サイバーセキュリティという広義に対して、すべての対策を行うことは、中小企業においては予算や人的リソースの兼ね合いで難しいはず。
そこで、焦点を絞るべき部分を、森・濱田松本法律事務所においてサイバーセキュリティを専門とする蔦 大輔弁護士にお伺いしました。
森・濱田松本法律事務所弁護士。
元内閣官房内閣サイバーセキュリティセンター(NISC)上席サイバーセキュリティ分析官。慶應義塾大学大学院政策・メディア研究科特任准教授。サイバーセキュリティ法制学会理事。
サイバーセキュリティ、個人情報保護・プライバシー、IT・ICTを主たる取扱分野としています。
サイバー攻撃の予防のための取組み及び攻撃を受けた後の対応・サポートはもちろん、従業員の内部不正についての事後対応や訴訟対応、企業向けの啓蒙セミナーなどを行っています。
たまにある誤解が、「攻撃者は中小企業を狙ってこない」というものです。
サイバー攻撃は金銭目的で無差別に行われるケースもありますので、当然ながら中小企業もそこに巻き込まれる可能性があります。
また、2019年以降何度か流行したマルウェア「Emotet」は、取引先になりすましたメールの添付ファイルを開くなどすることで感染してしまうので、多くの中小企業も感染してしまったと認識しています。
さらに、近年ではサプライチェーンの弱点を狙った攻撃も多く発生しています。
大企業が保有する機密性の高い情報を窃取する目的で、その取引先や下請けである中小企業がサイバー攻撃の標的になる可能性があるということです。
どう対策すればよいかという点もよく聞かれます。
必要な対策は運営しているサービス、保有している情報などによって大きく変わるため一概には言えませんが、独立行政法人情報処理推進機構(IPA)が公開している「中小企業の情報セキュリティ対策ガイドライン」(※)が参考になるかと思います。
サイバーセキュリティに関するリスクは色々とありますが、代表的なものを5つ紹介します。
これが最も典型的といってもよいですが、企業が保有する機密情報や個人情報が漏えい等するおそれです。
ランサムウェア攻撃が代表例ですが、サイバー攻撃を受けることによって利用している情報システムが停止し、業務に影響を及ぼすおそれです。
例えばECサイトを運営している事業者であれば、ECサイトが止まってしまうとそのまま売上の逸失に直結してしまいます。
この言葉は多義的ですが、ここでは、製品、情報などの一連の商流の中で、脆弱な組織が狙われるおそれ、という意味で用います。
サプライチェーン全体の中に組み込まれている中小企業が「弱点」として狙われる可能性があるということです。
情報漏えいや業務停止等により、規制当局から指導や勧告を受けたり、関係者との間で損害賠償問題に発展するおそれがあります。
サイバー攻撃を受けたことにより第三者が損害を被った場合、サイバー攻撃を受けた企業は、「被害者」のはずではありますが、自身の情報管理に問題があったことによって第三者が損害を被った場合には、第三者との関係では「加害者」としての立場に立たされるおそれがあるのです。
特に中小企業であれば、サイバー攻撃を受けたなどのインシデントの発生が明るみなることで、企業のレピュテーションが毀損され、これにより、既存の顧客を喪失したり、新規顧客の獲得に支障を生じたりするおそれがあります。
インシデントが発生した場合には、様々な損害も発生します。
こちらは、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)インシデント被害調査ワーキンググループが公開した「インシデント損害額調査レポート 2021年版」(※)が参考になります。
そこで挙げられている損害からいくつか抜粋します。
インシデントレスポンスのために、初動対応、フォレンジック調査、システム復旧、再発防止策の策定等が必要になります。
また、広報対応としてコールセンターを設置したり、当局対応のために弁護士に相談するなどすることで、外注費用がかかります。
特に中小企業の場合は、自前でインシデントレスポンスを行うことが難しいケースも多いため、外注費用にはは特に注意が必要と考えられます。
インシデントの発生により取引先等が損害を被った場合、損害賠償請求を受ける可能性があります。
また、個人情報が漏えいしてしまった場合には、本人から損害賠償請求を受ける可能性があります。
個人情報の漏えい事案についてはいくつか裁判例もでていますが、上記レポートでは、そうした裁判例も参考にしながら、個人情報漏えい時の1人当たりの平均想定損害賠償額につき28,308円と算定しています。
サイバー攻撃により事業が中断してしまうと、本来得られたはずの利益が得られなくなることとなります。
特にインターネットサービスを事業とする企業であれば、サービスの停止による逸失利益は、停止から復旧までの時間がかかればかかるほど甚大なものとなるおそれがあります。
具体的にいくらかかるかという点は企業の規模等によって大きく変わるため一概には言えませんが、上記レポートでは、軽微なマルウェア感染で被害額600万円、ECサイトからのクレジットカード情報等の漏えい事案で被害額9,490万円、大規模なマルウェア感染で被害額3億7,600万円というモデルケースが挙げられています。
こうした費用負担のリスクを転嫁するために、サイバー保険への加入を検討することもあり得ます。
サイバーセキュリティ対策は、技術的な対策を取れば万全というわけではなく、組織的な対策、人的な対策、物理的な対策と様々な要素を組み合わせなければならず、適切なリソースを投下しなければなりません。
また、サイバー攻撃により事業が停止するという事態が生じれば、経営の危機にも繋がりかねません。
