リーガル・サイバーセキュリティの最新事情

IT・情報セキュリティ

 今年(2018年)1月、仮想通貨取引所コインチェックは、不正アクセスの疑いにより約580億円分の仮想通貨を流出させ、金融庁は全取引所に管理体制の点検を要請しました1

 また、昨年は、WannaCry(ワナクライ)が世界中で猛威を振るい、国内においても日本を代表する著名な機械メーカー、鉄道会社、自動車メーカー、フードチェーンなどがその被害に遭いました。
 こうした状況から、今やサイバー対策の問題は、単なるIT技術の領域を超えて、企業統治を左右しかねないレベルにまで深刻さを増しつつあります。

 拙稿では、司法に関わるアメリカと日本の昨年の重要な出来事(後記1)、経営の観点からみたサイバー対策の現実的なあり方と経営的視点を重視するグローバルな情報セキュリティ資格(後記2)、ランサムウェアがもつジレンマ(後記3)、市場の急成長が見込まれるサイバー保険の現状(後記4)について紹介します。

個人の属性情報の漏えいに関する米日の裁判

エクイファックスの個人情報漏えい問題

 アメリカでは、昨年、信用調査会社であるエクイファックス(Equifax Inc.)からの個人情報の漏えいが大きな問題となりました。エクイファックスの発表によると、2017年5月中旬から7月にかけて、アメリカ合衆国人口の半数近くにもおよぶ1億4,000万人余りのアメリカ市民の氏名、ソーシャル・セキュリティ・ナンバー(社会保障番号)、生年月日、住所等について、ハッキングによる情報漏えいが起きています(参照:「Equifax Announces Cybersecurity Incident Involving Consumer Information」(2017年9月7日))。一部のユーザーについては、運転免許証番号、クレジットカード情報が漏えいしたとも発表されています。

 情報漏えいの原因は、従前から指摘されていたApache Struts(アパッチ・ストラッツ)の脆弱性が攻撃されたためです。Apache Strutsは、ウェブアプリケーションの開発において日本国内でも多く利用されており、このソフトウェア・フレームワークで構築されたウェブサイトは、日本に相当数存在します(参照:情報処理推進機構(IPA)「Apache Struts2 の脆弱性対策情報一覧」)

 アメリカ証券取引委員会(U.S. Securities and Exchange Commission:SEC)へForm10-Qが提出された時点で、240を超える集団訴訟が、エクイファックスの情報漏えいを理由として提起されており、同社は巨額の賠償を求められています。

 社会保障番号は、市民や外国人就労者ら1人に1個発行される番号ですが、アメリカには、国民の身分関係を公証する戸籍がなく、銀行口座の開設や各種契約の締結に際し重要な機能を果たしています。このことから、エクイファックスの情報漏えい事件が市民生活にいかに重大な影響を与えているかが推し量られます。

ベネッセの最高裁判決

 一方、日本でも、個人の属性情報の漏えいに関して司法上重要な出来事がありました。ベネッセの業務委託先の元社員が、同社の管理していた未成年者の氏名、性別、生年月日、住所、電話番号、その保護者の氏名などの個人情報を漏えいした民事事件 2 の最高裁判決(最高裁平成29年10月23日判決。以下「最高裁平成29年判決」という)です。

 原審(大阪高裁平成28年6月29日判決)は、個人情報の漏えいによって迷惑行為を受けているとか、財産的な損害を被ったなど、不快感や不安を超える損害を被ったことについての主張、立証を原告はしていないとして、原告主張の過失(安全管理措置義務違反(個人情報保護法20条)、従業者の監督義務違反(同21条)、委託先の監督義務違反(同22条))の有無を判断しないまま原告の請求を退けました。
 これに対し、最高裁平成29年判決は、学籍番号、氏名、住所、電話番号であっても、「本人が、自己が欲しない他者にはみだりにこれを開示されたくないと考えることは自然なことであり、そのことへの期待は保護されるべきものである」とした最高裁平成15年9月12日判決・民集57巻8号973頁(以下「最高裁平成15年判決」という)を引用し、原審が精神的損害の有無および程度等を十分審理していないことを理由に、原判決を破棄差し戻しました。

