もう「バックアップさえあれば大丈夫」ではない　弁護士が解説する、サイバーインシデント対応の4つの「疑問」

ランサムウェアにどう対応すればいいのか

蔦大輔氏：こんにちは、弁護士の蔦と申します。私からは「サイバーインシデント対応の法律実務最前線」ということで、ランサムウェア（感染すると端末等に保存されているデータを暗号化して使用できない状態にして、その上でデータを復元する代わりに金銭を要求する不正プログラム）と個人情報保護法に基づく対応を中心にお話をしたいと思います。どうぞよろしくお願いいたします。

まず冒頭に「ランサムウェア」という1枚のスライドを用意させていただきました。ふだん私は法律家や法務の方などを相手に講演することが多いので、「そもそもランサムウェアとは何か」とか、「ランサムは身代金のことである」という説明から入ることが多いんですけれども、本日はランサムウェアのことはみなさん当然ご存知という前提なので、そのあたりはすっ飛ばしてお話をしたいと思います。

ランサムウェアにつきましては、近年二重の脅迫をしてくるパターンが非常に増えてきています。今までであれば「暗号化されたものを戻してほしければお金を払え」というだけだったので、バックアップさえ取っておけば十分だったのかなと思うんですけれども、今はそうではなくて、暗号化する前にデータを取ってしまい、「取ったデータを元に戻したければお金を払え」という脅迫と、そのあと「暗号化したデータを元に戻してほしければお金を払え」という、2つの脅迫をしてくるケースが多いです。データを暗号化されたことへの対策に加えて、データが漏えいしている可能性を踏まえた対応が必要です。

主に漏えいへの対策という観点から、法的な対応、特に個人情報保護法に基づく対応が必要になってきます。スライド下部に本日のアジェンダを兼ねて、私が弁護士としてサイバーセキュリティ案件についてたくさん相談を受ける中で、よく受ける質問トップ4を挙げているんですけれども、それに沿って今日はお話をしたいと思います。

身代金を支払うこと自体が違法の国もある

一番よく聞かれるのが、「身代金払っても大丈夫ですか？　違法じゃないんですか？」というところです。2点目は、もし漏えいがあった、あるいは漏えいの可能性があるという場合に、どこに報告をしないといけないのか。どこに連絡をしたほうがいいのかというところもよく聞かれますので、そのあたりのお話をしたいと思います。

3つ目。これもよく聞かれるんですけれども、「公表したほうがいいですか？」「プレスリリースとか出したほうがいいですか？」という話もしたいと思います。最後に損害賠償義務。「何らかの賠償義務を負いますか？」というご質問もたくさん受けますので、そのお話をしたいと思います。

ではまずさっそく1つ目。「身代金を払っても違法ではない？」というタイトルでお話をさせていただきます。まず政府はどう考えているのか、1枚スライドを用意させていただきました。

こちらは2020年の年末に経済産業省から出された注意喚起になります。下線のところと赤字のところだけ引っ張ってお話をしますけれども、身代金を払うことは、犯罪組織に対して支援を行っていることと同義である。金銭の支払いを行った企業に対して、制裁が課される可能性もある。払うこと自体が違法の国もあります。

そういったことを踏まえて、ランサムウェア攻撃を助長しないようにするためにも、「金銭の支払いは厳に慎むべきである」ということが書かれております。当然と言えば当然ですが、当局としては払って良いよと言うわけがありません。

一度支払いに応じると、別の攻撃を受けやすくなるリスクも

あとは赤字で書いているんですけれども、ランサムウェアの支払いをするかどうかの検討については、現場で勝手に判断していい問題じゃないということが強調されております。これは「経営者が判断すべき経営問題そのものである」としているところが、1つのポイントかなと思います。

あとは経済産業省に近い立場というところで、一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)の見解も引っ張っております。こちらは今年の1月に、JPCERT/CCから出た「ランサムウェア攻撃を受けたら読むFAQ」なんですけれども、払うべきではない根拠のイメージということで、3つほど挙げております。

