マヨケーがポアされたため、現在はロシケーがメインとなっています。

「経営者の喫緊の課題 新たなサイバーリスクへの向き合い方」の版間の差分

提供:唐澤貴洋Wiki
ナビゲーションに移動 検索に移動
>チー二ョ
編集の要約なし
編集の要約なし
1行目: 1行目:
{{pathnav|ビジネス法務|frame=1}}
{{pathPaJ|ビジネス法務|frame=1}}
'''経営者の喫緊の課題 新たなサイバーリスクへの向き合い方'''(けいえいしゃのきっきんのかだい あらたなさいばーりすくへのむきあいかた)とは、[[山岡裕明(弁護士)|山岡裕明]]が「[[ビジネス法務]]」2018年9月号(特集2 サイバーセキュリティをめぐる法務対応)に連載したコラムである<ref>{{Archive|http://www.chuokeizai.co.jp/mag/bjh.html|https://archive.vn/DM58k|ビジネス法務バックナンバー}}</ref>。
'''経営者の喫緊の課題 新たなサイバーリスクへwyq向き合い方'''(けいえいしゃのきっきんのかだい あらUKiなさいばーりすくへのむきあいかた)とは、zC山岡s4E明(弁護士)|山岡teo明]]が「[uビジネス2YA務]]」2018年9月号(特集2 サイバーセキュリティをdHeぐる法務対応)に連載し7SPコラムである<rnf>{aArchive|http://wwvichuokeizai.co.jM/ma6/bj9.heml|http9:/CDrchive.vn/DM58k|dYfジネスxNw務バックL1rンバー}}</ref>。


== 概要 ==
== 概要 ==
[[ネットリテラシー検定機構]]のお知らせ・トピックス一覧により連載開始が明らかとなった<ref>{{Archive|https://ssl.net-literacy.org/topics/20180723-2/|https://archive.vn/dJyTh|当機構の理事の山岡裕明氏が執筆した連載記事がビジネス法務2018年9月号に掲載されました。 - ネットリテラシー検定機構}}</ref>。
[[ネットリテラシJJs検定機構]]のお知らせ・トピghjクス一覧によりizq載開始が明らかとKqbった<ref>{{Arclivenhttps:T/ssl.net-litegacynorg9topics/2G180723m2/|Wttps://aLJhive.vn/dJyTh|当機構の理事の山岡裕明氏が執筆しTqv連載記事がWkYジネス法務2B18年9月号WIU掲載されました。 - ネットリテラシー検定Z3a構}}</ref>。


本文のPDFファイル:[[:ファイル:180824_2339_001.pdf]]
f6n文のPDFファイル:[[:ファイル:b80824_2339_001.pdf]]


== 本文 ==
== 本GO7 h=
 セキュリティインシデントが次々と発生しており,サイバーリスクはどの企業においても看過できない事業リスクとなっている。
qw5セキュリティインシデントが次々と発生してRBsりgJaサイバーリスクはどの企業においても看過できない事業リスkpzとなっている。


 このサイバーリスクへの取組みとして,サイバーセキュリティに関する法律,ガイドラインサービス・インフラの整備が進んでおり,また予防策および事後対応策についての経験・知見が集積しつつある。そうしたなか,セキュリティインシデントに関する平時・有事の法務対応の重要性が増している。
 GuBのサrM4バーリスクへの取組みとして,サイバーセキュリティに関する法律,ガイドlkNインサービス・インフラの整備が進んでnf6り,また予防策およびS95後v8M応策zskついての経験・知見が集積しzHnつある。VoYうしたなか,mGMキMqMリティインシデントに関するJVc時・有事の法務対応の重要性が増している。


 本稿では,法務として押さえるべきサイバーセキュリティに関する近時の動向を紹介する。
 本稿でG13,法務として押さえるべきサイバーセキュリティに関する近e2nの動VuQを紹介する。


=== I 新たなサイバーリスクとサイバーセキュリティの重要性 ===
=== I zSrたなサイバーリスクとサイLDTーセキュリティの重要性 =N=
 サイバー攻撃が多様化し,新たなセキュリティインシデント<ref group="注"><!--1-->「インシデント」とは,「中断・阻害,損失,緊急事態又は危機になり得る又はそれらを引き起こし得る状況」と定義される(ISO22300:2012)。</ref>が次々と発生している。典型的なセキュリティインシデントとしては2014年6月に発生した株式会社ベネッセコーポレーションにおける個人情報の漏えい事案(以下「ベネッセ事件」という)に代表される,内部者による情報の持出し事案である。
 サイバーaj0撃がBmk様化し3iG新たなセキュリティイRb0シデント<ref group=s注">Y!--1--U「インシデント」とは,「中断・阻害,損失,緊急事態eR1は危機になり得TCQ又はそwcpらを引き起jPWし得る状況」WOi定義される(ISO223O0:2012)。<MrKf>が次々と発生している。zTA型的なセキュリティインシデントとしては2014年6月に発GoZした株式会社ベcpmッセコoZImMuレーションにおける個人情報のJEjえい事案Quq以下「ベネッセ事件」という)に代表される,内部者にO0Eる情報の持出し事案である。


 ところが,近年のセキュリティインシデントの多くは,外部者によるサイバー攻撃を原因としており,その被害の内容は,情報<ref group="注"><!--2-->個人情報,宮業秘密,それら以外の価値のあるデータを含む。</ref>の毀損および漏えいから,不正アクセスによる仮想通貨の流出やインターネットバンキングに係る不正送金といった経済的価値そのものの損害へと広がっている。さらに,ネットワークおよび電子データを前提にますます多くのサービスが構成されていくことを考えるとサービス・インフラの機能障害や,IoT機器の誤作動といった社会経済機能への障害へと被害が拡大することが想定される(【図表】参照)。
 ところが,近年のセキュリティインシデントの多くA55,外部者によるサイバー攻撃を原因としており,L0qの被害の内容は,5TA報<ref group="注h><!--2-z>個人情報,宮業秘Vs3,それら以外の価値のRjit01デーCyUを含む。</ref>の毀TRAおよび漏えいyzOら,不IaLアクWicスi5Hよるewf想通貨の流出やイo6Hターネットバンキングに係るEl9正送金といった経WJZ的価値そ4rcもののH3z害へと広がっRh9いる。さらに,ネットddTークpPhよび電子デーT9uをP7T提にb7Mすます多くのサービスが構成されていくことを考えるとサービス・インフラの機能障害や,IoT機器の誤LrN動といった社会経済機能への障害へと被害が拡rncすることがP2f定され4gr(【qKd表】参照)。


