
情報セキュリティ体制の構築にあたっては、企業規模や事業内容等も踏まえてケースバイケースで考える必要があるものの、「さまざまな企業が実行している実務を最大公約数的に抽出したもの」として、山郷弁護士は次のようなヒントを提示しました。
情報セキュリティ体制構築のヒント
- セキュリティポリシーの策定・公表
- CISOの任命
- 関係部署の責任の明確化
- データマッピング
- 社内規程の整備
- 海外⼦会社管理
- 営業秘密管理体制の確認
- インシデント時の対応・復旧体制の構築
- サプライチェーン・委託先の監督
- 従業員監督
- 定期監査
- (保険)
- (ISMS等第三者認証の取得)
有事のサイバーセキュリティ実務
初動対応
サイバーセキュリティに関する有事の際に重要となる「初動対応」の1つとして、山郷弁護士は「フォレンジックによるログ復旧」をあげます。これには、状況把握だけでなく、第三者から損害賠償請求を受けた際に故意過失がないことの証拠として利用できる場合があるというメリットがあるほか、将来的な訴訟への備えとしても非常に有益であると山郷弁護士は説明します。
情報セキュリティインシデントの多くのケースでは、個人情報の漏えいが発生します。たとえば、二重脅迫型ランサムウェアの被害を受けた場合、山郷弁護士は、原則として次の2つの対応が必要となるといいます。
個人情報保護委員会への漏えい報告
・速報として3〜5日以内に報告しなければならない
・確報として30日(サイバー攻撃の場合は60日)以内により詳細な報告をする必要がある
本人への通知
・連絡先が把握できている人へは個別に連絡する
・連絡がつかない人に対しては、Webでの公表や問い合わせ窓口を設置する
データの流出だけでなく、データの暗号化も個人情報保護法上の「漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」の定義 3 に含まれるため、ランサムウェア被害の場合にもこのような対応が求められます。
さらに、業種によっては監督官庁への報告が必要となります。また、海外の個人情報保護法が適用されるケースがある点にも注意が必要です。山郷弁護士は「日ごろからデータの棚卸しを行い、どの国の何の法律が適用されるのか、平時の段階から確認のうえ準備しておくことが必要」とアドバイスします。
ランサムウェア被害における身代金要求への対応
山郷弁護士によると、ランサムウェア被害において「身代金を支払うべきか」という相談は少なくないといいます。山郷弁護士は、さまざまな事情を総合的に考慮する必要があるものの、「原則的には支払いに安易に応じるべきではない」と説明します。それは、身代金を支払ったからといって、攻撃者がデータ復旧に応じる保証がないためです。
また、安易に悪意ある攻撃者に身代金を支払ったことで、取締役の善管注意義務違反となる可能性もあります。米国OFAC規制(米国財務省 外国資産管理室による規制)では、制裁対象組織のリストにあるグループに米国の金融機関を通じてランサムウェアの身代金を支払った場合、企業は法的責任を問われる可能性があると山郷弁護士は説明しました。
以上のように、企業における情報セキュリティ対策は、平時と有事の2つの軸で考えることが重要です。その際には、サイバーセキュリティに関連する法律を、①民事法、②刑事法、③行政法の3つの分野にわけて整理することで、企業は実務を進めやすくなるでしょう。
(文・周藤 瞳美)
最新情報をフォローする