1点目が、身代金を払ったとしても戻ってくる保証がないこと。2点目は、身代金を払ってもし暗号化されたものが元に戻ったとしても、結局のところ、なぜ不正アクセスを受けたのか、なぜランサムウェア攻撃を受けたのか、侵入経路や原因がわからないままになってしまい、被害の根本原因がまったく解消されていません。その場しのぎになっちゃいますよというところが2点目です。

3点目は、別の攻撃や支払要求を受けるということ。これはけっこう重視すべきリスクかなと私も思っておりまして、やはりランサムウェア攻撃を仕掛けてくる集団や攻撃者は、裏でどうつながっているかわからない。もちろん何らかのネットワークがあるのだろうと思いますので、「この企業は攻撃を仕掛ければ、ランサムウェアの身代金を払ってくれる」という評価が、攻撃者のネットワークの中で広がってしまう可能性があります。

そうなってくると、1つの攻撃者から難を逃れたとしても、他の攻撃者から「ここは狙ったらお金払ってくれるところ」という評価を受けて、別の攻撃を受けてしまうおそれもある。これがリスクとしては大きいのではないかなと思います。

多額の損害が発生する場合は、支払いを正当化できるのか？

次に、絶対に払ってはいけないのかどうかというスライドを1枚用意しています。よく「身代金を払ってしまうと違法なんですか？　法に抵触しますか？」というご質問を受けるんですが、現状日本の法律を見ても、支払い自体が「即座に違法です」という法令はないんじゃないかなと思います。

もちろん例外的なものといたしまして、例えば北朝鮮に在住している人にお金を払ってしまう、資金提供するというのは、経済制裁の対象者に資金提供をしたということで、外為法違反になる可能性もなくはないんですけれども。

ただ、ふつう攻撃者が「私、北朝鮮にいます」と素性を明かすことはまずありえないので…。次に違法かどうかは除いたとして、支払いの是非。支払いは適切かどうかという観点から考えるんですけれども、いろんな要素を考慮した上で、経営判断として行うと言えるのかなと思います。

よく「こういう理由があれば正当化してもいいですか？」というご質問を受けますので、いくつか挙げておきました。

まず1つ目として、もしランサムウェア攻撃を受けて暗号化が元に戻せないとなってくると、復旧するために多額の費用がかかってしまう。復旧しないままにしておくと、日々多額の損害が発生してしまう。今身代金を払ってしまったほうが、最終的な損失は抑えられるという、費用対効果のバランスですね。

それだけを見て「払ってもいいですか？」というご質問を受けるんですけれども、私は「それはちょっとやめたほうがいいです」とお答えをしております。

やはりそのあたりは、費用対効果というだけではなくて、払っても戻ってくる保証がないとか、自分が攻撃者の“カモリスト”入りしちゃうという話ですね。そういったところを踏まえて、「それだけではさすがに難しいんじゃないですかね」というお話をすることが多いです。

避けるべきは、「その場しのぎ」になるだけの対応

2つ目として、個人情報がたくさん取られた可能性があると。「『リークサイトに晒すぞ』と脅されています。これは払ったほうがいいんじゃないですか？」という質問も受けるんですけれども、私はこれも否定的に捉えております。

なぜかと言いますと、結局その場しのぎになってしまいますし、攻撃者がその場でリークサイトに晒さないと約束したとしても、裏でどう流通しているかはさすがに把握しきれないところがあります。

未来永劫、絶対に裏で広がらないという保証をしてくれるわけではありませんので、結局漏えいしたかどうかをずっと心配しながら過ごさないといけないことになります。データ漏えいを止めることができるからお金を払うんだ、というところについても、あまり私は推奨しておりません。

やや微妙になってくるのが3番と4番で、特に重要インフラサービスが止まってしまう場合ですね。記憶に新しいところとしては、2021年5月にアメリカで石油パイプラインが止まってしまった事象が発生しております。

日本においても有名なところとしては、病院に対するランサムウェア攻撃がありました。社会の重要なインフラがランサムウェアによって止まってしまうことになると、「さすがにこれは払ってもいいんじゃないですか？」と聞かれることがあります。

