昨今、サイバー攻撃などによって個人情報や機密情報が外部に漏洩する事件が多発しています。
この際、どのような対処が企業に求められるのか、対応するうえでのポイントは何かなどについて、DT弁護士法人の弁護士である内藤裕史、デロイト トーマツ サイバーの井上健一、そしてデロイト トーマツ ファイナンシャルアドバイザリーの清水亮に鼎談の模様を語ってもらいました。その模様を前後編に分けて紹介します。
インシデント対応の成否を左右する責任者の存在
――昨今、情報が漏洩してしまうパターンとして多いのはどういったものなのでしょうか。
井上
最近目立っているのはランサムウェア(※)です。特に昨今は、新型コロナウイルスの影響からリモートワークで作業するケースが増えていると思います。その環境に脆弱なポイントがあると、そこから内部に侵入されてしまい、ランサムウェアを仕掛けられるといったことがあります。
ただ最近ではランサムウェアを仕掛けても、被害者である企業側が支払わないケースが少なくありません。そこで単にファイルを暗号化するだけではなく、あらかじめデータを盗み出して「支払わない場合は情報をリークするぞ」と恐喝する、二重恐喝型ランサムウェアの被害が目立ち始めています。
もう1つのパターンは取引先や海外拠点に侵入し、そこを踏み台として日本の本社を狙うサイバー攻撃です。おそらく、本社側はセキュリティが強固で侵入しづらいことから、対策が不十分な取引先や海外拠点をまず狙い、そこから企業ネットワークに侵入するという流れではないかと考えています。
※ランサムウェア:マルウェアの一種。暗号化によってファイルを利用不可能な状態にしたうえで、元に戻すために必要となる情報(鍵)と引き換えに身代金を要求する。
――実際にインシデントが発生した企業から支援を求められたとき、デロイト トーマツではまずどういった対応を行うのでしょうか。
井上
最初に行うのはインシデント内容の確認です。情報が漏洩した企業側で把握している範囲内で、いつ、どこで、どういった事象が発生したのか、顕在化している問題は何かなどといったことを確認することから始めます。この際、企業側にCSIRT(Computer Security Incident Response Team)などの組織がある場合は、そちらと連携しつつ対応を進めていきます。
実際にインシデントが発生したとき、ぜひ注意して行っていただきたいのは証拠の確保です。最初は本当にインシデントかどうかの判断が付かないため、社内で様々な調査をされると思います。
そこでサイバー攻撃の可能性が高いということが分かれば、証拠となるデータをきちんと確保することを意識する必要があります。
もし証拠がなければ、調査を行う際に被害の範囲や攻撃の手口を明らかにすることが難しくなる、あるいはできなくなる可能性があるためです。
被害の範囲が明らかにならないと被害者への対応を含めたステークホルダー対応が困難になります。また、攻撃の手口が明らかにならないと再発防止が充分に行えなくなります。
清水
多くの場合、最初期の段階では情報が漏洩しているかどうかの判断はできないと思います。具体的なインシデントの内容を見極めることも困難でしょう。
そのため、IT部門だけで調査を行うケースが多いのですが、早めに会社としての体制を作ることが重要です。
特に漏洩したのが個人情報であったり、あるいは機密情報であったりした場合、IT部門だけでは適切に判断・対処することができず、その後の対応に遅れが出る可能性があるためです。
内藤
インシデントの内容によっても異なりますが、実際に情報漏洩が発生すると多くの場合は様々な部門が絡むことになります。この時、それをまとめていく責任者は誰なのかが明確でないと、その後の対応に混乱を来すことになりかねません。そのため、誰が責任者としてコントロールするのかを決定することは重要です。
実際にどういった役職の方が責任者を務めるのかは、漏洩した情報の内容によっても異なります。ただ、そもそも漏洩事故が発覚した時点ではどういった情報が外部に流出したのか、本当に漏洩したのかを判断することは困難です。そのため、CLO(Chief Legal Officer)やCCO(Chief Compliance Officer)、あるいは経営企画部門のトップなど、全社のビジネスラインを横断的にコントロールできる方が主導するべきではないかと思います。
清水
