「新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か?」の版間の差分
>貴洋のホルマリン漬 (ページの作成:「{{注意|当ページは西田弁護士インタビューとは異なります。}} '''新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か?'''とは、第一東京弁護士会に所属する西田章弁護士と山岡裕明とのインタビュー記事である。 == 概要 == 商事法務ポータルに掲載されており、正式名称は「◆SH4247◆新規分野…」) |
(相違点なし)
|
2022年12月23日 (金) 13:16時点における版
当ページは西田弁護士インタビューとは異なります。 |
新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か?とは、第一東京弁護士会に所属する西田章弁護士と山岡裕明とのインタビュー記事である。
概要
商事法務ポータルに掲載されており、正式名称は「◆SH4247◆新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か? 第4回 山岡裕明弁護士インタビュー」である。
この対談記事はその1からその3の3つに分かれているが、当ページでは1つにまとめて掲載している。
その1
新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か? 第4回 山岡裕明弁護士インタビュー(1/3)(魚拓)より
八雲法律事務所
弁護士 山 岡 裕 明
聞き手 西 田 章
若手弁護士にとって、企業法務の「新規分野」を開拓することは容易ではない。優秀な若手であれば、「既存分野」でも相応の活躍をすることができるから、「新規分野」に先行投資する必要性に迫られることがない。他方、平凡な若手が「新規分野」に投資しても、クライアントから信頼を得るまでのパフォーマンスを挙げることができない。新規分野の開拓は、「優秀な若手」が、敢えてリスクを取ってまで「新規分野」に賭けてみよう、という挑戦をした時にのみ実現するのではなかろうか。
「サイバーセキュリティ」の分野で、これを実現させつつあるのが、山岡裕明弁護士(八雲法律事務所代表弁護士)だ。今年5月30日に内閣府サイバーセキュリティセンターに設置された「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」の委員名簿を見ると、西村あさひと森・濱田松本という弁護士業界最大手の法律事務所に所属する弁護士と肩を並べて、まだ設立4年の八雲法律事務所の山岡弁護士が名前を連ねている。司法修習63期の弁護士が立ち上げた事務所が、サイバーセキュリティという最先端の業務分野でトップランナーとして活躍できているのはなぜか? サイバーセキュリティの分野の実務とは? インタビューの模様を、以下、3回にわたってご紹介していきたい(取材日:2022年11月11日。場所:商事法務会議室)。
第1部 サイバーセキュリティ分野の実務
問 今日(2022年11月11日)の日本経済新聞の朝刊には「サイバー防衛、欧米が先行」という見出しの下に「日本企業のサイバー攻撃への対策が遅れている」と指摘する記事で、山岡先生のコメントが紹介されていました。山岡先生のお仕事としては、海外の事案もフォローされているのでしょうか。
答 はい。たとえば、報道で日本企業がランサムウェアの被害を受けたというニュースが流れても、内容をよく見ると、被害が出ているのはほとんどが欧米の現地法人です。こうしたグローバルなインシデント事案について、司令塔となる日本の本社から依頼を受けて対応しています。グローバルな法律事務所やセキュリティベンダーと連携して、法律・技術・英語というこれまでのキャリアで培った知見をフルに駆使して対応しています。
問 サイバー攻撃を受けた企業から依頼を受けた後の対応は、どのような流れになるのでしょうか。
答 フローとしては、①初動対応、②フォレンジック調査、③当局対応、④再発防止策の策定、⑤紛争対応、という流れになります。
問 攻撃を受けた企業の中には、誰も経験者がいないでしょうから、まず何をすればいいのかもわからないですよね。