これは本当に悩ましい問題だなと思っておりまして、もうちょっと分析が必要なのかなとは思います。単にインフラだから払っていいというわけではなくて、インフラであることを前提として、事業が止まってしまうことによって、国民の生活、ユーザーの生活にどこまで影響が及ぶのか考慮して、さらに細かい分析をしないといけないのかなと思います。

さすがにこれは仕方ないかなと思うのが4番ですね。インフラの中でも、特に病院が攻撃を受け、かつシステムが完全に止まってしまって、本来やるべきだった手術ができません。そういった話になってきてしまうと、人の生命・身体が天秤に乗っかってしまうことになります。

こういう場合についてまで、絶対に払うなと申し上げるのは難しいなとは思っております。さすがにこの場合だったら、払ってもやむを得ないというケースは多いんじゃないのかと思います。

ランサムウェアと「個人情報保護法」との関係

では次に、どこに報告をしたらいいのかというお話をしたいと思います。まずランサムウェアに感染した場合、一番関係しそうな法律として、実務上は個人情報保護法が絡んでくると思います。

こちらは2020年に改正されて、2022年の4月1日から施行されております。今までは個人データの漏えいがあった場合は、努力義務というかたちで、個人情報保護委員会に報告するように努めましょうとなっていました。

今年度からは、一定の要件を満たす個人データの漏えい、滅失、毀損が発生してしまった場合には、原則として委員会に報告し、本人にも通知しないといけないという義務になりました。

ランサムウェアに感染した場合に、必ずしも個人データが含まれているとは限らないとは思うんですけれども、少なくとも私が相談を受けたケースでは、個人データはまったく含まれていませんでしたというケースは、ほとんどないです。

やはり何かしらのかたちで、個人データはどこかに含まれているというのがほぼすべてなのかなと思います。例えば、従業員に関する情報が暗号化された対象に含まれていれば、個人データの漏えい、もしくは漏えいのおそれがあることになってしまいます。

あとは「B to Bしかやっていません」という場合であっても、取引先の方の名前やメールアドレスなどの連絡先が含まれている場合もありますので、結局何かしらのかたちで、個人データが入っていることがほとんどなのかなと思います。

「公表」は義務ではないが、検討せざるを得ないケースも

このあとの話にも絡みますけれども、公表するかどうかについて。個人情報保護上は、速やかに公表することが望ましいということになっておりますが、義務ではありません。

ただ義務としては、委員会に報告することと、本人に通知することの2つがあります。そのうち、本人通知ができない・難しいケースがあります。連絡先が古くて住所も引っ越しているし、メアドも古くて使っていないし、電話番号も使っていませんというケースもありますので、本人通知ができない・難しい場合には、代替措置というかたちで公表を検討しないといけません。

参考として、改正前後でどう変わったかという比較表をつけておりますので、ご関心があればご覧いただければと思います。

「漏えいなどの定義と報告対象事態」というスライドを1枚用意しております。漏えい・滅失・毀損について、個人情報保護法ガイドラインにおける定義が書かれております。

「漏えい」というのは個人データの外部流出。あとランサムウェアに関連するものとして「毀損」ですね。個人データの内容が意図しないかたちで変更され、利用不能になること。

特にランサムウェアに感染してしまった場合には、漏えいがあるかどうか、毀損があるかどうかが主に絡んでくることになります。毀損につきましては、バックアップを取っていて、同じ内容を保存しているのであれば、毀損はないとなっております。もしバックアップをちゃんと取っていれば、毀損はないと言えるケースがけっこう多いかと思います。

ただやはり、二重の脅迫型の場合には、漏えいあるいは漏えいのおそれがありますので、そこについては判断をしないといけないです。

報告対象事態のポイントは、漏えい等の「おそれ」も対象になること

下の半分のところに、「報告対象事態」と書いています。個人データは、1件でも何らかのかたちで流出したら、いつでもどこでも報告しないといけないというわけではなくて、一定の条件を満たしている場合には報告しないといけないということです。