 最高裁平成15年判決のケースでは、大学が講演会の主催者として学生から参加者を募る際に収集した参加申込者の学籍番号、氏名、住所、電話番号等の個人情報を、参加申込者に無断で警察に開示した行為が問題となりましたが、警察への情報開示をあらかじめ本人に明示することによって、大学は本人の承諾を求めることが容易でした。そこで最高裁平成15年判決では、そうした措置をとることが困難であった特別の事情がない状況では、本人の同意を得ることなく警察に個人情報を開示した大学の行為はプライバシー侵害による不法行為を構成する、と判示されています。

 今回の最高裁平成29年判決のケースは、業務委託先の元社員が個人情報を無断で持ち出した事件ですので、会社が第三者に意図的に個人情報を開示したものではなく、会社があらかじめ本人に情報開示を明示して容易に承諾を求めることが期待できる事案でもありません。そのため、特別の事情の扱いも問題になりえましたが、最高裁平成29年判決は特別の事情に言及していません。

 「特段の事情」とは、最高裁が判断した時点では、その内容が何であるかを判断せず、いずれ起こるであろう将来のケースに、その例外となる事象の具体的判断を委ねる場合に最高裁がしばしば用いるテクニックです。最高裁平成15年判決は、特別の事情によって故意による不法行為の成立が否定されることがあり得ることを示唆しましたが、(原審は判断しませんでしたが)過失が争点である最高裁平成29年判決のケースでは、例外事象の判例法の形成発展には踏み込まずに、不法行為の成否を取りあげています。

経営の観点からみたサイバー対策の現実的なあり方とグローバルな資格

サイバーセキュリティ経営の重要10項目

 現在、企業にとってITの利活用は活動のインフラとなり、AIやビッグデータなどをも活用して新たな価値を生み出すことが我が国の多くの産業分野に求められています。サイバー攻撃に対するセキュリティ対策の実施は、単なるコストとみなすのではなく、企業価値と国際競争力の維持・向上の観点から、将来の事業活動・成長に必須な投資であると捉える傾向が強まり、経営戦略としてのセキュリティ投資は、「必要不可欠かつ経営者としての責務」であると提唱されるに至っています。

 こうした考えのもと、平成29年11月発表の「サイバーセキュリティ経営ガイドライン Ver 2.03 は、経営者が、サイバーセキュリティ対策を実施する上での責任者となる担当幹部(最高情報セキュリティ責任者(Chief Information Security Officer :CISO)等)に対して指示すべき「重要10項目」を追加・再整理し、前年12月発表のVer 1.1 4 の見直しをしました。

【サイバーセキュリティ経営の重要10項目】

経営者がリーダーシップをとったセキュリティ対策の推進 サイバーセキュリティリスクの管理体制構築 指示1 :サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2 :サイバーセキュリティリスク管理体制の構築
指示3 :サイバーセキュリティ対策のための資源(予算、人材等)確保
サイバーセキュリティリスクの特定と対策の実装 指示4 :サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5 :サイバーセキュリティリスクに対応するための仕組みの構築
指示6 :サイバーセキュリティ対策における PDCA サイクルの実施
インシデント発生に備えた体制構築 指示7 :インシデント発生時の緊急対応体制の整備
指示8 :インシデントによる被害に備えた復旧体制の整備
サプライチェーンセキュリティ対策の推進 指示9 :ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
ステークホルダーを含めた関係者とのコミュニケーションの推進 指示10:情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供

(出典:経済産業省・IPA「サイバーセキュリティ経営ガイドライン Ver 2.0」(2017年11月16日))

