2023年11月14日　13:30～14:30に開催されたセミナーをコラム化した記事です。アーカイブセミナー本編では、本コラムでは記載していない「質問回答＆パネルディスカッション」も収録していますので、是非お申し込みください。

「サイバーセキュリティ対応の企業実務」出版記念シリーズセミナー
第１回　サイバーインシデントと法的対応

＜セミナー概要＞
サイバーインシデント発生時におけるＤａｙ1からの対応を時系列に沿って具体的に説明します。
セミナー前半に執筆者による解説を行い、後半は皆様からお申し込み時に頂いた質問をもとにパネルディスカッションをいたします。

＜無料＞

１．サイバーインシデントにおける法的対応の位置付け

今回のトピックは、サイバーインシデントが発生した場合の法的対応の位置付けということで、実際にサイバーインシデントが発生した後にどのような法的対応が必要となるかということについて解説します。

サイバーインシデントの発生時には、準備、検知、初期分析・トリアージ、調査、封じ込め、駆除・復旧、報告、業務復旧という時間軸に沿った一連の対応が求められますが、その中で生じる法的に検討すべきポイントとしては、(1)各種法令上の報告・通知義務、(2)取引先との各種契約上の義務、(3)幅広いステークホルダーへの不法行為責任等があります。以下、それぞれ順に説明します。

サイバーインシデントにおける法的対応の位置付け

• サイバーインシデント発生時には，準備検知，初期分析・トリアージ、調査，封じ込め，駆除・復旧，報告，業務復帰といった時間軸に沿った一連の対応が求められる
• 個人情報保護委員会その他関係当局への報告等の法的検討の絡む対応が求められる

２．サイバーインシデント発生時の法的検討のポイント

（１）各種法令上の報告・通知義務

サイバーインシデント発生時には、法令に基づいて、当局への報告および漏えいした個人情報の本人への通知が必要となります。これは、日本の法令だけでなく、海外の法令も考慮する必要がありますが、概ね速報（第一報）としての当局報告は、インシデント発生から3日から5日以内に行う必要があります。GDPRが適用されるケースでは、72時間以内に当局への報告が必要です。

これらの当局報告・本人通知義務は、有事の際にはスケジュール的に厳しいものとなりますので、迅速かつ適切な対応を行うためには、平時から準備しておくことが重要です。

（２）取引先との各種契約上の義務

取引先との契約において、サイバーインシデント発生時の報告義務、契約違反に基づく契約解除や損害賠償請求などの措置が定められていることがあります。特に、機密情報（研究情報、開発情報など）の漏えいは、取引先に多大な損害を与え、高額な賠償責任を伴う可能性があります。

契約解除や高額損害賠償請求のリスクを低減するために、取引先ごとの契約内容や個別の事情を把握して、適切な報告・説明、再発防止策の策定・説明、および今後の見通し説明など、丁寧な取引先対応を行うことが重要です。

（３）幅広いステークホルダーへの不法行為責任等

To Cビジネスにおけるサイバーインシデント事案であれば、数十万人以上の顧客情報漏えい等が問題になる場合もあります。約款等において可能な限りの免責を手当てしている例は多いものの、消費者契約法上は完全な免責は不可能であり、無効となり得るケースが多く、不法行為責任の追及を受けることもあります。企業の提供するサービスや顧客の性質に応じた慎重な対応が必要となります。

サイバーインシデント発生時の法的検討のポイント

1. 各種法令上の報告・通知義務（当局への報告・本人通知）
   • 発覚日から概ね３～５日以内の速報
   • GDPRでは72時間以内
2. 取引先との各種契約上の義務
   • 漏えいする情報の性質によっては賠償責任が高額化
3. 幅広いステークホルダーへの不法行為責任等
   • 提供しているサービスや顧客の性質に応じた対応

