2022年12月15日に開催された、「ITセキュリティフォーラム2022 Winter 法的リスクから見るデータ保護および証拠保全の重要性」のイベントより弁護士法人駒澤綜合法律事務所所長の高橋郁夫弁護士の講演のレポートをお届けする。
弁護士法人 駒澤綜合法律事務所
所長 高橋郁夫弁護士
ある日、あなたの会社のカスタマーサポート窓口に一件の電話がかかってきた。「こちらの会社にしか明らかにしかしていない子供の名前を使って他社から連絡が来ているが、一体どういうことだろうか」——そうこうするうちに同様の問い合わせが相次ぎ、さらにはメディアから「情報漏洩の件について取材させてください」と問い合わせが入ったり、TwitterなどのSNSで噂が広がり炎上し始めた——。
もしそんな事態が起きたとき、あなたは、そしてあなたの会社は適切に対応できるだろうか。駒澤綜合法律事務所所長の高橋郁夫弁護士は、「データガバナンスとその法的位置づけ」と題する講演の中で、視聴者にこのように問いかけた。
「データガバナンス」の枠組みを整備し、それに沿った対応を
高橋弁護士が挙げた「机上の事例」は決して架空のものではない。過去に実際に発生したいくつかの情報漏洩事件を組み合わせたストーリーだ。さらに、ランサムウェアの被害が相次いで発生している最近ならば、「もし業務に不可欠なデータが暗号化されたらどうするか、バックアップからどのように復旧するか」といった事柄を、まずは机上で検討することが重要だ。
こうした事案が発生した時に、何からどのように手を付けるべきか戸惑うのも無理はないだろう。高橋弁護士が推奨するのは、「データガバナンス」の枠組みを考え、それに沿って対応することだ。
会社にはさまざまな情報資産が存在し、それを活用して経営目標を達成していく。一方で会社は、さまざまな不確実性に取り囲まれており、うまく活用すれば大きなチャンスになるが、逆にネガティブな影響を及ぼす場合にはリスクとなり得る。従って、「これらの情報資産をうまく活用してリスクを減少させていくことがデータガバナンスの仕組みであり、ガバナンスの考え方です」(高橋弁護士)
この大枠があった上で、実際に行うべきことを、個別具体的なプログラムに落とし込んでいくことになる。たとえばさまざまな情報を活用するための「情報活用プログラム」、営業秘密を確保するための「営業秘密管理ポリシー」、あるいはインシデントが発生した際の対応方法をまとめた「緊急対応プログラム」といった具合だ。
高橋弁護士は、「セキュリティ事案が発生したりインシデントが起きた時に、こうした枠組みが十分使えるようになっているのかどうかを考え直し、確認してみませんか」と呼びかけた。もし足りない部分があったとしても悲観する必要はない。これから対応の枠組みを考えていけばいいからだ。まずはその「きっかけ」をぜひ持ってほしいとした。
しかもこのデータガバナンスの枠組みは、2022年の今まさに大きなチャレンジに直面しているという。
「病院がターゲットになり、電子カルテが読めなくなって十分な治療ができなくなるなど、ランサムウェアの被害が深刻化し、社会問題化しています。つまり、セキュリティは社会的に非常に大きなテーマになっており、さまざまな取引先やサプライチェーンと一体になってセキュリティ体制を構築していくべきだと言われるようになりました。今までは一社内のガバナンスを考えていればよかったのが、今やサプライチェーンを含めたチームとして情報資産の安全な活用を考えていかなければなりません」(高橋弁護士)
これは、法的な枠組みからも求められる動きだという。今や、データガバナンスの枠組みを整備し、リスクをコントロールする体制を作ることは取締役の「善管注意義務」の重要な要素の1つになっているという。
また、これを確認するかのように、政府も2022年6月に「重要インフラ行動計画」を定めている。この中では、適切なサイバーセキュリティ対策を構築していないことは取締役の「任務懈怠」、つまり過失であり、企業がそれによって損害を被ることがあれば損害賠償責任を問われうるという方針が示されている。「こうしたことを念頭に置いて、情報に関するしっかりとしたリスク管理体制を取ってもらいたいと思います」(高橋弁護士)
いざ事案が起きたときに露呈するのは、平時からの備え
と、頭でわかってはいても、なかなかその通りにいかないのがインシデントレスポンスだろう。一番大事なのは、平時からの備えだ。
「自分としてもこういった事案に直面すれば、普段からやっていることしかできません。頭が真っ白になるとはよく言ったもので、いざ問題が起きたらこういう風にうまくやろうと思っていても、普段やっていないことは絶対にできません」と高橋弁護士は言う。ましてや、次々に新たな状況が判明し、問い合わせや取材依頼が殺到してストレスが高まる状況では、「素顔」が出てくることに留意すべきだという。
この心構えを踏まえた上で高橋弁護士は、インシデントレスポンスに必要な5つの要素を次のように説明した。「基本的には『リスクの低減・回復』が目標となります。そしてこれには『チームワーク』が必要であり、事前の『備えあれば憂いなし』ということです。また、対応を支えるのは『事実』であり、その事実をベースに『透明性』を持って社会に説明していきましょう」(高橋弁護士)
リスクの低減・回復を図るには、やはり「備え」が重要だ。また、事案を機にさまざまな局面が発生するため、経営層や危機管理室、営業担当、技術担当などさまざまな分野のメンバーが、リスク低減という一つの目標に向かって力を合わせていくことが欠かせない。
そして、インシデントの「発見と報告」「初動対応」「利害関係者への開示」といったステップを踏んで対応を進めることになるが、それはあくまで正確な事実に基づいてなされることが基礎になるとした。また、こうした事実に基づいて、顧客や関係者、さらには社会に対するコミュニケーションを取っていくことになるが、その際には情報を一元管理し、間違いのない形で発表していくことがポイントになるという。
高橋弁護士が先に挙げたデータガバナンスの枠組みの中には緊急対応プログラムが含まれており、すでに、何らかのインシデントに備えた行動計画や手順を定めている企業もあるだろう。
ただ、抜け落ちがちなポイントもあるという。「この危機管理のプログラムは、いつ、どういうきっかけで発動されるのかが一つのポイントになります。危機管理室の構築を宣言するのは誰で、どのような権限を与えるかといった事柄は、あなたの会社で決まっているでしょうか」と高橋弁護士は問いかけ、その上で、一つのアプローチとして、災害に備えた危機管理の枠組みの中にサイバーインシデントを含め、整備していく方法を推奨した。
また、インシデントの発生を受けて危機管理室を設けたら、さまざまな部署や関係者との連絡を取りながら対応を進めることになるが、「事件が起きてから『技術の専門家は誰ですか』『法律の専門家は誰ですか』とやっていたら、到底間に合わなくなることもあります。資金的な問題も含め、そういった専門家に依頼できる仕組みを事前に準備しておかなくてはなりません」(高橋弁護士)という。
ここに挙げた論点は経営層の観点によるものだが、他にも営業担当者ならば「製品製造を優先するか、システムを止めて調査を優先するか」「システムを止めた場合に業務活動をどうするか」といった事柄を考え、準備をしておかなければならないし、技術の専門家、広報担当にもそれぞれ検討すべき項目がある。「こうした事案に対して十分な準備ができているかどうかを、それぞれがもう一度確認していくべきだろうと思っています」(高橋弁護士)
