サイバー攻撃を受けた企業の悩み
蔦大輔氏:こんにちは、弁護士の蔦と申します。本日は「『サイバー攻撃被害に係る情報の共有・公表ガイダンス』から見るインシデント発生時の情報開示・公表の諸問題について」というテーマで、お話をさせていただきます。
まずはこの「サイバー攻撃被害に係る情報の共有・公表ガイダンス」とは、そもそも何だというところから簡単にご紹介します。
私は実務上、サイバー攻撃を受けたり、不正アクセスを受けた方から「情報を公表したほうがいいですか」や、あるいは公表するとして「いつ、どんな内容で公表したらいいですか」というご相談をたくさん受けます。
このあたりは正解がないことから、どうしたらいいかを迷われる方が多いのかなと思います。(スライドに)サイバー攻撃の事例をいくつか出しています。
例えば、日本に本社を置く企業の海外子会社がランサムウェア攻撃を受けたが、日本への影響がわからないという時。この段階で何か情報を出したほうがいいかは、非常に悩ましいところがあると思います。
あるいは調査の結果、ネットワーク経由で日本のデータも窃取された可能性があることがわかった場合や、リークサイトに企業の名前が載った場合、さらに、自分ではまだ把握していなかったけど第三者から「リークサイトにあなたの会社の名前が載っていますよ」と情報提供を受けた場合。
または、リークサイトに企業の名前だけではなく「こういうデータを取りました」と実際のデータが小出しにされているケースや、全データが公開されたり、マスコミから「あの企業がサイバー攻撃を受けた可能性がある」といった記事が出た場合など。
公表に関する5つのトピック
いろんなケースが起こり得るわけですが、その場合に何を公表したらいいかはかなり悩ましい課題です。今まではその際のガイドライン的なものがあまりなかったのですが、2022年4月にサイバーセキュリティ協議会運営委員会の下に検討会が立ち上がり、1年弱の検討を経て2023年の3月に公表されたのが、この「サイバー攻撃被害に係る情報の共有・公表ガイダンス」です。
(スライドの)左の青字が主な観点です。「どんな情報を」と「どんなタイミングで」と「どういう主体と」についてのガイダンスになります。
ちなみに、「共有」と「公表」はちょっと違います。共有は限られた範囲への情報共有なので、「誰に対して共有するのか」が問題になります。公表は全世界に向けての公表ですので、「誰に対して」はあまり問題になりません。
このガイダンスは今年の3月に公表されて、私も検討会の委員の1人としてガイダンスの作成に関与しましたが、当初は情報の共有をどう行うかについてかなり重点を置いて議論されました。
しかし、実務上は「どうやって公表したらいいのか」がわからないとおっしゃる方が多かったこともあって、公表に関する議論も委員の間でかなり熱く行われたという経緯があります。
ガイダンスの中身はQ&A方式になっていますが、公表に関するトピックもいくつかあります。スライドの上部の「Q14.公表の目的は何ですか?」「Q15.公表のタイミングはどのようなものがありますか?」「Q16.公表の内容としてはどのようなものがありますか?」「Q17.公表する際の留意点はありますか?」などですね。
なお、公表する際のリスクとして把握しないといけないのが、自分がまだ積極的に公表していない段階でも、リークサイトやサーチサイトを通じて、第三者に「あの企業が攻撃を受けているらしい」とわかってしまうケースです。
そういったことへの配慮も加味して、「Q21.公表していないのに自組織の被害が知られて公開されてしまうのはなぜですか?」という質問も置かれています。公表に関する主なトピックは、だいたいこの5つを見ておくといいかなと思います。
自社のサイバー攻撃被害を公表する4つの理由
では、順を追ってそれぞれのQについて解説したいと思います。Q14は被害公表の「目的」ですね。
何のために公表するのかという目的を定めることで、「どういうタイミングで」「どういう内容で」「どういう方法か」が決まります。
ガイダンスで掲げた目的としては、例えば一番左上の「法令やガイドラインで公表が求められるもの」は、法令は守らないと違法になりますので、これは強制的に公表することになります。
ガイドラインの場合は強制ではないことも多いですが、公表が推奨されるケースが多々あり、それに基づいて公表することも多くあります。
2つ目は右上の「注意喚起の目的で行うもの」。サイバー攻撃を受けた時に、ひょっとしたら同じ業界や、同じような規模の会社が似たような攻撃を受けるかもしれない。それを防ぐための注意喚起の目的で公表するケースです。
そういった公表が多いと、世間も「この攻撃がすごく流行っている」と認識しやすくなります。ただスライドのように、自分で公表をしなくても間に挟んだセキュリティ専門機関が注意喚起を出すパターンも多く見られます。
3つ目は左下の「発生事象に対する対外説明として行うもの」。今はSNSを使う方が非常に多く、ランサムウェアに感染した場合は攻撃者がリークサイトで公開することもあって、公表する前に攻撃されたことを知られているケースも残念ながら多くあります。私もそういった相談を多く受けます。