３．サイバーインシデント発生時の法的対応がなぜ難しいのか

サイバーインシデント発生時の法的対応は、様々な理由により困難が伴います。以下、説明します。

（１）ハッカー等によるサイバー攻撃の全容把握の困難さ

ハッカー等の攻撃者によるサイバー攻撃の場合、侵入経路や被害範囲などの状況把握が非常に困難です。単純なシステム障害と異なり、侵入の痕跡が巧妙に隠されていることが多く、攻撃者が既にシステム内部にマルウェアを潜ませている可能性もあります。そのため、迅速かつ適切な対応を行うためには、高度な技術力と専門知識が必要となります。

（２）ハッカー等によるサイバー攻撃の全容把握の困難さ

多くの企業では、サイバーインシデント発生時に対応できるIT部門や法務部門の人員が不足しています。特に、高度な技術を駆使したサイバー攻撃の場合、社内リソースのみで対応するのは困難であり、外部専門家による支援が必要となります。

（３）法務部門とIT部門の連携不足

サイバーインシデント対応には、法的な対応と技術的な対応の両方が必要となります。しかし、法務部門とIT部門は専門分野が異なるため、連携がうまく取れないケースが多く見られます。迅速かつ適切な対応を行うためには、両部門が密接に連携し、情報共有を徹底することが重要です。

（４）高度な専門知識と経験の不足

サイバーインシデント発生時には、状況把握、証拠収集、被害拡大防止、復旧作業、再発防止策策定など、様々な対応が必要となり、高度な専門知識と経験を必要としますが、一般の企業にはそれらが不足しているのが通常です。したがって、企業としては、弁護士やセキュリティ企業などの外部専門家に対応を依頼することが必要になります。

（５）平時からの準備の欠如

サイバーインシデント発生時に迅速かつ適切な対応を行うことは、平時からの準備が欠如していると非常に困難です。具体的には、インシデント対応マニュアルの作成、社員への教育・訓練の実施、セキュリティ対策の強化、データマッピングなど、平時から準備をしっかりしておくことが重要です。

サイバーインシデント発生時の法的対応がなぜ難しいのか

• 故意犯、ヒューマンエラーのケースとサーバーインシデントのケースの違い
• 社内リソースのみでの対応が困難なケースも多い
• 法務部門とIT部門の連携、社内リソースと外部専門家との連携が必要
• 平時からの体制構築なしに有事対応を行うことはかなり困難

４．ランサムウェア攻撃者からの身代金の要求に応じるべきか

企業がランサムウェア攻撃を受けた場合、攻撃者から身代金を要求される場合があります。重要な機密情報を人質に取られている場合、身代金の要求に応じるべきかどうかは、企業にとって非常に難しい決断を迫られますが、原則として応じるべきではありません。以下、その理由を説明します。

（１）テロ組織への資金供与となる可能性

ランサムウェア攻撃を行う組織の中には、テロ組織であるケースも多く存在します。身代金に応じることは、テロ組織への資金供与となり、反社会的勢力を助長する行為となります。場合によっては、米国OFAC規制違反となり、身代金を支払った企業が制裁を受ける可能性もあります。

（２）再犯を誘発する可能性

被害を受けた企業が攻撃者の要求にしたがって身代金を支払うと、当該企業が金銭で問題を解決するという認識が攻撃者側に広まり、当該企業に対する再犯を誘発する可能性があります。攻撃者にとって当該企業は組みしやすい標的となり、さらなる攻撃を受けるリスクが高まります。

（３）完全な復旧が保証されないこと

身代金を支払ったとしても、必ずしもデータが復旧されるとは限りません。攻撃者は、復旧ツールを提供しない、不完全な復旧ツールを提供するなど、被害企業を欺く可能性があります。

（４）法的な責任を負う可能性

取締役は、身代金の支払いに同意した場合、善管注意義務違反を問われ、会社法423条に基づき、損害賠償責任を負う可能性があります。

以上のように、身代金の要求に応じることは、様々なリスクを伴います。法令遵守、再犯防止、被害拡大防止の観点から、身代金の要求には応じないことを強く推奨します。

身代金の要求に応じるべきか

• 応じてはいけない。OFAC規制等の、海外におけるテロ等の犯罪組織への資金提供に関する規制に抵触する可能性。
• 再度の攻撃のターゲットになる可能性も
• 役員としての善管注意義務違反

