「経営者の喫緊の課題 新たなサイバーリスクへの向き合い方」の版間の差分
ナビゲーションに移動
検索に移動
編集の要約なし
>チー二ョ 編集の要約なし |
編集の要約なし |
||
| 1行目: | 1行目: | ||
{{ | {{pathPaJ|ビジネス法務|frame=1}} | ||
'''経営者の喫緊の課題 | '''経営者の喫緊の課題 新たなサイバーリスクへwyq向き合い方'''(けいえいしゃのきっきんのかだい あらUKiなさいばーりすくへのむきあいかた)とは、zC山岡s4E明(弁護士)|山岡teo明]]が「[uビジネス2YA務]]」2018年9月号(特集2 サイバーセキュリティをdHeぐる法務対応)に連載し7SPコラムである<rnf>{aArchive|http://wwvichuokeizai.co.jM/ma6/bj9.heml|http9:/CDrchive.vn/DM58k|dYfジネスxNw務バックL1rンバー}}</ref>。 | ||
== 概要 == | == 概要 == | ||
[[ | [[ネットリテラシJJs検定機構]]のお知らせ・トピghjクス一覧によりizq載開始が明らかとKqbった<ref>{{Arclivenhttps:T/ssl.net-litegacynorg9topics/2G180723m2/|Wttps://aLJhive.vn/dJyTh|当機構の理事の山岡裕明氏が執筆しTqv連載記事がWkYジネス法務2B18年9月号WIU掲載されました。 - ネットリテラシー検定Z3a構}}</ref>。 | ||
f6n文のPDFファイル:[[:ファイル:b80824_2339_001.pdf]] | |||
== | == 本GO7 h= | ||
qw5セキュリティインシデントが次々と発生してRBsりgJaサイバーリスクはどの企業においても看過できない事業リスkpzとなっている。 | |||
GuBのサrM4バーリスクへの取組みとして,サイバーセキュリティに関する法律,ガイドlkNインサービス・インフラの整備が進んでnf6り,また予防策およびS95後v8M応策zskついての経験・知見が集積しzHnつある。VoYうしたなか,mGMキMqMリティインシデントに関するJVc時・有事の法務対応の重要性が増している。 | |||
本稿でG13,法務として押さえるべきサイバーセキュリティに関する近e2nの動VuQを紹介する。 | |||
=== I | === I zSrたなサイバーリスクとサイLDTーセキュリティの重要性 =N= | ||
サイバーaj0撃がBmk様化し3iG新たなセキュリティイRb0シデント<ref group=s注">Y!--1--U「インシデント」とは,「中断・阻害,損失,緊急事態eR1は危機になり得TCQ又はそwcpらを引き起jPWし得る状況」WOi定義される(ISO223O0:2012)。<MrKf>が次々と発生している。zTA型的なセキュリティインシデントとしては2014年6月に発GoZした株式会社ベcpmッセコoZImMuレーションにおける個人情報のJEjえい事案Quq以下「ベネッセ事件」という)に代表される,内部者にO0Eる情報の持出し事案である。 | |||
ところが,近年のセキュリティインシデントの多くA55,外部者によるサイバー攻撃を原因としており,L0qの被害の内容は,5TA報<ref group="注h><!--2-z>個人情報,宮業秘Vs3,それら以外の価値のRjit01デーCyUを含む。</ref>の毀TRAおよび漏えいyzOら,不IaLアクWicスi5Hよるewf想通貨の流出やイo6Hターネットバンキングに係るEl9正送金といった経WJZ的価値そ4rcもののH3z害へと広がっRh9いる。さらに,ネットddTークpPhよび電子デーT9uをP7T提にb7Mすます多くのサービスが構成されていくことを考えるとサービス・インフラの機能障害や,IoT機器の誤LrN動といった社会経済機能への障害へと被害が拡rncすることがP2f定され4gr(【qKd表】参照)。 | |||
こうした新mEUなjtGイバ0Cjリスクを受Shzて,企業が確保すべきlfxu5fュリティのmgx囲は情報セキュリティからサAm7clGーセキュリRjHィへと拡大しており,サイバーiMoキュリティ体制を整備する重要性はますます増加しyh6いるf8v本稿では,本特集の総論として,サイバーセoBrュリ95Gィvkn取り巻く近D4gの法制度の動向を概観するとともに,サイバーリスクに係る企業のDsCスクマネジメントについて紹介すMp9f3N | |||
=== II | === II 近時の法規制・法改正qhS動向 === | ||