ランサムウェアの場合に一番絡んでくると思うのが、3つ目と4つ目のところです。不正な目的による行為のおそれということで、こちらはサイバー攻撃という時点で当てはまってしまいます。なので、ランサムウェア攻撃を受けたのであれば、その時点で不正な目的によることは明らかだということが大半なのかなと思います。

仮にそうじゃなかったとしても、個人データが1,000人分を超える場合は、やはり報告しないといけません。

報告対象事態に関するポイントとしては、一番下に書いているんですけれども、漏えいが確定的に起こった場合だけではなく、漏えいなどの「おそれ」がある事態についても対象になっているというところだと思います。この「おそれ」ってなんやねんというところについて、これから説明したいと思います。

「漏えいなどの『おそれ』」については、個人情報保護委員会で下位法令を作ろうとした時に、「結局『おそれ』ってなんやねん」というツッコミがたくさん入りました。そのときに、ガイドラインの中で説明しますと言っていたので、実際ガイドラインではなかなか厚い説明が書かれているんですけれども。

まず「おそれ」の一般的な定義としましては、漏えいなどが疑われはするんだけれども、確証がない場合のことです。その場合、事実関係に基づいて個別の事案ごとに蓋然性を考慮して判断しますとだけ書いてあって、この定義では「おそれ」とは何なのか、何があったら「おそれ」となるのか、なかなかわかりづらいところがあります。

結局は、「蓋然性があるかどうかだけで判断しましょうね」というのが1つの基準になってしまっているのが現状です。

どのような場合に「おそれ」があると言えるのか

メールの誤送信だったら漏えいしたかどうかが明らかにわかるんですけれども、外からのサイバー攻撃やランサムウェア攻撃の場合、実際に個人データが出ていったのか、出ていったおそれがあるのかどうかは、かなり判別しづらいところがあります。

特にサイバー攻撃の時、どういう場合に「おそれ」があると言えるかは、具体例がいくつか委員会のガイドラインで挙げられています。それが下半分に書いてあるところですね。

いくつか紹介しますけれども、例えば1点目。個人データが入っているサーバなどで不正アクセスが起こり、何らかのデータが窃取された痕跡がありましたという場合です。何かしらのデータが盗られたのであれば、同じサーバに入っている個人データも盗られた可能性は高いでしょう、ということで個人データ漏えいのおそれがあると言われております。

2点目。情報を窃取する振る舞いをするマルウェアに感染した場合も、漏えいのおそれありと言われております。なのでランサムウェアに感染した場合で、情報窃取を伴うランサムウェアであるのであれば、ここに当てはまる可能性が高いことになってまいります。

3点目。C2サーバが使っているIPアドレスへの通信が確認された場合も、個人データ漏えいのおそれありとされております。

4点目。これはなかなか珍しいパターンかなと思っているんですけれども、公的な機関とかセキュリティ・サービス・プロバイダ、専門家などから、第三者から漏えいのおそれについて一定の根拠に基づいて連絡を受けた場合も、個人データ漏えいのおそれありとされております。

自社で判断するのではなく、第三者の行為をトリガーとして漏えいのおそれがあると判断するという、なかなか珍しいパターンかなとは思います。具体的に誰が連絡してくるのかはあると思うんですけれども、例えばJPCERT/CCとかかなと思います。

最後はカッコ書きで書いてあるんですけれども、「データが漏れてまっせ」という連絡を受けるパターンもあれば、「おたくのサイト、脆弱性がありまっせ」と連絡を受けたパターンと、たぶんいろいろあるとは思います。

ここでは「脆弱性がありますよ」という連絡だけでは、漏えいのおそれについての連絡ではないと解されております。ただ、だからといって「脆弱性がありますよ」と言われた時に、何の対応もしないのは、さすがにやってはいけないかなと思います。すぐに修正する必要があると思います。

「漏えいのおそれ」を判断する場合の、エビデンスの重要性

「漏えい（のおそれ）の判断におけるエビデンスの重要性」というスライドを1枚用意しております。こちら、委員会でもエビデンスをけっこう重視しつつあると思いますので、それを簡単に説明したいと思います。

