サイバー攻撃などによって個人情報や機密情報が漏洩した際、企業はどのように対処すべきかについて、前後編に分けて解説しています。
後編となる今回は、調査のためのチーム組成や被害を最小化するために事前に取り組むべき事柄などについて、前編と同様にDT弁護士法人の弁護士である内藤裕史、デロイト トーマツ サイバーの井上健一、そしてデロイト トーマツ ファイナンシャルアドバイザリーの清水亮が語ります。
情報漏洩の対外公表で欠かせないリーガルの視点
――実際に情報漏洩が発生した際、その対応において何に注意すべきでしょうか。
井上
いくつかありますが、その1つとして挙げたいのが社内調査体制です。特にサイバー攻撃などによる情報漏洩の場合、IT部門はどちらかというとミスを起こした側になります。その人たちが調査を行うと、利害関係がバッティングしてしまうことがあります。
実際、調査を行う中で自分たちのミスを隠蔽しようとしたケースがあったほか、自分たちの不手際をなかったことにするためにログを消去したといったことがあります。そのため、調査体制をどのように整えるかは重要だと考えています。
清水
ITだけでなく、会社全体の体制でも同じことがいえます。発生した事象の責任が明らかであろう人が調査チームのリーダーになると、調査そのものが歪んでしまうといったことが起こりえます。
そのため、会社の中でも中立性を保てる方を中心に組成しなければ、対策チームが次のリスクを生むことになりかねません。
――情報漏洩が発生すれば、その内容を対外的に公表することが求められるケースもあります。その際に何を意識すべきでしょうか。
清水
当然ですが、発表するからには事実を伝えなければなりません。様々な状況から情報が漏洩している可能性が高いと考えられるケースであるにもかかわらず、「情報漏洩は発生していません。安心してください」などと発表してしまえば、後々大きなトラブルになることは明らかです。
そのため、現状を見極めたうえで、できる限り正確に事実を伝えることを意識すべきです。また、発表内容は事前にリーガルチェックを実施すべきことも大切です。
内藤
情報漏洩における対外的な説明には、民事と刑事、そして行政の3つの観点があります。このうちの民事において、情報が漏洩しているにもかかわらず、「漏洩していません」などと発表してしまうと、場合によっては被害の拡大を招くことにもなりかねません。
もっと早いタイミングで漏洩したことが分かっていれば被害を最小化できたにもかかわらず、情報漏洩を起こした企業が適切な説明を行わなかったがゆえに、被害が拡大してしまったというわけです。この場合、取締役の善管注意義務違反になる可能性もありますので注意が必要です。
このため対外的な発表には本当に一字一句注意することが求められるため、正確な説明内容を専門家を交えて作る必要があるでしょう。発表内容を誤れば企業の信頼が毀損し、その後の事業にも影響が及ぶことにもなりかねないため、十分に気をつけていただきたいところです。
情報漏洩のインシデント対応をスムーズに進めるために
――情報漏洩に対する迅速な対処、あるいは被害の最小化のためには、どういったことに取り組んでおくべきでしょうか。
清水
理想論を言えば、社内の文書を一元的に管理するECM(Enterprise Contents Management)を導入し、そこですべての文書を管理することが望ましいと考えています。このようになっていれば、ピンポイントでセキュリティ対策を図ることができるほか、何かあったときの調査も迅速に行えます。
もう1つ、意識していただきたいのは、廃棄すべき文書は確実に廃棄するということです。文書管理規定上は廃棄することになっているにもかかわらず、実際には社内には存在していましたというケースは少なくありません。そうすると、規定上は存在していないことになっているが、存在しているかもしれないという前提で調査を行うことになり、負担が大幅に増すことになってしまいます。
内藤
個人情報の観点で言えば、どこに、どういった個人情報が保存されているのかを把握しておくことは大切です。また昨今では、様々な国で個人情報の保護を目的としたルールが整備されているため、どこの国の個人情報であるかまで含めて把握しておくべきです。
経営層の意識を変えることも重要です。実際に裁判ということになれば、最終的に責任を取るのは経営層になりますが、残念ながら現状ではそれが十分に理解されていないと感じています。
特に昨今では、サイバー攻撃のリスクはIT部門だけで判断するものではなく、経営問題として捉えるべきという認識が広まりつつあります。
2020年12月18日には、経済産業省が、「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」を発表しています。そうした状況であるにもかかわらず、情報漏洩を大きなインシデントとして捉えず、適切に対処を行う必要はないなどと取締役が判断すれば、その後レピュテーションリスクが高まり、経営にダメージを受けることにもなりかねないでしょう。そのため、経営層が情報漏洩などのインシデントに対する知識を持つべきです
井上
個人情報と同様、IT資産がどのような状態にあるのかを把握しておくことも重要です。IT資産として何を持っているのかを把握していないという状況では、被害範囲を確定することも困難となり、その後の調査の妨げとなります。
また設計書類が陳腐化していて、内容が現状に即してないケースも散見されます。そうすると、まず現状を把握することから始めなければならないため、調査が長引く原因となります。
清水
迅速な対処という点では、インシデントが発生して外部に調査を依頼する際は、できるだけ早めに連絡することを心がけていただきたいと思います。時間が経ってしまうと、情報漏洩の実態を把握するうえで重要な鍵を握るログが消えてしまい、調査が難航することが想定されるためです。
また実際に調査を行ったうえで情報漏洩の事実が判明し、発表せざるを得ないとなったとき、時間が経てば経つほど「なぜ今まで発表できなかったのか」という疑問が生じてしまいます。あまりに発表が遅くなれば、企業としての意思決定の姿勢まで問われることになりかねません。
状況によっては、経営リスクにつながる可能性もあるでしょう。こうしたリスクを避けるために、スピーディに取り組むことを意識していただきたいと思います。