これまでに多数のインシデント・レスポンスに関わってきたおかげで、第一報を受けて被害状況をヒアリングした段階で、攻撃者の侵入経路、マルウェアの答 機能、被害の範囲等についてある程度見通しをつけることができるようになりました。この経験値から導かれる見通しを踏まえて初動対応を被害企業にお伝えしています。
問 第一報でもサイバー攻撃の種類を知る手掛かりがあるのですか。
答 たとえば、ランサムウェア攻撃を受けた事案の場合、ランサムノートという置き手紙に書かれたハッカー集団の名称と暗号化された電子ファイルの拡張子を確認できれば、大体、侵入経路を推測することができます。「このVPNの脆弱性を突いて侵入された可能性が高いので、パスワードを変更しましょう」と指示することもあれば、「バックドア[1]が仕掛けられているだろうから、パスワードの変更に加えてバックドアの有無を全部チェックしましょう」と指示することもあります。
問 ハッカー集団には多数の種類が存在しているのですか。
答 もともとの集団から分派しているので数は増えていますが、ルーツが同じだと使う手法も似ています。
問 奥が深い世界ですね。初動対応(①)の次は、フォレンジック調査(②)ですが、これは、調査会社に外注するのですか。
答 規模が大きかったり海外調査が必要となるような事案であれば、グローバルのセキュリティベンダーに依頼することもあります。ただ、私が設立した八雲SECURITY & CONSULTINGという調査会社でも、この10月からフォレンジックサービスを開始しました。国内の調査案件であれば自前で調査を受けることもできる体制が整いました。これにより八雲グループでワンストップのインシデント・レスポンスサービスが可能になりました。
問 業務フローの次に来る当局対応とは、どんな作業でしょうか。
答 個人情報保護法やGDPR等に基づいて、当局に報告し、その後も当局とコミュニケーションを担当する業務になります。
問 個人情報保護法の改正でデータの漏えい発生時に個人情報保護委員会への報告が義務化されたのですね。確かに、インシデント対応をされている弁護士が担うべき領域ですね。
答 4月1日に改正法が施行されてからの8ヵ月で、八雲法律事務所では、速報・確報を既に数十件担当しています。
問 本当に多いですね。当事者である会社が報告するものかと思っていました。
答 被害企業が自ら報告されても構わないのですが、被害企業としてはサイバー被害自体初めであることが多いため速報・確報に慣れていらっしゃるわけではないですし、復旧に向けて日夜ご尽力されている現場のご担当者にとって速報・確報の負担は軽くありません。そのため、当事務所で受任した場合には、当事務所で当局とのコミュニケーションを代理し、依頼企業には業務復旧に注力してもらいます
問 当局に報告する前段階の「そもそも報告するべきか?」という判断では、会社側には「できれば報告したくない」という要望もありそうですが、この点はいかがでしょうか。
※続きは会員限定
この節の加筆が望まれています。 |
その2
新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か? 第4回 山岡裕明弁護士インタビュー(2/3)(魚拓)より
サイバーセキュリティの専門家である山岡裕明弁護士へのインタビューの第1回である前回は、サイバー攻撃発生時に、サイバーセキュリティを専門とする弁護士が具体的にどのような業務を行っているのかを中心にお伺いした。第2回の今回は、サイバーセキュリティという新規分野に関する専門性をどのようにして磨いて来たのかを尋ねている。論文の執筆や米国留学は、大規模な法律事務所においても、弁護士の専門性を磨くために有益な手段と認識されているが、アソシエイトの立場からは、所属事務所による支援を期待してしまいがちである。山岡弁護士が、自ら事務所を経営しながら、掲載の当てもない論文執筆に取り組み、最先端の実務を学ぶために米国のコンピュータサイエンスの大学院で修士号を取得したストーリーからは、新規分野における専門性は「リスクを取ったチャレンジ」の先にこそ拓かれるものではないかと考えさせられる(取材日:2022年10月11日。場所:商事法務会議室)。
第2部 どのように専門分野を確立したか?
