「サイバーインシデント対応における再発防止策の構築」の版間の差分
>パパ活也 (→はじめに) |
>パパ活也 編集の要約なし |
||
| 13行目: | 13行目: | ||
=== Ⅰ サイバーセキュリティの近似の傾向 === | === Ⅰ サイバーセキュリティの近似の傾向 === | ||
ランサムウェアを利用したサイバー攻撃が激増している。警視庁が公開している「令和3年におけるサイバー空間をめぐる脅威の情勢等」(令和4年4月)(【図表】参照)によると、令和2年度下半期ベースでいうと、令和3年度上半期に3倍、令和3年度下半期に4倍と増加している。 | ランサムウェアを利用したサイバー攻撃が激増している。警視庁が公開している「令和3年におけるサイバー空間をめぐる脅威の情勢等」(令和4年4月)(【図表】参照)によると、令和2年度下半期ベースでいうと、令和3年度上半期に3倍、令和3年度下半期に4倍と増加している。 | ||
こうした状況下において、企業はサイバーセキュリティ体制の構築が急務となっている。 | こうした状況下において、企業はサイバーセキュリティ体制の構築が急務となっている。 | ||
ところで、ランサムウェアによるサイバー攻撃について、興味深いレポート(以下「本件レポート」という)が発表された。"almost 40 companies were compromised by different gangs twice in 2021.・・・・・・17 more companies were attacked for a second time following an earlier compromise in 2020"(筆者訳:「2021年に約40社が2回不正アクセスを受けた。・・・・・・そのほかにも17以上の企業が2020年に1回目の不正アクセスを受け、2021年に2回目の不正アクセスを受けた。」)というデータである。 | |||
本件レポートからは、一度サイバー攻撃を受けた企業は、サイバー攻撃者集団に切り返しターゲットとして狙われる可能性が高いことが窺われる。 | |||
そうであれば、一度サイバー攻撃を受けた企業においては、同種の攻撃手法によるサイバー攻撃を再度受けないよう、再発防止策を策定する重要性がさらに増していると言える。そして、その再発防止策とは、蒸気のサイバーセキュリティ体制の再構築として、再発防止策の法的位置づけを検討する。 | |||
=== Ⅱ 会社法上のサイバーセキュリティ体制構築義務 === | === Ⅱ 会社法上のサイバーセキュリティ体制構築義務 === | ||
==== 1.会社法上のサイバーセキュリティ体制構築義務について ==== | ==== 1.会社法上のサイバーセキュリティ体制構築義務について ==== | ||
「会社におけるサイバーセキュリティに関する体制は、その会社の内部統制システムの一部といえる。取締役の内部統制システム構築義務には、適切なサイバーセキュリティを講じる義務が含まれ得る。」とされている。その結果、会社との関係では、「取締役(会)が決定したサイバーセキュリティ体制が、当該会社の規模や業務内容に鑑みて適切ではなかったため、会社が保有する情報が漏えい、改ざん又は減失(消失)若しくは毀損(破壊)(以下本項において「漏えい等」という。)されたことにより会社に損害が生じた場合、体制の決定に関与した取締役は、会社に対して、任務懈怠に基づく損害賠償責任(会社法423条第1項)を問われ得る。」とされている。また、会社以外の第三者との関係では、「取締役・・・・・・が、悪意・重過失により、適切なサイバーセキュリティ体制を構築せず、又は体制が適正に運用されていないのにこれを是正するのを怠り、個人情報の漏えい等によって第三者が損害を被ったときは、取締役・・・・・・は、当該第三者に対しても責任を負うことがあり得る。」と解されている。 | |||
すなわち、取締役が負う内部統制システム構築義務には、その一環として適切なサイバーセキュリティ体制構築義務が含まれており、それに違反した場合には、当該違反により発生した損害について損害賠償責任を負うと解されているのである。 | |||
==== 2.再発防止策とサイバーセキュリティ体制構築義務との関係 ==== | ==== 2.再発防止策とサイバーセキュリティ体制構築義務との関係 ==== | ||
