サイバーインシデント対応における再発防止策の構築

2023年1月14日 (土) 13:37時点における>パパ活也による版 (→‎関連項目)
(差分) ← 古い版 | 最新版 (差分) | 新しい版 → (差分)
ビジネス法務 > サイバーインシデント対応における再発防止策の構築

サイバーインシデント対応における再発防止策の構築(-たいおう-さいはつぼうしさく-こうちく)とは、八雲法律事務所に所属する山岡裕明千葉哲也が雑誌「ビジネス法務2022年7月号」に寄稿したコラムである。

概要

正式名称は「◆取締役が損害賠償責任を負うことも サイバーインシデント対応における再発防止策の構築」である。

本文

はじめに

実務解説
◆取締役が損害賠償責任を負うことも
サイバーインシデント対応における再発防止策の構築
山岡裕明/千葉哲也

取締役が負う内部統制のシステム構築義務の一環として、適切なサイバーセキュリティー体制構築義務が含まれており、取締役が当該義務に違反してサイバー攻撃を受けて損害が発生した場合には、当該損害について損害賠償責任を負うと解されている。 そして、サイバー攻撃を受けた被害企業の取締役が講じるべき再発防止策については、すでに一度被害を受けたことで予見可能性が高まっているため、サイバー攻撃を受けたことのない企業の場合と比較してより高度なサイバーセキュリティ体制を構築する義務があるといえる。

Ⅰ サイバーセキュリティの近似の傾向

ランサムウェアを利用したサイバー攻撃が激増している。警視庁が公開している「令和3年におけるサイバー空間をめぐる脅威の情勢等」(令和4年4月)(【図表】参照)によると、令和2年度下半期ベースでいうと、令和3年度上半期に3倍、令和3年度下半期に4倍と増加している。 こうした状況下において、企業はサイバーセキュリティ体制の構築が急務となっている。 ところで、ランサムウェアによるサイバー攻撃について、興味深いレポート(以下「本件レポート」という)が発表された。"almost 40 companies were compromised by different gangs twice in 2021.・・・・・・17 more companies were attacked for a second time following an earlier compromise in 2020"(筆者訳:「2021年に約40社が2回不正アクセスを受けた。・・・・・・そのほかにも17以上の企業が2020年に1回目の不正アクセスを受け、2021年に2回目の不正アクセスを受けた。」)というデータである。 本件レポートからは、一度サイバー攻撃を受けた企業は、サイバー攻撃者集団に切り返しターゲットとして狙われる可能性が高いことが窺われる。 そうであれば、一度サイバー攻撃を受けた企業においては、同種の攻撃手法によるサイバー攻撃を再度受けないよう、再発防止策を策定する重要性がさらに増していると言える。そして、その再発防止策とは、蒸気のサイバーセキュリティ体制の再構築として、再発防止策の法的位置づけを検討する。

Ⅱ 会社法上のサイバーセキュリティ体制構築義務

1.会社法上のサイバーセキュリティ体制構築義務について

「会社におけるサイバーセキュリティに関する体制は、その会社の内部統制システムの一部といえる。取締役の内部統制システム構築義務には、適切なサイバーセキュリティを講じる義務が含まれ得る。」とされている。その結果、会社との関係では、「取締役(会)が決定したサイバーセキュリティ体制が、当該会社の規模や業務内容に鑑みて適切ではなかったため、会社が保有する情報が漏えい、改ざん又は減失(消失)若しくは毀損(破壊)(以下本項において「漏えい等」という。)されたことにより会社に損害が生じた場合、体制の決定に関与した取締役は、会社に対して、任務懈怠に基づく損害賠償責任(会社法423条第1項)を問われ得る。」とされている。また、会社以外の第三者との関係では、「取締役・・・・・・が、悪意・重過失により、適切なサイバーセキュリティ体制を構築せず、又は体制が適正に運用されていないのにこれを是正するのを怠り、個人情報の漏えい等によって第三者が損害を被ったときは、取締役・・・・・・は、当該第三者に対しても責任を負うことがあり得る。」と解されている。 すなわち、取締役が負う内部統制システム構築義務には、その一環として適切なサイバーセキュリティ体制構築義務が含まれており、それに違反した場合には、当該違反により発生した損害について損害賠償責任を負うと解されているのである。