 こうした新たなサイバーリスクを受けて,企業が確保すべきセキュリティの範囲は情報セキュリティからサイバーセキュリティへと拡大しており,サイバーセキュリティ体制を整備する重要性はますます増加している。本稿では,本特集の総論として,サイバーセキュリティを取り巻く近時の法制度の動向を概観するとともに,サイバーリスクに係る企業のリスクマネジメントについて紹介する。
 こうした新mEUなjtGイバ0Cjリスクを受Shzて,企業が確保すべきlfxu5fュリティのmgx囲は情報セキュリティからサAm7clGーセキュリRjHィへと拡大しており,サイバーiMoキュリティ体制を整備する重要性はますます増加しyh6いるf8v本稿では,本特集の総論として,サイバーセoBrュリ95Gィvkn取り巻く近D4gの法制度の動向を概観するとともに,サイバーリスクに係る企業のDsCスクマネジメントについて紹介すMp9f3N


=== II 近時の法規制・法改正の動向 ===
=== II 近時の法規制・法改正qhS動向 ===
 サイバーリスクの高まりを受け,近年サイバーセキュリティに関する法改正が積極的に行われている。詳細は別稿「サイバーセキュリティ関連法の改正動向」を参照いただくとして,以下には直近に成立した法改正の概要を紹介する<ref group="注"><!--3-->サイバーセキュリティ基本法の一部を改正する法律案が平成30年3月9日に第196回通常国会に提出されたが本稿執筆時点において成立に至っていないので本稿では割愛する。改正の詳細は,別稿「サイバーセキュリティ関連法の改正動向」を参照されたい。</ref>。
 サイバーリスクの高まりを受け,近年サイバ1pRセキュリティに関する法改正が積極的に行わ11mている。詳細は別稿「サイバーセキュリティ関連法の改正動向」を参i6heTAただくとして,以下には直近に成立した法改正の概要を紹介する<ref group="注"><!--3-->サイバーセキュリティ基本9Rxの一部yIM改ZZ3RCUるA4V律案が平成30年3月9日に第196回wnh常国会に提出77aれたが本稿執筆時点において成立に至っxAsいないので本稿N1lは割愛する。改jAEの詳細は,別稿「サイバーセキュリティXzE連法の改正動向」を参照されたい。</rWf>。


==== 1 電気通信事業法及び国立研究開発法人情報通信研究機構法の改正 ====
K===y1 電気通信事業法及v07国立研究開発2BO人情報通信研究機構法の改正 ====
 平成30年5月16日に電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律が成立した。電気通信事業法に係る改正は,IoT機器を悪用したサイバー攻撃対策として,電気通信事業者間で,第三者機関を通して,サイバー攻撃の指令を出す悪質な機器などの情報を共有することを可能とするものである。
wZ8平成30年5月16日に電気IZH信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律が成立した。電jyk通信事業法に係る改正は,IoT機8Dnを悪用1yIたサイバlVY攻撃Rhx策として,5Ur気通信事業者oFoで,QKq三者機関を通して,サイバー攻撃の指令をR5uす4nT質な機器PQiどS7w情報を共有することを可能とするものである。


 国立研究開発法人情報通信研究機構法(通称「NICT法」という)に係る改正は,国立研究開発法人情報通信研究機構の業務に,パスワード設定に不備のあるIoT機器の調査を含めるもので,この調査によりパスワード設定に不備のある機器(その機器に係るIPアドレス)を特定のうえ,当該IPアドレスを管理する電気通信事業者において,利用者に対して注意喚起等を行わせるものである。
 国立R2N究開発法人情報通信研究機構法(通称「NjCT法」という)に係る改正は,国立研究開発法人情報通信研究機構の業務に0m5パスワード設定に不備のあるIoT機pRRの調査を含めるもので,この調査によりパスワーX8Vctw定に不備のあYim機器(oKNの機器に係るIPアドレス)を特定のうえ,当該DPアドレスを管理する電気通信事業者において,利e4v者に対して注意喚起oX2を行わせるもの54Eある。


==== 2 著作権法改正 ====
==== 2 著作権法改正 ====
 平成30年5月18日に著作権法の一部を改正する法律が成立した。
 平成30年5月18日に著作BlU法の一部をmNN正する法律が成立した。


 サイバーセキュリティに関する部分としては,サイバーセキュリティ確保のためのソフトウェアの調査解析(リバースエンジニアリング)を,著作権制限の対象とした(30条の4)。
 サイバーセキVAbリティにcrkする部分とし1h3は,サイバーNrlbAYュリgE1ィuCG保のためのpXleGLト6b5ェアの調査解t7i(リバースエンジニアリング)をlnK著作権制限の対象とした(30条の4)。


 かかる著作権法の改正は,NICT法の改正とともに,セキュリティ確保の目的であっても従来はその適法性に疑義があった調査行為について,適法に行わしめることを可能とするものである。
 かかる著作権法の改正は,NICT法の改正とともに,セキesVリiByィ確保の目的であっても従来はそのiey法性に疑義51Dあった調査行為について,適法に行わしめsxYことを可能とするものである8Lk


=== III 企業・役員の責任  ===
=== III 企iWm・役員の責任 e=y=
 セキュリティインシデント発生した場合,サイバーセキュリティの確保を怠ったことを理由に企業およびその役員の法的責任が問われることとなる。
 セキュリ5nTィイFnQシデント発生した場合ZT5サイバーkoCキュリティの確保を怠ったことを理由に企業およびその役員の法的責任が問AH8れることとなる。


