DX時代の内部不正対策、
リスクの顕在化を防ぐチェックポイントはどこ?

企業を取り巻くリスクは枚挙にいとまがないが、IT技術、特にクラウドサービスをうまく活用すれば、企業のリスク対応を効率化できるのではないか――マイクロソフトと吉井和明弁護士の対談から、その可能性を探る。

 新型コロナウイルスのようなパンデミックや自然災害、それに伴うサプライチェーンの変動や金融危機など、企業を取り巻くリスクは枚挙にいとまがない。中でも昔から悩みの種であり、なかなか「これ」という解決策が存在しないリスクが、内部不正対応とさまざまな法規制への準拠だろう。

 一方で、ビジネスは急速にデジタル化しており、従業員の業務もメールやチャット、Microsoft Officeのようなデジタルデータの形で進められるようになっている。この環境下で、クラウドをはじめとするITソリューションは、内部不正や法規制対応といったリスク対応をどのように支援できるのか。そして企業は、こうしたリスクにどのように向き合っていくべきなのか。日本マイクロソフト 技術統括室チーフセキュリティオフィサー(CSO)の河野省二氏とMicrosoft 365ビジネス本部 製品マーケティング部 プロダクトマーケティングマネージャーの山本築氏が、光雲法律事務所の吉井和明弁護士に尋ねた。 (文中敬称略)

内部不正が起きてからの調査は後の祭り、裁判を避けるためにも事前の証拠集めを

河野 内部不正は企業にとって常に大きなリスクです。今、どんな問題が起きているのでしょうか。

吉井 個人情報の漏えいのほか、見込み客の名簿を持ち去られて競合会社を立ち上げられてしまうといった相談や事例がよくあります。難しいのは、どうしても事後対応になってしまうことです。もともと証拠を残す意図もなければ、ソリューションがないこともあり、後から内部不正の証拠をさかのぼって探そうとしても大変でコストもかかり、途中で頓挫してしまうケースがかなりあります。

河野 セキュリティの世界では、深刻な事故になる前に対応していく「予兆管理」に取り組み始めた企業が増えていますが、法務部門ではまだ後追いとなることが多いのでしょうか?

吉井 大手はともかく中小企業となると、そもそも「証拠を残しておこう」という意思すらないことが大きく、どうしても後追いになるケースが目立ちます。また、仮に証拠保全に対する意識があっても対策を社内で講じていく余裕もないため、難しい部分があるかもしれません。

河野 もしも、ログの監視や監査が中小企業でも簡単できるようになれば、改善されるのでしょうか?

吉井 人間の行動を見たり、システムのログを取り出すといったことがもう少し簡単になれば、おそらく改善する可能性があると思います。例えば、ファイルが消された後も放置していたため、PCなどをフォレンジックしても何も証拠が出てこないということがあります。そうした挙動を一つ一つ導き出せるソリューションがあればいいですね。

光雲法律事務所 吉井和明弁護士
光雲法律事務所 吉井和明弁護士

 ただし、ここでもう一つ問題があります。単に情報を抜き出すだけだと、ログや記録が膨大過ぎるため、どれが重要な証拠なのか分からなくなるということです。そこにうまくフォーカスするシステムがあればいいと思います。

河野 確かに、セキュリティの世界でもせっかくログを保存していながらレビューができておらず、侵害が見過ごされてしまうケースはありますね。リアルタイムにレポートが閲覧できる、いわば経営向けのビジネスインテリジェンス、ローインテリジェンスのようなものが望まれているのでしょうか。

吉井 はい。事前に情報を取得できていれば、調査はかなり円滑に進みます。しかし、後追いでの調査となると、片っ端からログを見ていく必要があり、結局、フォレンジック費用がかなりかさんでしまいます。例えば、最近普及している交通事故におけるドライブレコーダーのように、セキュリティや内部不正に関しても、原則として、事前に証拠を取得しておくようになってもいいのではないかと思います。

河野 マイクロソフトもそうですが、外資系企業では、eディスカバリー対応や訴訟対策の一環として、メールのやりとりといったコミュニケーションやファイル、ドキュメントの記録を10年程度保存しています。ここでいう訴訟対策とは、決して誰かを訴えるためだけではなく、訴訟の際に自分たちを守るため、自社が払うべき賠償金を少なくするためという意味合いです。その意味では、日本でもeディスカバリーの実践が求められるのでしょうか。

吉井 強調したいのは、証拠とは、そもそも裁判や紛争を避けるために必要だということです。証拠をそろえることによって外部に流出した情報を特定したり、影響範囲を限定したりすることができ、それで防げる訴訟もあります。裁判を有利にするための証拠を集めるよりも、裁判を避けるための証拠を集めておくことが重要ではないかと思います。

 法務担当はもちろん、従業員も広く法律について把握できる「インテリジェンス」の可能性

河野 ITの世界は変化が激しいですが、法律も、特にグローバルでは変化が激しいですね。GDPR(欧州での一般データ保護規則)が施行された時もその対応は大変でしたが、国内でも個人情報保護法の改正案が審議されています。法務以外の人は、判例も含めたこうした動向に関する情報をどのように収集したらいいでしょうか。