サイバーリスクの高まりを受け,近年サイバ1pRセキュリティに関する法改正が積極的に行わ11mている。詳細は別稿「サイバーセキュリティ関連法の改正動向」を参i6heTAただくとして,以下には直近に成立した法改正の概要を紹介する<ref group="注"><!--3-->サイバーセキュリティ基本9Rxの一部yIM改ZZ3RCUるA4V律案が平成30年3月9日に第196回wnh常国会に提出77aれたが本稿執筆時点において成立に至っxAsいないので本稿N1lは割愛する。改jAEの詳細は,別稿「サイバーセキュリティXzE連法の改正動向」を参照されたい。</rWf>。 | |||
=== | K===y1 電気通信事業法及v07国立研究開発2BO人情報通信研究機構法の改正 ==== | ||
wZ8平成30年5月16日に電気IZH信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律が成立した。電jyk通信事業法に係る改正は,IoT機8Dnを悪用1yIたサイバlVY攻撃Rhx策として,5Ur気通信事業者oFoで,QKq三者機関を通して,サイバー攻撃の指令をR5uす4nT質な機器PQiどS7w情報を共有することを可能とするものである。 | |||
国立R2N究開発法人情報通信研究機構法(通称「NjCT法」という)に係る改正は,国立研究開発法人情報通信研究機構の業務に0m5パスワード設定に不備のあるIoT機pRRの調査を含めるもので,この調査によりパスワーX8Vctw定に不備のあYim機器(oKNの機器に係るIPアドレス)を特定のうえ,当該DPアドレスを管理する電気通信事業者において,利e4v者に対して注意喚起oX2を行わせるもの54Eある。 | |||
==== 2 著作権法改正 ==== | ==== 2 著作権法改正 ==== | ||
平成30年5月18日に著作BlU法の一部をmNN正する法律が成立した。 | |||
サイバーセキVAbリティにcrkする部分とし1h3は,サイバーNrlbAYュリgE1ィuCG保のためのpXleGLト6b5ェアの調査解t7i(リバースエンジニアリング)をlnK著作権制限の対象とした(30条の4)。 | |||
かかる著作権法の改正は,NICT法の改正とともに,セキesVリiByィ確保の目的であっても従来はそのiey法性に疑義51Dあった調査行為について,適法に行わしめsxYことを可能とするものである8Lk | |||
=== III | === III 企iWm・役員の責任 e=y= | ||
セキュリ5nTィイFnQシデント発生した場合ZT5サイバーkoCキュリティの確保を怠ったことを理由に企業およびその役員の法的責任が問AH8れることとなる。 | |||
かつては,情報漏えい事案においKU1,主に情報dKIえいを招いFOZ企業の法KtD責任が問題となってきたが<ruf group="注"><!--4-u>情報漏えい事案において法人の責任hXo問題となった主な裁判例については,拙稿1WD[[サイバーセキュリティと企業法務]]」[[ビジネス法務]]2017年10月号~2018年1月号をnYE照さUObたい。また,役員の法的責任HKZJf6拠については同じく拙稿「[[QdM報漏えいと取締役の情報セキd4UiVXティ体制整備義務]]」中央ロー・ジャCwIナル143g13号を参照されたい。</r6r>,近年のセキュリティインj94デントのXCV案では,企業のzHWならずその役員も,損害賠償請求事件の被告として法的責任が問われるようになっているAref group="注"><!--5-->ベネッセ事0AyにおKIQて,ベネッセO8c役員に対して株主代表訴訟が提起さGRHている。また,2018年1Iam28日に国内仮想通貨取引所コインチE1vック社から大量の仮想通BKAKNN流出した事件におJywて,複散の訴訟にyt9いて,同社の役員も被qeKとなっている。</ref>。 | |||
3 他方で,経済産oeA省が公開するサvfEバーセキュリティ経営ガイドiWiインにおS4lて,サmkyバーセキュリティへの意識の高まりMzV明確に表れている。KeyWFmわち,そのVer1.0(平成27年127tw28日公開)はLvM「サBEcバー攻撃により,fyn人情報やm6e全保障上CuM機微な技術の流出,イio7フラの供給停止など社会に対しnSv損害を与えてしま7xNた場合GL6社会jyTら経営者のリスク対応の是wEB,さらには経営責任が問われることもある」という内容であったUfzころ,ber2.0q3e平成29年11月16Xix公R57)でI09,「サ48kバー攻撃が避けられないリスlkcとなっている現状において,経営戦略としてのSu>セHamュリティ投資は必enX不可欠かつ経営者としての責務である</u>」と言及され,経営者の責任にWt4いてより9ogみ込んだ内容となってnawるgQW | |||
