サイバー攻撃による情報流出が起こった場合の、企業の法的責任と対処法とは?
Contents
【ご相談内容】
今般、決済代行業者より、「貴社のクレジットカード情報が漏洩している可能性があるので、至急調査してほしい」との連絡を受けました。
何のことか分からず非常に困惑しているのですが、調査結果を提出しないことには、決済サービスの提供を受けられないようです。
どのように対処すればよいのでしょうか。
【回答】
おそらくはクレジットカード会社において、貴社が何らかのサイバー攻撃を受け、クレジットカード情報を含む貴社保有情報が漏洩していることを検知したものと推測されます。
直ちに調査を開始すると共に、関係各機関への報告や顧客を含むステークホルダーへの通知など対策を講じる必要があります。
また、顧客からの責任追及などにも備える必要があります。
以下では、簡単にサイバー攻撃に関する現行法の体系に触れた上で、サイバー攻撃を検知した後の対処法、損害賠償の考え方、予防策などについて解説を行います。
【解説】
1.サイバー攻撃に対する法体系
様々な法律が入り組んでいるのですが、①サイバー攻撃を行う側に対する規制、②サイバー攻撃を防御する側に対する規制とで分類した場合、次のようになります。
①サイバー攻撃を行う側に対する規制
犯罪として取り締まり対象となります。ここでは代表的なものを取り上げます。
| 犯罪名 | 具体例 |
| 電磁的記録不正作出罪(刑法第161条の2) | インターネットを介して虚偽の情報を送信し、顧客データベースの顧客データを勝手に変更する行為 |
| 不正指令電磁的記録作成等罪(刑法第168条の2) | コンピュータウイルスを作成する行為 |
| 電子計算機損壊等業務妨害罪(刑法第234条の2) | ランサムウェアに感染させ、電子データを変換等することで、業務を妨害する行為 |
| 電子計算機使用詐欺罪(刑法第246条の2) | 盗用したクレジットカードを用いて、ネット通販の決済を行う行為 |
| 電磁的記録毀棄罪(刑法第258条、同259条) | 無断でサーバ内に保存されている電子データを消去する行為 |
| 不正アクセス禁止法違反の罪(同法第11条以下) | 他人のID等を用いて不正アクセスする行為 |
| 個人情報データベース等不正提供罪(個人情報保護法第179条) | 個人情報データベース等を不正な利益を図る目的で盗用する行為 |
| マイナンバー法違反の罪(同法第51条)
|
不正アクセスによってマイナンバーを取得する行為 |
| 不正競争防止法違反の罪(同法第21条) | 不正な利益を得る目的で営業秘密を無断で取得する行為 |
上記のように、サイバー攻撃は様々な犯罪に該当するのですが、インターネットの匿名性の問題があり、なかなか加害者を特定することが難しいというのが実情です。
このため、官憲による規制に頼るのではなく、サイバー攻撃による被害にあわないよう自ら対策を講じることが重要となります。
②サイバー攻撃を防御する側に対する規制
サイバー攻撃へのセキュリティ対策を促すべく、次のような規制を設けています。
| 法令名 | 内容 |
| サイバーセキュリティ基本法 | あくまでも努力義務ですが、一定の事業者に対して、自主的なサイバーセキュリティの確保を義務付けています。 |
| 会社法 | 内部統制システム構築義務の一つとして、サイバーセキュリティに関する体制が含まれています。 |
| 不正アクセス禁止法 | 不正アクセス行為から防御するため必要な措置を講ずる努力義務が定められています。 |
| 個人情報保護法 | 安全管理措置義務、委託者への監督義務を定めると共に、これらの義務違反がある場合は勧告・命令対象となり、命令違反の場合は刑事罰を受けることになります。 |
| マイナンバー法 | 適切な管理措置義務が定められています。 |
| 不正競争防止法 | 営業秘密の一要件である秘密管理性を充足させるためには、相応の秘密管理体制が求められることになります。 |
上記の中で一番関心が高いのは、個人情報保護法が要求する安全管理措置義務と考えられます。何をどこまで行えばよいのか等の具体的内容については、個人情報保護委員会が公表しているガイドラインをまずは参照し、検討することをお勧めします。
個人情報取扱事業者等に係るガイドライン・Q&A等(個人情報保護法総則規定、第4章等関係)