５．サイバーインシデントが発生した場合の対応

サイバーインシデント発生直後のDay 1からの対応について順に説明します。

（１）個人情報保護委員会への速報

この段階では、報告内容は限られた調査結果に基づかざるを得ず、報告内容は限定的になる場合が多いですが、まずは速報（第一報）をきちんと期限内に行うことが重要です。

現在調査中の報告事項については、現在判明していることはこうです、今後こういう形で調査を進めて行こうと考えていますといったことを書くことになります。報告窓口は業種によって、個人情報保護委員会とは異なる窓口となるため（例えば金融庁など）、事前に確認しておくことが必要です。

（２）警察その他の関連機関と連携

サイバーインシデントが起きた時に、加害者の特定やどこから攻撃を受けたのかを特定するのは非常に難しいので、 警察に被害届を出したとしても、刑事事件化して加害者を有罪にまで持ち込むことは、極めて難しいという現実があります。

ただし、警察への情報提供をしっかりすることは、出来る限りのことはしていることをステークホルダーに対して説明する材料になります。したがって、警察には、まず被害状況の概要を報告し、その後も情報収集に努め、随時連携する必要があります。

（３）早期の通知と対外公表(第一報）

情報漏えいなどのサイバーインシデント発生時において、影響を受ける関係者への通知または対外公表を早期に実施することが重要です。

早期の通知・対外公表は、影響を受ける関係者が適切な対応を取ることによって、被害を最小限に抑える効果が期待できます。すなわち漏えいしたデータの不正利用の防止を目的として、 パスワードの変更や不正取引の監視など、被害拡大を抑制する措置を講じることができます。また、迅速かつ正確な情報公開することにより、憶測や風評による不安を払拭し、風評被害を抑制することができます。

サイバーインシデント発生直後には、詳細な情報がすべて揃っていない場合があります。しかし、被害拡大を防止するためには、可能な範囲の情報に基づいて早期に通知・公表し、その後の調査で判明したことを続報として何度も通知・公表して、情報の精度を上げていくような対応が必要です。

（４）個人情報保護委員会への確報

個人情報保護委員会への確報は、原則30日以内に行う必要があり、漏えい等が不正な目的で行われた恐れがある場合には、60日以内に行う必要があります。したがって確報完了までには、ある程度の猶予期間がありますが、それなりの規模の企業になると、その猶予期間に確報を完了することは、かなり厳しいスケジュールとなります。

すなわち、まず漏えい等の恐れがある個人データの項目（住所、氏名、マイナンバーなど）を全てリストアップしたうえで、それぞれが何件漏えいした恐れがあるかを把握することが必要ですが、平時にデータマッピングをしていない場合には、相応の時間が必要となります。バックアップを取っておらず、データの復元が困難な事案では、さらに対応が難しくなります。

また、サイバーインシデントの発生原因、二次被害の状況、再発防止策についても、報告事項に含まれており、外部の専門家（デジタル・フォレンジックベンダー）の手を借りて調査する必要もでてきます。さらに本人への通知等の対応状況も、確報で報告する必要があります。これらのことを全て終えて確報を完了するには、60日の猶予があっても、かなりタイトなスケジュールとなります。

（５）本人通知・従業員通知・取引先通知・対外公表

本人への通知の対象となる個人は、漏えいした個人情報に関する本人であり、取引先や自社の従業員、元従業員、派遣社員が含まれる可能性があります。

本人の連絡先が判明している場合には、郵送、メールなどで直接本人に通知することになります。連絡先がわからない場合には、ウェブサイト等で対外公表することになります。

通知のタイミングは、基本的には可能な限り早く行う必要がある一方、情報が十分に整理されていない場合は、混乱を生じさせて、被害拡大防止の観点からは逆効果になる可能性があるため、通知のタイミングは慎重に判断することが必要です。

通知内容には、漏えいした個人情報の内容、被害状況、再発防止策、問い合わせ先が含まれる必要があります。

手順としては、まず漏えい対象者の属性のグループを分け、通知内容を決定し、個別通知または公表を実施します。

対外公表を行う場合の文面ですが、後で報道やネット情報等との齟齬が判明し、訂正すべき点が生じてしまうと、対外発表の信憑性に疑いが持たれ、企業のレピュテーションに多大な影響が生じえることから、慎重に内容を吟味することが必要です。

