「米国におけるサイバーセキュリティ法制と訴訟リスクの検討(下)」の版間の差分
>チー二ョ (ページの作成:「{{Pathnav|ビジネス法務|frame = 1}} <b>米国におけるサイバーセキュリティ法制と訴訟リスクの検討(下) </b> <br> <pre> カリフォルニア…」) |
(相違点なし)
|
2021年8月18日 (水) 10:06時点における版
米国におけるサイバーセキュリティ法制と訴訟リスクの検討(下)
カリフォルニア大学バークレー校公共政策大学院。201 2年総務省入省。通信の秘密.インターネット上の違法・有害情報対策 .サイバーセキュリティに関する政策の立案に携わる。 馬場厚史
八雲法律事務所 .弁護士。カリフォルニア大学バークレー校情報大学院。2010年弁護士登録。情報セキュリティスペシャリスト。情報法を専門とし,内閣サイバーセキュリテイセンターサイバーセキュリティ関係法令の調査・検討等を目的としたタスクフォース構成員を務める。 山岡裕明
情報通信技術の進展に伴い企業活動におけるサイバーセキュリティの重要性が高まっている。米国では.企業活動におけるサイバーセキュリティに関して.連邦レベルおよび州レベルにおいてそれぞれ関連規制を制定しているほか.業界ことの自主基準の策定や民事訴訟を含む判例法理の形成など複層的な規制体系が構築されているところである。
本稿では,米国での企業活動に際して留意すべきサイバーセキュリティの規制・基準訴訟類型について2回にわたり概括的に紹介する。第Iに連邦レベルでのサイバーセキュリティ規制を取り上ける。第2に州レベルでのサイバーセキュリティ規制を取り上ける。第3に企業のサイバーセキュリティに大きな影響を及ほす自主基準を紹介する。最後に企業活動に最後に際して直面し得る訴訟類型を取り上げる。
Ⅲサイバーセキュリティにおける自主基準・ガイドラインの取組み
サイバーセキュリティに関する技術は日進月歩であることから,企業が従うべき具体的な基準を法律をもって策定するという従来型の規制手法が効果的でない分野とも言える。このため,政府機関および業界団体においては,法的拘束力のないベストプラクティスの共有および自主的なセキュリティ基準の策定の取組みが積極的に進められている。 本章では,最も重要な基準としてSTサイバーセキュリティフレームワークを取り上げるとともに,業界における先進的事例としてクレジットカード業界の自主基準を紹介する。
1 NISTのサイバーセキュリティフレームワーク
アメリカ国立標準技術研究所(NIST :National Institute of Standards and Technology) は, 2014年2月に,重要インフラ(Critical Mrastructure)事業者向けにサイバーセキュリティのリスクマネジメントを主な内容としたサイバーセキュリティフレームワーク (Cybersecurity Framework)を策定・公表した。2018年には改訂版[1]が公表されている。 同フレームワークの採用は任意となっているが,多くの企業が採用するデファクトスタンダードになりつつあり, 2017年5月に署名された大統領令[2]により,政府機関に同フレームワークの活用を義務づけた。 わが国においても,経済産業省および独立行政法人情報処理推進機構が公表している「サイバーセキュリティ経営ガイドライン」において同フレームワークの考え方が取り入れられている[3]。
2クレジットカード決済に関する業界基準
PCIデータセキュリティスタンダード(PCI DSS : Payment Card Industry Data Security Standard)は,世界の主要クレジットカード会社(American Express, Visa, MasterCard , JCB ,およびDiscover Financial Service)で構成される団体が制定したクレジット決済に係るセキュリティ業界基準である。情報漏えいおよびそれに続くなりすまし被害を防止することを目的に,手続上および技術上のルールを12の要件として定めている。クレジッ カード決済を導入している企業は,同スタンダードに準拠することが要求される。 PCI DSSは業界の自主基準ではあるが,その内容が州法によって引用されたり[4],情報漏えいに関する訴訟における企業の注意義務の認定にあたって参照される[5]など,大きな影響力を有している。
Ⅳサイバーセキュリティに関連する訴訟類型
サイバー攻撃によって個人情報の漏えいが発生すると,連邦取引委員会(FTC)をはじめとする行政機関から訴追を受ける可能性があるほか,消費者・株主・関連企業からの訴訟リスクにも直面することとなる。 本章では,これらサイバーセキュリティに関連する訴訟類型について触れる。