(※各種ガイド欄のうち「個人情報の保護に関する法律についてのガイドライン(通則編)を選択してください」
2.サイバー攻撃を受けた場合の対応
上記1.で記載したような法規制があるとはいえ、残念ながらサイバー攻撃はなくなっていません。また、(言い方は悪いですが)都会から離れた田舎の病院でさえもサイバー攻撃を受け、約2ヶ月間診療ができなくなってしまったという事例さえ発生しています(つるぎ町立半田病院の事例)。
したがって、「うちは中小零細企業だから大丈夫…」と考えるのは危険です。
とはいえ、専任の担当者を設けて日々対策を講じるというのも現実的ではありません。
そこで、ここではサイバー攻撃を受けた場合に、どういった流れで対応を進めるべきかのポイントを解説します。
(1)検知・認識
ウィルス対策ソフトのアラート、従業員からの申告(不審な添付ファイルを開封してしまった等)といった内部で検知できる場合もあれば、顧客からの連絡(情報漏洩していないか等の問い合わせ)、クレジットカード会社等の第三者からの通報といった外部からの情報提供で検知できる場合もあります。
ただ、クレジットカード会社からの通報(それに伴う決済停止処分)、ランサムウェアによる業務妨害など明確な悪影響が生じている場合はともかく、ほとんどの場合は「何か悪いこと起こっているかもしれないが、何が起こっているのか分からない」というのが実情です。
このため、企業・事業者としても、どうしても対策が遅れがちとなるものの、サイバー攻撃は水面下で日々進行していきます。
したがって、セキュリティ上の何らかの異変を感じた場合、迷わず調査するというスタンスが求められます(調査の結果、何もなかったのであれば安心が得られますし、何らかの問題が発覚した場合であっても、早期に対応すればするほど被害を最小限に抑えることが可能となります)。
(2)初動対応
上記(1)で記載した通り、セキュリティ上の何らかの異変を検知した場合、まずは企業・事業者自らだけで何ができるのか、何をすべきなのかを認識しておくことが重要となります。
例えば、次のような技術的な対策を講じるといったことが考えられます。
・感染したと思われる端末をネットワークから隔離する(Wi-Fi非接続も忘れずに行う)
・ログを保存する(なお、ログの保全が分からないのであれば、とりあえず感染の疑いのある端末は一切操作せず、現状のままで保管する)
・認証手続きを変更する(ID・パスワードを変更する)
・データのバックアップ状態を確認する
上記のような技術的対策を講じた上で、外部の専門業者に依頼することになります(自社内に専門のIT部門があるのであれば、そちらに任せることも考えられます)。なお、クレジットカード会社からの要請に基づき調査を行う場合、外部の専門業者について一定の要件が課せられることが通常ですので、その要件を充足する専門業者を選任する必要があります。
ちなみに、サイバー保険に加入している場合、保険会社による専門業者紹介サービスの提供、専門業者への依頼費用が保険金対象となる場合があるので、専門業者を探索するに先立ち連絡を入れておくこともポイントです。
次に、社内体制の構築(対策チームの組成)を行うことをお勧めします。なぜなら、サイバー攻撃による影響は複数の部門に及び、各部門が個々で動いてしまうと混乱が生じるからです。情報を一元管理する担当者を選任した上で、その担当者による統制のもとで対処することが求められます(この時点でセキュリティ領域に知見のある弁護士もメンバーに入れたほうがよいかもしれません)。
(3)詳細調査
数日で調査結果が出ることは稀であり、事案によっては数ヶ月程度の調査期間が必要となる場合があります。
ただ、数ヶ月の調査期間を要するとなると、その期間は業務がストップすると共に、高額の費用負担を余儀なくされます。そこで、調査対象範囲を絞り、必要に応じて調査対象範囲を段階的に拡大するといった検討を行うことも一案です(これについてはセキュリティ領域に知見のある弁護士などにアドバイスを求めることをお勧めします)。
専門業者による調査が終了した場合、調査結果レポートが交付されます。