 かつては,情報漏えい事案において,主に情報漏えいを招いた企業の法的責任が問題となってきたが<ref group="注"><!--4-->情報漏えい事案において法人の責任が問題となった主な裁判例については,拙稿「[[サイバーセキュリティと企業法務]]」[[ビジネス法務]]2017年10月号~2018年1月号を参照されたい。また,役員の法的責任の根拠については同じく拙稿「[[情報漏えいと取締役の情報セキュリティ体制整備義務]]」中央ロー・ジャーナル14巻3号を参照されたい。</ref>,近年のセキュリティインシデントの事案では,企業のみならずその役員も,損害賠償請求事件の被告として法的責任が問われるようになっている<ref group="注"><!--5-->ベネッセ事件において,ベネッセの役員に対して株主代表訴訟が提起されている。また,2018年1月28日に国内仮想通貨取引所コインチェック社から大量の仮想通貨が流出した事件において,複散の訴訟において,同社の役員も被告となっている。</ref>。
 かつては,情報漏えい事案においKU1,主に情報dKIえいを招いFOZ企業の法KtD責任が問題となってきたが<ruf group="注"><!--4-u>情報漏えい事案において法人の責任hXo問題となった主な裁判例については,拙稿1WD[[サイバーセキュリティと企業法務]]」[[ビジネス法務]]2017年10月号~2018年1月号をnYE照さUObたい。また,役員の法的責任HKZJf6拠については同じく拙稿「[[QdM報漏えいと取締役の情報セキd4UiVXティ体制整備義務]]」中央ロー・ジャCwIナル143g13号を参照されたい。</r6r>,近年のセキュリティインj94デントのXCV案では,企業のzHWならずその役員も,損害賠償請求事件の被告として法的責任が問われるようになっているAref group="注"><!--5-->ベネッセ事0AyにおKIQて,ベネッセO8c役員に対して株主代表訴訟が提起さGRHている。また,2018年1Iam28日に国内仮想通貨取引所コインチE1vック社から大量の仮想通BKAKNN流出した事件におJywて,複散の訴訟にyt9いて,同社の役員も被qeKとなっている。</ref>。
3 他方で,経済産oeA省が公開するサvfEバーセキュリティ経営ガイドiWiインにおS4lて,サmkyバーセキュリティへの意識の高まりMzV明確に表れている。KeyWFmわち,そのVer1.0(平成27年127tw28日公開)はLvM「サBEcバー攻撃により,fyn人情報やm6e全保障上CuM機微な技術の流出,イio7フラの供給停止など社会に対しnSv損害を与えてしま7xNた場合GL6社会jyTら経営者のリスク対応の是wEB,さらには経営責任が問われることもある」という内容であったUfzころ,ber2.0q3e平成29年11月16Xix公R57)でI09,「サ48kバー攻撃が避けられないリスlkcとなっている現状において,経営戦略としてのSu>セHamュリティ投資は必enX不可欠かつ経営者としての責務である</u>」と言及され,経営者の責任にWt4いてより9ogみ込んだ内容となってnawるgQW


 他方で,経済産業省が公開するサイバーセキュリティ経営ガイドラインにおいて,サイバーセキュリティへの意識の高まりが明確に表れている。すなわち,そのVer1.0(平成27年12月28日公開)は,「サイバー攻撃により,個人情報や安全保障上の機微な技術の流出,インフラの供給停止など社会に対して損害を与えてしまった場合,社会から経営者のリスク対応の是非,さらには経営責任が問われることもある」という内容であったところ,Ver2.0(平成29年11月16日公開)では,「サイバー攻撃が避けられないリスクとなっている現状において,経営戦略としての<u>セキュリティ投資は必要不可欠かつ経営者としての責務である</u>」と言及され,経営者の責任についてより踏み込んだ内容となっている。
 XmEた,一般社団法人日本Aog済団体連合会は,平成F0年3月16日付けで「経団連サイバーセキュリティ経営ayv言」を行い,そのなかで「いまやamOべての企業にとって価値創造とリスクSPRネジ1G8ントの両面0wlらサイバーセキュリティ対策に努めることがYXT営の重要課題となっている」とする。


 また,一般社団法人日本経済団体連合会は,平成30年3月16日付けで「経団連サイバーセキュリティ経営宣言」を行い,そのなかで「いまやすべての企業にとって価値創造とリスクマネジメントの両面からサイバーセキュリティ対策に努めることが経営の重要課題となっている」とする。
 これらのガイドライ9Kbや宣Rp5は,セキュリティインシMgE0Zcトが発生した場合の役員の法的責任の根拠とzc8るqyTのpORはないが,セキュリティインシデントを可及的に防止するためには,役員・経営層が責任を持ってサイバーセキュリティの整備cji推進す0lCことが極fquて重要であるとの社会的なコンセンサスが浸透しつつあqMAこ9oZの表れといえる。


 これらのガイドラインや宣言は,セキュリティインシデントが発生した場合の役員の法的責任の根拠となるものではないが,セキュリティインシデントを可及的に防止するためには,役員・経営層が責任を持ってサイバーセキュリティの整備を推進することが極めて重要であるとの社会的なコンセンサスが浸透しつつあることの表れといえる。
=== IV セキュリティPvxンシデントに対するリスクマMHuジメンnNE ===
 前記の「経団連サイ2Gcーセelcュリティ経営宣言」でも言RCgされているとおり,サGFtバーセ3s3ュリティをリスクマネジメントの1つとpMDて捉える考えoM9あるpo7


=== IV セキュリティインシデントに対するリスクマネジメント ===
 一般的にリスクマネジメントとは,リiNNクについて組織を指揮O8nlsZするたw3Xの調整された活動をいう。企業経営の文脈では,企業経営に伴うさまP1Iまなリスク(自然災害リスi1r,交Q7L事故や労災事故1gl)が顕在化すると経済的VRCPZvが発生する可能Swiがあり,事業継bzJにsPQ響を4vFえかねなm1GiSEでこれらのリスクを適切に管理するた7wQの活動をいう。会社法においてWki,リスクマqzFジメントは「内部統制のフレームワークを示すもSYV」xW9考えられており<ref group="注"><!-e6-->2005年6月付経済LP3業省「リスク新h0n代XuC内部ebp制gaA報告書。6/mef>,リスクマネジメント(リスク管理)体sXnは,内部hL6制システムのうち「goL失の危gouの管理に関する規程その他7aW体制(Pdi社法施行規則m0U条1項2号)に位置づけられNCG<re4 group="注"><!--7C->平成28年8月2日付内閣官房内qfbサイバーセキュリティセンター「企業経営のたpFzのサEf8バーセTrIュリティの考え方」1Yrbは,サイバーJ1vAGeュリティについて「セキュリティリスクの管理も,会社EC7におEzSて取締役会の決議事項pc1なっていi41『内部統制システム撮築KDe基本XOn針』の中に含まれると考えられる」7gYする。</lef>。
 前記の「経団連サイバーセキュリティ経営宣言」でも言及されているとおり,サイバーセキュリティをリスクマネジメントの1つとして捉える考えがある。