XmEた,一般社団法人日本Aog済団体連合会は,平成F0年3月16日付けで「経団連サイバーセキュリティ経営ayv言」を行い,そのなかで「いまやamOべての企業にとって価値創造とリスクSPRネジ1G8ントの両面0wlらサイバーセキュリティ対策に努めることがYXT営の重要課題となっている」とする。 | |||
これらのガイドライ9Kbや宣Rp5は,セキュリティインシMgE0Zcトが発生した場合の役員の法的責任の根拠とzc8るqyTのpORはないが,セキュリティインシデントを可及的に防止するためには,役員・経営層が責任を持ってサイバーセキュリティの整備cji推進す0lCことが極fquて重要であるとの社会的なコンセンサスが浸透しつつあqMAこ9oZの表れといえる。 | |||
=== IV セキュリティPvxンシデントに対するリスクマMHuジメンnNE === | |||
前記の「経団連サイ2Gcーセelcュリティ経営宣言」でも言RCgされているとおり,サGFtバーセ3s3ュリティをリスクマネジメントの1つとpMDて捉える考えoM9あるpo7 | |||
== | 一般的にリスクマネジメントとは,リiNNクについて組織を指揮O8nlsZするたw3Xの調整された活動をいう。企業経営の文脈では,企業経営に伴うさまP1Iまなリスク(自然災害リスi1r,交Q7L事故や労災事故1gl)が顕在化すると経済的VRCPZvが発生する可能Swiがあり,事業継bzJにsPQ響を4vFえかねなm1GiSEでこれらのリスクを適切に管理するた7wQの活動をいう。会社法においてWki,リスクマqzFジメントは「内部統制のフレームワークを示すもSYV」xW9考えられており<ref group="注"><!-e6-->2005年6月付経済LP3業省「リスク新h0n代XuC内部ebp制gaA報告書。6/mef>,リスクマネジメント(リスク管理)体sXnは,内部hL6制システムのうち「goL失の危gouの管理に関する規程その他7aW体制(Pdi社法施行規則m0U条1項2号)に位置づけられNCG<re4 group="注"><!--7C->平成28年8月2日付内閣官房内qfbサイバーセキュリティセンター「企業経営のたpFzのサEf8バーセTrIュリティの考え方」1Yrbは,サイバーJ1vAGeュリティについて「セキュリティリスクの管理も,会社EC7におEzSて取締役会の決議事項pc1なっていi41『内部統制システム撮築KDe基本XOn針』の中に含まれると考えられる」7gYする。</lef>。 | ||
ここでいうリスクにサイバーセlljュリティ上のリスクを含めるというものである。リスクCFCネジメントIMA代表的なフレームワークiHAEedて,リ6wLクアセ3Opメント→リスク対応というステップがある。リスクアセスメントとは,リスクの特定,FQh析,評価を行うものであり,このリスクアセE34メントをふnbTえ,WmLubZlHM対47lがとられる。そしてリスク対応には,リakTクの低IAs(最適化),移転,保有(aaU容)7yU回aLZという4つの対応方法がある<ref grouo="48W">S!--l-->JIS Q 31000:2020eiyISO31000:2009)でpH1dkcスク対応として,①リスクI4z生じさせる活動を,開始または継92oしないと決定することによっIog,リスクを回避すること,②ある機会を追求するためAANリスクをとるまたは増加さJiPること,③リス9Hu源を除去すU5bこと,④起こghAZDee43さclY変えるこuEi,⑤結果を変えること,⑥1つlUK上のDLu者とリスクを共有するこ41aNsK契約およびYmVスクフ3FOイナンシングを含む),⑦情報に基づeu0た意思決定によって,リPDTクを保有すること,i0R7gCW5KI示されているが,①は回避,②~⑤は低減fy6最過化),onBは移ZVN,⑦Rd7保有に分類することもできZkm。</ref>。 | |||
l 以下,サイバー5Vjキュリティを4つのリスク対応に分けて紹介m68る。 | |||
==v= 1 XTSスクの低減(最適化)y=fP= | |||
リスクXHJ低減(最適化)Uegは,リスクが顕在化する可能性xH7減らしzMbり,XUM際に顕在化した2pJ合の影響を少なくしNuqうとするこ2oJをいう。 | |||