専門技術的な記載が多いと思われますが、必ず熟読し、企業・事業者において理解可能となるまで専門業者より読み方についてレクチャーを受けるべきです。なぜなら、この調査結果レポートがベースとなって、取引先や顧客へ説明すると共に、関係各機関へ報告することになるからです。企業・事業者自らが理解できていないのに、第三者に適切に説明することなど不可能であることを認識しておく必要があります。なお、専門技術的な記載は分からなくて当たり前ですので、遠慮する必要はありません。
(4)報告・届出・公表
調査結果を踏まえ(場合によっては調査結果を待たずに)、報告等を行うことになります。主なものは次の通りです。
| 個人データの漏洩等の場合 | ・個人情報保護委員会への報告
・個人データに係る本人への通知 |
| クレジットカード情報の漏洩等の場合 | クレジットカード会社への報告 |
| 秘密情報の漏洩等の場合 | 開示者への報告(契約内容による) |
| ・営業秘密の漏洩等の場合
・ランサムウェア被害の場合 ・不正アクセスの場合 |
本社を管轄する警察に被害届又は告訴状の提出(任意とはいえ最低でも相談したほうが無難) |
なお、上場企業の場合、適時開示を行うか否かの判断も求められます。
ところで、法律上の義務か否かにかかわらず、昨今の個人情報の取扱いに対する関心の高さ、プライバシー保護の要請などを踏まえると、ステークホルダーに対し、任意で公表したほうが良いという場面が生じてきます。
この場合、何をどこまで公表するのか(特に調査未了の場合)、どのタイミングで公表するのか、どの媒体を用いて公表するのか、公表による二次被害が想定されないか等々を検討する必要があります。また、公表に伴い問い合わせが殺到した場合に備えて、問い合わせ窓口の準備(場合によっては外注依頼)も行う必要があります。さらに、先んじて金券等の配布といった誠意(お詫び意思)を示すといった対応も想定したほうが良いかもしれません。
この辺りの勘所については、弁護士と相談しながら対処することをお勧めします。
(5)被害者対応
個人情報の漏洩の場合、個人情報に係る本人に対し、お詫び文書の送付、必要に応じて金券等の配布を行うことになります。
取引先等より開示を受けた秘密情報の漏洩の場合、当該取引先等に対し、契約内容に応じた違約金の支払いその他損害賠償の支払いが必要になる場合があります。
ただ、いずれについても情報それ自体の価値をどのように算定するのかという難しい問題があります。高度な専門知識が求められることから、弁護士に相談しながら算定することをお勧めします。
(6)責任追及対応
サイバー攻撃を行った加害者が特定できた場合、民事では損害賠償請求、刑事では刑事告訴を検討することになります。
なお、サイバー攻撃が内部犯行、すなわち企業・事業者の役員や従業員の場合、人事処遇上の制裁を行うことになります。ただ、従業員に対する懲戒処分については、一般的な感覚と裁判所が考える感覚に大きな差異があります(例えば、これだけ迷惑をかけたのだから懲戒解雇は当然だと企業・事業者が考えても、裁判所は厳しすぎるとして懲戒解雇を無効にするといった事例が多数存在します)。
人事処遇上の制裁は、事案を離れた客観的な判断を求められることから、弁護士に相談しながら決めたほうが良いと考えられます。
(7)再発防止
専門業者に依頼した場合、再発防止策について何らかの提案を受けることが通常です。
もちろん、その提案内容を受け入れて再発防止策を講じることもあり得ます。
ただ、費用負担の問題もさることながら、再発防止策を導入してもそれを適切に運用できる人材がいなければ意味がないという点です。
人員確保や人材育成が重要課題となることを押さえておく必要があります。
なお、専門業者からの提案内容につき、何らかの事情で受け入れることができない場合、部分的な導入ができないか等を検討することになりますが、企業・事業者による独断ではなく、セカンドオピニオンを積極的に取り入れたほうが良いと考えられます。
3.サイバー攻撃により生じた損害の処理
サイバー攻撃を受けたことによる損害処理については、加害者と被害者の両属性を保有することを念頭に検討することが求められます。
(1)サイバー攻撃を受けたものの加害者として対応しなければならない場面
サイバー攻撃により個人情報の漏洩が発生した場合、個人情報に関する本人との関係では、企業・事業者は加害者という立場にならざるを得ません。