2.再発防止策とサイバーセキュリティ体制構築義務との関係

サイバー攻撃を未然に防ぐための体制である点で、再発防止策もサイバーセキュリティ体制構築義務の一環といえる。違いとしては、一般的にサイバーセキュリティ体制が過去のサイバーインシデントの発生と関係なく論じられてきたのに対して、再発防止策はすでに発生したサイバーインシデントを前提とする点である。 では、すでに発生したサイバーインシデントを前提とする再発防止策の策定にあたっては、より高度なサイバーセキュリティ体制構築義務が課されるのだろうか。 この点についての裁判例はないが、参考になるものとして、繰り返し発生する社内の違法行為に対する管理体制について、取締役の責任を認めた大阪高裁平成14年11月21日判決がある。同判決は、社内で繰り返される違法行為について、「会社として、社内的にこのような違法行為が繰り返されないような管理体制をとる必要があったものといわなければならない」「違法行為が発生しそのため当該相手方等に被害を生ずることを防止する管理体制を整えるべき義務があったというべきである」とする。 そして、当該判決について、「繰り返される不正行為の発生を受けて、その不正行為についての予見が可能となった特別な事情が認められる以上、それを防止しえない現状の内部統制システムでは足りず、より高度な内容の内部統制システムの構築が要求されていることを示唆している」と評する見解が存在する。 当該裁判例の事案とサイバー攻撃の事案とでは内部者による不正行為と外部者によるサイバー攻撃との違いはあるものの、双方とも損害を発生させるインシデントであり、かつ内部統制システムにおいて発生を防止することが期待されているインシデントであるという点で共通している。そのため、一度インシデントが発生し、そのインシデントについての予見が可能になったという特別な事情が認められる以上、再発防止策の策定にあたっては、それを防止し得なかった現状のサイバーセキュリティ体制では足りず、より高度な内部のサイバーセキュリティ体制の構築が要求されていると解することも不自然ではない。

3.再発防止策の策定を怠った取締役の責任

上記に加えて、仮に、二度目のサイバー攻撃を受けて損害が発生した場合には、取締役として過失が肯定されやすくなることも想定される。 すなわち、一度サイバー攻撃を受けた企業の取締役として、上記のとおり高度な内容のサイバーセキュリティ体制の構築義務が課される可能性があることに加え、予見可能性を前提とする過失も認められる可能性は高い。この点を論じた裁判例も存在しないが、参考になる裁判例として社内の不正行為を防止するためのリスク管理体制の構築義務の違反について過失があったとして会社法350条に基づく責任が問われた最高裁平成21年7月9日判決がある。 当該判決では、内部者による「通常用意に想定し難い方法による」不正行為について、「不正行為の発生を予見すべきであったという特別な事情」の有無が検討された。そして、「特別な事情」の例示として、「本件以前に同様の手法による不正行為が行われたこと」が摘示された。 この裁判例の事案とサイバー攻撃の事案とでは、前記のように内部者による不正行為と外部者によるサイバー攻撃との違いはあるものの、双方とも損害を発生させるインシデントである点では共通している。 また、過去にサイバー攻撃を受けたことがあり、しかも、本件レポートで摘示されているとおり一度サイバー攻撃を受けた企業はサイバー攻撃者集団に繰り返しターゲットとして狙われる可能性が高いことが報じられている状況下においては、繰り返し同種のサイバー攻撃を受けることの予見可能性はより高いといえる。そうであるにもかかわらず、同種のサイバー攻撃により会社または第三者に再び損害が生じた場合には、取締役の任務懈怠および過失(重過失含む)が認められ、取締役の損害賠償責任が肯定される可能性はさらに高くなるといえる。

Ⅳ おわりに

本稿は、サイバー攻撃を受けた企業における取締役の再発防止策に関する義務についての初めての論考と思われる。本稿が当該義務についての議論を深め、かつ、企業の再発防止策向上の一助となれば幸いである。

画像

2022年6月6日、有志によって寄稿部分が開示された[1]