1行政機関の執行に起因する訴訟
サイバーセキュリティに関して企業が直面し得る訴訟類型として最も重要なものは,前号のIおよびⅡで紹介した規制に基づいた規制機関からの執行およびそれに続く訴訟である。サイバーセキュリティに関する規制機関としては, FTCの存在感が大きく,企業としての関心も高い。FTCは,審査の後,同意命令(consent order)を発して,違反行為者が応じることによりその審査を終了させることが多いが,違反行為者が同意命令に従わない場合は, FTCは,訴訟を提起することとなる。訴訟に至った代表的な事例として, ホテルチェーンであるウインダム社における個人情報漏えい事案[6]がある。
2消費者からのクラスアクション
個人情報漏えい事案において,みずからの情報が漏えいした個人による,情報漏えいを招いた企業に対する損害賠償請求訴訟があり,その多くはクラスアクションの形式をとる。 たとえば,不正アクセスによりソニーのプレイステーションからユーザーの個人情報および決済情報が漏えいした事件において,ソニーがその管理するネットワーク内に保管された原告らの情報を保護するための合理的なセキュリティ(業界水準の暗号化など)の提供を怠ったとしてクラスアクションが提起されている[7]。
3株主代表訴訟
十分なサイバーセキュリティを実施していなかったことが取締役の義務に違反するとして,株主から取締役に対して株主代表訴訟を提起される類型である。 たとえば,小売りチェーンであるHome Depot社からの情報漏えい事案において,取締役が十分なサイバーセキュリティのための安全措置を実施しなかったことが会社に対する忠実義務に違反するとして株主代表訴訟が提起されている[8]。
4サイバーインシデントに起因する企業間
サイバーインシデントに起因して関連企業間で責任の分担に係るさまざまな訴訟が発生する場合があるクレジットカードの不正利用に係る金融機関と小売店との間の係争が代表的な例である。 また,第三者によるサイバー攻撃により情報を窃取された企業と,当該企業と保険契約を締結している保険会社との間において,保険金の支払条件を定める文言の該当性をめぐって訴訟が生じている。たとえば保険約款上,「個人のプライバシーを侵害する情報の公表(publication)」が支払条件となっている場合において,「公表」が企業の積極的行為によるものに限定されるのか,外部のハッカーによる窃取行為による場合も含まれるかが争点となり,裁判所の判断は事案により異なっているのが現状である
Vまとめ
以上,本稿では,米国におけるサイバーセキュリティについて,連邦レベルおよび州レベルでの規制,業界の自主基準,関連する訴 訟類型に分けて概観を紹介した。 これらサイバーセキュリティの法体系は, 企業にとって第一義的にはサイバー攻撃によ る被害を防ぐ観点,副次的にはサイバーインシデントが発生した場合の法的な責任を限定する観点から重要となる。米国における企業活動においてはもちろん,日本における事業においても,参考になると考えられる。
スキャン画像
脚注
- ↑ NIST「Cybersecurity Framework Version 1 .1」( 2018年4月)
- ↑ 大統領令「Strengthening the Cybersecurity of Fede「Networks and Critical lnfrastructure」(2017年5月)
- ↑ 経済産業省ほか「サイバーセキュリティ経営ガイドラインVer2.O」(2017年11月)
- ↑ NEV.REV.STAT.§603A.21 5(1)およびWASH.REV.CODE§19.255.020
- ↑ Inre Hannaford Bros. CO. Customer Data Sec. Breach Litig.. 613 F. Supp. 2d 108 (D.Me. 2009)
- ↑ In re Hannaford Bros. Co. Customer Data Sec. Breach Litig., 613 F.. supp. 2d 1 OB (D.Me.2009)
- ↑ In rerony Gaming Networks a Customer Data Seo. Breach Litig.,996 F.Supp. 2d 942 (S.D.Cal.2014)
- ↑ In re the Home Depot, Inc. Shareholder Derivative Litig.. 223F. supp. 1317 ( N.D.Ga.2016 )