1 ビジネス環境の変化とサイバーリスク増大
近時、いくつかのビジネス環境の変化により、企業が、事業に用いるITシステムや電子データに関し、サイバー攻撃や情報漏えい等により損害・損失を被るリスク、すなわち、「サイバーリスク」が増大しています。
その環境変化としては、第1に、企業活動におけるIT利用の一層の拡大・高度化を指摘できます。
現在、インターネットを介して顧客にITを活用したサービスを提供するIT企業や金融企業はもとより、メーカー等の企業も、そのビジネスにITシステムや技術・顧客情報に関する電子データを広く活用しており、ITシステムや情報財の重要性が一層髙まっています。その上、2020年以降、新型コロナウィルス感染拡大防止の観点からリモートワークの導入を進めるため、多くの企業は、ITネットワークを活用して多拠点から企業データにアクセスして業務を行うという、企業経営のネットワーク化を急速に進展させました。その結果、拡大した企業のITネットワークに対するサイバー攻撃リスク、情報漏えいリスクとその重要性が高まる結果となっています。
第2に、企業に対するサイバー攻撃の活発化を指摘できます。
とりわけ、ここ数年、米国を中心として、企業に対するランサムウェアによる身代金要求事例が増加し、要求金額も高額化して、企業に大きな被害を生じさせています。日本国内においても昨年来ランサムウェアのためにも用いられるマルウェアであるEmotet(エモテット)が流行し、実際の被害事例も数多く発生するなど、サイバー攻撃が活発化している状況にあります。
第3に、各国における個人情報保護法制の強化の動きがあります。
2018年5月のEUにおけるGDPR(General Data Protection Regulation)の施行、2020年1月の米国カリフォルニア州のCCPA(California Consumer Privacy Act)の施行に続き、2022年4月には日本でも改正個人情報保護法が施行されました。この改正により、個人情報取扱事業者は、①要配慮個人情報、②不正に利用されることにより財産的被害が生じるおそれがある個人データ、③不正の目的をもって行われたおそれがある個人データ、④1,000人を超える個人の個人データの漏えい等が発生し、または発生したおそれがある事態が生じた場合、個人情報保護委員会に報告するとともに、一定の場合に、本人に通知しなければならないこととされた(個人情報保護法26条、同法施行規則7条)。これにより、企業が個人情報の漏えいを生じさせた場合に損害・損失を被る可能性が髙まっています。このようなビジネス環境の変化により、企業のサイバーリスクの発生頻度が増大し、発生した場合の被害金額も高額化するなど、サイバーリスクが増大している状況にあります。
2 サイバーリスクの内容
具体的なサイバーリスクを分類すると、大きく、❶組織外部からのサイバー攻撃、❷組織内部からの情報漏えい、❸サイバー攻撃によらないシステム障害に分けることができます。たとえば、独立行政法人情報処理推進機構「情報セキュリティ10大脅威2022」において、組織向け脅威上位10位に指定された具体的なセキュリティ脅威をこの分類に従って分類すると、以下のとおりとなります。
❶組織外部からのサイバー攻撃
・ランサムウェアによる被害(1位)
・標的型攻撃による機密情報の窃取(2位)
・サプライチェーンの弱点を悪用した攻撃(3位)
・テレワーク等のニューノーマルな働き方を狙った攻撃(4位)
・脆弱性対策情報の公開に伴う悪用増加(6位)
・修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(7位)
・ビジネスメール詐欺による金銭被害(8位)
❷組織内部からの情報漏えい
・内部不正による情報漏えい(5位)
・不注意による情報漏えい等の被害(10位)
❸サイバー攻撃によらないシステム障害
・予期せぬFT基盤の障害に伴う業務停止(9位)
これらのサイバーリスクは、企業に、対応・復旧費用や身代金や詐取金等の直接的な被害のみならず、情報漏えい等による損害賠償金やレピュテーション被害、さらには、システム停止による利益喪失まで多額の被害を生じさせる可能性があります。
3 企業におけるサイバーリスクへの対応の概要
そこで企業には、内部統制システム構築義務の一環として、サイバーリスクに適切に対処し、被害を防止するセキュリティ体制を構築することが求められます。この点、サイバーセキュリティ戦略本部「重要インフラのサイバーセキュリティに係る行動計画」(2022年6月17日)も、「経営層の内部統制システム構築義務には、適切なサイバーセキュリティを講じる義務が含まれ得る」とし、「組織の意思決定機関が決定したサイバーセキュリティ体制が、当該組織の規模や業務内容に鑑みて適切でなかったため、組織が保有する情報が漏えい、改ざん又は滅失(消失)若しくは毀損(破壊)されたことにより会社に損害が生じた場合、体制の決定に関与した経営層は、組織に対して、任務懈怠(けたい)に基づく損害賠償責任を問われ得る」と述べているところです。
具体的なセキュリティ対策の内容については、経済産業省、独立行政法人情報処理推進機構が公表している「サイバーセキュリティ経営ガイドラインVer2.0」(2017年11月16日)が参考になります。同ガイドラインは、企業の経営者を対象として、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある「3原則」および経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめたものです。この「重要10項目」は、概要、サイバーリスクの発生を未然に防止するために、リスクの認識、組織全体での対応方針の策定、管理体制の構築、資源(予算、人材等)の確保等を行うとともに(指示1~指示6)、インシデント発生時の緊急対応体制の整備、復旧体制の整備を行うこと(指示7および指示8)、さらには、サプライチェーン全体のセキュリティ対策を推進すること(指示9)と、関係者とサイバーセキュリティに関するコミュニケーションを推進すること(指示10)からなります。各企業は、このガイドライン等も踏まえて、サイバーリスクに対応する体制構築を行うことが必要となります。
4 詳しくは…
ITチームでは、本年11月1日16時から「企業におけるサイバーリスクの増大とサイバーセキュリティ体制の構築」(仮)と題して、セミナーを開催します。事務所HPの申込みページから、是非お申込みください。
このほか、サイバーリスクへの対策の一環として、サイバー保険の導入をお考えの企業におかれましては、拙著「企業におけるサイバーリスクの増大とサイバー保険の活用」(NBL1223(2022.8.1)号)もご参考にして頂けますと幸甚です。
(文責:弁護士 近内京太)