例えば、よくある漏えいのケースとして、設定ミスで本来非公開にすべき情報を公開設定にしちゃいましたということがあります。これは漏えいのおそれに該当してしまうことになります。

ただ、いったん公開設定にしてすぐに非公開に戻しました、その間誰も見ていないことがアクセスログで確認できました、ということであれば、これは漏えいに当たらないと言えるというのが、委員会から正式な見解として示されております。

あと注目すべきは「一方」のほうですね。一方、アクセスログが確認できない場合には、漏えいのおそれに該当しうると言わざるを得ないと書かれております。

ちゃんとログを取っておいて、エビデンスを残しておかないと、基本的に漏えいのおそれがあるという方向で判断しないといけない、ということを示しているのかなと思います。

同じような話としてマルウェアの感染に関しても、マルウェアに感染した時点で直ちに漏えいのおそれありというわけではなくて、防御システムによるマルウェアの実行抑制の状況、外部通信の遮断状況を考慮しながら、漏えい、あるいは漏えいのおそれがあるかどうかを判断しましょうということが示されております。

やはりここでもエビデンスがあって、それを調べることによって判断することが挙げられるのかなと思います。

エビデンスがなければ、天秤が「漏えいのおそれあり」に傾いたまま

ここから言えることとしては、漏えいが疑われる状況であっても、エビデンスさえあれば漏えいがない方向に傾けることができる。やはり「マルウェアに感染した」とか、「公開設定にしちゃいました」ということになると、天秤が「漏えいのおそれあり」に傾いてスタートしてしまうんですが、エビデンス次第で反対方向の「漏えいなし」に傾けることができるというのが、この考え方なのかなと思います。

逆に、よくあるのが「ログは特に残していませんでした」というケースです。限定的なログだけ取ってあって、それを調べた結果「漏えいしたかどうかわかりませんでした。なので漏えいはありません」と言ってしまうケースがあるんですけれども、それはさすがに駄目だろうと思います。

いったん漏えいが疑われる状況からスタートしているんだったら、天秤は「漏えいのおそれあり」に傾いた情報でスタートしているのであって、それを覆すだけのエビデンスがないのであれば、天秤は漏えいのおそれありに傾いたままでいかないといけない。それが基本的な考え方なのかなと思います。

報告の対象となる「知った時」とはいつのことか

次に「速報・確報と報告手続の起算点」です。報告の手続につきましては、速報・確報の二段階でやらないといけないんですが、どこから起算するかというところが、実務上問題になるケースが多いです。

起算点というのは、報告対象事態、例えばサイバー攻撃によるデータの漏えいのおそれは「知った時」が報告の起算点になると解されております。その「知った」時が誰が知った時なのかというと、法人の場合は「いずれかの部署が知った時」と解されております。経営層に報告した時ではないというのが注意点かなと思います。

速報については、知った時から3～5日以内。確報については30日以内、あるいはサイバー攻撃の場合は60日以内とされております。

サイバー攻撃の場合、60日でも間に合わないケースが非常に多いと思います。そういう場合は合理的努力を尽くした上で、その時わかっていることを言う。一部の事項がわからない時は、あとでわかり次第追完するかたちでもいいとされております。

判断を難しくさせる、攻撃者からの脅し

ランサムウェアの場合、「知った時」とはいつなんだというところが、実務上非常に悩ましいところです。サイバー攻撃によって個人データの漏えい、あるいは漏えいのおそれがあることを知った時というのが一般論としてあるんですけれども、じゃあ具体的にいつなのかというところです。

ランサムウェアに感染した時点、ランサムウェアがどういう種類かわかった時点、ランサムウェアを仕掛けた攻撃グループが誰かわかった時点、ベンダーから調査レポートを受け取った時点、弁護士から法的評価を受けとった時点、リークサイトがあったとして、リークサイトで公開予告があった時点、リークサイトで実際に公開された時点、リークサイトからダウンロードして実際にデータをした時点…。

