対策は、“ゼロトラスト”(情報資産にアクセスする者全員を信用せず安全性を検証する)の考え方のもと、SASE(ネットワーク機能とセキュリティ機能の一体化)を基本方針としながら、全社レベルでの認識・対応が欠かせません。また、“アクセス記録等の取得・監視と通信のプライバシー保護の均衡を図る”といった現場の実務面でも、法務は積極的に関与する必要があると考えます。山岡弁護士 CSリスク対応が法務と強く関係するその他の場面としては、“M&A時の買収先DD”が挙げられます。買収後に発覚した買収先システムへの不正アクセスに起因する顧客情報の大量漏洩により買収者(外資系ホテルチェーン)に巨額の制裁金が課された米国の事例が知られています。また、独禁法も問題となります。すなわち、大手自動車メーカーの取引先を狙ったランサムウェア攻撃の事例で明らかとなったとおり、サプライチェーン各社にCS対策を要請する必要性が高まっていますが、その場合、“優越的地位の濫用”に該当しないかの注意が必要です。目線を社内に移すと、CS対策はIT部門による技術的措置や上記のような法務的対応にとどまらず、総務におけるCS保険加入から事故発生時の広報・IR対応に至るまで、会社一丸となって取り組むべきリスクといえます。30移りゆくセキュリティリスクのトレンドあらゆる法分野で重なる課題青木氏 “情報・サイバーセキュリティ(以下「CS」)上のリスク”と言えば情報漏洩など限られた話題であったのは過去の話で、いまや、会社の事業全体、業態・規模によっては社会システムに広く損害・影響を与えうるリスクとして向き合わねばなりません。当社の物流事業を例にとっても、仮に当社の荷主と運送業者の運送マッチングシステムが攻撃されて停止した場合、単に荷物が配送できなくなるだけではなく、荷物が届かないことで配送先での業務や営業を止めてしまうことになり、損害賠償責任に発展するおそれがあり、契約上の手当てが重要となります。山岡弁護士 有名なセキュリティ事件である通信教育大手の顧客個人情報流出(2014年)問題では、流出時点で会社と契約関係のない被害者との紛争は不法行為責任が問題となりました。一方、取引先との間では契約関係があるため、不可抗力条項や賠償制限条項により制御すべきリスクとして一定程度は対処可能です。青木氏 多くの会社では、IT面の技術対応を担当部門に一任するのが実情かと思います。一方、コロナ禍でのリモートワークの普及など外部アクセスが恒常化した現在、CS情報セキュリティ対談ハコベル株式会社青木聡士サイバーセキュリティにおける法務の役割他部門連携やリスク対応の先に見える、法務の新キャリアパス八雲法律事務所山岡裕明
元のページ ../index.html#34