米国におけるサイバーセキュリティ法制と訴訟リスクの検討(下)

2021年11月11日 (木) 13:21時点における>チー二ョによる版 (→‎2クレジットカード決済に関する業界基準)
(差分) ← 古い版 | 最新版 (差分) | 新しい版 → (差分)
ビジネス法務 > 米国におけるサイバーセキュリティ法制と訴訟リスクの検討(下)

米国におけるサイバーセキュリティ法制と訴訟リスクの検討(下)

カリフォルニア大学バークレー校公共政策大学院。201 2年総務省入省。通信の秘密.インターネット上の違法・有害情報対策 .サイバーセキュリティに関する政策の立案に携わる。
馬場厚史
八雲法律事務所 .弁護士。カリフォルニア大学バークレー校情報大学院。2010年弁護士登録。情報セキュリティスペシャリスト。情報法を専門とし,内閣サイバーセキュリテイセンターサイバーセキュリティ関係法令の調査・検討等を目的としたタスクフォース構成員を務める。
山岡裕明


情報通信技術の進展に伴い企業活動におけるサイバーセキュリティの重要性が高まっている。米国では.企業活動におけるサイバーセキュリティに関して.連邦レベルおよび州レベルにおいてそれぞれ関連規制を制定しているほか.業界ことの自主基準の策定や民事訴訟を含む判例法理の形成など複層的な規制体系が構築されているところである。 本稿では,米国での企業活動に際して留意すべきサイバーセキュリティの規制・基準訴訟類型について2回にわたり概括的に紹介する。第Iに連邦レベルでのサイバーセキュリティ規制を取り上ける。第2に州レベルでのサイバーセキュリティ規制を取り上ける。第3に企業のサイバーセキュリティに大きな影響を及ほす自主基準を紹介する。最後に企業活動に最後に際して直面し得る訴訟類型を取り上げる。

Ⅲサイバーセキュリティにおける自主基準・ガイドラインの取組み

サイバーセキュリティに関する技術は日進月歩であることから,企業が従うべき具体的な基準を法律をもって策定するという従来型の規制手法が効果的でない分野とも言える。このため,政府機関および業界団体においては,法的拘束力のないベストプラクティスの共有および自主的なセキュリティ基準の策定の取組みが積極的に進められている。 本章では,最も重要な基準としてSTサイバーセキュリティフレームワークを取り上げるとともに,業界における先進的事例としてクレジットカード業界の自主基準を紹介する。

1 NISTのサイバーセキュリティフレームワーク

アメリカ国立標準技術研究所(NIST :National Institute of Standards and Technology) は, 2014年2月に,重要インフラ(Critical Mrastructure)事業者向けにサイバーセキュリティのリスクマネジメントを主な内容としたサイバーセキュリティフレームワーク (Cybersecurity Framework)を策定・公表した。2018年には改訂版[1]が公表されている。 同フレームワークの採用は任意となっているが,多くの企業が採用するデファクトスタンダードになりつつあり, 2017年5月に署名された大統領令[2]により,政府機関に同フレームワークの活用を義務づけた。 わが国においても,経済産業省および独立行政法人情報処理推進機構が公表している「サイバーセキュリティ経営ガイドライン」において同フレームワークの考え方が取り入れられている[3]

2クレジットカード決済に関する業界基準

PCIデータセキュリティスタンダード(PCI DSS : Payment Card Industry Data Security Standard)は,世界の主要クレジットカード会社(American Express, Visa, MasterCard , JCB ,およびDiscover Financial Service)で構成される団体が制定したクレジット決済に係るセキュリティ業界基準である。情報漏えいおよびそれに続くなりすまし被害を防止することを目的に,手続上および技術上のルールを12の要件として定めている。クレジットカード決済を導入している企業は,同スタンダードに準拠することが要求される。 PCI DSSは業界の自主基準ではあるが,その内容が州法によって引用されたり[4],情報漏えいに関する訴訟における企業の注意義務の認定にあたって参照される[5]など,大きな影響力を有している。

Ⅳサイバーセキュリティに関連する訴訟類型

サイバー攻撃によって個人情報の漏えいが発生すると,連邦取引委員会(FTC)をはじめとする行政機関から訴追を受ける可能性があるほか,消費者・株主・関連企業からの訴訟リスクにも直面することとなる。 本章では,これらサイバーセキュリティに関連する訴訟類型について触れる。