そういう場合は、放っておくと「あの企業は攻撃を受けたのに何もアクションしない。隠しているんじゃないか」といった要らない誤解を招くこともあります。そういった誤解を解くために、先手を打って積極的に公表をするパターンもあります。
4つ目は右下の「広報あるいはリーガルリスク対応として行うもの」。これは3つ目に近いですが、すでに第三者によって攻撃されたことが公開されている時に放っておくと、会社のレピュテーションの毀損がかなり大きくなります。その対応として公表する。
あるいは、いろんな場所に問い合わせが来ると、その回答をするだけでも大変ですし、時には同じ回答ができないケースも出てきますので、公表することで問い合わせ窓口を統一し、画一的な回答ができるようにする。
こういったことが公表の目的として、Q14に書いてあります。
公表のタイミングと内容
Q15は公表の「タイミング」についてです。
我々弁護士もよく質問を受けるところですが、「1回だけ公表してそれでおしまい」というパターンは、最近はけっこう減っていると思います。
よくあるのは、攻撃を受けた時に第1報として「詳細は調査中だけど、どうやらサイバー攻撃を受けたらしい」ということをまず公表する。そして、ある程度調査を進めて見込みがついた段階で、第2報、第3報と複数回の公表をするパターンがけっこうあります。
ランサムウェア攻撃の場合、どの範囲のデータが影響を受けたかや、どこまでが被害範囲かなどがなかなかわかりづらく、初期段階で詳細な情報を出せないケースも多いです。調査をする中でわかってくることが増えて、出せる情報も増えるので、そのタイミングで順次公表するパターンも多いです。
そういった公表のタイミングについては、Q15を参照いただくのがいいかと思います。
Q16は、公表する「内容」です。
調査が進行中の場合の公表事項と、調査がおおむね終わったあとの公表事項に分けて書いてあります。
調査が進行中の場合は、上半分に書いてありますが、例えばサイバー攻撃の種類や概要、侵害されたシステムや範囲。そして侵害の原因、サイバー攻撃の発生日時や侵害期間、影響範囲や影響の内容、初動対応。
さらに、専門組織への相談の有無や所管省庁への報告状況。影響を受ける者や組織、二次被害に関する相談先などが例として挙げられています。
特に、専門組織への相談や所管省庁への報告の有無について書く方はけっこう多いと思います。例えば個人データが漏洩したのであれば、「個人情報保護委員会についてはすでに報告済みです」と書くなど。
あとは不正アクセスやランサムウェア攻撃を受けた場合であれば、サイバー犯罪の被害者になりますので「警察に相談済みです」と書くケースも多いと思います。
(スライド下部の)調査終了後に公表する内容としては、侵害の原因や攻撃の経緯、影響範囲、対応の経緯、そして大切なのが再発防止策ですね。やはり関係者は、被害企業に対して「同じ攻撃を受けてほしくない」という強い意思を持っています。
「再発防止策としてこういうことをやっていきますので、もう同じ攻撃は受けません」と、しっかりと外に発信していくことが必要です。
サイバー攻撃被害を公表する際の留意点
被害公表の留意点やリスクについては、Q17やQ21を参照いただくのがいいと思います。
(スライドの)1つ目のように関係者が非常に多い場合は、自分だけで公表の是非や時期を決められないケースも多くあります。
例えば法人向けのプラットフォームを提供している企業さんであれば、提供先が大きい企業であるパターンもあります。パワーバランスによって、提供先から「公表してくれるな」と言われて、なかなか公表できないケースもあります。
またECサイトが不正アクセスを受けてクレジットカードなどの情報が流出した場合には、クレジットカード会社との関係でいろいろと縛りがかかるケースも多くあります。
2つ目に「こまめに公表すればするだけ良いというものではない」とあります。もちろんこまめに情報を発信すると、見るほうからすれば役に立つ情報が順次出てきて安心できる側面があります。
でも何度も情報発信をしているけど、マイナーチェンジしているぐらいであまり新しい情報がない場合は、「何のために出しているの?」と疑問を持たれてしまうこともあります。そういったところにも注意しながら情報発信をしていかないといけません。
3つ目に「詳細な情報公開によるセキュリティリスク、あるいは間違ったことを発信してしまうリスク」とあります。詳細なことを書けるなら書いたほうが望ましいというのはあります。
しかし、具体的に「こういうツールを使っています」と詳しく言ってしまうと、「そこが弱点になっているんじゃないか」と逆にわかってしまうこともある。また詳細に書くと、その中に細かい間違いが含まれるリスクも増えます。その時にいちいち訂正するのはなかなか悩ましいところです。
「セキュリティ上の理由で公表できません」が使えないケース