吉井 法律は、急にできるものではありません。世間での問題意識が高まるのに伴って法制化を検討するための研究会や委員会が立ち上がり、方針が定められ、その内容が法案化され、国会の審議を踏まえて制定されますから、きちんと情報をキャッチしていれば、「いきなり法律ができた」と驚くようなことにはなりません。この情報を収集する方法として、理想は、そういった情報を提供してくれる詳しい弁護士とのつながりを持っておくということが楽だと思いますが、関連団体が行うセミナーや学会に参加することで、情報をキャッチアップしやすくなると思います。

河野 マイクロソフトは、セキュリティの分野では脅威インテリジェンスという形で、グローバルに発生しているさまざまなセキュリティ事故やマルウェア感染の情報を集約し、社会にフィードバックしています。

日本マイクロソフト 技術統括室チーフセキュリティオフィサー(CSO) 河野省二氏
日本マイクロソフト
技術統括室チーフセキュリティオフィサー(CSO)
河野省二氏

 同じように、「各国にこういうルールがある」「この機能はこのルールに準拠している」といった事柄がすぐに分かるコンプライアンスに関するインテリジェンスがあれば、法務の役に立ちますでしょうか? マイクロソフトでは、ある国で新しい個人情報保護法制ができたような場合に、お客さまに「この法律では何を個人情報として定義しているか」といった情報を共有するだけでなく、お客さまのデータの中に該当するものが含まれていれば、自動的にラベルを付けてそのことが分かる機能も提供しています。

吉井 法律の専門家だけではなく、一般の人にも分かりやすいように概要が説明されてあるといいかもしれません。そういう意味では、必要な情報だけを必要としている人に、適宜提供できるようになるといいですね。ただ、情報過多になってしまうと、逆に正しく理解することが難しいでしょう。「この人は米国の情報を求めている」「カリフォルニア州の情報が求められている」という具合に、こまめに利用者のニーズに応じて情報を絞り込めると、なおいいと思います。

水準以下のセキュリティ対策では過失責任を問われかねない

河野 内部不正による被害の拡大防止に関して、もう一つ気になることがあります。万一情報が流出した場合、事前に暗号化されていて第三者が内容に触れられない場合と、そうではない場合では、訴訟対策に大きな違いはありますか? どのくらい責任を問われるものでしょうか?

吉井 民事裁判で大きな争点となるのは「過失」の有無です。過失を構成する要素には、「予見可能性」と「結果回避可能性」の2つがあります。損害を客観的に予見できたはず、つまり「このくらいのことは事前に分かっていて当たり前でしょう」というのが予見可能性です。そして、「予見されることを回避できたのに回避しなかった」というのが、結果回避可能性です。

 これらのうち、予見可能性は、認知されやすいです。同様に、結果回避可能性も、一般的に思われているよりも広く認められるケースもあります。その際、情報セキュリティ関係の事件では、いろいろな基準が過失の認定に使われている印象があります。例えば、個人情報を預かり処理を委託していた企業の従業員がそのデータを抜き出して持ち出した場合でも、「政府関連のガイドラインや、一般的に周知されている規格等を見ていれば、そのくらいの危険性は分かるでしょう」というように判断されやすいわけです。

 要するに、一般的なセキュリティ水準以上の対策をしていないと責任を問われてしまいます。少なくとも水準以下にならないよう、できる限りの努力をしなければなりません。どこに欠陥があるかを把握しておかないといけませんし、事前の対応や証拠集めが生きてくると思います。また、損害の拡大を防げれば、その分、賠償の請求をしなければならない損害額も減るでしょう。

河野 コンプライアンスという意味では2つの側面があると思います。1つは、世の中で一般に「これをしなさい」と言われている事柄への準拠性を見ていくこと。基準や標準への準拠としてのコンプライアンスですね。もう1つは、「脆弱性をなるべくゼロに近づけていくこと」。いわゆる基本的なセキュリティ対策です。マイクロソフトでは、クラウドサービスのMicrosoft 365やAzure上の設定などをチェックし、セキュリティレベルの状況を示す「セキュリティスコア」という機能を提供しています。こうした機能も役立つのではないかと思います。

吉井 そうですね。訴訟でも裁判官によっても判断に揺れがあり、どれを基準にするか手探りでしている状況かもしれません。ですから、一般的に使われる物差しのようなものがあれば、立証上でも役に立つのではないかと思います。

河野 一時期は、「流出した情報がパスワードで保護されていて第三者が触れる状態になっていないから大丈夫」と言われていたことがありました。しかし最近では、そのパスワード自体が漏えいしている可能性もあり、対策自体の妥当性が問われています。

吉井 パスワード付きの圧縮ファイルをメールで送信して、セキュリティ対策をしたことにしている、というものがありますね。あれは正直あまり意味がないと思っています。

河野 今の時点では許容される対策でも、将来的には許容されなくなる可能性がありますよね。ITの変化をキャッチアップしておくことも法律上は重要ではないでしょうか。

吉井 間違いなく重要だと思います。一般的な基準としては、過失の有無を判断する際に大きく影響します。つまり、基準がどこにあるのかを知らないと、完全に“ノーガード”になってしまいます。

