サイバーインシデントは海外子会社で起こり、日本にも影響が来る
当社が実施した調査(図1)によると、日本企業に対するサイバー攻撃は海外で発生することが多いことがわかる。また、当社が実際に支援した事例でも、海外子会社・関係会社における被害またはこれらを経由して日本の本社まで影響が及ぶ例が後を絶たない。とりわけ、本社では「それなりに投資している」といえる規模の取り組みをしているのに、海外グループ会社における投資が伴わない脇の甘さを突かれている例が散見される。
.png)
(デロイト トーマツ ファイナンシャルアドバイザリー合同会社)
そうした攻撃に遭う原因として、「ゼロデイ攻撃(発見された脆弱性に対応する修正プログラムが提供される前の攻撃)」や「まだ公知ではなかった高度な攻撃手法」によるものはあまり見受けられず、むしろ「IT資産管理がずさんで脆弱性が放置されている機器があった」とか「インターネットに公開する必要がないサーバに誰でもアクセスできた」といった単純な管理不備が重なった事例が多い。せっかく本社でそれなりの対策をしていても、海外子会社・関連会社のセキュリティレベルを同じ水準に引き上げさせるだけのガバナンスが伴っていないことが数多くある。
海外子会社・関連会社に対するガバナンスの不全はインシデント対応においても課題となる場合が多く、直接攻撃の被害に遭わなかったとしても日本の本社に対しても間接的な影響がおよび得る。今回は当社が支援した事例を踏まえて注意すべきポイント3つ紹介したい。
- 当地の業務停止が日本の内部統制報告や決算スケジュールに影響を与える
- 海外では攻撃者と「交渉」するケースが珍しくない
- 当地の法制度と日本の親会社の方針がコンフリクトする
当地の業務停止が日本の内部統制報告や決算スケジュールに影響を与える
システムの停止は業務の停止に直結するが、顧客に対する出荷や取引先に対する資材調達や支払を止めることはできない。多くのケースにおいて各業務担当者の現場対応力でその場をしのぐことが多く、手作業による業務継続がとられることになるが、本来想定された業務プロセスとは異なることが多く、不正・誤謬を防止するためのダブルチェックや証憑確認といった内部統制が具備されない状態に陥りがちである。また、システムを復旧するにあたってバックアップデータ等を利用することが多いが、これら自体の侵害可能性や復旧された環境が安全であるといえない限り、財務数値やシステム処理が信用できると言い切れない。
こうしたリスクは、本社の会計監査人が連結財務諸表あるいはグループの内部統制報告書に意見を表明するための基礎となり得るため、事業の規模や金額的重要性にも依るところはあるが、とりわけ監査上の関心を寄せる領域であり、親会社として把握が必要である。少なくとも以下の観点で、親会社は海外子会社と連携して正確な情報収集を進める必要がある。
- 侵害を受けたシステムとこれらに紐づく業務と手作業で代替された業務の整理
- ERP等のシステムが安全な環境に復元されたことと、保存されているデータが侵害を免れ、あるいは侵害を受けたならばそれを何らかの形で復元し、インシデント前と一貫性を持っていることの確認
- 業務停止時にエクセル等で手作業管理された数値をERPに戻し入れる場合の検証プロセスの確保
- 個人情報や機密情報の漏洩による訴訟の可能性の検討
- 本来とは異なるデータやプロセスを利用した決算業務プロセスの整理
あわせて、上場企業においては、これらを検証するために会計監査人が追加の監査手続を要した場合に、監査報告書上のKey Audit Matters(監査上の主要な検討事項)にインシデントの概要と監査上のリスク、これらに対してとった監査手続が開示される場合があることから、東証等の開示基準も踏まえつつ、IRの観点からも先手を打って本件インシデントの公表を親会社として検討してゆく必要がある。
海外では攻撃者と「交渉」するケースが珍しくない
本邦において、ランサムウェア攻撃に遭った際に身代金を支払うことを明示的に禁止する法律はなく、海外においても同様の状況であり、特に欧米圏では状況によっては「交渉」することに経営判断原則が認められ得る余地があると考えられており、保険会社等がこうしたサポートを提供する交渉人を紹介する場合があり、日本の経営者とは幾分異なる感覚を当地では持っている可能性があることを覚えておきたい。
交渉人に依頼して身代金を支払うことの適法性の判断は法務専門家に確認いただきたいが、当社が支援に入ったクライアントにおいても業務システムからバックアップまで全て暗号化され、手の施しようがなくなってしまった企業等において、海外子会社の判断で身代金を既に支払っていたケースが見られた。
決して身代金の支払を当社として推奨するものではないが、日本に比して「交渉」に積極的な傾向がある海外子会社が、当地の弁護士の助言のもと身代金支払いを検討するならば、少なくとも親会社としても以下の点は必ず検討すべきであろう。
- 資金決済に係る法規制リスク