直近の事案では、「セキュリティ上の理由で公表できません」と答えたケースがあり、この対応が本当にいいのかが問われています。使いやすいので、「セキュリティ上の理由で詳細は言えません」とよく言いますが、これがいつでも通用するわけではないという点については注意が必要です。
とあるセキュリティ機関のメールが漏洩した恐れがあるという事案が最近起こりました。どういった脆弱性が狙われたかについてその機関は一切公表しませんでしたが、「あの機器の、あの脆弱性だな」とセキュリティ界隈の人はみんなわかっている、ということがありました。
率先して情報公開を進めないといけないはずの政府機関がぜんぜん情報を出さなかったことはなかなかの問題だなと思いますが、いつでもどこでも「セキュリティ上の理由で」が使えないケースもあります。使うと、逆に「なんでやねん」と突っ込まれるケースもあることに注意が必要だと思います。
4つ目は「自社公表以外の理由による発覚のレピュテーションリスク」と書いています。外から見て明らかにわかるWeb改ざんや、攻撃者自身が公表するケースもあります。
そういった場合、自分が公表する前にマスコミなどに知られて報道されて、「何か隠しているんじゃないか」とレピュテーション毀損の恐れがありますので、公表をどれだけ先んじて行っていくかも含めて、検討する必要があります。
サイバーセキュリティに関する法令の多さ
ここからは、サイバーセキュリティ関係の開示を巡る最新の動向についてお話しします。サイバーセキュリティの関係法令を簡単にまとめたのがこちらの表です。
本日は赤字で書いた金商法と呼ばれる金融商品取引法や、個情法と呼ばれる個人情報保護法を中心的に取り上げます。
サイバーセキュリティ関係法令と一口に言っても、いろんな法律があります。理念などを示したサイバーセキュリティ基本法というものがありますが、これはあくまで基本法に過ぎません。
「サイバーセキュリティとは何か」という定義や、日本はどういう理念でサイバーセキュリティ政策を行っていくのかといったところを書いた法律で、企業に対してサイバーセキュリティ対策に関する義務を課す法律ではありません。
体制整備という側面では、これからお話しする金商法以外にも、例えば会社法なども重要です。いわゆる内部統制システムですね。「ちゃんとサイバーセキュリティに関するリスク管理体制を会社として整えましょう」という義務が、この中にあると解されています。
最近注目が集まっているのがサプライチェーン関係です。自社はちゃんと対策をしているけど、取引先や委託先……。特に委託先は、再委託先、再々委託先とどんどん続きます。そこまで同じセキュリティ対策がきちんとできていないことも多く、「委託先がやられた」というケースはたくさんあります。
冒頭にありましたが、委託先以外でも海外の子会社が攻撃を受けるケースもあります。そういったサプライチェーンや会社のグループ全体を見ながらサイバーセキュリティ対策を整えないといけませんし、情報開示を行う際もどこがやられたのかを気にしながら開示の是非を検討しないといけません。
ほかにも、最近では経済安全保障の側面も重要です。特に経済安全保障推進法は4つの施策が目玉としてあり、その1つが「基幹インフラをどう守るか」という基幹インフラの保護で、この制度がおそらく2024年の春ぐらいに本格的に動き出します。
重要なインフラを攻撃されると危ないので、しっかり守ろうということですね。ただ、インフラ事業者本体だけであれば数が限られますが、そのインフラ事業者にシステムを供給している場合や、「システムの運用保守をやってます」という場合。運用保守の委託先や再委託先……という話になると、先ほどのサプライチェーンと同じ話になります。
基幹インフラのシステムを1つの中心に据えた上で、それに携わるサプライチェーンのみなさんが関係する法律なので、そこにも注意が必要です。
平時と有事におけるサイバーセキュリティと情報開示
こういったサイバーセキュリティに関する法令がたくさんあるという前提で、今日はこの中の開示に関するものを取り上げたいと思います。
こちらは宣伝ですが、「サイバーセキュリティ関係法令Q&Aハンドブック」のバージョン2.0が、2023年の9月25日に公開されました。
バージョン1は2020年3月に出たので、約3年ぶりの更新です。その中で、今日お話しする情報開示や当局への対応について触れていますので、ご関心あればご覧いただければと思います。
このハンドブックのドラフトは、私が所属する森・濱田松本法律事務所が事務局を務めた検討会で作っていますので、読んで感想などをいただけると非常にうれしく思います。
スライドは、平時・有事における公表・開示についてです。
ふだん行っている対策を開示する側面と、インシデントが起きた際の被害に関する情報を開示する側面がありますので、その2つに分けています。
上の平時の対応では、組織のセキュリティ対策やリスク管理体制、ガバナンスなどを開示・公表します。個人情報保護法では、これに似た義務として、個人データの安全管理措置義務と、保有個人データについて講じている安全管理措置を公表等しないといけないという義務があります。
