セキュリティに不可欠な「法的」観点とは
本書は、デジタルフォレンジックス領域で日本屈指の専門家である杉山一郎氏と、データ・プライバシー領域の法律に精通する寺門峻佑氏がタッグを組んで執筆したものです。杉山氏は、EY新日本有限責任監査法人のプリンシパルを務め、「GIAC Certified Forensic Analyst」などのセキュリティ資格を有しています。寺門氏は、TMIプライバシー&セキュリティコンサルティングの取締役を務め、内閣サイバーセキュリティセンタータスクフォース、経済産業省大臣官房臨時専門アドバイザーを歴任しています。
セキュリティ業界で実績をもつ2人は、デジタル環境に依存して業務が行われる昨今、役員含め組織の全員がサイバーセキュリティの意識を高めていく必要があると主張しています。
次々に新しいサイバー攻撃手法が生まれる現代において、サイバー攻撃を事前にすべて防ぐことはほぼ不可能でしょう。だからこそ、実際に攻撃を受けた際にどう対応するのか「事前に備える」ことが欠かせません。しかし、参考となる情報が少なく、後回しにされがちなのが有事に行うべき「法的」対応への準備だと筆者は言います。
サイバーインシデントの発生時には、企業に様々な法的責任が発生します。海外にビジネスを展開している場合は、海外法令対応も必要になるケースもあるでしょう。また、法的な強制力がなくとも、社会認識の高まりを背景とした顧客に対する説明責任を果たすことの重要性も増してきています。このように重要な法的責任が生じるにも関わらず、サイバーインシデント発生時の法的な組織対応について十分な検討をしていない企業が多いと筆者は指摘します。では、実際の有事にはどのような対策が必要なのでしょうか。
サイバー攻撃対策で重要な“事前の備え”
サイバーセキュリティ対策は、いかに“平時”に準備できているかが明暗を分けると言っていいでしょう。筆者は平時に取り組んでおくべき主な対策について、サイバーリスクが増大する要因ごとに以下の3つに分けて説明しています。
- 内部要因:マルウェア駆除などの技術的対策/サイバーインテリジェンスの作成
- 外部要因:CSIRT/人材の育成
- アカウンタビリティ:組織的/法的対策(会社法や個人情報保護法などで定められた法的責務への対応)
上記のうち、「アカウンタビリティ」(=責任)が法的対策に関連するものです。たとえば、ある企業において、顧客から自社に各種契約に基づく顧客データが移転されており、自社は委託先に対して顧客データの処理業務を依頼しているとします。このような状況下で委託先がサイバー攻撃を受け、顧客データを奪われてしまった場合、どの企業にどのような“法的責任”が生じるのでしょうか。
まず、サイバー攻撃者は刑事責任と民事責任の双方に問われます。しかし、攻撃者は海外のハッカー集団であることが多いため、実際に攻撃者を発見し、責任の追求を行うことは極めて困難です。そこで、多くの事案では「安全に管理してくれると信頼して顧客データを提供したのに裏切られた」として、顧客から自社に対して「締結した契約の不履行または不法行為に基づく民事責任」が問われるのです。加えて、自社は委託先に対して契約上の責任を追及することになります。また、顧客から個人データを受領していた場合には、個人情報保護法上の責任を追及されることも。
このような法的責任の所在から、企業はサイバーインシデント発生時の対応に迫られることになります。その後は、事業停止などによる損害拡大の回避や法律/契約上の報告義務履行などを行う必要がありますが、こうした対応はインシデントが発覚してから極めて迅速に行う必要があるため、平時のときから有事に備えた体制整備が必須だと筆者は指摘します。