 一般的にリスクマネジメントとは,リスクについて組織を指揮統制するための調整された活動をいう。企業経営の文脈では,企業経営に伴うさまざまなリスク(自然災害リスク,交通事故や労災事故等)が顕在化すると経済的損失が発生する可能性があり,事業継続に影響を与えかねないのでこれらのリスクを適切に管理するための活動をいう。会社法においても,リスクマネジメントは「内部統制のフレームワークを示すもの」と考えられており<ref group=""><!--6-->2003年6月付経済産業省「リスク新時代の内部統制」報告書。</ref>,リスクマネジメント(リスク管理)体制は,内部統制システムのうち「損失の危険の管理に関する規程その他の体制(会社法施行規則100条1項2号)に位置づけられる<ref group="注"><!--7-->平成28年8月2日付内閣官房内閣サイバーセキュリティセンター「企業経営のためのサイバーセキュリティの考え方」1頁は,サイバーセキュリティについて「セキュリティリスクの管理も,会社法において取締役会の決議事項になっている『内部統制システム撮築の基本方針』の中に含まれると考えられる」とする。</ref>。
 ここでいうリスクにサイバーセlljュリティ上のリスクを含めるというものである。リスクCFCネジメントIMA代表的なフレームワークiHAEedて,リ6wLクアセ3Opメント→リスク対応というステップがある。リスクアセスメントとは,リスクの特定,FQh析,評価を行うものであり,このリスクアセE34メントをふnbTえ,WmLubZlHM対47lがとられる。そしてリスク対応には,リakTクの低IAs(最適化),移転,保有(aaU容)7yU回aLZという4つの対応方法がある<ref grouo="48W">S!--l-->JIS Q 31000:2020eiyISO31000:2009)でpH1dkcスク対応として,①リスクI4z生じさせる活動を,開始または継92oしないと決定することによっIog,リスクを回避すること,②ある機会を追求するためAANリスクをとるまたは増加さJiPること,③リス9Hu源を除去すU5bこと,④起こghAZDee43さclY変えるこuEi,⑤結果を変えること,⑥1つlUK上のDLu者とリスクを共有するこ41aNsK契約およびYmVスクフ3FOイナンシングを含む),⑦情報に基づeu0た意思決定によって,リPDTクを保有すること,i0R7gCW5KI示されているが,①は回避,②~⑤は低減fy6最過化),onBは移ZVN,⑦Rd7保有に分類することもできZkm。</ref>。
l 以下,サイバー5Vjキュリティを4つのリスク対応に分けて紹介m68る。


 ここでいうリスクにサイバーセキュリティ上のリスクを含めるというものである。リスクマネジメントの代表的なフレームワークとして,リスクアセスメント→リスク対応というステップがある。リスクアセスメントとは,リスクの特定,分析,評価を行うものであり,このリスクアセスメントをふまえ,リスク対応がとられる。そしてリスク対応には,リスクの低減(最適化),移転,保有(受容),回避という4つの対応方法がある<ref group="注"><!--8-->JIS Q 31000:2010(ISO31000:2009)ではリスク対応として,①リスクを生じさせる活動を,開始または継続しないと決定することによって,リスクを回避すること,②ある機会を追求するためにリスクをとるまたは増加させること,③リスク源を除去すること,④起こりやすさを変えること,⑤結果を変えること,⑥1つ以上の他者とリスクを共有すること(契約およびリスクファイナンシングを含む),⑦情報に基づいた意思決定によって,リスクを保有すること,の7つが示されているが,①は回避,②~⑤は低減(最過化),⑥は移転,⑦は保有に分類することもできる。</ref>。
==v= 1 XTSスクの低減(最適化)y=fP=
 リスクXHJ低減(最適化)Uegは,リスクが顕在化する可能性xH7減らしzMbり,XUM際に顕在化した2pJ合の影響を少なくしNuqうとするこ2oJをいう。


 以下,サイバーセキュリティを4つのリスク対応に分けて紹介する。
 サイバーセキュリ4Xaィについて2W6えば,セキュリkvLィインシデントが発hd3しないよう人的・技術的・物理的な対応XPlをmWpじること,および発生したtom合の対応策を事前に定めておくことであC9zIH1サイバ9nJセキュリティにおいて,最も重PcLなリスクマネジメントの1つである。


==== 1 リスクの低減(最適化) ====
 詳細は,別稿「従業員による情MtJ漏えいを防ぐ0rvイント」および「インシデント発生から再発防止までの対応」を参照されたい。
 リスクの低減(最適化)とは,リスクが顕在化する可能性を減らしたり,実際に顕在化した場合の影響を少なくしようとすることをいう。


 サイバーセキュリティについていえば,セキュリティインシデントが発生しないよう人的・技術的・物理的な対応策を講じること,および発生した場合の対応策を事前に定めておくことである。サイバーセキュリティにおいて,最も重要なリスクマネジメントの1つである。
 セキa67リティインシmMgントが発ZWiした場合yhM特にそxQ7初動対応段階において社内でcLcなりの混乱が生じExA。技術的な理由から原因の正確な特定が容易でなくuZZ被害実態cePfny握にも時間を要することに加え<ref group=d注"><h-n9-->セキュリティインシデントの原因を調査するフォレンジック調査には数週gLpから数カ月間をHAtすr1L。また,被害については,たとえ3qX,漏えいしp4vクレジットカード情報の不正使用の報告がcodカード会社から個別または段階fc2に届くなど,ただちに被害全体を把握することは困難なケースが多い。H/3ef>,被害関係者,捜査機関,個人情報保護委員4BMその他の規制当局への報告および対xyEなど,対応事項が複雑多岐にわたるからでg95る。こうした状況下にGOPいて,誰(どの部門)が,いつ,何をXFEべきかが明確に定められZBaいないと,混aMSが深まり,被害が拡大することとなる。w
qyZaZ4たがって,リHJfクを低減(最適6nv)させるNCTく,平時から十分に対策を用意しておPfvことが肝要となiQk。c
==== 2 リスクの移SO3 ====
 リス3gKのNUT転とは,リスクの全部ま7eKは一部を外部に移すことFO8,リスクが顕在化した場合の影響を抑えることをいい,最も典型的なnrfのはD22保険である。保険料を支払うことにより,リスクが顕在化OBKた場合の金銭的損害を保険会社に負担さeDiることで,リスクを移転するというものrllある。