どの段階で漏えい、あるいは漏えいのおそれなのかというところが、非常に判断しづらいというところがございます。やはりこれは明確な基準はないと言わざるを得なくて、個別にケースに応じて判断するしかないんですけれども、難しさに拍車を掛けているのが、攻撃者がブラフ（脅し）を仕掛けてくる可能性があるところかなと思います。

よく攻撃者が「データを全部取った」と宣言してくるんですけれども、本当に取ったのかはわからない。「データを公開するぞ」という脅しを掛けてきたとしても、本当に公開するのかはわからないというところがあるので、そのへんも踏まえて、漏えいのおそれを知った時はいつなのか具体的に検討した上で判断しないといけない。これが非常に悩ましいところでございます。

「本人への通知」については特に期限はないんですが、通知できる状況になったら速やかにやりましょうねと言われております。

「報告・通知事項」がどれなのか、簡単にまとめたものがこちらの表になっております。ご関心があれば、あとでご参考としてご覧いただければと思います。

情報の共有・公表についてのガイダンスを作成

他に個人情報以外にもこういうものがあるよというところで、参考として貼り付けているのが、「サンバーインシデント発生時の報告制度：サマリー」です。法令に基づいてやらなければいけないこととか、法令上の義務じゃないんだけれども警察に言うかどうかであるとか。

あと、ガイドラインでやったほうがいいよと書いてあることとか、その他任意のものですね。これらにつきましては、今サイバーセキュリティ協議会で「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」を開いております。その第2回で、私が発表した資料に基づいて作ったものになっております。ご関心があればまた後でご覧いただければと思います。

本日は詳しい説明はせずに、つまみ食いだけさせていただきます。

サイバーインシデントが発生した場合、警察に言うべきなのか？

特に契約上の義務や法律の義務はいろいろあるんですけれども、「警察に言ったほうがいいですか？」というご質問をよく受けます。これについても、現状なかなかメリットが見いだせないところが難しいなと思っております。

警察に言ったとしても捜査情報をくれるわけじゃないですし、やはり攻撃してくる人は素性がわからないのが大半なので、犯人を捕まえてくれる可能性が高いわけでもないです。

それを踏まえると、警察に相談する実質的なメリットはあまりないんですけれども、私のほうでよく申し上げているのは、プレスリリースを出す場合については、「警察に相談してます」「委員会にちゃんと相談してます」とちゃんと書けることが、ある意味メリットなのかなと思います。

プレスリリースを出した時に「委員会に報告しましたか？」「警察に相談したんですか？」とよく質問を受けますので、一応それに対してちゃんと答えられるのかなと思います。

その他、インシデントの報告等に関するガイドラインがあることや、任意の報告制度としてこういうものがあるということは参考にしていただければと思います。

公表によるプラスの影響、マイナスの影響

あとはよく「公表したほうがいいんですか？」と質問を受けるんですけれども、ポイントをいくつか挙げさせていただきました。限定された範囲に対して連絡・共有するものと、Webで全世界に公表するものは、分けて考えましょうと申し上げることが多いです。

特に自分が受けた攻撃を他の企業が受けないようにしたいという目的なのであれば、別に公表しなくても専門機関に対して共有さえすれば、その専門機関がわかりやすく咀嚼して対策情報を公表してくれますので、わざわざ「うちが被害を受けました」と公表しなくてもいいんじゃないかなとは思います。

特に2点目の「公表によるプラスの影響、マイナスの影響」を書いておりますけれども、ランサムウェアの場合、怖いのは、言っちゃうと「あの企業、ランサムウェア攻撃を受けたのか」と世界中に知れ渡ってしまうことです。

そうすると、リークサイトに企業の情報が上がっているのか探しに行ってしまう野次馬が増えるというリスクがあります。なのでなかなか大っぴらにするのは難しいケースもございます。

ただ一方で、リークサイトがあるとなると、自分が公表しないうちに第三者が公表しちゃうというケースもあります。そうすると「あの企業、ランサムウェア攻撃受けたくせに隠しているぞ」という、隠蔽しているのではないかという評価を受けてしまうおそれもあります。