このように、サイバーセキュリティは、全社的、組織的に考えなければならない経営問題そのものです。
会社の取締役は、会社に対する善管注意義務を負っており、サイバーセキュリティを含めたリスクの管理体制を適切に講じなければなりませんので、対策を怠り、会社に損害が発生した場合には、役員責任として、取締役が会社に対する損害賠償義務を負う可能性もあります。
今のところ、セキュリティインシデントに起因して役員責任を認めた裁判例はございませんが、裁判で役員責任が論点となった事例(結果として責任は否定された事例)はありますので、今後責任が肯定される裁判例がいつ出てもおかしくありません。
メール誤送信は、毎日どこかの企業で起こっていると言っても過言ではありません。
特に内容のないメールの誤送信であり、流出したものが少数のメールアドレスのみという場合であれば、メールアドレスの漏えいというインシデントではありますが、インパクトの大きいインシデントとまでは言えません。
ただ、CCとBCCの誤りによる誤送信も多く、大抵の場合、大量のメールアドレスが漏えいすることとなるため注意が必要です。
また、顧客リストや一覧表のようなエクセルファイルを添付したメールの宛先を間違えたり、添付ファイルを間違えたりすると、深刻な情報漏えいにつながります。
2022年、兵庫県尼崎市の全市民約46万人の個人情報を、再々委託先の男性従業員が無断でコピーし、あろうことかそれを紛失するという事件がありました(※)。
このような「媒体」やPC本体、スマートフォンなどを紛失するケースも非常に多く、また深刻な被害が生じる可能性も高いので注意していただきたいです。
また、紛失した場合、媒体自体に適切なセキュリティ対策が施されていれば流出の可能性が極めて低いと評価できるケースもありますが、そうした対策をしていなければ、流出した、または、流出の危険が非常に高いと評価せざるを得ません。
残念ながらそのようなケースも後を絶ちません。
例えば、PC本体の対策としては、Windowsの「BitLocker」や、Mac OSの「File Vault」等のディスク暗号化機能を活用することが考えられます。
※この事件によって尼崎市は、業務委託先のBIPROGY(ビプロジー)株式会社に対し、損害賠償として約2900万円を請求。
同社側から市の口座に全額が入金されたと2023年6月29日に発表しています。
誤送信も、紛失も、いわばヒューマンエラーです。
この対策としてよく挙げられるのは、ダブルチェックにするとか、チェックリストを導入するとか、確認を徹底するとか、そういった社内でのチェック体制の強化ですが、これで根本的に解決するのかというと、そうとは言えません。
直近だと、デジタル庁のケースでそれが顕著に現れています。
2021年11月にCCとBCCを誤り、約400件のメールアドレスを流出させたデジタル庁(※1)ですが、この際の再発防止策の一つとして、メール送信の遅延機能の周知を挙げていました。
ただ、その後2022年4月に、BCC欄に記載すべきメールアドレスをTo欄に入れるというメールアドレスの流出事案が再度発生し(※2)、このときの再発防止策として、「メール送信時の宛先設定の確認徹底する」ことを挙げていましたが、同月に委託先事業者におけるメール誤送信がさらに発生し(※3)、宛先の確認徹底という再発防止策では解決にならないことが証明されてしまったと言えます。
メール誤送信に関しては、システムを使って誤送信のリスクを下げる方法もあります。
例えば、送信前に宛先や添付ファイルなどの確認を促すウインドウが表示されるようにする、送信ボタンを押してもしばらくの間は送信取消ができる機能を使用するといったものです。
しかし、その機能を使うのは結局“人”。
悪い意味でそうしたツールを使うことに慣れてしまうと、機械的に「確認」しておしまいにしてしまい、確認をしている意味がなくなってしまうことが懸念されます。
一般に、セキュリティ事故を経験していない会社の従業員のセキュリティに対する意識は低い傾向にあります。
まさか自社はサイバー攻撃を受けることはないだろう、まさか自分は誤送信のようなミスをしないだろう、といったように、自分事として捉えられておらず他人事に過ぎないと考えてしまっていることが大きな要因ではないかと思います。
そのような中、セキュリティ事故を経験していない社員に対し、日々セキュリティ対策を意識させること、これを格好良く言うと、セキュリティの「アウェアネス(awareness)」と読んだりもしますが、これはセキュリティ対策における重要な課題の一つです。
こうした意識を高める取組としては、研修や講習、インシデントの演習や訓練、また、インシデントを起こした際の連絡フローの整備などがあると思われますが、万能の特効薬というものはありませんので、地道な活動が必要だと思います。
何かが起こった際に、気軽に相談できる相手を作っておくことも重要です。
今日では、セキュリティ事故(特に外部からのサイバー攻撃)が起こった際には、セキュリティに関するフォレンジックベンダに対して調査等をお願いすることが確立したプラクティスとなりつつあると思いますが、最近はどこのベンダも忙しくしていて、いざ依頼しようとすると、緊急性が高い調査であるにもかかわらず、「今からだと1週間後の着手になる」と言われることもあると聞いています。
社員のセキュリティ意識向上の万能薬はなく、一朝一夕ではいきませんし、多種多様なツールやシステムの導入は、中小企業においては過剰なものも多くあります。
日頃から「もしも」に備えた体制づくりを意識することが必要です。
(※メディア注:メディアからのおすすめであって、蔦先生とは関係がありません)
その他の弁護士記事
目次
目次