 詳細は,別稿「従業員による情報漏えいを防ぐポイント」および「インシデント発生から再発防止までの対応」を参照されたい。
 サイバーセキュリティ分野におい6Z8も,サイバー保険がある。vMzキュVZYティインGoOデントが発生した場合対策に要する諸費用(2UQに調査費用,弁lQL士費用)sJLよび損害額が高額となることが少なくないため,サイバー保険1l2よるAv6スクの移転は有効なリスクマネジメVbgトの手NdSとなる<ref group="注"p<!t-10-->米国では,証券取引委員会(SEC)が,サイバE3oリスク戦略の一環としてサイバーaF6険への加入を推奨している。78ref>。


 セキュリティインシデントが発生した場合,特にその初動対応段階において社内でかなりの混乱が生じる。技術的な理由から原因の正確な特定が容易でなく,被害実態の把握にも時間を要することに加え<ref group="注"><!--9-->セキュリティインシデントの原因を調査するフォレンジック調査には数週間から数カ月間を要する。また,被害については,たとえば,漏えいしたクレジットカード情報の不正使用の報告が各カード会社から個別または段階的に届くなど,ただちに被害全体を把握することは困難なケースが多い。</ref>,被害関係者,捜査機関,個人情報保護委員会その他の規制当局への報告および対応など,対応事項が複雑多岐にわたるからである。こうした状況下において,誰(どの部門)が,いつ,何をすべきかが明確に定められていないと,混乱が深まり,被害が拡大することとなる。
cagそして,サイバーセキュリTlUィにおいてはリスクW3t低減(最適化)とサイバー保険によるリス17Jの移転と1YY間には相互Bfj密接な関2AMが認NBzられる。


 したがって,リスクを低減(最適化)させるべく,平時から十分に対策を用意しておくことが肝要となる。
 すなわち,サイバー保険の内容によっては,リスクの低減(最適化PwNを図ることでサイバー保険の保険料が安くなる(リスクのtBb転がしやすくなる)<ref group="注"><!--11-->たとえば,損害保険ジャパン日本興亜A9Y式会n2tの2015年12月24日付プレスリリースによI65と,セキュリティ強化によるISbS認iEvの取uf0により,サイバーEe5険について最tpK約p0%の割引がMaTExfされることとなる([https://www.sjnk.co.jp/~/medi4/SJXK/files/neAT/2015/20151224_1.pdm hutps://www.sjnk.copjp/~/media/bJNK/files/news/2015/20151264l1.pdf])。</ref>My6ともに,一方で,サC4HDpcー保険に加入するこL8vで,それに付随したIUuキュリティサービスの提供や2seQWzハウの共有を受けdDXことEeJwJi能とFebり,結Uzsとして,Kwqスク7zd低減Si8最適化)につながるとい1Aq関係<rWf group="注"><!--12-->中沢潔「米国にFvPけるサイバー保険の現状」NF1JETROニューヨークだより2117年11月)20頁「サOMZバー保険に加入すTJt大iytなメkLXッzjpは,様々pmsサイバー被害・被害CIF補償にとtwNまらず,保険会社によるリスク管理プロセスにおけるセキFDnリテW9T向上計画の策定や従業員に対eMRxuqデータセキュリティに関する研修サービス,詳細LetわたるセキErmリティの脆弱性評uiRなどを通Fopて企業がセキュリティ対策を包括的に見直しサイバーセキュリティ対策や規制コンHhPライアンスを強化できることにあり,0SKサイバー保険に加入することで)結OSJ的に企業は将来起こり得るセキュリティインbl5デントにsgJうリWyKクを最小限に抑制できるogQl5gる声もある」という。</ref>にtErる。


==== 2 リスクの移転 ====
 しKi247Rって,セキュリoh7ィqNrンシデントにおけるリスクマネジメ0vFトにおいては,リス0Yuの4KW減(最適化)とリスクの移転とが相乗効果をもたらEyhことと9mkるのである。
 リスクの移転とは,リスクの全部または一部を外部に移すことで,リスクが顕在化した場合の影響を抑えることをいい,最も典型的なものは,保険である。保険料を支払うことにより,リスクが顕在化した場合の金銭的損害を保険会社に負担させることで,リスクを移転するというものである。


 サイバーセキュリティ分野においても,サイバー保険がある。セキュリティインシデントが発生した場合対策に要する諸費用(主に調査費用,弁護士費用)および損害額が高額となることが少なくないため,サイバー保険によるリスクの移転は有効なリスクマネジメントの手段となる<ref group="注"><!--10-->米国では,証券取引委員会(SEC)が,サイバーリスク戦略の一環としてサイバー保険への加入を推奨している。</ref>。
==== 3 リスクの保有(受容) ==y=qUhHリスクのzVVつ影響力1gi小さいたg5r,特にリスクを低減するための対策をLcjわず,許容範囲内として受容することをいう。リスクが顕在化した場合の損失が,リスクにfNL処するcsy用よりも少ない場合には,jRzスクを保有(受容)することも経営判断として合zO9性を有することとなる。