問 サイバーセキュリティは、今でこそ、日本経済新聞でも連日のように取り上げられるテーマとなりましたが、山岡先生は、なぜ、この分野に注目されたのでしょうか。
答 私は元々、M&A、委任状争奪戦や渉外訴訟等の企業法務全般を扱う弁護士でした。周りにいる弁護士がみんな自分よりも経験豊富で優秀に見えてしまい、若手時代は劣等感が強かったですね。そこで、「既存の法分野では生き残ることができない」と見切りを付けて、2015年に独立[2]する際に、自分でも戦えるブルーオーシャンを探して考え抜いた末に見つけたのが、インターネット分野でした。
問 独立直後からサイバーセキュリティ対応に取り組まれたのでしょうか。
答 最初は、インターネット上の誹謗中傷対応から始めました。2015年当時は、まだ黎明期でほかに扱う弁護士も少なかったため、仕事は順調に拡大しました。しばらくして、「インターネット上の法律問題で企業が困難に直面する問題は何か?」換言すれば、元々の企業法務の経験とインターネット上の法律問題が交叉する分野はないか、と考えるようになりました。それがサイバーセキュリティでした。このアイディアに至る過程において、法科大学院時代に取締役の義務をテーマに研究して修士論文を書いたことを思い出しました。
問 山岡先生が卒業された中央大学の法科大学院では論文執筆は義務とされてはいないですよね。教授の指導の下に論文を執筆なされたのでしょうか。
答 はい、卒業に必要なわけではありませんが、選択科目で論文を執筆しました。商事法で高名な落合誠一教授が指導教官を引き受けてくださいました。論文の内容自体は裁判例の分析が中心でしたが、落合教授からご指導をいただけたことに加え、同じく高名な大杉謙一教授にも副査を務めていただく幸運を得られました。
問 司法試験対策だけでない法科大学院時代を過ごされたのは素晴らしいですね。そして、弁護士になって企業法務の経験を積まれて、独立してインターネット上の誹謗中傷対応に取り組まれる中で、改めてどのようにサイバーセキュリティに注目し始めたのでしょうか
答 経営層が困るほどの問題、というのは、取締役としての善管注意義務が問われる場面と考えました。次に、事業継続が脅かされるコーポレートリスクを、インターネットに関連して考えてみると、サイバー攻撃による情報漏えいやシステム障害に思い当たりました。それらを合わせると、企業において適切なサイバーセキュリティ体制を構築してサイバー攻撃から企業を守ることは取締役の法律上の義務ではないか、という問題意識を持ちました。そして、取締役の義務であるならば有事の際の株主代表訴訟やサイバー攻撃に備えるための予防法務的な案件が今後増えるのではないか、とも思いました。ただし、問題意識が明確になり、サイバーセキュリティという自分の目指すべき方向性が定まっても、どのようにしてサイバーセキュリティを弁護士の専門性として確立していくのかはノーアイディアで、Whatは決まったがHowが分からない状況でした。そこで、まずはサイバーセキュリティに関する国家試験の取得から始めました。
問 サイバーセキュリティに国家試験とはどの試験のことでしょうか。
答 IPA(独立行政法人情報処理推進機構)が実施している情報処理技術者試験です。2015年秋に基本情報処理技術者を受けて、2016年春には情報セキュリティスペシャリスト(現在の情報処理安全確保支援士)を受けました。国家試験だけあって問題がよく出来ており、受験勉強を通じて体系的に技術やセキュリティを学ぶことができました。
問 弁護士として事務所を経営しながらの受験勉強は大変だったのではないですか。合格までの期間や勉強時間はどの程度だったのでしょうか。
答 基本情報処理技術者も、情報セキュリティスペシャリストもそれぞれ半年間、勉強しました。独立したばかりで将来も不安でしたので、少しでも自分のキャリアを広げるため、一心不乱に勉強しました。
問 国家試験を受験していた当時から、サイバーセキュリティの仕事が来る見込みがあったのでしょうか。
答 そんな見込みはありません(笑)。合格してからも、サイバーセキュリティの仕事は全くありませんでした。
問 続いて取り組んだのが論文ですね。2017年に、「サイバーセキュリティと企業法務」(ビジネス法務2017年10月号〜2018年1月号)や「情報漏えいと取締役の情報セキュリティ体制整備義務」(中央ロー・ジャーナル14巻3号)として発表なされていますが、これらはひとりでご執筆なされたのでしょうか。
答 修士論文でお世話になった落合教授に再度の指導をお願いしたところ、ありがたいことに快く引き受けてくださいました(?)。
問 論文についても、サイバーセキュリティの仕事につながる見込みはあったのですか。