1行政機関の執行に起因する訴訟

サイバーセキュリティに関して企業が直面し得る訴訟類型として最も重要なものは,前号のIおよびⅡで紹介した規制に基づいた規制機関からの執行およびそれに続く訴訟である。サイバーセキュリティに関する規制機関としては, FTCの存在感が大きく,企業としての関心も高い。FTCは,審査の後,同意命令(consent order)を発して,違反行為者が応じることによりその審査を終了させることが多いが,違反行為者が同意命令に従わない場合は, FTCは,訴訟を提起することとなる。訴訟に至った代表的な事例として, ホテルチェーンであるウインダム社における個人情報漏えい事案[6]がある。

2消費者からのクラスアクション

個人情報漏えい事案において,みずからの情報が漏えいした個人による,情報漏えいを招いた企業に対する損害賠償請求訴訟があり,その多くはクラスアクションの形式をとる。 たとえば,不正アクセスによりソニーのプレイステーションからユーザーの個人情報および決済情報が漏えいした事件において,ソニーがその管理するネットワーク内に保管された原告らの情報を保護するための合理的なセキュリティ(業界水準の暗号化など)の提供を怠ったとしてクラスアクションが提起されている[7]

3株主代表訴訟

十分なサイバーセキュリティを実施していなかったことが取締役の義務に違反するとして,株主から取締役に対して株主代表訴訟を提起される類型である。 たとえば,小売りチェーンであるHome Depot社からの情報漏えい事案において,取締役が十分なサイバーセキュリティのための安全措置を実施しなかったことが会社に対する忠実義務に違反するとして株主代表訴訟が提起されている[8]

4サイバーインシデントに起因する企業間

サイバーインシデントに起因して関連企業間で責任の分担に係るさまざまな訴訟が発生する場合があるクレジットカードの不正利用に係る金融機関と小売店との間の係争が代表的な例である。 また,第三者によるサイバー攻撃により情報を窃取された企業と,当該企業と保険契約を締結している保険会社との間において,保険金の支払条件を定める文言の該当性をめぐって訴訟が生じている。たとえば保険約款上,「個人のプライバシーを侵害する情報の公表(publication)」が支払条件となっている場合において,「公表」が企業の積極的行為によるものに限定されるのか,外部のハッカーによる窃取行為による場合も含まれるかが争点となり,裁判所の判断は事案により異なっているのが現状である

Vまとめ

以上,本稿では,米国におけるサイバーセキュリティについて,連邦レベルおよび州レベルでの規制,業界の自主基準,関連する訴 訟類型に分けて概観を紹介した。 これらサイバーセキュリティの法体系は, 企業にとって第一義的にはサイバー攻撃によ る被害を防ぐ観点,副次的にはサイバーインシデントが発生した場合の法的な責任を限定する観点から重要となる。米国における企業活動においてはもちろん,日本における事業においても,参考になると考えられる。

スキャン画像

脚注

  1. NIST「Cybersecurity Framework Version 1 .1」( 2018年4月)
  2. 大統領令「Strengthening the Cybersecurity of Fede「Networks and Critical lnfrastructure」(2017年5月)
  3. 経済産業省ほか「サイバーセキュリティ経営ガイドラインVer2.O」(2017年11月)
  4. NEV.REV.STAT.§603A.21 5(1)およびWASH.REV.CODE§19.255.020
  5. Inre Hannaford Bros. CO. Customer Data Sec. Breach Litig.. 613 F. Supp. 2d 108 (D.Me. 2009)
  6. In re Hannaford Bros. Co. Customer Data Sec. Breach Litig., 613 F.. supp. 2d 1 OB (D.Me.2009)
  7. In rerony Gaming Networks a Customer Data Seo. Breach Litig.,996 F.Supp. 2d 942 (S.D.Cal.2014)
  8. In re the Home Depot, Inc. Shareholder Derivative Litig.. 223F. supp. 1317 ( N.D.Ga.2016 )