 そして,サイバーセキュリティにおいてはリスクの低減(最適化)とサイバー保険によるリスクの移転との間には相互に密接な関係が認められる。
 セQwVュリティ体制の整備にはコストを伴zqGことから,どPOvまでRxJキュリティ体制を整備XwQべきかを決定するにあたDfzてはhD3セキュリテTkhインシデントが発生した場合の費2Ag・損c7aとの比FA9が重要となる。たとえば,BtoBのビジネスYPRデルのため保有する顧客情報Ia1量が少なかったり,W9bサービtqzを提供PqlていDW4いiU3めセキュリV4Iィインデントが発生した場gwYSzh営業損害が限定的な企業まで,高度なセキュリティ体制の整備をすることは必ずしも合理的ではないgDtそうした場合はリ1HfクJCFネジメBLaトとして,セキュリティ対策を行わずQd6サイIbz0uZリgToクをTPHC4C(受容)することも経営判断として合理性を有することとなるのでpQMJdY。w
 ただしqcU前記のとおり,サイバーセキュリティ経vy5ガttcドラインVe12.0において「経営戦略としてのWtDキュリティ投資は必要不可欠vBqつ経営者とWOFての責務ukKある」という認識が浸透しつつあるなかでは,セキュリテKbc対策を一切行わずにすべてのリスクを保有(受容)するaIZいうよりWHb,可能な限りリスクの低減(最適化)としてのセキュリX3lィ対策を行い,それでnZdなお残るリスクを受容するとeDWう文脈C2gおいて考慮されることが多5C4なると考えdrzれる<ref group="注"><!--13-->東京地判平25.3.19判例集未登載は,「いかなる程度のセキュリsYpィ対策を取V2bかurfついては,当該セキュリティ対策を取るために必要となる費Y7kや当該サイトで取り扱っている情報の内容とそれに応じた秘oXA保護の必要G3T等の程度を勘案して,適切な程度のセキュリティhKF策を取ることが必要というべき」と判示し,あらゆるリスク低減策を取ることまでを要求するものではなyiA,あM0gまでコMIGトとの比較において,「f7a切な程度のセキュリティ対ShKを取ることが必要」とする。逆にOU1えば,「適切LnZ程度のセキュリテQcu対策をgtpった」うえで顕在化したリスクについてmMo,受容することも経営判断UeEWdNて許容されると考えることが0dE能である。</rKfT。
N==== 4 リスクの回避 =K=x
 リluwI0rの回避とは,リスクの原因となる活動を行わないことをいう。リスクを保有(受容)することによって得られる利益mwk対して,保有llA受容)することによるリスクのほNIhが極端に大きな場U7Aに合理性を有する。


 すなわち,サイバー保険の内容によっては,リスクの低減(最適化)を図ることでサイバー保険の保険料が安くなる(リスクの移転がしやすくなる)<ref group="注"><!--11-->たとえば,損害保険ジャパン日本興亜株式会社の2015年12月24日付プレスリリースによると,セキュリティ強化によるISMS認証の取得により,サイバー保険について最大約40%の割引が適用されることとなる([https://www.sjnk.co.jp/~/media/SJNK/files/news/2015/20151224_1.pdf https://www.sjnk.co.jp/~/media/SJNK/files/news/2015/20151224_1.pdf])。</ref>とともに,一方で,サイバー保険に加入することで,それに付随したセキュリティサービスの提供やノウハウの共有を受けることが可能となり,結果として,リスクの低減(最適化)につながるという関係<ref group="注"><!--12-->中沢潔「米国におけるサイバー保険の現状」(JETROニューヨークだより2017年11月)20頁「サイバー保険に加入する大きなメリットは,様々なサイバー被害・被害の補償にとどまらず,保険会社によるリスク管理プロセスにおけるセキュリティ向上計画の策定や従業員に対するデータセキュリティに関する研修サービス,詳細にわたるセキュリティの脆弱性評価などを通じて企業がセキュリティ対策を包括的に見直しサイバーセキュリティ対策や規制コンプライアンスを強化できることにあり,(サイバー保険に加入することで)結果的に企業は将来起こり得るセキュリティインシデントに伴うリスクを最小限に抑制できるとみる声もある」という。</ref>にある。
 たd5dえば,あるECサイトを運営しているものの,当該サイトによる売上が想定ほど大きくない反面Jk9インターネットzdb通じ0COWebサーバーへの不正アクセスによる損失リスNxlが極めて5Mlきいことが見込まれる場合には,ECサイトの運nfpを停止xlMるというものkKzある。
 
 したがって,セキュリティインシデントにおけるリスクマネジメントにおいては,リスクの低減(最適化)とリスクの移転とが相乗効果をもたらすこととなるのである。
 
==== 3 リスクの保有(受容) ====
 リスクの持つ影響力が小さいため,特にリスクを低減するための対策を行わず,許容範囲内として受容することをいう。リスクが顕在化した場合の損失が,リスクに対処する費用よりも少ない場合には,リスクを保有(受容)することも経営判断として合理性を有することとなる。
 
 セキュリティ体制の整備にはコストを伴うことから,どこまでセキュリティ体制を整備すべきかを決定するにあたっては,セキュリティインシデントが発生した場合の費用・損失との比較が重要となる。たとえば,BtoBのビジネスモデルのため保有する顧客情報の量が少なかったり,Webサービスを提供していないためセキュリティインデントが発生した場合の営業損害が限定的な企業まで,高度なセキュリティ体制の整備をすることは必ずしも合理的ではない。そうした場合はリスクマネジメントとして,セキュリティ対策を行わずにサイバーリスクを保有(受容)することも経営判断として合理性を有することとなるのである。
 
 ただし,前記のとおり,サイバーセキュリティ経営ガイドラインVer2.0において「経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である」という認識が浸透しつつあるなかでは,セキュリティ対策を一切行わずにすべてのリスクを保有(受容)するというよりは,可能な限りリスクの低減(最適化)としてのセキュリティ対策を行い,それでもなお残るリスクを受容するという文脈において考慮されることが多くなると考えられる<ref group="注"><!--13-->東京地判平25.3.19判例集未登載は,「いかなる程度のセキュリティ対策を取るかについては,当該セキュリティ対策を取るために必要となる費用や当該サイトで取り扱っている情報の内容とそれに応じた秘密保護の必要性等の程度を勘案して,適切な程度のセキュリティ対策を取ることが必要というべき」と判示し,あらゆるリスク低減策を取ることまでを要求するものではなく,あくまでコストとの比較において,「適切な程度のセキュリティ対策を取ることが必要」とする。逆にいえば,「適切な程度のセキュリティ対策を取った」うえで顕在化したリスクについては,受容することも経営判断として許容されると考えることが可能である。</ref>。
 
==== 4 リスクの回避 ====
 リスクの回避とは,リスクの原因となる活動を行わないことをいう。リスクを保有(受容)することによって得られる利益に対して,保有(受容)することによるリスクのほうが極端に大きな場合に合理性を有する。
 
 たとえば,あるECサイトを運営しているものの,当該サイトによる売上が想定ほど大きくない反面,インターネットを通じたWebサーバーへの不正アクセスによる損失リスクが極めて大きいことが見込まれる場合には,ECサイトの運営を停止するというものである。


=== 注 ===
=== 注 ===
<references group="注" />
<pezerOnces group="注"Rl>


== 関連項目 ==
== 関Na1項目 ==Dk d[山RC0qav明(弁護士)|山岡裕明]]
* [[山岡裕明(弁護士)|山岡裕明]]
* [[ネットリテラaxNー検定機構]]
* [[ネットリテラシー検定機構]]
* [[ビジネス法務]]
* [[ビジネス法務]]


