役員はセキュリティにおける「善管注意義務」をどう守ればいいのか?
では、こうした事態を防ぐために各プレーヤーはどう対応すれば良いのか。大井氏は前提知識として、会社の役員責任について説明する。
「企業の役員は、内部統制をしっかり構築すべきという『善管注意義務』を負っています。範囲は自然災害や法令対応など多岐にわたりますが、このうち最も恐ろしいのがサイバーセキュリティです。もし義務を果たしていないとみなされた場合、株主代表訴訟として役員個人に責任を問われることがあります」(大井氏)

役員が善管注意義務違反を回避するうえでは、2つの視点が必要だという。1つが、リスクを適切に把握する視点だ。情報セキュリティ体制の脆弱性を理解したうえで、法的側面や技術的見地からリスクを分析する必要がある。2つ目の視点が、リスクをコントロールする視点だ。企業の中に潜む脆弱性を除去・外部へ転化するために、リスクコントロール体制の整備やシステムの導入といった具体策をとることが必要である。
「このような対応によって、善管注意義務を果たしているとみなされれば、役員個人の責任を問われるリスクを低減できます。とはいえ、これは一朝一夕にできることではありません。善管注意義務とは、言い換えれば『通常、期待される義務』。サイバーセキュリティの重要性が日々高まっている昨今、ハードルが高まり続けているものです」(大井氏)
善管注意義務が問われる事例について、たとえばセキュリティリスクのチェックが不足していたり、チェックしているとはいえ第三者の視点が欠如していたりするケースがある。そのほか、自社が属する業界における事例の分析不足や、そもそもの知見不足など、様々なパターンが該当するとのことだ。
では、これらのリスクはデータ流出・消失関与者(犯人)にも適用されるのだろうか。外部アタッカーに関して、犯人の探知ができない匿名の犯罪者集団に損害賠償責任を問うことは事実上不可能だと大井氏。また、内部者(社員)へ対する賠償責任に関しては、個人の資金力に大きく左右されるという。先のベネッセの事例では、1人の従業員がインシデントを引き起こしたが、その1人に260億円もの賠償金を請求しても現実的に支払うことは不可能だ。
これらの現状を踏まえ、平時の具体的なリスク対策として大井氏は、以下のようなアクションプランを立てることが有効だと語る。
- リスク把握のためのデータマッピング:誰が・どこに・どんな媒体で・いかなる情報を保管し、その情報を誰がアクセスできる状態になっているか把握する
- リスクシナリオの洗い出し(外部者による客観的評価):いかなる情報が・どのような流出経路で・どのくらいのボリュームで流出するリスクがあるのか洗い出す。また、その場合の経済的な損害がどのようなものか把握する
- 具体的なセキュリティ施策の計画立案:2ヵ年計画など、的確な選評を引いて施策を実行していく
「また、どれだけ対策をしてもセキュリティインシデントが起こる可能性をゼロにはできません。結局サイバー攻撃はアタックする側が有利ですから、万が一に備えて保険会社にリスクを転化することも有効です。現在、サイバー保険のカバー領域はどんどん手厚くなっています。セキュリティ製品の導入と同時にサイバー保険に加入し、自社が負っているリスク・想定損害をカバーできるかチェックすることが必要です」(大井氏)

サイバー保険がカバーできる領域
クリックすると拡大します
講演の結びでは、インシデントが発生したときのために組成する「インシデント対応チーム」にも話が及んだ。統括や意思決定を行うチーム流出経路を担当するチーム、そのほか法的責任への対応や広報対応を実施するチームなどが該当し、各チームが日ごろから有事のマニュアルを作成しておくことで、インシデントの検知から初動までを素早く行えるようになるという。

各部門がすべきアクションを表で一覧化したもの
クリックすると拡大します
セキュリティ対策に“魔法の杖”はない。今回の講演を参考にしながら、地道に取り組み続けることが各企業に求められている。