 とりわけ、重要項目の指示5に「攻撃の検知の体制」、指示8に「サイバー攻撃を受けた場合の復旧への備え」、指示9に「サプライチェーン対策強化」、がそれぞれ新たに記載された点が今回の改訂のポイントです。

【今回の改訂のポイント】
  • 重要項目 指示5として「攻撃の検知」に関する、「サイバーセキュリティリスクに対応するための仕組みの構築」を追加
    サイバー攻撃による被害を最小限にするためには早期に検知することが重要であるが、約半数の企業が外部からの指摘によりサイバー攻撃による被害が発覚している状況であり、サイバー攻撃を自分たちで気づけていないケースが多い(≒企業において「検知」の対策が十分ではないと想定)。

  • 重要項目 指示8として「復旧」に関する、「サイバーセキュリティリスクに対応するための仕組みの構築」を追加
    企業においてBCPの策定・訓練の実施が進んでいるが、自然災害対策等を想定しており、サイバー攻撃についての復旧が意識されていないケースが多い(ランサムウェアのように、可用性に影響を与える攻撃も増加している状況において、復旧に関する対策は重要)。

  • 重要項目 指示9の「サプライチェーンのビジネスパートナーや委託先等を含めたサイバーセキュリティ対策の実施及び状況把握」において、委託先におけるリスクマネーの確保や委託先の組織としての活用の把握(ISMSやSECURITY ACTION)等の留意点を追記
    日本企業の自社のセキュリティ点検は欧米にやや遅れる程度だが、委託先等へのケアは大幅に遅れている。

  • (出典:経済産業省商務情報政策局サイバーセキュリティ課「サイバーセキュリティ経営ガイドラインの改訂ポイント」)

サイバー・セキュリティ経営ガイドラインVer2.0の改訂の背景

 Ver 2.0の改訂の背景には、サイバー攻撃の手法の巧妙化とツールの洗練が急速に進み、かつてのように、高く頑強な城を築いて水際(入口)対策をするだけでは企業内のネットワークへの侵入を防ぐことが困難であるとの認識があります。「城壁」によって内部が守られていると信じるのはむしろ危険であり、外部からの侵入が不可避的にあることを前提に、事業の継続と被害の拡大阻止を図る措置をとることが現実的です。

 その典型は、2015年5月、Emdivi(エンディビ)を用いた標的型メール攻撃をうけ、日本年金機構(以下「機構」という)の管理する個人情報が漏えいしたケースです。機構から、基礎年金番号、氏名、生年月日、住所などの個人情報が流出しましたが、組織内では、攻撃メールを開封したPCの数よりも、感染したPCの数の方が多かったのが特徴的です(参照:日本年金機構・不正アクセスによる情報流出事案に関する調査委員会「不正アクセスによる情報流出事案に関する調査結果報告について」(2015年8月20日))

 これは、標的型メールを開封したPC拠点のみを遮断して、機構全体の統合ネットワークを遮断する措置をとらなかったために、感染の横展開が進行したことによります。この結果、機構内サーバの脆弱ポイントを突かれて個人情報が流出し、しかも、機構は、内閣官房内閣サイバーセキュリティセンター(NISC)から、厚生労働省内の不審な通信を指摘されるまで、機構内のウイルスの感染に気付いていません。

 このように、外部からの指摘によって初めて攻撃を自覚することが多いのも近時の傾向です。感染速度が人智を超える例は2003年にすでに現われており、バッファオーバーフローの脆弱性を突くSQL Slammer(エスキューエルスラマー)の場合、感染台数は確認後10分間で7万5,000台以上に達したといわれています。

 ガイドラインは、一般に、権利義務を生じさせる法的拘束力がなく、その性質は、指針や目標であると説明されることが多く、命令の性質を有するガイドラインは極めて限定されています。サイバーセキュリティ経営ガイドラインも、会社に対する取締役の善管注意義務を直接基礎付けるものとは想定されていません。ただし、社会の変化、ガイドラインの周知とその期間、セキュリティ現場におけるリスク認識、ガイドラインに沿った実務の支持または浸透状況、各ケースの個別具体的な事情などによっては、訴訟における責任判断の際に参照され、裁判所が、ガイドライン遵守の有無を吟味することは十分ありえます。そのため、企業経営者は、セキュリティ対策のガイドラインに今後は無関心ではいられません。