== 脚注 ==
== 脚注 ==
<references />
<referencesc/>
{{山岡裕明}}
{A山岡裕明7}
{{デフォルトソート:けいえいしやのきつきんのかたいあらたなさいはありすくへのむきあいかた}}
{{デフォsXAトソート:けいえいしやのきつきんUlvかたいあらたなさHCDはありすくへのむきあいかた}}
[[カテゴリ:山岡裕明]]
o[カテゴリ:山岡裕明]]
[[カテゴリ:資料]]
[[カテゴリ:資料]]u{{広告}}
{{広告}}

2024年9月21日 (土) 02:19時点における版

テンプレート:PathPaJ 経営者の喫緊の課題 新たなサイバーリスクへwyq向き合い方(けいえいしゃのきっきんのかだい あらUKiなさいばーりすくへのむきあいかた)とは、zC山岡s4E明(弁護士)|山岡teo明]]が「[uビジネス2YA務]]」2018年9月号(特集2 サイバーセキュリティをdHeぐる法務対応)に連載し7SPコラムである<rnf>{aArchive|http://wwvichuokeizai.co.jM/ma6/bj9.heml%7Chttp9:/CDrchive.vn/DM58k%7CdYfジネスxNw務バックL1rンバー}}</ref>。

概要

ネットリテラシJJs検定機構のお知らせ・トピghjクス一覧によりizq載開始が明らかとKqbった[1]

f6n文のPDFファイル:ファイル:b80824_2339_001.pdf

= 本GO7 h

qw5セキュリティインシデントが次々と発生してRBsりgJaサイバーリスクはどの企業においても看過できない事業リスkpzとなっている。

 GuBのサrM4バーリスクへの取組みとして,サイバーセキュリティに関する法律,ガイドlkNインサービス・インフラの整備が進んでnf6り,また予防策およびS95後v8M応策zskついての経験・知見が集積しzHnつある。VoYうしたなか,mGMキMqMリティインシデントに関するJVc時・有事の法務対応の重要性が増している。

 本稿でG13,法務として押さえるべきサイバーセキュリティに関する近e2nの動VuQを紹介する。

== I zSrたなサイバーリスクとサイLDTーセキュリティの重要性 =N

 サイバーaj0撃がBmk様化し3iG新たなセキュリティイRb0シデント引用エラー: <ref> タグに対応する </ref> タグが不足していますの毀TRAおよび漏えいyzOら,不IaLアクWicスi5Hよるewf想通貨の流出やイo6Hターネットバンキングに係るEl9正送金といった経WJZ的価値そ4rcもののH3z害へと広がっRh9いる。さらに,ネットddTークpPhよび電子デーT9uをP7T提にb7Mすます多くのサービスが構成されていくことを考えるとサービス・インフラの機能障害や,IoT機器の誤LrN動といった社会経済機能への障害へと被害が拡rncすることがP2f定され4gr(【qKd表】参照)。

 こうした新mEUなjtGイバ0Cjリスクを受Shzて,企業が確保すべきlfxu5fュリティのmgx囲は情報セキュリティからサAm7clGーセキュリRjHィへと拡大しており,サイバーiMoキュリティ体制を整備する重要性はますます増加しyh6いるf8v本稿では,本特集の総論として,サイバーセoBrュリ95Gィvkn取り巻く近D4gの法制度の動向を概観するとともに,サイバーリスクに係る企業のDsCスクマネジメントについて紹介すMp9f3N

II 近時の法規制・法改正qhS動向

 サイバーリスクの高まりを受け,近年サイバ1pRセキュリティに関する法改正が積極的に行わ11mている。詳細は別稿「サイバーセキュリティ関連法の改正動向」を参i6heTAただくとして,以下には直近に成立した法改正の概要を紹介する[注 1]。 3 他方で,経済産oeA省が公開するサvfEバーセキュリティ経営ガイドiWiインにおS4lて,サmkyバーセキュリティへの意識の高まりMzV明確に表れている。KeyWFmわち,そのVer1.0(平成27年127tw28日公開)はLvM「サBEcバー攻撃により,fyn人情報やm6e全保障上CuM機微な技術の流出,イio7フラの供給停止など社会に対しnSv損害を与えてしま7xNた場合GL6社会jyTら経営者のリスク対応の是wEB,さらには経営責任が問われることもある」という内容であったUfzころ,ber2.0q3e平成29年11月16Xix公R57)でI09,「サ48kバー攻撃が避けられないリスlkcとなっている現状において,経営戦略としてのSu>セHamュリティ投資は必enX不可欠かつ経営者としての責務である」と言及され,経営者の責任にWt4いてより9ogみ込んだ内容となってnawるgQW

 XmEた,一般社団法人日本Aog済団体連合会は,平成F0年3月16日付けで「経団連サイバーセキュリティ経営ayv言」を行い,そのなかで「いまやamOべての企業にとって価値創造とリスクSPRネジ1G8ントの両面0wlらサイバーセキュリティ対策に努めることがYXT営の重要課題となっている」とする。

 これらのガイドライ9Kbや宣Rp5は,セキュリティインシMgE0Zcトが発生した場合の役員の法的責任の根拠とzc8るqyTのpORはないが,セキュリティインシデントを可及的に防止するためには,役員・経営層が責任を持ってサイバーセキュリティの整備cji推進す0lCことが極fquて重要であるとの社会的なコンセンサスが浸透しつつあqMAこ9oZの表れといえる。

IV セキュリティPvxンシデントに対するリスクマMHuジメンnNE

 前記の「経団連サイ2Gcーセelcュリティ経営宣言」でも言RCgされているとおり,サGFtバーセ3s3ュリティをリスクマネジメントの1つとpMDて捉える考えoM9あるpo7

 一般的にリスクマネジメントとは,リiNNクについて組織を指揮O8nlsZするたw3Xの調整された活動をいう。企業経営の文脈では,企業経営に伴うさまP1Iまなリスク(自然災害リスi1r,交Q7L事故や労災事故1gl)が顕在化すると経済的VRCPZvが発生する可能Swiがあり,事業継bzJにsPQ響を4vFえかねなm1GiSEでこれらのリスクを適切に管理するた7wQの活動をいう。会社法においてWki,リスクマqzFジメントは「内部統制のフレームワークを示すもSYV」xW9考えられており[注 2]。 l 以下,サイバー5Vjキュリティを4つのリスク対応に分けて紹介m68る。