そういったことを踏まえると、何らかのかたちで、速報を出したほうがいいケースが多かったりするのかなとは思います。

ただその内容としては、「ランサムウェア攻撃を受けました」とは書かないほうがよくて、よくあるパターンとしては「システム障害が発生しました」とか、「サイバー攻撃を受けました」というかたちで「ランサムウェア」とまでは書かないケースが今は多いのかなと思います。

こちらは参考までに、さきほど紹介した検討会ですね。サイバー攻撃を受けた場合にどういうかたちで情報を共有すべきか・公表すべきかというガイダンスの策定を検討しています。

なぜ紹介するかというと、私がこの検討会の委員として入っているからです(笑）。私を含めて弁護士3名が入っておりまして、今まさにガイダンスの内容を検討しているところでございます。ぜひ成果物について楽しみにしていただくとともに、もしあれば何らかのかたちでご意見をいただければと思います。

情報をどういうかたちで、どのタイミングで、誰と共有するのか検討していくという内容になっております。

攻撃の情報はいろんな人が知りたいというニーズがあったりするので、それに対して「どう応えていくのか、どこにどう情報を共有すればいいかわからない」というお声もよく聞きます。そのあたりに応えていくのが、このガイダンスとして目指しているところです。

サイバー攻撃を受けた際に考えられる「損害賠償」

最後に損害賠償の話をしたいと思います。「考えられる損害賠償」として、被害を受けた企業に対する損害賠償請求は、残念ながらありえます。

ただ、被害を受けたとして情報漏えいが起こったら即座に責任かというと、法的にはそうではありません。あくまでも情報の管理について過失があるかどうか、過失責任というかたちになっております。

ですので、もし個人データが漏れた場合であれば、その本人から「俺の個人データ漏れたんやけどどうしてくれんねん」という慰謝料請求はなされるんですけれども、企業のほうでその情報の管理が甘かったという情報管理の過失がなければ、原則賠償義務は負わないというかたちになっています。

あとは委託元から預かっている情報や取引先のデータが漏れた場合であれば、委託元、取引先から損害賠償請求されることもあります。こちらについては、その取引先が攻撃を受けたことによっていろんな実費が発生して、その実費を請求されるパターンもあります。

あとは逆のパターンとして、取引先がサイバー攻撃を受けて、その時にうちの会社の情報も漏れたというご相談を受けることもあるんですけれども、その際にはこちらも、調査費用や、不正アクセスのために特別に人件費を費やしたりしたのであれば、その費用を請求するというパターンもあります。

セキュリティは現場の問題だけではなく、経営の問題でもある

企業の持っている機密性の高い情報が漏れたパターンの時に、「情報の価値を金銭に算定することができるのかどうか」というご質問をよく受けるんですけれども、これは非常に悩ましいなと思います。

個人情報とかであれば、ある程度(慰謝料の相場から）金額に算定できるんですけれども、例えば企業が持っている設計図であるとか、あと契約として協力している内容とか。それをどうやって金銭に換算して損害賠償請求するのかは、定まった計算式がないんじゃないかなと思います。これはまだまだこれから議論・発展する部分なのかなと思います。

最後に「被害企業に対する損害賠償請求」以外に、被害企業の「役員」に対する損害賠償請求もあり得ます。情報漏えいが発生すると、会社がいろんな損害を負うことになると思うんですけれども、会社が負った損害について役員に責任があるということで、役員に対する損害賠償請求が起こされると。

こちらは一般的に、株主が株主代表訴訟というかたちで役員の責任を追求するパターンが大半ではあります。あまりないと思いますけど、例えば、「(情報管理に関する）規程類をまったく作っていませんでした」とか、「担当の役員もいないし、ぜんぜんセキュリティ対策に予算を費やしていませんでした」となると、ここに書いてあります「内部統制システムの構築をしていなかった」ということで、会社が負った損害を役員が肩代わりしないといけないケースもございます。

セキュリティについては現場の問題だけではなくて、経営の問題でもあると強く意識しないといけないというのが、これからの在り方なのかなと思います。

最後駆け足になってしまいましたけれども、私からの話は以上となります。ご清聴ありがとうございました。