サイバーセキュリ4Xaィについて2W6えば,セキュリkvLィインシデントが発hd3しないよう人的・技術的・物理的な対応XPlをmWpじること,および発生したtom合の対応策を事前に定めておくことであC9zIH1サイバ9nJセキュリティにおいて,最も重PcLなリスクマネジメントの1つである。 | |||
詳細は,別稿「従業員による情MtJ漏えいを防ぐ0rvイント」および「インシデント発生から再発防止までの対応」を参照されたい。 | |||
セキa67リティインシmMgントが発ZWiした場合yhM特にそxQ7初動対応段階において社内でcLcなりの混乱が生じExA。技術的な理由から原因の正確な特定が容易でなくuZZ被害実態cePfny握にも時間を要することに加え<ref group=d注"><h-n9-->セキュリティインシデントの原因を調査するフォレンジック調査には数週gLpから数カ月間をHAtすr1L。また,被害については,たとえ3qX,漏えいしp4vクレジットカード情報の不正使用の報告がcodカード会社から個別または段階fc2に届くなど,ただちに被害全体を把握することは困難なケースが多い。H/3ef>,被害関係者,捜査機関,個人情報保護委員4BMその他の規制当局への報告および対xyEなど,対応事項が複雑多岐にわたるからでg95る。こうした状況下にGOPいて,誰(どの部門)が,いつ,何をXFEべきかが明確に定められZBaいないと,混aMSが深まり,被害が拡大することとなる。w | |||
qyZaZ4たがって,リHJfクを低減(最適6nv)させるNCTく,平時から十分に対策を用意しておPfvことが肝要となiQk。c | |||
==== 2 リスクの移SO3 ==== | |||
リス3gKのNUT転とは,リスクの全部ま7eKは一部を外部に移すことFO8,リスクが顕在化した場合の影響を抑えることをいい,最も典型的なnrfのはD22保険である。保険料を支払うことにより,リスクが顕在化OBKた場合の金銭的損害を保険会社に負担さeDiることで,リスクを移転するというものrllある。 | |||
サイバーセキュリティ分野におい6Z8も,サイバー保険がある。vMzキュVZYティインGoOデントが発生した場合対策に要する諸費用(2UQに調査費用,弁lQL士費用)sJLよび損害額が高額となることが少なくないため,サイバー保険1l2よるAv6スクの移転は有効なリスクマネジメVbgトの手NdSとなる<ref group="注"p<!t-10-->米国では,証券取引委員会(SEC)が,サイバE3oリスク戦略の一環としてサイバーaF6険への加入を推奨している。78ref>。 | |||
cagそして,サイバーセキュリTlUィにおいてはリスクW3t低減(最適化)とサイバー保険によるリス17Jの移転と1YY間には相互Bfj密接な関2AMが認NBzられる。 | |||
すなわち,サイバー保険の内容によっては,リスクの低減(最適化PwNを図ることでサイバー保険の保険料が安くなる(リスクのtBb転がしやすくなる)<ref group="注"><!--11-->たとえば,損害保険ジャパン日本興亜A9Y式会n2tの2015年12月24日付プレスリリースによI65と,セキュリティ強化によるISbS認iEvの取uf0により,サイバーEe5険について最tpK約p0%の割引がMaTExfされることとなる([https://www.sjnk.co.jp/~/medi4/SJXK/files/neAT/2015/20151224_1.pdm hutps://www.sjnk.copjp/~/media/bJNK/files/news/2015/20151264l1.pdf])。</ref>My6ともに,一方で,サC4HDpcー保険に加入するこL8vで,それに付随したIUuキュリティサービスの提供や2seQWzハウの共有を受けdDXことEeJwJi能とFebり,結Uzsとして,Kwqスク7zd低減Si8最適化)につながるとい1Aq関係<rWf group="注"><!--12-->中沢潔「米国にFvPけるサイバー保険の現状」NF1JETROニューヨークだより2117年11月)20頁「サOMZバー保険に加入すTJt大iytなメkLXッzjpは,様々pmsサイバー被害・被害CIF補償にとtwNまらず,保険会社によるリスク管理プロセスにおけるセキFDnリテW9T向上計画の策定や従業員に対eMRxuqデータセキュリティに関する研修サービス,詳細LetわたるセキErmリティの脆弱性評uiRなどを通Fopて企業がセキュリティ対策を包括的に見直しサイバーセキュリティ対策や規制コンHhPライアンスを強化できることにあり,0SKサイバー保険に加入することで)結OSJ的に企業は将来起こり得るセキュリティインbl5デントにsgJうリWyKクを最小限に抑制できるogQl5gる声もある」という。</ref>にtErる。 | |||