したがって、企業・事業者は何らかの損害賠償義務を負担することになるのですが、個人情報それ自体の経済的価値を算定することが困難であることから、プライバシー侵害に基づく慰謝料という構成で損害額が算定されることになります。
この点、これまでの裁判例を踏まえると1人当たり3000円から3万円の範囲で収まっています。一見すると低額と思われるかもしれませんが、個人情報漏洩の場合、1件だけの漏洩で済んだという事例は稀であり、通常は数万件単位での漏洩事故がほとんどです。このため、企業・事業者の負担総額はかなり重いものとなることに注意を要します。
ちなみに、同じ個人情報でも損害額に差異が生じるのは、①情報の性質・価値(センシティブな情報であるほど慰謝料が高くなる)、②漏洩の範囲(情報が広範に拡散した場合は慰謝料が高くなる)、③事故後の対応(肥大拡大措置が不十分である場合は慰謝料が高くなる)、④二次的被害の有無(第三者から連絡が入るなどの二次被害が発生している場合は慰謝料が高くなる)などが影響していると考えられています。
ところで、企業・事業者としては、新種のサイバー攻撃であり予見することが不可能であった、あるいは委託先(さらに再委託先)が直接の原因当事者であり自らには非がないといった反論を行うことで、責任回避ができるのではないかと考えるかもしれません。
たしかに、裁判例も一般論として100%安全なシステムは存在しないと明言しているため、新規の脅威であれば予見することが困難であるとして責任を負わないと結論付ける可能性は存在します。ただ、たいていの場合は、どこかの媒体で公表されていることがほとんどなので、あまり期待できる反論ではないと考えたほうがよさそうです。
一方、委託先(再委託先を含む)は独立した当事者である以上、指揮監督関係がないので使用者責任(民法第715条)を負わないと言いたくなるかもしれません。しかし、裁判例では、作業場所が委託元であること、委託元との協議の場に参加していたこと、委託元に作業内容の決定権限があったこと等を理由に指揮監督関係を肯定する傾向があります。このため、企業・事業者自らの手で漏洩事故を発生させていない場合であっても、漏洩事故を発生した当事者と何らかの社会的接触関係が存在する限りは使用者責任を免れないと考えたほうがよさそうです。
(2)サイバー攻撃を受けた被害者として対応する場面
個人データの管理を委託していた事業者が情報漏洩事故を起こしたことで、委託元が個人情報に関する本人に損害賠償を行った場合、委託元は委託先に対して、本人に支払った損害相当額を請求することになります。
ただ、理屈の上では、本人に支払った損害相当額の全額が認められると断言することはできません。なぜなら、委託元が過大な損害賠償を行っていた場合、適切な相当額の範囲内でしか認められないからです。
上記以外にも、委託元は委託先に対し、①逸失利益、②フォレンジック等の調査費用、③第三者委員会等のコンサルティング費用、④事故対応に要した人件費、⑤被害拡大防止費用、⑥再発防止費用など、サイバー攻撃によって負担を強いられた費用を損害賠償として請求することが考えられます。
この点、①は“たられば”の話となりやすく、確実に得ることができた利益と言い得るのかで問題となることが多いようです。また、②③⑤⑥は金額の算定は比較的容易ですが、必要かつ相当な損害と言い得るのかという観点で争いが生じます。さらに、④は通常業務に要する人件費と事故対応に要した人件費を現実に区別した上で算定できるのかという問題があります。
現場実務での損害賠償請求の難しさは、「責任の有無」、「法律上の損害の有無」、「損害額の算定」は全くの別問題であるという点です。責任の有無だけにフォーカスしがちな担当者が多いという印象を受けますので、弁護士ともよく相談しながら、冷静に検討を進める必要があります。
(3)損害賠償問題は弁護士に相談を
損害賠償を行うに当たっての準備、証拠資料の収集、理論構成、タイミング、回収法や防御策などは高度の専門知識を有しますので、弁護士と相談しながら対処することをお勧めします。
4.サイバー攻撃への予防策
(1)契約上の予防策
サイバー攻撃を100%回避することは、残念ながら不可能と言わざるを得ません。
したがって、ここでいう「契約上の予防策」とは、サイバー攻撃によるリスクが発生することを前提に、そのリスクを誰に転嫁するのかという観点での検討になります。
①自社がサイバー攻撃を受けた場合を想定した予防策