一般的な文書管理であれば、通常は総務部門の管轄でしょう。ただ個々の契約書に抵触するのであればビジネス側も関係することになりますし、個人情報が漏洩した場合であれば、法務部門での対応も必要になります。これら全体を掌握して必要な判断を下せるという意味では、やはり経営層やそれに近い方、あるいは経営企画部門がハンドリングするべきではないでしょうか。
情報漏洩の事実を公表するタイミング
――実際にインシデントが発生した際、社内の調査に時間がかかった、あるいは気づくのが遅れたなどの理由で、対応が後手に回るケースもあると思います。その場合、インシデント対応にどのような支障が生じるのでしょうか。
井上
よくあるのは、証拠となるデータが失われているといったケースです。
重要な証拠であるにも関わらず、失われることが多いのはネットワークログです。比較的短期間で消去されるように設定されていることが多く、調査でログを参照しようとする際にはすでに消去されていたといったことは少なくありません。
インシデントが疑われた場合、コンピューター内の情報だけでなく、ネットワークログなどもできるだけ早めに安全に保存しておくようにするべきです。調査するうえで重要なデータが失われている場合、事実確認をするためにより広範囲な情報を総合的に分析する必要性が生じ、調査が長期化することがあります。
また、時間を掛けて調査しても有益な結果が得られないこともあります。その場合、先に話したステークホルダー対応や再発防止対策が困難になるという状況に陥ります。
少し話がそれますが、マルウェアに感染した場合に、そのコンピューターをデータ保全する前に初期化(ファイルシステムのフォーマット等)してしまっているケースがしばしば見受けられます。この場合も調査が困難になるため、初期化前のデータを保全しておくことが望まれます。
そのほか、パスワード変更する前にパスワードの最終変更日を記録しておくなども同様のこととして挙げられます。
清水
情報が漏洩したにも関わらず放置し、外部から指摘を受けるという形になると、その後の対応がとても難しくなるといった側面もあります。
特に調査していない段階であるにも関わらず、指摘を受けて何らかの事柄を外部に発表せざるを得ないということになれば、その後の調査に大きな支障が生じる恐れがあります。
こうした外部に公表するベストなタイミングは状況によって異なります。企業としては、すべてが明確になったタイミングで公表したいところだと思いますが、情報漏洩の中身が極めてプライバシー情報に近いものであると、インシデントの内容がすべて明確でない状況であっても、早めに公表すべきという判断もあります。
またインシデントの内容によっては警察に届ける必要があるほか、個人情報が漏洩したのであれば各国・地域の法律などに従って当局への報告も必要でしょう。こうした届け出や報告も、対外発表のタイミングに影響します。
内藤
届け出の観点で言うと、EUのGDPR(General Data Protection Regulation)では、対象となるデータが侵害されてから72時間以内に監督機関に通知することが求められています。
たとえばEU域内にある子会社の従業員情報が数百名分漏洩し、しかもその内容がダークウェブ(※)に掲示されていることを確認したにも関わらず、企業側の対応が遅れて72時間以上が経過した場合、問題になる可能性があるため注意が必要です。
※ダークウェブ:通信経路を秘匿化する、特定のソフトウェアを利用してアクセスするネットワーク上に構築されたWebサイト群。匿名で利用できることから、違法なコンテンツの公開や麻薬などの取引に用いられている。
国をまたいだ情報漏洩への対処
――複数の国・地域から個人情報あが漏洩するといったことも考えられると思います。このようなケースでは、どういったことが問題になるのでしょうか。
内藤
本社が主導して案件対応したいところだと思いますが、そこには言語の問題がまず存在します。
また、日本企業でよくある話ではあるのですが、そもそも海外子会社に対して平時でもガバナンスが効いていないこともあります。普段からガバナンスが効いていないにも関わらず、インシデントが発生したときだけガバナンスを効かせられるのかというと、正直なところ難しいでしょう。
また複数の国で情報漏洩が発生し、その原因が同じである場合、どの国の当局にも同じ説明をしなければなりません。ある国ではランサムウェアだと説明していて、別の国ではサーバーへの不正侵入だったなどといったように理由が異なれば、その後に混乱を招くことは容易に想像できるでしょう。
そのため、同じ説明をそれぞれの言語でタイムリーに行う必要があります。これを本社主導でできるかどうかが最大のチャレンジではないかと思います。