あえて公表「等」と言いましたが、別に公表が義務ではなく、厳密に言うと「本人が知り得る状態に置くことができれば良い」となっていて、その選択肢の1つが公表になります。「本人から聞かれた場合に答える」ということでも良いとなっていますので、公表「等」とお伝えしました。
これもある意味で、セキュリティの開示義務と言えると思います。厳密には開示しなくても良いとなっていますが、「聞かれたら答える」は少なくともしないといけない義務になります。
法整備でわかるサイバーセキュリティへの関心の高まり
次に金融商品取引法の観点ですが、最近ちょこちょこと細かい改正が行われていますので、2つご紹介します。1つが、(上場会社や一部の非上場会社は)有価証券報告書を定期的に出さないといけませんが、その際にサステナビリティ情報を開示しないといけないという改正が2023年度から始まっています。
サステナビリティ情報にはいろいろなものが入りますが、金融庁はその中に「サイバーセキュリティやデータセキュリティ等が含まれうる」と書いています。もしかすると今後、これに基づいて有価証券報告書にサイバーセキュリティ関係でどういう対策をしているかを書かないといけないということになるかもしれません。
現状は義務ではなく、必要に応じてやりましょうということになっています。「必ずサイバーセキュリティのことを書きなさい」となっているわけではありません。
2つ目は内部統制報告制度、いわゆるJ-SOX法と呼ばれているものです。こちらも最近改定され、根本から大きく変わったわけではなく細かい改正ですが、2024年ぐらいからスタートします。
「サイバーリスクの高まりを踏まえて、セキュリティ確保をちゃんとやりましょう」というところがより強調されていますので、サイバーセキュリティ関係に注目が集まる傾向があると少なくとも言えると思います。
本人通知ができない場合に発生する、代替措置を講じる義務
スライド下半分の有事対応も、個人情報保護法がけっこう関わってきます。2020年の改正で新しく入り、2022年4月から施行されていますが、「個人データが漏洩した場合は委員会に報告し、本人に通知しないといけない」という義務が入りました。
公表自体はあくまで「望ましい措置」とガイドラインに書かれており、義務ではないというのが前提としてあります。ただ本人通知義務との関係で、注意をしないといけないところがあります。
個人データを漏洩された方への本人通知は、メールや手紙、電話などの手段で通知していくことになりますが、全部ができない場合もけっこうあります。メールを送っても返ってきて、電話もつながらず、手紙も返ってくるというケースですね。この時は本人通知が困難ということになりますので、代替措置を講じることが義務として定められています。
その代替措置の一例が「公表」になります。ユーザーをたくさん抱えるサービスであればあるほど、全員にきめ細やかに通知を送れないケースが当然出てきます。そういった場合は代替措置として公表しないといけない可能性が出てくるということです。
もう1点が有価証券上場規程です。これはセキュリティに注目した要件にはなっていませんが、投資判断に著しい影響を及ぼすようなインシデントが起きた場合は、適時開示しましょうというルールが定められています。「公表しないといけない」ということです。
いわゆるバスケット条項になっていて、その中の1つにサイバーセキュリティ関係のインシデントが含まれるという解釈です。
日本にも影響を与える可能性のあるアメリカの開示ルール
関連して注目しておきたい制度として、(スライドの)米国の制度があります。
米国証券取引委員会、SECと呼ばれるところが、2023年7月に開示に関するルールを定めました。
主な内容は2つあり、1つがサイバーセキュリティ体制に関する定期的な開示義務で、サイバーセキュリティに関するリスク管理・戦略・ガバナンスを開示しないといけないと定めています。
もう1つが、インシデントが起こった場合に「そのインシデントが重大であると判断してから、4営業日以内に提出しましょう」という義務です。「4営業日以内」と聞くと警戒しますが、あくまでインシデントが発生したら重大性を遅滞なく判断して、重大と判断したら、その判断から4営業日以内に開示しましょうというルールです。
(1)が平時の開示、(2)が有事の開示と言えるかと思いますが、これが2023年7月に正式にルールとして採択されています。ルールの案自体は2022年の春からありましたが、パブリックコメントを募集するなどをしてけっこう時間がかかり、最近ようやく開始されたかたちになります。
これは米国の制度で、今すぐこれが日本で適用されるわけではありませんが、日本はアメリカの制度を参考にして制度を作る側面が多くあります。アメリカでこういう制度ができたということは、これを機に日本でも同じような開示に関するルールが検討され始めてもおかしくないと思います。
こういった海外の動向が日本にどう影響を及ぼすかは、今後も注目が必要かなと思っている次第です。ということで、私のお話は以上になります。ご清聴ありがとうございました。