答 全くありませんでした(笑)。ただ、待っていてもサイバーセキュリティの案件がやってくるわけではありませんので、思いつくことは全てやろうと思いました。誰からも頼まれておらず、それがどうキャリアに活きるかもまったくわからない中で、2015年から2016年に掛けては情報処理技術者試験の勉強、2016年の秋から2017年の春までは論文の執筆、それ以降は留学に向けたTOEFLとGMATの勉強を続けました。土日も年末年始の休みも返上で没頭していました。振り返ると独立してからの数年は生き残るために必死ですね(笑)。
問 論文についてさすがに掲載の当てはあったのでしょうか。
答 それもありませんでした(笑)。2017年の春頃に書き上げた論文を複数の出版社に持ち込んで掲載を依頼したところ、当時は全くの無名であったため仕方ありませんが、なかなか前向きなお返事は得られませんでした。そのため、完成してから掲載していただくまで半年以上の期間を要しました。
問 今やこの法分野の第一人者である山岡先生でも当初はそのようなご苦労をなされていたのですね。そして、さらに米国でも研究したいと感じられたのですか。
答 2019年にUCバークレーのロースクールに客員研究員として渡米しました。最初に聴講したサイバーセキュリティの授業で、米国ではこんなに進んでいるのかと衝撃を受けました。そこから願書を出して、School of Information(情報大学院)というコンピュータサイエンスの大学院に入学しました。
問 衝撃を受けられたのは、どのような教授の授業だったのでしょうか。
答 Chris Jay Hoofnagle教授です。弁護士でもあり、彼の著作は、日本でも板倉陽一郎先生らが翻訳なされた『アメリカプライバシー法――連邦取引委員会の法と政策』(勁草書房、2018)が出版されています。
問 Hoofnagle教授には何かアプローチされたのでしょうか。
答 授業を終えた教授を捕まえて、「自分は日本から来た弁護士で、どうしてもUCバークレーの大学院でサイバーセキュリティを勉強したい」と訴えかけました。彼はLaw School とSchool of Informationの教授を務めており、サイバーセキュリティを学ぶためにはやはり技術を学ぶ必要がある、それにはSchool of Informationが最適だという助言をもらいました。技術的バックグランドが無い私が合格できたのは、Hoofnagle教授とのご縁があったおかげだと感謝しています。
問 コンピュータサイエンスの大学院には、弁護士も多いのでしょうか。
※続きは会員限定
この節の加筆が望まれています。 |
その3
新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か? 第4回 山岡裕明弁護士インタビュー(3/3)(魚拓)より
山岡裕明弁護士へのインタビューの第2回である前回は、法科大学院時代の恩師である落合誠一教授に指導を求めて、仕事の合間を縫って論文を執筆したことで「サイバーセキュリティ」分野での名乗りを上げ、米国UCバークレーのコンピュータサイエンスの大学院でハッカーの攻撃手法を学ぶことで実践的な知見を獲得していった経緯をお伺いした。最終回の今回は、サイバーインシデント対応から派生する法律問題全般に業務が拡大している状況を踏まえて、法律事務所としてどのような方針で採用と人材育成に取り組んでいるのかをお尋ねする。自らはリスクを取って専門分野を確立した山岡弁護士が、経営者としては、留学制度を含めて、アソシエイトが専門性を磨きやすい環境を整備することに取り組んでいるのは興味深い(取材日:2022年10月11日。場所:商事法務会議室)。
第3部 業務拡大の方向性とアソシエイトの採用・育成
問 まだまだ山岡先生のお話をお伺いしていたいのですが、時間も限られているため、八雲法律事務所の業務について話題を移させてください。まず、事務所の名称の由来を教えていただけないでしょうか。
答 私は島根県出雲市出身なのですが、古事記においてスサノオノミコトが詠んだとされる日本初の和歌に「八雲立つ 出雲八重垣」とあることと、近年世界的に普及しているクラウドコンピューティングの「クラウド」も雲を意味していますので、「八雲」と名付けました。
問 インターネット分野のサイバーセキュリティを専門とする山岡先生の業務にぴったりの事務所名ですね。八雲では、現在、サイバーインシデント対応の仕事が何割くらいを占めているのでしょうか。
答 事務所の業務の8割が、サイバー攻撃を受けた企業からのご依頼対応で占めています。ただ、不思議なことに、サイバーセキュリティの専門性が認知されていくほどに、他の法分野の領域の仕事も増えているのが実情です。
問 たとえば、どのような法分野でしょうか。