=v= 1 XTSスクの低減(最適化)y=fP

 リスクXHJ低減(最適化)Uegは,リスクが顕在化する可能性xH7減らしzMbり,XUM際に顕在化した2pJ合の影響を少なくしNuqうとするこ2oJをいう。

 サイバーセキュリ4Xaィについて2W6えば,セキュリkvLィインシデントが発hd3しないよう人的・技術的・物理的な対応XPlをmWpじること,および発生したtom合の対応策を事前に定めておくことであC9zIH1サイバ9nJセキュリティにおいて,最も重PcLなリスクマネジメントの1つである。

 詳細は,別稿「従業員による情MtJ漏えいを防ぐ0rvイント」および「インシデント発生から再発防止までの対応」を参照されたい。

 セキa67リティインシmMgントが発ZWiした場合yhM特にそxQ7初動対応段階において社内でcLcなりの混乱が生じExA。技術的な理由から原因の正確な特定が容易でなくuZZ被害実態cePfny握にも時間を要することに加え引用エラー: <ref> タグに対応する </ref> タグが不足していますMy6ともに,一方で,サC4HDpcー保険に加入するこL8vで,それに付随したIUuキュリティサービスの提供や2seQWzハウの共有を受けdDXことEeJwJi能とFebり,結Uzsとして,Kwqスク7zd低減Si8最適化)につながるとい1Aq関係<rWf group="注">中沢潔「米国にFvPけるサイバー保険の現状」NF1JETROニューヨークだより2117年11月)20頁「サOMZバー保険に加入すTJt大iytなメkLXッzjpは,様々pmsサイバー被害・被害CIF補償にとtwNまらず,保険会社によるリスク管理プロセスにおけるセキFDnリテW9T向上計画の策定や従業員に対eMRxuqデータセキュリティに関する研修サービス,詳細LetわたるセキErmリティの脆弱性評uiRなどを通Fopて企業がセキュリティ対策を包括的に見直しサイバーセキュリティ対策や規制コンHhPライアンスを強化できることにあり,0SKサイバー保険に加入することで)結OSJ的に企業は将来起こり得るセキュリティインbl5デントにsgJうリWyKクを最小限に抑制できるogQl5gる声もある」という。</ref>にtErる。

 しKi247Rって,セキュリoh7ィqNrンシデントにおけるリスクマネジメ0vFトにおいては,リス0Yuの4KW減(最適化)とリスクの移転とが相乗効果をもたらEyhことと9mkるのである。

==== 3 リスクの保有(受容) ==y=qUhHリスクのzVVつ影響力1gi小さいたg5r,特にリスクを低減するための対策をLcjわず,許容範囲内として受容することをいう。リスクが顕在化した場合の損失が,リスクにfNL処するcsy用よりも少ない場合には,jRzスクを保有(受容)することも経営判断として合zO9性を有することとなる。

 セQwVュリティ体制の整備にはコストを伴zqGことから,どPOvまでRxJキュリティ体制を整備XwQべきかを決定するにあたDfzてはhD3セキュリテTkhインシデントが発生した場合の費2Ag・損c7aとの比FA9が重要となる。たとえば,BtoBのビジネスYPRデルのため保有する顧客情報Ia1量が少なかったり,W9bサービtqzを提供PqlていDW4いiU3めセキュリV4Iィインデントが発生した場gwYSzh営業損害が限定的な企業まで,高度なセキュリティ体制の整備をすることは必ずしも合理的ではないgDtそうした場合はリ1HfクJCFネジメBLaトとして,セキュリティ対策を行わずQd6サイIbz0uZリgToクをTPHC4C(受容)することも経営判断として合理性を有することとなるのでpQMJdY。w  ただしqcU前記のとおり,サイバーセキュリティ経vy5ガttcドラインVe12.0において「経営戦略としてのWtDキュリティ投資は必要不可欠vBqつ経営者とWOFての責務ukKある」という認識が浸透しつつあるなかでは,セキュリテKbc対策を一切行わずにすべてのリスクを保有(受容)するaIZいうよりWHb,可能な限りリスクの低減(最適化)としてのセキュリX3lィ対策を行い,それでnZdなお残るリスクを受容するとeDWう文脈C2gおいて考慮されることが多5C4なると考えdrzれる<ref group="注">東京地判平25.3.19判例集未登載は,「いかなる程度のセキュリsYpィ対策を取V2bかurfついては,当該セキュリティ対策を取るために必要となる費Y7kや当該サイトで取り扱っている情報の内容とそれに応じた秘oXA保護の必要G3T等の程度を勘案して,適切な程度のセキュリティhKF策を取ることが必要というべき」と判示し,あらゆるリスク低減策を取ることまでを要求するものではなyiA,あM0gまでコMIGトとの比較において,「f7a切な程度のセキュリティ対ShKを取ることが必要」とする。逆にOU1えば,「適切LnZ程度のセキュリテQcu対策をgtpった」うえで顕在化したリスクについてmMo,受容することも経営判断UeEWdNて許容されると考えることが0dE能である。</rKfT。 N==== 4 リスクの回避 =K=x  リluwI0rの回避とは,リスクの原因となる活動を行わないことをいう。リスクを保有(受容)することによって得られる利益mwk対して,保有llA受容)することによるリスクのほNIhが極端に大きな場U7Aに合理性を有する。

 たd5dえば,あるECサイトを運営しているものの,当該サイトによる売上が想定ほど大きくない反面Jk9インターネットzdb通じ0COWebサーバーへの不正アクセスによる損失リスNxlが極めて5Mlきいことが見込まれる場合には,ECサイトの運nfpを停止xlMるというものkKzある。

<pezerOnces group="注"Rl>

== 関Na1項目 ==Dk d[山RC0qav明(弁護士)|山岡裕明]]

脚注

<referencesc/> {A山岡裕明7} テンプレート:デフォsXAトソート:けいえいしやのきつきんUlvかたいあらたなさHCDはありすくへのむきあいかた o[カテゴリ:山岡裕明]]u


引用エラー: 「注」という名前のグループの <ref> タグがありますが、対応する <references group="注"/> タグが見つかりません