 総務省は、市場を含む第三者から評価される仕組みの構築を提唱し、あくまで任意の情報開示であることを前提としつつも、企業のセキュリティ対策に係る情報開示に関するガイドラインの検討を発表しました。あわせて、サイバー保険(後記5)の普及の在り方にも言及しています(参照:総務省・サイバーセキュリティタスクフォース「IoTセキュリティ総合対策」(平成29年10月3日))

経営的視点も勘案するグローバルな情報セキュリティ資格CISSP

 各種のセキュリティ資格制度が国内外に存在しています。その中でも、ITの技術的な知識のみならず、組織のビジョン、ミッション、事業目標の実現などの経営の視点をも加味した、情報セキュリティ分野のグローバル・スタンダードな資格として、世界最大のITセキュリティ組織である非営利団体(ISC)2が認定するCISSP(Certified Information Systems Security Professional)が現在注目されています(参照:小熊慶一郎「グローバルに通用するサイバーセキュリティ資格」(日本シーサート協議会、東京電機大学国際化サイバーセキュリティ学特別コースCySec主催)、Susan Hansche,et al.(大河内智秀ほか監訳)「CISSP認定試験 公式ガイドブック」(NTT出版))。CISSPは、日本ではまだ資格取得者は少数ではあるものの、欧米、特にアメリカではこの資格取得者に対して非常に高い信頼性が認められており、その平均年収額は常にセキュリティ資格保有者ランキングの上位にあります(参照:John Hales,「15 Top-Paying IT Certifications for 2017」(Global Knowledge))。  

ランサムウェアのジレンマ ‐ 支払者責任

 日本セキュリティ監査協会は、情報セキュリティ監査人が選ぶ最新の2018年度の情報セキュリティ10 大トレンドを発表し、「多様化・巧妙化するランサムウェアの被害拡大」の問題を、第2位(標的型攻撃の被害)に100ポイント以上もの大差をつけて、ランキング第1位としました(参照:「監査人の警鐘 - 2018年 情報セキュリティ十大トレンド」)
 昨年来、仮想通貨発掘マルウェアの攻撃によるPCの乗っ取りや、仮想通貨取引所に対する攻撃の増加傾向が報じられる中、2018年は、攻撃者が機械学習を使用し、サイバーセキュリティの文脈において、AI対AIをみる最初の年になると予想されています(参照:Symantec「2018 Cyber Security Predictions」)

【情報セキュリティ監査人が選ぶ情報セキュリティ十大トレンド(2018年予測)】

ランク 項目 ポイント
1 多様化・巧妙化するランサムウェアの被害拡大 285
2 最新の対策もすり抜ける標的型攻撃による甚大な被害の発生 170
3 セキュリティ機能が乏しいIoT製品への攻撃による社会的混乱 160
4 クラウドなど集中管理による社会的規模の被害発生 100
5 考慮不足の働き方改革に起因する事故の発生 76
6 日本語ビジネスメール詐欺被害の拡大 58
7 ガバナンス欠如のIT投資による重大インシデントの発生 49
8 成長しないマネジメントシステムによる組織活力の低下 45
9 形だけCSIRT/名ばかりセキュリティ人材による弊害の発生 39
10 GDPR違反の摘発 36

(出典:「監査人の警鐘 - 2018年 情報セキュリティ十大トレンド」)

