総務省が緊急提言 サイバーセキュリティの強化

経営者はデジタル化の恩恵とリスクの把握を!

北條孝佳(西村あさひ法律事務所 弁護士)
鳥越真理子(NRIセキュアテクノロジーズ株式会社)

画像提供:PIXTA

 2020年東京オリンピック・パラリンピック競技大会を目前に控え、総務省から「我が国のサイバーセキュリティ強化に向け速やかに取り組むべき事項[緊急提言]」が公表されました。大会を成功させるためにも、政府のみならず、企業、団体などあらゆる組織においてセキュリティの強化が求められています。

 緊急提言の背景には、情報(サイバー)セキュリティに関係する大きな事件の多発が挙げられます。2020年になり、日本を代表する複数の大手電機メーカーが、これまでにサイバー攻撃によって情報が漏洩した可能性があることを公表しています。事件発生後の企業の対応、広報についても注目されています。

 こうした状況を受け、『経営者のための 情報セキュリティQ&A45』の著者である北條孝佳弁護士と鳥越真理子さんに、総務省からの緊急提言を含め、情報セキュリティを考えるにあたり重要なポイントを簡潔にまとめていただきました。

1 総務省からの緊急提言

 今回、公表された総務省のサイバーセキュリティ強化に関する緊急提言(以下、「本提言」といいます。)では、2020年東京オリンピック・パラリンピック競技大会までに間に合うものは速やかに実行すべきであると指摘し、早期に実施すべき具体的なアクションが取りまとめられています。
 具体的な施策の中でも、とくに注目したいのは以下の2点です。

IoT機器のセキュリティ対策の拡充に係る施策
NICT(情報通信研究機構)が実施する脆弱性のあるIoT機器の利用者への注意喚起を行うプロジェクト「NOTICE」と、既にマルウェアに感染しているIoT機器を NICTの「NICTER」プロジェクトで得られた情報を基に特定し、脆弱な状態にあるIoT機器への対策を進めていくこと

公衆無線LANのセキュリティ対策に係る施策
公衆無線LANサービスの利用に当たっては、訪日外国人の利用も念頭に置きつつ、提供者・利用者双方におけるセキュリティ対策を進めていく必要があるため、年度内にガイドラインを改定、リスクの高い企業や組織に対しては、特に周知を実施

 注目したい1点目は、企業においても近年導入が進んでいるIoT機器についてのセキュリティ対策です。リモートカメラやインターネット接続のためのルーター、ネットワークプリンタ等のIoT機器において、セキュリティ対策が脆弱な状態になっていないかを確認する必要があるといえます。また、2点目については、企業内外において活用されている無線LANについてのセキュリティ対策です。無線LANの管理方法や使用方法を今一度見直し、提供者・利用者双方において、脆弱な状態になっていないかを確認する必要があるでしょう。

 さらに、本提言では制度的枠組みの改善にも触れられており、「対策の実効性を確保するためには、サイバーセキュリティ対策などを法令やガイドライン、基準などに位置づけるとともに、昨今のサイバー攻撃やインシデント等の発生の状況を踏まえ、必要に応じてこれらの制度的枠組みを定期的に見直ししていくことが重要」とし、とくに、電気通信分野・放送分野、地方自治体分野に分けて、それぞれ留意すべきことが提言されています。

2 今、情報セキュリティの観点で経営者が考えておくべきこと

 情報(サイバー)セキュリティ対策は、適切なリスクマネジメントの実施です。そのためには、内部統制システムの構築及び運用が不可欠です。情報セキュリティの確保は技術的な観点から対策を行っていくことが必要ですが、経営者によるイニシアティブや組織的な取り組みも同様に重要になります。

 最近では、純粋に今ある組織の情報資産を守るということだけではなく、ビジネスを拡大、拡張するためのデジタル化が提唱されています。デジタイゼーション(全ての情報をデジタル化)のみならず、デジタルトランスフォーメーション(DX)をなんとしても達成しようと躍起になっている企業も多く、新しいサービスが次々と提供されています。