サイバーインシデント発生時の対応
初動から第一報まで

1. 個人情報保護委員会への速報
   • この段階での報告事項は限定的。報告を行うこと自体が重要。業種によっては窓口が異なる
2. 警察その他の関連機関と連携
   • 　・刑事事件化は難しい。情報取得やステークホルダーへの説明責任
3. 早期の通知・対外公表（第一報）
   • 関係者に、早期の通知・公表をしていれば避けられたであろう損害を生じさせない
   • 外部の指摘で明るみになるリスクは常にあり。憶測レベルの不正確な情報の流通のリスク
   • 通知、公表する事項は、分かる範囲で。調査中のものは調査中とする。

サイバーインシデント発生時の対応
続報からその後

1. 個人情報保護委員会への確報
   • 原則30日以内（不正な目的で行われたおそれがある場合には60日以内）に行う必要がある。一定の猶予はあるが、実際の対応はかなりハード。
   • 漏えい等のおそれがある個人データの項目、数の特定、報告 ex.ランサムウェア事案
   • 発生原因・二次被害・再発防止措置の検討・報告（技術的な分析が必須）
   • 本人への対応の実施状況・公表の実施状況→原則として終えておく
2. 本人通知・従業員通知・取引先通知・対外公表
   • 個人データに係る本人への通知。顧客、取引先及び自社の従業員、派遣社員等も含む。
   • 通知先が不明な本人がいる場合にはwebサイト等での公表が必要
   • 本人通知のタイミングはケースバイケース。二次被害の拡大や混乱を防止する観点で、可能な限り早く行うべきであるものの、情報が整理されていない段階で行うことは逆効果になることも。
   • 実務的な作業としては、本人の属性に応じてグルーピングして通知すべき内容を検討する。
   • 対外公表を行う場合の文面は慎重に。報道、週刊誌等の他のリソースからの指摘で修正すべき点が生じてしまうと、公式発表の信憑性やレピュテーションに多大な影響が生じるので注意する必要がある。

６．サイバーインシデントのGDPR（海外個人情報保護法令）対応

GDPRでは、個人情報に関するインシデント発生を認識してから72時間以内に、監督機関への報告が必要とされます。発生したインシデントが、個人の権利および自由に対するリスクが高いと判断される場合には遅滞なく本人通知も行う必要があります。

そのため企業が、インシデントの可能性について第一報を受けた場合、直ちに調査を開始する必要があります。このインシデントの可能性の事実認定については専門家の意見を踏まえて慎重に行う必要があります。また当局へのインシデント報告は、どのような場合にどの当局に報告する必要があるのかを事前に検討し、インシデント対応マニュアルにおいて準備しておくことが重要です。

GDPR以外にも、海外には様々な個人情報保護法が存在します。関係する法令を事前に把握しておくこと、弁護士等専門家のサポートを得てインシデント発生時の迅速かつ適切な対応体制を整備しておくことが重要です。

1. 当局および本人への報告・通知が必要になる場合　
   • 個人情報に関するインシデント発生、認識から72時間以内に監督機関へ通知
   • インシデントによって個人の権利及び自由に対する高いリスクが生じる可能性がある場合には不当な遅滞なく本人通知が必要
2. インシデント報告・通知実務の解説
   • インシデントの可能性について第一報を受けた後に、インシデントが発生したか否かの確認のための調査はできるとされており、当該調査期間の最中は72時間の時間制限がカウントされないとされている。ただし、その認定は専門家の意見も踏まえて慎重に実施する必要あり。
   • GDPRに関連するインシデント発生時の報告先となる監督機関の特定

最後に

本稿では、サイバーインシデント発生時の法的対応の流れと、それぞれのフェーズにおける具体的な対応ポイントについて解説しました。

サイバーインシデントは、日々巧妙化・複雑化しており、いつ、どこで起こるかわかりません。被害を最小限に抑えるためには、日頃から対策を講じておくことが重要です。