SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

BOOKS

インシデント発生時に必要な「法的」対策を考える 強固なセキュリティガバナンス体制を作る5ステップとは

有事の対応は平時から。大切なのは円滑に連携できるチーム体制作り

 サイバー攻撃の被害が企業に与える影響は計り知れません。昨今のセキュリティインシデントに見られるように、世間的にも法律的にも企業に大きな責任が問われます。サイバーセキュリティに組織全体で立ち向かっていくことが重要となる今、大切なのが「法律」の観点。技術ばかりが先行しがちなセキュリティですが、企業としてリーガル面から対策を練ることが不可欠です。今回ご紹介するのは、セキュリティ業界の有識者が共著した『サイバーセキュリティ対応の企業実務:平時・有事における組織的・法的対策の進め方』(中央経済社)。組織としてどのように有事に備えるべきか、“法的”な観点から説いた本書の一部を紐解いていきます。

セキュリティに不可欠な「法的」観点とは

 本書は、デジタルフォレンジックス領域で日本屈指の専門家である杉山一郎氏と、データ・プライバシー領域の法律に精通する寺門峻佑氏がタッグを組んで執筆したものです。杉山氏は、EY新日本有限責任監査法人のプリンシパルを務め、「GIAC Certified Forensic Analyst」などのセキュリティ資格を有しています。寺門氏は、TMIプライバシー&セキュリティコンサルティングの取締役を務め、内閣サイバーセキュリティセンタータスクフォース、経済産業省大臣官房臨時専門アドバイザーを歴任しています。

 セキュリティ業界で実績をもつ2人は、デジタル環境に依存して業務が行われる昨今、役員含め組織の全員がサイバーセキュリティの意識を高めていく必要があると主張しています。

 次々に新しいサイバー攻撃手法が生まれる現代において、サイバー攻撃を事前にすべて防ぐことはほぼ不可能でしょう。だからこそ、実際に攻撃を受けた際にどう対応するのか「事前に備える」ことが欠かせません。しかし、参考となる情報が少なく、後回しにされがちなのが有事に行うべき「法的」対応への準備だと筆者は言います。

 サイバーインシデントの発生時には、企業に様々な法的責任が発生します。海外にビジネスを展開している場合は、海外法令対応も必要になるケースもあるでしょう。また、法的な強制力がなくとも、社会認識の高まりを背景とした顧客に対する説明責任を果たすことの重要性も増してきています。このように重要な法的責任が生じるにも関わらず、サイバーインシデント発生時の法的な組織対応について十分な検討をしていない企業が多いと筆者は指摘します。では、実際の有事にはどのような対策が必要なのでしょうか。

サイバー攻撃対策で重要な“事前の備え”

 サイバーセキュリティ対策は、いかに“平時”に準備できているかが明暗を分けると言っていいでしょう。筆者は平時に取り組んでおくべき主な対策について、サイバーリスクが増大する要因ごとに以下の3つに分けて説明しています。

  • 内部要因:マルウェア駆除などの技術的対策/サイバーインテリジェンスの作成
  • 外部要因:CSIRT/人材の育成
  • アカウンタビリティ:組織的/法的対策(会社法や個人情報保護法などで定められた法的責務への対応)

 上記のうち、「アカウンタビリティ」(=責任)が法的対策に関連するものです。たとえば、ある企業において、顧客から自社に各種契約に基づく顧客データが移転されており、自社は委託先に対して顧客データの処理業務を依頼しているとします。このような状況下で委託先がサイバー攻撃を受け、顧客データを奪われてしまった場合、どの企業にどのような“法的責任”が生じるのでしょうか。

 まず、サイバー攻撃者は刑事責任と民事責任の双方に問われます。しかし、攻撃者は海外のハッカー集団であることが多いため、実際に攻撃者を発見し、責任の追求を行うことは極めて困難です。そこで、多くの事案では「安全に管理してくれると信頼して顧客データを提供したのに裏切られた」として、顧客から自社に対して「締結した契約の不履行または不法行為に基づく民事責任」が問われるのです。加えて、自社は委託先に対して契約上の責任を追及することになります。また、顧客から個人データを受領していた場合には、個人情報保護法上の責任を追及されることも

 このような法的責任の所在から、企業はサイバーインシデント発生時の対応に迫られることになります。その後は、事業停止などによる損害拡大の回避や法律/契約上の報告義務履行などを行う必要がありますが、こうした対応はインシデントが発覚してから極めて迅速に行う必要があるため、平時のときから有事に備えた体制整備が必須だと筆者は指摘します。

次のページ
“もしも”に備えたチーム作りが成功のカギ

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
BOOKS連載記事一覧

もっと読む

この記事の著者

竹村 美沙希(編集部)(タケムラ ミサキ)

株式会社翔泳社 EnterpriseZine編集部

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19086 2024/01/26 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング