編集の要約なし
>ふーふー 編集の要約なし |
>ふーふー 編集の要約なし |
||
| 15行目: | 15行目: | ||
=== I 新たなサイバーリスクとサイバーセキュリティの重要性 === | === I 新たなサイバーリスクとサイバーセキュリティの重要性 === | ||
サイバー攻撃が多様化し,新たなセキュリティインシデント<ref group="注"><!--1-->「インシデント」とは,「中断・阻害,損失,緊急事態又は危機になり得る又はそれらを引き起こし得る状況」と定義される(ISO22300:2012)。</ref> | サイバー攻撃が多様化し,新たなセキュリティインシデント<ref group="注"><!--1-->「インシデント」とは,「中断・阻害,損失,緊急事態又は危機になり得る又はそれらを引き起こし得る状況」と定義される(ISO22300:2012)。</ref>が次々と発生している。典型的なセキュリティインシデントとしては2014年6月に発生した株式会社ベネッセコーポレーションにおける個人情報の漏えい事案(以下「ベネッセ事件」という)に代表される,内部者による情報の持出し事案である。 | ||
ところが,近年のセキュリティインシデントの多くは,外部者によるサイバー攻撃を原因としており,その被害の内容は,情報<ref group="注"><!--2-->個人情報,宮業秘密,それら以外の価値のあるデータを含む。</ref>の毀損および漏えいから,不正アクセスによる仮想通貨の流出やインターネットバンキングに係る不正送金といった経済的価値そのものの損害へと広がっている。さらに,ネットワークおよび電子データを前提にますます多くのサービスが構成されていくことを考えるとサービス・インフラの機能障害や,IoT機器の誤作動といった社会経済機能への障害へと被害が拡大することが想定される(【図表】参照)。 | ところが,近年のセキュリティインシデントの多くは,外部者によるサイバー攻撃を原因としており,その被害の内容は,情報<ref group="注"><!--2-->個人情報,宮業秘密,それら以外の価値のあるデータを含む。</ref>の毀損および漏えいから,不正アクセスによる仮想通貨の流出やインターネットバンキングに係る不正送金といった経済的価値そのものの損害へと広がっている。さらに,ネットワークおよび電子データを前提にますます多くのサービスが構成されていくことを考えるとサービス・インフラの機能障害や,IoT機器の誤作動といった社会経済機能への障害へと被害が拡大することが想定される(【図表】参照)。 | ||
| 41行目: | 41行目: | ||
かつては,情報漏えい事案において,主に情報漏えいを招いた企業の法的責任が問題となってきたが<ref group="注"><!--4-->情報漏えい事案において法人の責任が問題となった主な裁判例については,拙稿「[[サイバーセキュリティと企業法務]]」[[ビジネス法務]]2017年10月号~2018年1月号を参照されたい。また,役員の法的責任の根拠については同じく拙稿「[[情報漏えいと取締役の情報セキュリティ体制整備義務]]」中央ロー・ジャーナル14巻3号を参照されたい。</ref>,近年のセキュリティインシデントの事案では,企業のみならずその役員も,損害賠償請求事件の被告として法的責任が問われるようになっている<ref group="注"><!--5-->ベネッセ事件において,ベネッセの役員に対して株主代表訴訟が提起されている。また,2018年1月28日に国内仮想通貨取引所コインチェック社から大量の仮想通貨が流出した事件において,複散の訴訟において,同社の役員も被告となっている。</ref>。 | かつては,情報漏えい事案において,主に情報漏えいを招いた企業の法的責任が問題となってきたが<ref group="注"><!--4-->情報漏えい事案において法人の責任が問題となった主な裁判例については,拙稿「[[サイバーセキュリティと企業法務]]」[[ビジネス法務]]2017年10月号~2018年1月号を参照されたい。また,役員の法的責任の根拠については同じく拙稿「[[情報漏えいと取締役の情報セキュリティ体制整備義務]]」中央ロー・ジャーナル14巻3号を参照されたい。</ref>,近年のセキュリティインシデントの事案では,企業のみならずその役員も,損害賠償請求事件の被告として法的責任が問われるようになっている<ref group="注"><!--5-->ベネッセ事件において,ベネッセの役員に対して株主代表訴訟が提起されている。また,2018年1月28日に国内仮想通貨取引所コインチェック社から大量の仮想通貨が流出した事件において,複散の訴訟において,同社の役員も被告となっている。</ref>。 | ||
他方で,経済産業省が公開するサイバーセキュリティ経営ガイドラインにおいて,サイバーセキュリティへの意識の高まりが明確に表れている。すなわち,そのVer1. | 他方で,経済産業省が公開するサイバーセキュリティ経営ガイドラインにおいて,サイバーセキュリティへの意識の高まりが明確に表れている。すなわち,そのVer1.0(平成27年12月28日公開)は,「サイバー攻撃により,個人情報や安全保障上の機微な技術の流出,インフラの供給停止など社会に対して損害を与えてしまった場合,社会から経営者のリスク対応の是非,さらには経営責任が問われることもある」という内容であったところ,Ver2.0(平成29年11月16日公開)では,「サイバー攻撃が避けられないリスクとなっている現状において,経営戦略としての<u>セキュリティ投資は必要不可欠かつ経営者としての責務である</u>」と言及され,経営者の責任についてより踏み込んだ内容となっている。 | ||
また,一般社団法人日本経済団体連合会は,平成30年3月16日付けで「経団連サイバーセキュリティ経営宣言」を行い,そのなかで「いまやすべての企業にとって価値創造とリスクマネジメントの両面からサイバーセキュリティ対策に努めることが経営の重要課題となっている」とする。 | また,一般社団法人日本経済団体連合会は,平成30年3月16日付けで「経団連サイバーセキュリティ経営宣言」を行い,そのなかで「いまやすべての企業にとって価値創造とリスクマネジメントの両面からサイバーセキュリティ対策に努めることが経営の重要課題となっている」とする。 | ||
| 70行目: | 70行目: | ||
リスクの移転とは,リスクの全部または一部を外部に移すことで,リスクが顕在化した場合の影響を抑えることをいい,最も典型的なものは,保険である。保険料を支払うことにより,リスクが顕在化した場合の金銭的損害を保険会社に負担させることで,リスクを移転するというものである。 | リスクの移転とは,リスクの全部または一部を外部に移すことで,リスクが顕在化した場合の影響を抑えることをいい,最も典型的なものは,保険である。保険料を支払うことにより,リスクが顕在化した場合の金銭的損害を保険会社に負担させることで,リスクを移転するというものである。 | ||
サイバーセキュリティ分野においても,サイバー保険がある。セキュリティインシデントが発生した場合対策に要する諸費用(主に調査費用,弁護士費用)および損害額が高額となることが少なくないため,サイバー保険によるリスクの移転は有効なリスクマネジメントの手段となる<ref group="注"><!--10--> | サイバーセキュリティ分野においても,サイバー保険がある。セキュリティインシデントが発生した場合対策に要する諸費用(主に調査費用,弁護士費用)および損害額が高額となることが少なくないため,サイバー保険によるリスクの移転は有効なリスクマネジメントの手段となる<ref group="注"><!--10-->米国では,証券取引委員会(SEC)が,サイバーリスク戦略の一環としてサイバー保険への加入を推奨している。</ref>。 | ||
そして,サイバーセキュリティにおいてはリスクの低減(最適化)とサイバー保険によるリスクの移転との間には相互に密接な関係が認められる。 | そして,サイバーセキュリティにおいてはリスクの低減(最適化)とサイバー保険によるリスクの移転との間には相互に密接な関係が認められる。 | ||