 ビジネスの観点からすれば、新たなサービスをいち早く提供することによって新規顧客を獲得できる可能性に目が向きがちですが、一方で、新たなリスクが顕在化する点にも注意する必要があります。DXビジネスを成功させるには、経営者が「恩恵とリスク」の両方を考えてきちんとした対策を取ったかどうかが必要です。また、経営者が先頭に立ち、さらに事業企画を行うプロフェッショナルとITの技術者が一緒になって事業推進に必要なリスク対応を考えて取り組んでいるかがデジタルビジネスの成否を分けます。

 このような情勢において、特に現状を知り、考えていただきたいことを以下に3つ挙げます。

(1) クラウドへのデータ移行
 近年、クラウドサービスの利用が進んでいます。クラウドに企業のデータが集約されることになりますが、一方で、Amazon S3、Elastic Search、GitHubなどに対するクラウド利用者のアクセス権設定の不備を理由に、大規模な情報漏えい事案が多数発生しています。企業はクラウドを利用するにあたり、企業の情報保護やビジネス推進を任せることができるのかを慎重に評価・検討するとともに、利用者として確実にセキュリティを考慮した実装を行う責任があるといえます。すなわち、実施状況を自ら点検することが非常に重要になります。

 また、万が一情報漏えいがあった場合、速やかな事案の収集が可能な体制を整備できているかも重要なポイントです。例えば、2019年に米国の金融大手企業から約1億600万人分の個人情報が漏えいしたことが発表され、大きな話題を呼びました。冷静にその後の動向を注視すると、犯人が逮捕されるとともに、被害状況の正確な把握と今後の対応方針などが公表され、適切なインシデント(事件・事案)対応が実施されたとして評価されています。事後の対応が良く、きちんと復旧や再発防止策の提案ができたのであれば、またこの会社と取引を再開しよう、という風潮や好評価につながる事例ではないでしょうか。

(2) 内部不正問題の発生
 ここ数年、公表されただけでも情報利用に係る内部不正事案は枚挙に暇がありません。
 例えば、
・情報の持出し、機器の持出し(例えば、教育関連企業や、HDD廃棄企業)、売却
・腹いせに事業継続に必要なデータを削除
・業務上アクセスできる他人のIDを利用するとともにサービスを悪用して金銭等を窃取 ・インサイダー取引違反
 などが報道されています。

 こういった事案が発生することを想定するとともに、事案発生を防止するために経営者は適切な内部統制システムを検討し、整備運用する責任があります。神奈川県庁のHDD流出事件が耳目を集めましたが、HDDの廃棄に際して電子的な消去処理を実施しないこと、そもそも暗号化せずにHDDを利用していたことなど、流出以前の問題もありそうです。また、不正を行う人がいなければ、信頼に基づいた業務委託を行うことで責任をはたしたと言えるのか、ということを考えるタイミングかもしれません。

(3) 内部通報制度の整備と見直し
 内部通報制度は、公益通報者保護法を踏まえ、従業員が企業内の不正を発見したり、コンプライアンス違反の疑いを持ったりした場合に企業内外に設置された窓口に通報する制度であり、内部統制システムの一つといえるでしょう。この制度をうまく活用することができれば、被害が小さいうちに早期の自浄作用が期待できます。もっとも、この仕組みをすでに整備した企業であっても、問題なく制度が機能しているか、利用状況はどうか、といったことを今一度確認すべきであると考えています。内部における不祥事が発生した後に制度の見直しを行うのでは、時期を逸してしまいます。

 窓口が設置され、内部規程を整備し、経営層からの独立、通報者の保護、不利益取扱の禁止とされている企業であっても、実際には複数の企業で内部通報制度の運用状態に不備があることが指摘されています。例えば、2018年、ある地方自治体では、職員通報制度により通報した職員の情報が関係課員に漏えいした事件が起きています。製造業各社においても、品質データの改ざん事案が明るみに出ていますし、企業によっては不正競争防止法違反(虚偽表示)に問われて、罰金を課されている事例もあります。このような状況を改善すべく、内部通報制度の見直しを行う必要があるのです。