サイバー攻撃を未然に防ぐための体制である点で、再発防止策もサイバーセキュリティ体制構築義務の一環といえる。違いとしては、一般的にサイバーセキュリティ体制が過去のサイバーインシデントの発生と関係なく論じられてきたのに対して、再発防止策はすでに発生したサイバーインシデントを前提とする点である。 | |||
では、すでに発生したサイバーインシデントを前提とする再発防止策の策定にあたっては、より高度なサイバーセキュリティ体制構築義務が課されるのだろうか。 | |||
この点についての裁判例はないが、参考になるものとして、繰り返し発生する社内の違法行為に対する管理体制について、取締役の責任を認めた大阪高裁平成14年11月21日判決がある。同判決は、社内で繰り返される違法行為について、「会社として、社内的にこのような違法行為が繰り返されないような管理体制をとる必要があったものといわなければならない」「違法行為が発生しそのため当該相手方等に被害を生ずることを防止する管理体制を整えるべき義務があったというべきである」とする。 | |||
そして、当該判決について、「繰り返される不正行為の発生を受けて、その不正行為についての予見が可能となった特別な事情が認められる以上、それを防止しえない現状の内部統制システムでは足りず、より高度な内容の内部統制システムの構築が要求されていることを示唆している」と評する見解が存在する。 | |||
当該裁判例の事案とサイバー攻撃の事案とでは内部者による不正行為と外部者によるサイバー攻撃との違いはあるものの、双方とも損害を発生させるインシデントであり、かつ内部統制システムにおいて発生を防止することが期待されているインシデントであるという点で共通している。そのため、一度インシデントが発生し、そのインシデントについての予見が可能になったという特別な事情が認められる以上、再発防止策の策定にあたっては、それを防止し得なかった現状のサイバーセキュリティ体制では足りず、より高度な内部のサイバーセキュリティ体制の構築が要求されていると解することも不自然ではない。 | |||
==== 3.再発防止策の策定を怠った取締役の責任 ==== | ==== 3.再発防止策の策定を怠った取締役の責任 ==== | ||
上記に加えて、仮に、二度目のサイバー攻撃を受けて損害が発生した場合には、取締役として過失が肯定されやすくなることも想定される。 | |||
すなわち、一度サイバー攻撃を受けた企業の取締役として、上記のとおり高度な内容のサイバーセキュリティ体制の構築義務が課される可能性があることに加え、予見可能性を前提とする過失も認められる可能性は高い。この点を論じた裁判例も存在しないが、参考になる裁判例として社内の不正行為を防止するためのリスク管理体制の構築義務の違反について過失があったとして会社法350条に基づく責任が問われた最高裁平成21年7月9日判決がある。 | |||
当該判決では、内部者による「通常用意に想定し難い方法による」不正行為について、「不正行為の発生を予見すべきであったという特別な事情」の有無が検討された。そして、「特別な事情」の例示として、「本件以前に同様の手法による不正行為が行われたこと」が摘示された。 | |||
この裁判例の事案とサイバー攻撃の事案とでは、前記のように内部者による不正行為と外部者によるサイバー攻撃との違いはあるものの、双方とも損害を発生させるインシデントである点では共通している。 | |||
また、過去にサイバー攻撃を受けたことがあり、しかも、本件レポートで摘示されているとおり一度サイバー攻撃を受けた企業はサイバー攻撃者集団に繰り返しターゲットとして狙われる可能性が高いことが報じられている状況下においては、繰り返し同種のサイバー攻撃を受けることの予見可能性はより高いといえる。そうであるにもかかわらず、同種のサイバー攻撃により会社または第三者に再び損害が生じた場合には、取締役の任務懈怠および過失(重過失含む)が認められ、取締役の損害賠償責任が肯定される可能性はさらに高くなるといえる。 | |||
=== Ⅳ おわりに === | === Ⅳ おわりに === | ||