サイバー攻撃を100%回避することができないという点を強調していくと、サイバー攻撃は不可抗力であり、よって免責対象になるという理屈が生まれます。
サイバー攻撃を不可抗力と言い切るのは躊躇を覚えるというのであれば、損害賠償の制限を設ける(損害の範囲を絞る、損害額の上限を定めるなど)ことになります。
もっとも、取引当事者が消費者である場合は消費者契約法を意識して、免責対象範囲を考える必要があります。また、取引当事者が事業者である場合であっても、故意重過失がある場合にまで免責されるのは不当という裁判例の傾向を踏まえて、適切な免責対象範囲を設定する必要があります。
②取引先がサイバー攻撃を受けた場合を想定した予防策
上記3.(2)で解説した通り、様々な損害内容が考えられるところ、その損害の有無及び額の立証に負担が生じることから、違約金規定を定めて立証のハードルを下げることが考えられます。
また、有事の際に適切なコントロールを行うべく、取引当事者に対して監査義務や報告義務、損害保険加入義務を課すといったことも検討に値します。
上記①②とも、契約書にどのように明記するのか、どのような交渉方法が必要となるのか専門知識が必要となります。可能な限り、弁護士と相談しながら進めるのが無難です。
(2)従業員の監督
サイバー攻撃は全くの部外者が行ってくるものとイメージしている方も多いかもしれませんが、近時は攻撃者と内通する従業員が存在する類型が増加していると言われています。
したがって、従業員を監督する必要性は高いといえます。具体的には、
・アクセスコントロール(アクセス権を有する者のIDでログインした端末からのみ、電子データを閲覧できる状態にするなど)
・持ち出し困難化(社外へのメール送信、ウェブアクセス制限など)
・データの廃棄・処分(記録媒体の物理的破壊など)
・視認性の確保(防犯カメラの設置、ログの記録・保存など)
・意識付け(研修の実施、誓約書の徴収など)
などを日常的に行うことが重要となります。
なお、ログの記録・保存については、プライバシーの観点から問題となりえますが、電子メールのモニタリングに関する裁判例や実務動向を準用し、ログの保存・記録に関する社内規程の整備、ログの保存・記録に関する周知、責任者の選任と権限の明確化、定期的な点検と見直しを行うことで、対処可能と考えられます。
ちなみに、退職者が発生する場合、上記の項目のうち
・アクセスコントロール(退職日を待たずにアクセス制限を行うなど)
・持ち出し困難化(社内記録や情報機器の返還を前倒しで実施するなど)
・意識付け(退職金の算定や減額処分の周知など)
といった、退職者特有の対策を講じる必要性が高くなります。
ところで、サイバー攻撃を防止するという観点からは、従業員の監督の必要性は高いとはいえ、労働法とのバランスを考慮する必要があります。また、当然ながら労使の信頼関係を損なわないことが前提となります。
かなり細かな配慮が必要となりますので、弁護士などの第三者の見解も踏まえながら適切な対応を実施したいところです。
5.サイバー攻撃対応につき弁護士に依頼するメリット
サイバー攻撃対応を弁護士に依頼するメリットは多岐にわたります。
サイバー攻撃の脅威が増加する中、企業がその対応を弁護士に依頼することで得られる利点は、法律的な観点からの助言に留まらず、コンプライアンスの確保やリスクの軽減、そして適切な対応策の実行に繋がります。
主なメリットは次の通りです。
(1)法的アドバイスとコンプライアンス対応
サイバー攻撃を受けた場合、対応策を誤るとさらなる損害や法的リスクを招く可能性があります。弁護士に依頼することで、サイバー攻撃の性質や影響に応じた法的なアドバイスを受けられるのは大きなメリットです。
(2)証拠保全のアドバイス
サイバー攻撃の証拠保全は、後の法的手続きにおいて重要な役割を果たします。
弁護士は証拠保全の方法について専門的な知識を持っており、攻撃の痕跡や犯人の特定に繋がる証拠を適切に保管するための指導が可能です。具体的には…
①フォレンジック調査の指導…弁護士はフォレンジック調査に関する法的手続きの助言を行うことができます。証拠を保全するために、どのデータをどのように保持すべきか、削除される前にどのような手順を踏むべきかを指導することで、証拠の適法性を確保します。