註釈

関連項目


山岡裕明
一覧 法律事務所クロス - 八雲法律事務所 - 経歴(八雲法律事務所設立後) - 記事・著作
関連する人物 唐澤貴洋 - 山本祥平 - 渡邊恵美 - 小田原潔- 山口貴士 - 中島博之 - 杉本賢太 - 千葉哲也 - 阿部通子 - 町田力 - 柏原陽平 - 畔柳泰成- 田村祥一 - 長野英樹 - 菊地康太 - 小林尚通 - 笠置泰平 - 星野悠樹 - 上野浩理 - 大友雅則 - 村田和希 -井上拓 - 髙間裕貴 - 片岡弘
関連する団体 三田国際学園 - ネットリテラシー検定機構 - デジタルフォレンジック研究会- ゲーミング法制協議会 -情報ネットワーク法学会
依頼人 フジテックス - サイモントン療法協会 - 大橋清貫 - 中野江古田病院 - 伝創社 - 日本ハッカー協会 - Amazon規約違反者 -ドラゴンコンサルティング - 木下喬弘(手を洗う救急医Taka )
記事 銀行実務 - 日本経済新聞 - 著作権、無自覚の侵害が問題(日経) - 漫画サバイバル(日経) - 法とコンピュータ

サイバーセキュリティと企業法務(1)(2)(3)(4) - 経営者の喫緊の課題 新たなサイバーリスクへの向き合い方(ビジネス法務/中央経済社) - 中央ロー・ジャーナル - 米国におけるサイバーセキュリティ法制と訴訟リスクの検討(上) (下) (ビジネス法務/中央経済社) - サイバーインシデント発生時の初動対応・再発防止策(ビジネス法務/中央経済社) - サイバーインシデント対応における再発防止策の構築(ビジネス法務/中央経済社) - ECサイトからのクレジットカード情報漏えい事案における法的留意点(上) (下)(ビジネス法務/中央経済社)
IT関連の最新動向と法務リスク(会社法務A2Z) - 脅迫型サイバー攻撃の現状と企業対応の実務(会社法務A2Z) - ランサムウェアによる脅迫型サイバー攻撃に対する実務最前線(会社法務A2Z)
インターネットを利用した業務妨害(ICHIBEN Bulletin) - 「IT嫌い」「IT初心者」(!?)のための サイバーセキュリティ入門 ~14のQ&A~ (ICHIBEN Bulletin)
サイバーセキュリティリスクに備える契約上の留意点~秘密情報の開示・漏えいの取り扱い~(旬間経理情報) - サイバー保険の概要と加入に際しての検討事項(旬間経理情報)
インターネット業務妨害に対する米国の証拠開示制度の活用(自由と正義)- 経営判断を迫るサイバー攻撃・ランサムウェアの最新動向について(国際商事法務) - サイバー不正の世界的脅威と日本企業の現状 〜ランサムウエアなど不正対策の最前線を聞く(ACFE JAPAN) - 西田弁護士インタビュー - マルウェア感染により信用組合が負う法的リスク(しんくみ) - 新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か? - 競争法における「サイバーセキュリティの確保」の要請(ぎょうせい) - 金融機関とサイバーセキュリティ 第1回 内部不正による個人情報漏えい(しんくみ)

著作 デジタル法務の実務Q&A(日本加除出版) - 情報セキュリティQ&A45(日本経済新聞出版社) - インターネット権利侵害者の調査マニュアル(ビジネス法務/中央経済社) - 業種別にわかるデータ保護・活用の法務Q&A(ビジネス法務/中央経済社) - 法律実務のためのデジタル・フォレンジックとサイバーセキュリティ(株式会社商事法務) - 金融デジタライゼーション時代の サイバーセキュリティ早わかり講座(銀行研修社)
事件・騒動 唐澤貴洋と山岡裕明のご尊容開示事件 - 巨人山口顧問弁護士なりすまし事件 - 投票所襲撃メール - 石崎敦子
裁判 平成27年(ワ)8441号安藤良太) -平成27年(ワ)第33589号(サイモントン療法協会) -東京地方裁判所 平成28年(ワ)第38586号アマギフ裁判) -平成31年(ワ)第2422号(ドラゴンコンサルティング) - 令和元年(ワ)第33533号LGBT: ~言論を破壊するものたち~) - 令和2年(ワ)第1667号(アドエイト) - 令和2年(ワ)第22414号令和3年(ワ)第9794号(中野江古田病院) - 令和3年(ワ)第6410号(NTTコミュニケーションズ)令和3年第(ワ)12332号(NTTドコモ)(尻穴まで洗う救急医Baka)
二次設定・創作 メスイキ(18禁)