本稿は、サイバー攻撃を受けた企業における取締役の再発防止策に関する義務についての初めての論考と思われる。本稿が当該義務についての議論を深め、かつ、企業の再発防止策向上の一助となれば幸いである。 | 本稿は、サイバー攻撃を受けた企業における取締役の再発防止策に関する義務についての初めての論考と思われる。本稿が当該義務についての議論を深め、かつ、企業の再発防止策向上の一助となれば幸いである。 | ||
2022年7月22日 (金) 12:37時点における版
サイバーインシデント対応における再発防止策の構築(-たいおう-さいはつぼうしさく-こうちく)とは、八雲法律事務所に所属する山岡裕明と千葉哲也が雑誌「ビジネス法務2022年7月号」に寄稿したコラムである。
概要
正式名称は「◆取締役が損害賠償責任を負うことも サイバーインシデント対応における再発防止策の構築」である。
本文
はじめに
実務解説
◆取締役が損害賠償責任を負うことも
サイバーインシデント対応における再発防止策の構築
山岡裕明/千葉哲也
取締役が負う内部統制のシステム構築義務の一環として、適切なサイバーセキュリティー体制構築義務が含まれており、取締役が当該義務に違反してサイバー攻撃を受けて損害が発生した場合には、当該損害について損害賠償責任を負うと解されている。 そして、サイバー攻撃を受けた被害企業の取締役が講じるべき再発防止策については、すでに一度被害を受けたことで予見可能性が高まっているため、サイバー攻撃を受けたことのない企業の場合と比較してより高度なサイバーセキュリティ体制を構築する義務があるといえる。
Ⅰ サイバーセキュリティの近似の傾向
ランサムウェアを利用したサイバー攻撃が激増している。警視庁が公開している「令和3年におけるサイバー空間をめぐる脅威の情勢等」(令和4年4月)(【図表】参照)によると、令和2年度下半期ベースでいうと、令和3年度上半期に3倍、令和3年度下半期に4倍と増加している。 こうした状況下において、企業はサイバーセキュリティ体制の構築が急務となっている。 ところで、ランサムウェアによるサイバー攻撃について、興味深いレポート(以下「本件レポート」という)が発表された。"almost 40 companies were compromised by different gangs twice in 2021.・・・・・・17 more companies were attacked for a second time following an earlier compromise in 2020"(筆者訳:「2021年に約40社が2回不正アクセスを受けた。・・・・・・そのほかにも17以上の企業が2020年に1回目の不正アクセスを受け、2021年に2回目の不正アクセスを受けた。」)というデータである。 本件レポートからは、一度サイバー攻撃を受けた企業は、サイバー攻撃者集団に切り返しターゲットとして狙われる可能性が高いことが窺われる。 そうであれば、一度サイバー攻撃を受けた企業においては、同種の攻撃手法によるサイバー攻撃を再度受けないよう、再発防止策を策定する重要性がさらに増していると言える。そして、その再発防止策とは、蒸気のサイバーセキュリティ体制の再構築として、再発防止策の法的位置づけを検討する。
Ⅱ 会社法上のサイバーセキュリティ体制構築義務
1.会社法上のサイバーセキュリティ体制構築義務について
「会社におけるサイバーセキュリティに関する体制は、その会社の内部統制システムの一部といえる。取締役の内部統制システム構築義務には、適切なサイバーセキュリティを講じる義務が含まれ得る。」とされている。その結果、会社との関係では、「取締役(会)が決定したサイバーセキュリティ体制が、当該会社の規模や業務内容に鑑みて適切ではなかったため、会社が保有する情報が漏えい、改ざん又は減失(消失)若しくは毀損(破壊)(以下本項において「漏えい等」という。)されたことにより会社に損害が生じた場合、体制の決定に関与した取締役は、会社に対して、任務懈怠に基づく損害賠償責任(会社法423条第1項)を問われ得る。」とされている。また、会社以外の第三者との関係では、「取締役・・・・・・が、悪意・重過失により、適切なサイバーセキュリティ体制を構築せず、又は体制が適正に運用されていないのにこれを是正するのを怠り、個人情報の漏えい等によって第三者が損害を被ったときは、取締役・・・・・・は、当該第三者に対しても責任を負うことがあり得る。」と解されている。 すなわち、取締役が負う内部統制システム構築義務には、その一環として適切なサイバーセキュリティ体制構築義務が含まれており、それに違反した場合には、当該違反により発生した損害について損害賠償責任を負うと解されているのである。