②法的に有効な証拠の取得…裁判や捜査機関への提出を見据えた、適切な証拠保全が可能です。弁護士は、証拠の取得・保管が後に争点となるリスクを防ぎ、確実に法的効力のある証拠として利用できるようサポートします。
(3)被害者支援および損害賠償請求
サイバー攻撃の被害者である企業にとって、弁護士のサポートは被害回復にも繋がります。
損害が発生した場合、加害者や第三者に対して賠償請求を行うこともありますが、その際には法的な手続きを適切に進める必要があります。弁護士に依頼するメリットは次のとおりです。
①損害賠償請求の手続き支援…弁護士はサイバー攻撃によって発生した損害の証明方法や請求のプロセスに精通しています。これにより、適切な証拠を用いて損害を証明し、相手方に対して効果的な賠償請求を行うことが可能になります。
②犯人特定と法的措置の支援…サイバー攻撃の犯人を特定し、法的措置を講じるには専門的な知識と手続きが必要です。弁護士は犯人の追跡や特定、捜査機関との連携を支援することで、適切な法的措置を確保します。
(4)メディア対応と企業イメージ保護
サイバー攻撃は企業のイメージに悪影響を及ぼす可能性があり、特にデータ漏洩などが公に報じられると信頼が揺らぎます。このような場合、弁護士を介して法的な観点からの情報提供を行うことで、企業の信頼を守ることが可能です。
(5)緊急対応チームの一員としてのサポート
サイバー攻撃が発生した際、IT専門家やセキュリティ担当者とともに弁護士が緊急対応チームに加わることで、迅速かつ包括的な対応が可能となります。
弁護士は法的な視点を提供することで、サイバー攻撃の影響を最小限に抑えるための重要な役割を果たします。
①法的対応の迅速化…サイバー攻撃の際には即座に法的措置を講じることが求められる場面が多々あります。弁護士が緊急対応チームに加わることで、必要な対応を即時に指示・実行でき、被害の拡大を防止することができます。
②連携強化によるリスクの低減…弁護士が法的対応の専門家として参加することで、IT専門家や経営陣との連携がスムーズになります。これにより、組織全体での一貫した対応が可能となり、リスクの低減につながります。
(6)改善策と予防策の立案サポート
サイバー攻撃の発生後には、再発防止策や法的リスクの軽減に向けた予防策の策定が重要です。弁護士が関与することで、法的リスクに対応した具体的な改善案の立案が可能になります。
①社内規程やポリシーの見直し…サイバー攻撃を受けた後には、社内の情報セキュリティに関する規程やポリシーの見直しが必要です。弁護士はこれらの規程の法的観点からのチェックや改善案を提示し、企業の法的リスクを軽減します。
②従業員への教育と意識向上…サイバー攻撃への対応には従業員の行動も大きな影響を与えます。弁護士は法的リスクに関する教育やセミナーを提供することで、従業員の意識を高め、再発防止に役立てることができます。
(7)まとめ
サイバー攻撃対応を弁護士に依頼することは、法的なリスク管理、証拠保全、被害回復、企業イメージ保護、緊急対応、そして再発防止策の構築において非常に大きなメリットをもたらします。
サイバー攻撃はITセキュリティの問題に留まらず、法的リスクや企業の存続にまで影響を及ぼす事案です。弁護士の支援を受けることで、適切かつ迅速な対応を図り、企業の信頼と安全を守ることができるでしょう。
6.当事務所でサポートできること
当事務所は、多くのIT企業の顧問弁護士として活動し、IT技術に対する知見を持ち合わせています。そして、当事務所は次のような特徴を有しています。
①豊富な実績: サイバー攻撃を含むセキュリティトラブルに関する相談を複数手がけており、豊富な経験に基づくアドバイスを提供します。
②カスタマイズされたサポート: 企業の規模や業種に応じた法的サポートを提供し、それぞれのニーズに合わせた柔軟な対応が可能です。
③早期解決を目指す交渉力: トラブルが発生した場合、法廷外での早期解決を目指した交渉に尽力します。
サイバー攻撃を含むセキュリティトラブルを迅速に終結させるために、当事務所の弁護士が全力でサポートすることで、ご依頼者様には、安心してビジネスを進めていただける環境を提供します。
<2024年11月執筆>
※上記記載事項は弁護士湯原伸一の個人的見解をまとめたものです。今後の社会事情の変動や裁判所の判断などにより適宜見解を変更する場合がありますのでご注意下さい。