ハリウッド・プレスバテリアン医療センター事件

 ランサムウェアで注目される出来事は、ハリウッド・プレスバテリアン医療センターのケースです。同医療センターでは、マルウェアによりシステムへのアクセスが不能になり、電子カルテ等のデータが暗号化され使用できなくなりました。結局、センターは、身代金の40ビットコイン(17,000ドル相当)を攻撃者に支払って復号鍵を得ました(参照:NBC NEWS「Big Paydays Force Hospitals to Prepare for Ransomware Attacks」(2016年4月23日))。数多くの医療機関が集中的にランサムウェアの被害に遭っており、近年、特定業界に特化した攻撃が顕著となっています。

反社会的勢力に利益を供与した場合の法的責任

 ランサムウェアに金銭を提供して復号化を試みることは、反社会的勢力への利益提供として是認できないところがある反面、病院は、患者の身体・生命を預かる専門機関であるため、ランサムウェアによって電子カルテが暗号化され、重要なファイルが消去されるような事態を避けるべき立場にもあります。ここに、ランサムウェア問題が直面する二律背反の要請(ジレンマ)があります。

 反社会的勢力に対して利益を供与した場合の法的責任に関して、日本では最高裁平成18年4月10日判決・民集60巻4号1273頁が参考になります。
 反社会的勢力の者に、「大阪からヒットマンが2人来ている」などと脅迫された取締役らが、反社会的勢力への巨額の金員の支払いを提案またはこれに同意したことに対し、最高裁は、「警察に届け出るなどの適切な対応をすることが期待できないような状況にあったということはできない」として、取締役の過失を認めました。  

考慮すべき諸要素と優先順位 – 総合判断アプローチ

 ハリウッド・プレスバテリアン医療センターのケースでは、ランサムウェアに気付いてから、ただちに警察に通報し、コンピュータの専門家を関与させています。それでも復旧できず、医療センターは、「通常の業務運営を回復する最善の利益を図る観点から」、攻撃者に利益を与えたといいます(参照:NBC NEWS「Big Paydays Force Hospitals to Prepare for Ransomware Attacks」(2016年4月23日))

 攻撃者のランサム要求に応じるべきか否かを判断するにあたっては、反社会的勢力に対する利益提供の問題だけに留まらない、緊急度や重大性の観点からの諸要素に関する総合的な判断が求められます。最も重視すべき要素は人命・身体であることに異論はないものの、身代金の支払い拒否による影響の内容・性質・程度、侵害法益が生命・身体か財産かその他か、支払い額の大小、支払う以外の解決手段の存在とそれによる目的達成の可否・効果(LRA)、時間的切迫性、警察等の当局やセキュリティ専門家への援助要請とその実効性・被害回避可能性、支払うことによる一般的または個別的な不正助長、支払った場合に攻撃者が解放する保証の不存在(攻撃者のもらい得)、故意に基づく支払いのサイバー保険免責事由の該当性など、検討すべき要素は多岐にわたります。

サイバー保険の概略

 サイバー攻撃の件数は年々増加し、大半の企業が攻撃を受けた経験をもち、サイバー攻撃によって純利益の半分以上を失う企業が出るなど、深刻な影響を引き起こす事件が発生しています 5

 マルウェアが次の攻撃先を探すための通信の指標となる、NICTER観測のダークネットの範囲に届いたパケットの個数(年間総観測パケット数)は、2016年で前年比約2.4倍の1,281億件にも及びます(参照:国立研究開発法人情報通信研究機構(NICT)サイバーセキュリティ研究所 サイバーセキュリティ研究室「NICTER 観測レポート2016」)

 2016年の情報セキュリティの国内市場は9,000億円を初めて突破すると予測されており、2017年度には9,000億円台後半から1兆円に手が届く規模にまで拡大することが見込まれています。

【国内情報セキュリティ市場規模(経年推移)】

国内情報セキュリティ市場規模(経年推移)

出典:日本ネットワークセキュリティ協会「2016年度 情報セキュリティ市場調査報告書 V1.1」(2017年6月21日)