2.再発防止策とサイバーセキュリティ体制構築義務との関係
サイバー攻撃を未然に防ぐための体制である点で、再発防止策もサイバーセキュリティ体制構築義務の一環といえる。違いとしては、一般的にサイバーセキュリティ体制が過去のサイバーインシデントの発生と関係なく論じられてきたのに対して、再発防止策はすでに発生したサイバーインシデントを前提とする点である。 では、すでに発生したサイバーインシデントを前提とする再発防止策の策定にあたっては、より高度なサイバーセキュリティ体制構築義務が課されるのだろうか。 この点についての裁判例はないが、参考になるものとして、繰り返し発生する社内の違法行為に対する管理体制について、取締役の責任を認めた大阪高裁平成14年11月21日判決がある。同判決は、社内で繰り返される違法行為について、「会社として、社内的にこのような違法行為が繰り返されないような管理体制をとる必要があったものといわなければならない」「違法行為が発生しそのため当該相手方等に被害を生ずることを防止する管理体制を整えるべき義務があったというべきである」とする。 そして、当該判決について、「繰り返される不正行為の発生を受けて、その不正行為についての予見が可能となった特別な事情が認められる以上、それを防止しえない現状の内部統制システムでは足りず、より高度な内容の内部統制システムの構築が要求されていることを示唆している」と評する見解が存在する。 当該裁判例の事案とサイバー攻撃の事案とでは内部者による不正行為と外部者によるサイバー攻撃との違いはあるものの、双方とも損害を発生させるインシデントであり、かつ内部統制システムにおいて発生を防止することが期待されているインシデントであるという点で共通している。そのため、一度インシデントが発生し、そのインシデントについての予見が可能になったという特別な事情が認められる以上、再発防止策の策定にあたっては、それを防止し得なかった現状のサイバーセキュリティ体制では足りず、より高度な内部のサイバーセキュリティ体制の構築が要求されていると解することも不自然ではない。
3.再発防止策の策定を怠った取締役の責任
上記に加えて、仮に、二度目のサイバー攻撃を受けて損害が発生した場合には、取締役として過失が肯定されやすくなることも想定される。 すなわち、一度サイバー攻撃を受けた企業の取締役として、上記のとおり高度な内容のサイバーセキュリティ体制の構築義務が課される可能性があることに加え、予見可能性を前提とする過失も認められる可能性は高い。この点を論じた裁判例も存在しないが、参考になる裁判例として社内の不正行為を防止するためのリスク管理体制の構築義務の違反について過失があったとして会社法350条に基づく責任が問われた最高裁平成21年7月9日判決がある。 当該判決では、内部者による「通常用意に想定し難い方法による」不正行為について、「不正行為の発生を予見すべきであったという特別な事情」の有無が検討された。そして、「特別な事情」の例示として、「本件以前に同様の手法による不正行為が行われたこと」が摘示された。 この裁判例の事案とサイバー攻撃の事案とでは、前記のように内部者による不正行為と外部者によるサイバー攻撃との違いはあるものの、双方とも損害を発生させるインシデントである点では共通している。 また、過去にサイバー攻撃を受けたことがあり、しかも、本件レポートで摘示されているとおり一度サイバー攻撃を受けた企業はサイバー攻撃者集団に繰り返しターゲットとして狙われる可能性が高いことが報じられている状況下においては、繰り返し同種のサイバー攻撃を受けることの予見可能性はより高いといえる。そうであるにもかかわらず、同種のサイバー攻撃により会社または第三者に再び損害が生じた場合には、取締役の任務懈怠および過失(重過失含む)が認められ、取締役の損害賠償責任が肯定される可能性はさらに高くなるといえる。
Ⅳ おわりに
本稿は、サイバー攻撃を受けた企業における取締役の再発防止策に関する義務についての初めての論考と思われる。本稿が当該義務についての議論を深め、かつ、企業の再発防止策向上の一助となれば幸いである。
画像
2022年6月6日、有志によって寄稿部分が開示された[1]。