関連項目

山岡裕明
一覧 法律事務所クロス - 八雲法律事務所 - 経歴(八雲法律事務所設立後) - 記事・著作
関連する人物 唐澤貴洋 - 山本祥平 - 渡邊恵美 - 小田原潔- 山口貴士 - 中島博之 - 杉本賢太 - 千葉哲也 - 阿部通子 - 町田力 - 柏原陽平 - 畔柳泰成- 田村祥一 - 長野英樹 - 菊地康太 - 小林尚通 - 笠置泰平 - 星野悠樹 - 上野浩理 - 大友雅則 - 村田和希 -井上拓 - 髙間裕貴 - 片岡弘
関連する団体 三田国際学園 - ネットリテラシー検定機構 - デジタルフォレンジック研究会- ゲーミング法制協議会 -情報ネットワーク法学会
依頼人 フジテックス - サイモントン療法協会 - 大橋清貫 - 中野江古田病院 - 伝創社 - 日本ハッカー協会 - Amazon規約違反者 -ドラゴンコンサルティング - 木下喬弘(手を洗う救急医Taka )
記事 銀行実務 - 日本経済新聞 - 著作権、無自覚の侵害が問題(日経) - 漫画サバイバル(日経) - 法とコンピュータ

サイバーセキュリティと企業法務(1)(2)(3)(4) - 経営者の喫緊の課題 新たなサイバーリスクへの向き合い方(ビジネス法務/中央経済社) - 中央ロー・ジャーナル - 米国におけるサイバーセキュリティ法制と訴訟リスクの検討(上) (下) (ビジネス法務/中央経済社) - サイバーインシデント発生時の初動対応・再発防止策(ビジネス法務/中央経済社) - サイバーインシデント対応における再発防止策の構築(ビジネス法務/中央経済社) - ECサイトからのクレジットカード情報漏えい事案における法的留意点(上) (下)(ビジネス法務/中央経済社)
IT関連の最新動向と法務リスク(会社法務A2Z) - 脅迫型サイバー攻撃の現状と企業対応の実務(会社法務A2Z) - ランサムウェアによる脅迫型サイバー攻撃に対する実務最前線(会社法務A2Z)
インターネットを利用した業務妨害(ICHIBEN Bulletin) - 「IT嫌い」「IT初心者」(!?)のための サイバーセキュリティ入門 ~14のQ&A~ (ICHIBEN Bulletin)
サイバーセキュリティリスクに備える契約上の留意点~秘密情報の開示・漏えいの取り扱い~(旬間経理情報) - サイバー保険の概要と加入に際しての検討事項(旬間経理情報)
インターネット業務妨害に対する米国の証拠開示制度の活用(自由と正義)- 経営判断を迫るサイバー攻撃・ランサムウェアの最新動向について(国際商事法務) - サイバー不正の世界的脅威と日本企業の現状 〜ランサムウエアなど不正対策の最前線を聞く(ACFE JAPAN) - 西田弁護士インタビュー - マルウェア感染により信用組合が負う法的リスク(しんくみ) - 新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か? - 競争法における「サイバーセキュリティの確保」の要請(ぎょうせい) - 金融機関とサイバーセキュリティ 第1回 内部不正による個人情報漏えい(しんくみ)

著作 デジタル法務の実務Q&A(日本加除出版) - 情報セキュリティQ&A45(日本経済新聞出版社) - インターネット権利侵害者の調査マニュアル(ビジネス法務/中央経済社) - 業種別にわかるデータ保護・活用の法務Q&A(ビジネス法務/中央経済社) - 法律実務のためのデジタル・フォレンジックとサイバーセキュリティ(株式会社商事法務) - 金融デジタライゼーション時代の サイバーセキュリティ早わかり講座(銀行研修社)
事件・騒動 唐澤貴洋と山岡裕明のご尊容開示事件 - 巨人山口顧問弁護士なりすまし事件 - 投票所襲撃メール - 石崎敦子
裁判 平成27年(ワ)8441号安藤良太) -平成27年(ワ)第33589号(サイモントン療法協会) -東京地方裁判所 平成28年(ワ)第38586号アマギフ裁判) -平成31年(ワ)第2422号(ドラゴンコンサルティング) - 令和元年(ワ)第33533号LGBT: ~言論を破壊するものたち~) - 令和2年(ワ)第1667号(アドエイト) - 令和2年(ワ)第22414号令和3年(ワ)第9794号(中野江古田病院) - 令和3年(ワ)第6410号(NTTコミュニケーションズ)令和3年第(ワ)12332号(NTTドコモ)(尻穴まで洗う救急医Baka)
二次設定・創作 メスイキ(18禁)