- テロ支援国家等との取引を規制する米国財務省外国資産管理室(OFAC)は、サイバー関連制裁プログラムの一環として様々なランサムウェア攻撃者グループを制裁対象者(SDN)リストで指定しているため、こうした者らに対する身代金支払に対して、非米国企業であっても域外適用して民事罰を科す場合があり、専門業者や当地の弁護士によるリスクスクリーニングが必要である
- OFACに比べ、その対象として具体的にランサムウェア攻撃者グループを指定していることは少ないが、本邦においても規制強化の動きが活発化していることから、最新の状況に基づいて外国為替および外国貿易法、テロ資金提供処罰法、犯罪収益移転防止法等の観点で身代金支払いに係るリスクについては弁護士の判断を仰ぐべきである
- 警察機関や規制当局に対する届け出
- 各国の警察機関はランサムウェア攻撃グループの摘発を強化しているとともに、出回っている攻撃ツールの解析を行っていることから、交渉せずとも復号方法が見つかる可能性も一定あり得る
- OFACのガイダンスである『Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments』(2021年9月21日付)は、「(身代金要求や支払い指示を含めた全ての関連情報について)攻撃を受けている間およびその後に法執行機関との完全かつ継続的な協力」を求めており、交渉にあたって各国の警察機関や規制当局に対する届出が速やかに行われている必要がある
また、仮に法規制上問題がないとしても、身代金支払いが露見した場合には「犯罪収益に加担した企業」の誹りを免れないため、レピュテーション毀損のリスクが見込まれるとともに、反社条項の定め方によっては取引先から契約解除を迫られるリスクもゼロとはいえない。また、何より相手は犯罪者であるから、身代金を支払ったとしてもシステムが復旧する保証はなく、データが暴露されない保証もないため、「盗人に追い銭」となるリスクがあることを忘れてはいけない。
当地の法制度と日本の親会社の方針がコンフリクトする
英米法圏において「弁護士・依頼者間秘匿特権」(Attorney-Client Privilege、単にPrivilegeや秘匿特権と呼ぶこともある)という制度がある。端的に言えば、「依頼者の法令遵守が促進されることを目的として、弁護士と依頼者との間の通信内容について訴訟等において証拠として開示を強制されない」制度である。
海外子会社におけるサイバーインシデント、特に北米等の情報漏洩に係る訴訟が頻発する国々では、インシデント対処に係る法的助言のコミュニケーションに「秘匿特権」を設定することが一般的である。基本的には起用した当地の弁護士と海外子会社との間での通信を保護するものであり、グループ会社における親子間と弁護士を交えたコミュニケーションにおいても「共通利益」(Common Interest)といった考え方で保護される例もあるが、共同被告となる際の情報共有といった要件や情報共有の範囲等にも制約が大きい。また、秘匿特権は依頼者の権利であり、弁護士またはその指示下にあるフォレンジックベンダー等以外の者に対して依頼者自ら開示した情報は秘匿特権を放棄したと見做される。
ここで問題になるのは、秘匿特権の運用ついて保守的な海外子会社が親会社に対してインシデントの詳細情報を報告しないケースがあることだ。すなわち、当地で弁護士の助言のもと起用したフォレンジックベンダーやコンサルタントによる調査レポートや原因分析、とりわけⅠで挙げた「単純な管理不備」といった結論は訴訟になった際に大きく不利になり得るため、【図2】のように秘匿特権を設定するうえで社内で、ごく少数の者にのみに開示を留めておきたいと考えるのは、海外子会社にとっては自然である。
.png)
しかし、親会社側からすれば、海外子会社における再発防止策の検討や、隔離のために遮断していた親子間のネットワーク再開の意思決定のために必要となる技術的および管理的原因について詳細を報告させたいと考えることもまた自然である。また、親会社側でも事態の収拾やITガバナンスの強化を図るためにコンサルタントを起用したいと考えても、弁護士・依頼者間の範疇外に渡った情報は秘匿特権を放棄したと見做されかねないため、子会社が関与を拒むことも起こり得る。
こうした構図で親子間の利害コンフリクトが起きてしまい、対処に時間を要する例が近年見られる。一般論として北米等におけるビジネス規模の大きい海外子会社とのパワーバランスや商慣習、法規制等の違いが親子間ガバナンスを困難にする例は以前より知られているが、サイバーインシデントの文脈でも見られ始めたといえる。
こうした不幸な事態を避けるために、特に英米法圏の子会社との間ではサイバーインシデントに備えて弁護士やコンサルタント起用のあり方や、対弁護士や親子間のコミュニケーションプロトコルを定めておくとともに、親子間でのインシデント対処における役割分担や報告義務をあらかじめ明確化しておきたい。
※本文中の意見や見解に関わる部分は私見であることをお断りする。
※上記の社名・役職・内容等は、掲載日時点のものとなります。
