移りゆくセキュリティリスクのトレンド あらゆる法分野で重なる課題
青木氏 “情報・サイバーセキュリティ(以下「CS」)上のリスク”と言えば情報漏洩など限られた話題であったのは過去の話で、いまや、会社の事業全体、業態・規模によっては社会システムに広く損害・影響を与えうるリスクとして向き合わねばなりません。当社の物流事業を例にとっても、仮に当社の荷主と運送業者の運送マッチングシステムが攻撃されて停止した場合、単に荷物が配送できなくなるだけではなく、荷物が届かないことで配送先での業務や営業を止めてしまうことになり、損害賠償責任に発展するおそれがあり、契約上の手当が重要となります。
青木 聡士 氏
山岡弁護士 有名なセキュリティ事件である通信教育大手の顧客個人情報流出(2014年)問題では、流出時点で会社と契約関係のない被害者との紛争は不法行為責任が問題となりました。一方、取引先との間では契約関係があるため、不可抗力条項や賠償制限条項により制御すべきリスクとして一定程度は対処可能です。
青木氏 多くの会社では、IT面の技術対応を担当部門に一任するのも実情と思います。一方、コロナ禍でのリモートワークの普及など外部アクセスが恒常化した現在、CS対策は、“ゼロトラスト”(情報資産にアクセスする者全員を信用せず安全性を検証する)の考え方のもと、SASE(ネットワーク機能とセキュリティ機能の一体化)を基本方針としながら、全社レベルでの認識・対応が欠かせません。また、“アクセス記録等の取得・監視と通信のプライバシー保護の均衡を図る”といった現場の実務面でも、法務は積極的に関与する必要があると考えます。
山岡弁護士 CSリスク対応が法務と強く関係するその他の場面としては、“M&A時の買収先DD”が挙げられます。買収後に発覚した買収先システムへの不正アクセスに起因する顧客情報の大量漏洩により買収者(外資系ホテルチェーン)に巨額の制裁金が課された米国の事例が知られています。また、独禁法も問題となります。すなわち、大手自動車メーカーの取引先を狙ったランサムウェア攻撃の事例で明らかとなったとおり、サプライチェーン各社にCS対策を要請する必要性が高まっていますが、その場合、“優越的地位の濫用”に該当しないかの注意が必要です。目線を社内に移すと、CS対策はIT部門による技術的措置や上記のような法務的対応にとどまらず、総務におけるCS保険加入から事故発生時の広報・IR対応に至るまで、会社一丸となって取り組むべきリスクといえます。
法務からITに歩み寄り他部門との連携により実効性のあるセキュリティ対策を実装
山岡弁護士 私の経験上、IT担当が新たに法律知識を学ぶより、法務がIT知識を習得する方が、CS対策を進めるうえでよりスムーズなのではないかと感じています。法務は元来、時代の要請や事業特性に従って、労務、M&A、個人情報など必要な法分野を逐次学習することが求められるため、新たな知見の吸収に柔軟だからです。法務とIT部門の協同が功を奏する事例として、企業情報の持ち出し対策があります。CSリスクは、内部者不正が中心だった初期から、20年代前半は外部からの不正アクセスが話題となり、最近は再び内部犯行に注目が集まっています。その背景事情として検挙率の向上があると考えます。すなわち、多くの企業はCS対策を強化しました。その強化の結果、ネットワーク内部での不審な挙動を検知できるしくみとなっています。そのしくみに内部不正が引っかかるというものです。近時の裁判例では、退職する従業員による企業情報の外部クラウドへの違法アップロードを即日検知し、回収から行為者に対する人事措置までの手続を適切に行っていました。この事案は、IT部門・法務・人事による連携の成功事例といえます。また、不正抑止の観点からは、アラート機能を含む検知機能の存在を役職員研修で周知することも有用です。
青木氏 対象者に“手の内”をどこまで明かすかの見極めも慎重を期すべきところですね。チェックの手法や不正検知の手口を明かせば、かいくぐろうとする行為者を生む危険も高まります。本気でやろうとする人は、アラートが出ても実行するので、情報が外部に出ていかない措置を講じることも必要になってきます。逆に過度の監視は、勤務者のプライバシーや就労意欲の阻害要因になり得ます。
山岡弁護士 そういったさじ加減においても、法務は、CS専門の弁護士を選定・委任するだけでなく、彼らとCS部門との連携を図るため、両者の間に立って自社の業態・風土に落とし込んだ橋渡し役を担う、サッカーのボランチ的なポジションを期待されていますよね。
山岡 裕明 弁護士
法務×セキュリティで目指す CISOという新たなキャリアと活躍の幅
青木氏 たとえば、自社の厳格なセキュリティ・ポリシーと取引先のセキュリティ水準が適合しない際の折衷案として、特定の外部ドメインからのアクセスを許可する場合の手続など、技術的な工程を把握・理解しておくことは、事故対応にとどまらず、法務が今後とるべき姿勢として絶対に必要だと思います。
山岡弁護士 法務としてCSを学ぶことで実務上の取組みは格段に変わります。また、技術が理解できるということでIT部門との連携も円滑になります。法務がCSを学ぶための導入教材としては、国家資格である情報処理技術者試験、その中でも情報セキュリティマネジメント試験や情報処理安全確保支援士試験の勉強をお勧めしています。
青木氏 CSリスクは、主体的に関心をもたないと他人事になりがちですよね。幸い、私は抜本的な社内システム変更プロジェクトに携わった経験が活きており、個人的にも“自宅にある自分の大切な情報資産(写真、プライバシー情報等)をどう守るか”と課題を設定し、VPN構築からNAS導入、PCの自作まで、趣味の範疇で取り組むことで視野がさらに広がったと思います(笑)。
山岡弁護士 CS担当が聞いたら感激しそうなコメントです(笑)。法務のキャリア目標としてはCLO、CROが著名ですが、ニューヨーク州の金融機関や韓国の電気通信事業者では既に設置が義務づけられているCISO(最高情報セキュリティ責任者)のニーズも急速に増加すると見込んでいます。“法務×IT”という複合キャリアが、法務パーソンが目指す新たな選択肢となるのが期待されますね。
山岡 裕明
弁護士
Hiroaki Yamaoka
21年University of California, Berkeley, School of Information修了(Master of Information and Cybersecurity)。19~20年・21~22年内閣サイバーセキュリティセンタータスクフォース構成員。22年「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」検討委員。24年情報セキュリティ文化賞受賞。第一東京弁護士会所属。
青木 聡士
ハコベル株式会社 人事総務部 総務法務グループマネージャー
Satoshi Aoki
立教大学法科大学院卒業後、AZX総合法律事務所にてパラリーガルとして2年間従事。その後、株式会社クレディセゾン、株式会社ココナラ、株式会社TimeTreeの法務を担当。企業法務全般を担当し、法務DX(AI契約書審査サービスや電子契約等)を積極的に行う。CLMの構築に取り組み、法務業務の効率化・可視化を行う。24年3月~現職。