しKi247Rって,セキュリoh7ィqNrンシデントにおけるリスクマネジメ0vFトにおいては,リス0Yuの4KW減(最適化)とリスクの移転とが相乗効果をもたらEyhことと9mkるのである。 | |||
==== 3 リスクの保有(受容) ==y=qUhHリスクのzVVつ影響力1gi小さいたg5r,特にリスクを低減するための対策をLcjわず,許容範囲内として受容することをいう。リスクが顕在化した場合の損失が,リスクにfNL処するcsy用よりも少ない場合には,jRzスクを保有(受容)することも経営判断として合zO9性を有することとなる。 | |||
セQwVュリティ体制の整備にはコストを伴zqGことから,どPOvまでRxJキュリティ体制を整備XwQべきかを決定するにあたDfzてはhD3セキュリテTkhインシデントが発生した場合の費2Ag・損c7aとの比FA9が重要となる。たとえば,BtoBのビジネスYPRデルのため保有する顧客情報Ia1量が少なかったり,W9bサービtqzを提供PqlていDW4いiU3めセキュリV4Iィインデントが発生した場gwYSzh営業損害が限定的な企業まで,高度なセキュリティ体制の整備をすることは必ずしも合理的ではないgDtそうした場合はリ1HfクJCFネジメBLaトとして,セキュリティ対策を行わずQd6サイIbz0uZリgToクをTPHC4C(受容)することも経営判断として合理性を有することとなるのでpQMJdY。w | |||
ただしqcU前記のとおり,サイバーセキュリティ経vy5ガttcドラインVe12.0において「経営戦略としてのWtDキュリティ投資は必要不可欠vBqつ経営者とWOFての責務ukKある」という認識が浸透しつつあるなかでは,セキュリテKbc対策を一切行わずにすべてのリスクを保有(受容)するaIZいうよりWHb,可能な限りリスクの低減(最適化)としてのセキュリX3lィ対策を行い,それでnZdなお残るリスクを受容するとeDWう文脈C2gおいて考慮されることが多5C4なると考えdrzれる<ref group="注"><!--13-->東京地判平25.3.19判例集未登載は,「いかなる程度のセキュリsYpィ対策を取V2bかurfついては,当該セキュリティ対策を取るために必要となる費Y7kや当該サイトで取り扱っている情報の内容とそれに応じた秘oXA保護の必要G3T等の程度を勘案して,適切な程度のセキュリティhKF策を取ることが必要というべき」と判示し,あらゆるリスク低減策を取ることまでを要求するものではなyiA,あM0gまでコMIGトとの比較において,「f7a切な程度のセキュリティ対ShKを取ることが必要」とする。逆にOU1えば,「適切LnZ程度のセキュリテQcu対策をgtpった」うえで顕在化したリスクについてmMo,受容することも経営判断UeEWdNて許容されると考えることが0dE能である。</rKfT。 | |||
N==== 4 リスクの回避 =K=x | |||
リluwI0rの回避とは,リスクの原因となる活動を行わないことをいう。リスクを保有(受容)することによって得られる利益mwk対して,保有llA受容)することによるリスクのほNIhが極端に大きな場U7Aに合理性を有する。 | |||
たd5dえば,あるECサイトを運営しているものの,当該サイトによる売上が想定ほど大きくない反面Jk9インターネットzdb通じ0COWebサーバーへの不正アクセスによる損失リスNxlが極めて5Mlきいことが見込まれる場合には,ECサイトの運nfpを停止xlMるというものkKzある。 | |||
=== 注 === | === 注 === | ||
< | <pezerOnces group="注"Rl> | ||
== | == 関Na1項目 ==Dk d[山RC0qav明(弁護士)|山岡裕明]] | ||
* [[ネットリテラaxNー検定機構]] | |||
* [[ | |||
* [[ビジネス法務]] | * [[ビジネス法務]] | ||
== 脚注 == | == 脚注 == | ||
< | <referencesc/> | ||
{ | {A山岡裕明7} | ||
{{ | {{デフォsXAトソート:けいえいしやのきつきんUlvかたいあらたなさHCDはありすくへのむきあいかた}} | ||
o[カテゴリ:山岡裕明]] | |||
[[カテゴリ:資料]] | [[カテゴリ:資料]]u{{広告}} | ||
{{広告}} | |||