河野 法律も技術も移り変わりを把握しないといけませんね。法務部門とIT部門が連携しながら、業務の負荷を減らしていくことがますます重要になると思います。

人を中心にした行動分析を通して内部不正を洗い出す

河野 マイクロソフトは、「ゼロトラストセキュリティ」という形で、IDベースのセキュリティ対策や振る舞い検知の技術を提供してきました。また、クラウド上のアクティビティに関するログを集めることで、データがどう扱われているか、誰がいつアクセスしたかがより鮮明に把握できるようになっています。「この人が触れるべきデータではないのに触っている」といったログまで取得できるようになっています。マイクロソフトのプラットフォームが提供するこうした機能を、内部不正やハラスメントの検知に活用したいという要望が出てきています。われわれもそのご要望に応えたいと思っています。

山本 マイクロソフトが提供しているコンプライアンスソリューションには、4つの柱があります。その1つが、内部不正や各種のハラスメントを検知する「Insider Risk Management」です。その他に、情報を保護する「Information Protection & Governance」、監査やe-ディスカバリーを支援する「eDiscovery & Audit」、コンプライアンスをどの程度満たしているかを示すダッシュボードの「Compliance Management」があります。

日本マイクロソフト株式会社
Microsoft 365ビジネス本部 製品マーケティング部 プロダクトマーケティングマネージャー 山本築氏
日本マイクロソフト株式会社
Microsoft 365ビジネス本部 製品マーケティング部
プロダクトマーケティングマネージャー
山本築氏

 Insider Risk Managementは、もともとマイクロソフト社内で内部不正やデータ漏えいのリスクを見つけ、阻止していくために、セキュリティチームに加えて、プライバシーや人事、法務などさまざまな視点を考慮して開発されました。特に重視したのは、従業員の生産性を下げずに、どうコンプライアンスやガバナンスを効かせるかということです。

 そのポイントは、人の振る舞いや端末、情報のログを個々に管理するのではなく、全てを横断して、「その人が、どんなメールで、どんなコミュニケーションをとったのか」というように、人を中心にした行動分析ができる点です。


※クリックすると拡大画像が見られます

 例えば、「来月退職を控えている人が突然、機密情報をダウンロードして、USBメモリーにコピーしている」「複数の従業員が業務用のOffice 365のアカウントから個人のアカウントに顧客情報を転送している」といった具合に、人を中心に一見ばらばらの動きをつなぎ合わせ、リスクとして検出していきます。そして、リスクを数値化し、ダッシュボード上のグラフで、一目でリスクの危険度を把握できます。特権を与えれば、いざというときに証拠となり得るコンテンツの中身も見えるようになっています。

吉井 先ほども申しましたが、法務の立場では、あらゆるものが出てくるとデータが多過ぎて、逆に把握しづらくなってしまうことがあり、こうした形で分かりやすく表示されると、使いやすいと感じます。1人の行動を追えるだけでも大きなメリットですが、誰がしたのか特定できるのは、会社にとってもありがたいでしょうね。

 例えば、誰かが営業情報を持ち出して別の会社を立ち上げてしまう場合、その人が退職後に阻止することは、とても難しいのが実態です。ですから、まだ在籍しているうちにこうした仕組みで早期に把握し、できるだけ情報を持ち出されないようにする、といったことが大切だと思います。

山本 Insider Risk Managementに関しては、人事評価と連携できないかという話もあります。というのも、「なぜ内部不正が起きるか」を突き詰めていくと、実は会社に不満があるからで、不満が出るタイミングの1つに評価があります。例えば、Office 365のエージェントを通じて、評価制度と連携しながら内部不正のリスクを把握できるようにしたいと考えています。また、Information Protection & Governanceには、「Exact Data Match」という機能があり、社内のデータと流出した機密情報を照合して、どこで変更が加わったか、誰が抜き出したのかを全方位的に追跡することもできます。


※クリックすると拡大画像が見られます

吉井 ただ、会社がどこまで従業員の行動を監視するのかという心配はあります。従業員が「自分は見られている」と理解していたり、あるいは「ここは見られても仕方ない」と同意したりするような状況をあらかじめ用意しておく必要があると思います。その辺りは、従業員との関係、労務や法務の問題になってくるでしょう。

山本 はい、その観点も重要だと思います。内部不正を調査する際、先入観を持ってはいけませんので、このツールにはユーザープロファイルを匿名化するポリシーもあり、匿名の状態で、ある程度調査が進められるようになっています。

河野 訴訟になる前に、自分たちで不正に気付き、改善できるような仕組みが望ましいと吉井さんが言われましたが、マイクロソフトもそう考えています。私たちが提供するこうした仕組みが、その一助になればうれしいですね。

マイクロソフト×吉井弁護士 対談(後編)はこちら >>
提供:日本マイクロソフト株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2021年6月30日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]