 その中でも、情報資産、すなわちITシステムとその上で取り扱われる情報に関する損害を補てんする保険である情報セキュリティ保険の売上高は、2017年度の予測値がまだ156億円ですが、成長率でみると2015年度が12.4%、2016年度・2017年度が15.0%と急成長を示しています。情報セキュリティ保険のここ2年の成長率は、情報セキュリティのツール市場およびサービス市場の各項目に比して顕著です 6

 保険各社が各種のサイバー保険のサービスを提供し、たとえば、①フォレンジック費用の補償、②拡大損害・回復費用の補償、③ネットワーク中断による逸失利益の補償、④セキュリティ・コンサルタントの紹介、⑤訴訟・行政対応費用の補償、⑥リスク評価専門企業による客観的な分析・リスク指標の業界内での位置などのレポート、等々がそのサービス内容となっています。

 サイバー保険への加入が奏効した例として、GMOペイメントゲートウェイ株式会社(以下「GMO-PG」という)のケースがあります。同社は2016年に「脱Struts宣言」をしていましたが、システム変更・顧客業務への影響を考慮して、一部のシステムはApache Struts 2の都度アップデート等個別対応に留めていました。その後、2017年3月、IPAとJPCERTコーディネーションセンターの注意喚起等があり、GMO-PGが運営を受託しているサイトにおいて、Apache Struts 2の脆弱性を突かれて設置されたバックドア・プログラム経由で、個人情報等の不正流出が確認されました(参照:GMO-PG再発防止委員会「不正アクセスによる情報流出に関する調査報告書」(2017年4月30日))。同社は、詫び状送付・問い合わせ対応費用(コールセンターの設置等)、不正アクセス・情報流出に対する調査等の費用により約2億7,000万円の特別損失を計上しましたが、保険金1億6,000万円の特別利益も得ています(参照:GMO-PG「平成29年9月期第2四半期決算説明会」)

 前記2-2の「IoTセキュリティ総合対策」の推進もあり、セキュリティ対策への企業ニーズの高まりに伴い、サイバー保険活用は一層促進されると考えられます。  

おわりに

 自然資源の乏しい我が国では、連日のようにあらゆるメディアにおいて、IoT化、自動運転化、AI、ビッグデータ、M2M、FinTech、仮想通貨等が謳われ、これら技術の優位性の獲得こそが、将来の国際競争力の源泉とみなされています。
 これに対し、デジタルフォレンジックを含むサイバーセキュリティ技術は、こうしたスピード競争と表裏をなしており、完備されるべきブレーキ技術・メンテナンス技術とも、超高速で作用しなければならないフィードバック装置ともいえ、トラブル回避、損害の拡大防止、インシデントの証明に不可欠ですが、セキュリティ人材の不足が深刻です。社会的な問題が噴出する前に、法律家による支援を含めた早急な対策が必要と考えられます。


  1. 日本経済新聞「全ての仮想通貨取引所、再点検を 金融庁が要請」(2018年1月27日)
    コインチェック株式会社「不正に送金された仮想通貨NEMの保有者に対する補償方針について」(2018年1月28日)
    金融庁「コインチェック株式会社に対する行政処分について」(2018年1月29日) ↩︎

  2. ベネッセお客様本部「事故の概要」 ↩︎

  3. 経済産業省・IPA「サイバーセキュリティ経営ガイドライン改訂に関する研究会」(委員長:佐々木 良一) ↩︎

  4. 経済産業省・IPA「サイバーセキュリティリスクと企業経営に関する研究会」(委員長:前出佐々木) ↩︎

  5. 前出注3 ↩︎

  6. 日本ネットワークセキュリティ協会「2016年度 情報セキュリティ市場調査報告書 V1.1」8頁「表1 国内情報セキュリティ市場規模・実績と予測」。2016年度は売上高見込推定値、2017年度は売上高予測値をベースに算出。 ↩︎

コンテンツの更新情報、法改正、重要判例をもう見逃さない!メールマガジン配信中!無料会員登録はこちらから
  • facebook
  • Twitter

関連する特集