答 分かりやすいところでは、データ・プライバシーの相談です。使う法律としては個人情報保護法ですね。先ほど、サイバーインシデント対応の一環である当局対応(③)として、個人データ漏えい等に関する個人情報保護委員会への報告業務があると述べましたが、それ以外にもIT企業からの利用規約の見直しやデータ管理の方法の相談は常に来ています。IPO段階のスタートアップ企業からデータ管理の適法性・適切性についての意見書の依頼もあります。
問 なるほど。ほかにはどのような法分野があるのでしょうか。
答 システム開発紛争のご相談も増えています。サイバーセキュリティ事案対応を通じて向上したプログラミングやネットワークの知識は、エンジニアやIT企業からの信頼を得るためには大きく役立っています。また、実際の紛争対応においても、事実関係を把握して主張、立証を組み立てるにあたって、技術の知識があると有利だと思います。建築紛争において建築の知識がある場合や医療紛争で医療の知識がある場合に有利なのと似ていますね。
問 ほかにも関連する法分野があるのでしょうか。
答 最近は、独占禁止法に関連した依頼も増えています。サイバーセキュリティでは、サプライチェーン問題があり、取引先にサイバーセキュリティ体制の構築を要請するニーズがあるのですが、「過度な要求をして、優越的地位の濫用の問題が生じないかどうか?」という相談もあります。
問 そういえば、八雲法律事務所の笠置泰平先生は、公正取引委員会の審査局に勤務されていたのですよね。
答 はい、笠置弁護士は、公取委で優越的地位の濫用に関する事件を始めとするさまざまな事件を担当していたので、競争法が関わる事案では本当に助かっています。
問 そのほかにも関連する法分野があるのでしょうか。
答 労働法分野の依頼も増えています。取引先企業への従業員のデータ管理をどうすべきかとか、データを持ち出したかもしれない従業員の調査や処分に関する相談です。こうした相談については、使用者側の労働法務で有名事務所に所属していた星野弁護士が活躍してくれています。
問 データの持ち出しに関するアドバイスでは、労働法に加えて技術の知見も求められそうですね。
答 はい、証拠を残しておくためのログの取り方を工夫しなければなりません。不正競争防止法上も、秘密として管理しなければならないですが、どうやって秘密として管理するかはシステムの話になってきます。
問 笠置弁護士の競争法しかり、星野弁護士の労働法しかり、既存の専門性がサイバーセキュリティと交叉することで、八雲の業務範囲を広がるとともに、彼らの専門性にも新たな価値が加わりキャリアが拡がっていくのは嬉しいですね。
答 八雲法律事務所の業務範囲が広がっていくことは確実なのでしょうが、将来的にどの程度の規模の事務所を目指されているのでしょうか。
設立から4年で弁護士13人の事務所に成長しました。数を追うつもりはありませんが、案件に必要な弁護士を確保していくだけでも、当面は採用に積極的です。
問 所属弁護士数が増えていくと、仕事の質を担保するためのトレーニングの問題が出てくると思いますが、意識していることはありますか。
答 「法律×テクノロジー」というユニークなキャリア形成を実現するためのトレーニング方法は4つ意識しています。1つ目は、やはりオン・ザ・ジョブ・トレーニング(OJT)。インシデント・レスポンスでは、必ず3人でチームを組んで対応します。その中で問題となっているハッキングを私が実演して見せたりして、技術的な理解を深めてもらっています。2つ目は、情報処理安全確保支援士の国家試験の受験を推奨しています。体系的にセキュリティを学ぶことで実務経験との相乗効果が期待できます。3つ目は執筆です。私が2016年から2017年に掛けて初めて執筆して出版社を行脚した頃とは隔世の感がありますが、ありがたいことに常時執筆のオファーをいただけるようになりました。最近は私、中堅、若手の3名で共同執筆するようにして、若手が実務経験を言語化して体系的に思考を整理する機会にしています。若手も執筆実績が増えるので意欲的に取り組んでくれています。4つ目は、外部講師を招いた勉強会です。経験豊富なエンジニアに来てもらって、最新の技術やIT業界のトレンドに触れる機会を提供しています。技術的知見を高めるだけでなく、好奇心を刺激する場にもなっています。
問 英語力を伸ばすためのトレーニングは何か制度を設けられているのでしょうか。
答 育成方針の一環として、今年、留学支援制度を設けました。私も米国留学で大きな学びを得たので、同じようにキャリアを広げてもらいたいと願っています。
問 それは留学中の休職を認めるだけでなく、留学費用の援助も含まれるのでしょうか。
答 学費は事務所が全額負担することにしています。
※続きは会員限定
この節の加筆が望まれています。 |