 内部通報制度については、消費者庁が関連ガイドラインを平成28年に改正しています。

 内部通報制度認証(自己適合宣言登録制度)もスタートし、2020年2月14日現在、約50の事業者が登録しています。問題が発生する前の防止策として内部通報制度を整備・運用・見直し・改善するといったプロセスを再整備することにより、問題が発生する前にしっかりと見直しを行うのが健全な経営といえ、ステークホルダーからの評価も得やすいでしょう。

3 サイバーセキュリティに係る責任は誰がどのように負うのか

 セキュリティインシデントが発生した場合、企業が負う責任と経営層が負う責任があります。この責任には、法的責任以外にも道義的責任、社会的責任などがありますが、以下では、法的責任について述べます。

(1) 企業が負う責任
 企業の行為により、第三者に損害が発生した場合には、企業が損害賠償責任を負う可能性があります。損害賠償責任を負う事例には、次のようなものがあります。
・個人情報やクレジットカード情報が漏えいした場合
・開発企業として委託されていた企業の開発不備や、運用・保守管理を委託されていた企業の対策・管理不備があり、委託元企業がセキュリティインシデントによって損害を受けた場合
・内部不正によるデータの改ざん、粉飾決算等の不正会計によって、製品の認証や認定が取消された、上場停止または廃止された場合

(2) 経営者らが負う責任
 会社に損害が生じ、経営者らが善管注意義務に違反する場合には、経営者らも責任を負う可能性があります。例えば、サイバーセキュリティの確保に関して、適切なリスクマネジメントを行っていなかった場合は、善管注意義務を問われることもあり得ます。経営者は、会社から委任を受け、善良な管理者として注意義務を払う必要があり、これは、法令や定款などを遵守し、会社や株主に対して最も有利となるように職務遂行することが求められています。

 経営者の善管注意義務違反には、具体的法令違反と抽象的法令違反があると考えられます。抽象的法令違反かどうかを判断するための要素として、次の3つに整理することができるでしょう。

〇経営判断の原則
〇監視・監督義務違反
〇内部統制システム構築義務違反

 善管注意義務違反に問われないためには、経営者ら自らが事前対策や事後対応に具体的に取り組んでいたことについて説明責任を果たす必要があるでしょう。

 善管注意義務は、リスク対応状況の評価やモニタリングを行っていたか、ということまで問われます。ガバナンスとマネジメント活動の2つの視点から、組織におけるリスク対応状況を確認し、健全な企業経営に活用してください。

4 最後に

 経営者が押さえておくべき情報(サイバー)セキュリティについて、『経営者のための 情報セキュリティQ&A45』に記載しています。ITやデジタルは難しいと敬遠してきた方にも分かりやすく記載しています。読みやすいようにQ&A形式とし、忙しい時間の合間に関心のある項目を選んで簡単に読める構成になっています。ぜひお手に取っていただき、ご活用いただけますと幸いです。



北條 孝佳(ほうじょう たかよし)
西村あさひ法律事務所カウンセル弁護士
警察庁技官として、各種サイバー攻撃の解析業務などに10年以上従事。現在、弁護士として、企業の危機管理やサイバーセキュリティ対策、事案対応等に従事するほか、日本シーサート協議会の専門委員、NISCサイバーセキュリティ関係法令の調査検討等を目的としたタスクフォース構成員、NICT招聘専門員などを務め、都道府県警察をはじめ全国各地での講演活動も行っている。


鳥越 真理子(とりごえ まりこ)
NRIセキュアテクノロジーズ(株)・上級セキュリティコンサルタント
防衛省航空自衛隊、優成監査法人を経て、(株)野村総合研究所入社。現在、NRIセキュアテクノロジーズ(株)に出向中。システム監査・保証(SOC1/SOC2)、ITガバナンス、情報セキュリティマネジメント、内部統制、インシデント対応などに関する多くの監査・コンサルティング実績を持つ。CISA、CISM、CGEIT、システム監査技術者。

関連記事

もっと見る

now loading