ナレッジ

情報漏えいという新たな脅威

リスク最小化のための3つの視点

昨今、サイバー攻撃などによって個人情報や機密情報が外部に漏えいする事件が多発しています。この際、どのような対処が企業に求められるのか、対応するうえでのポイントは何かなどについて、DT弁護士法人の弁護士である内藤裕史、デロイト トーマツ サイバーの井上健一、そしてデロイト トーマツ ファイナンシャルアドバイザリーの清水亮に鼎談の模様を語ってもらいました。

※このページは、デロイト トーマツ グループ クライシスマネジメントメールマガジンで過去配信された鼎談記事を再構成し掲載しています。

 

I. インシデント対応の成否を左右する責任者の存在

――昨今、情報が漏えいしてしまうパターンとして多いのはどういったものなのでしょうか。

井上:最近目立っているのはランサムウェア(※)です。特に昨今は、新型コロナウイルスの影響からリモートワークで作業するケースが増えていると思います。その環境に脆弱なポイントがあると、そこから内部に侵入されてしまい、ランサムウェアを仕掛けられるといったことがあります。

ただ最近ではランサムウェアを仕掛けても、被害者である企業側が支払わないケースが少なくありません。そこで単にファイルを暗号化するだけではなく、あらかじめデータを盗み出して「支払わない場合は情報をリークするぞ」と恐喝する、二重恐喝型ランサムウェアの被害が目立ち始めています。

もう1つのパターンは取引先や海外拠点に侵入し、そこを踏み台として日本の本社を狙うサイバー攻撃です。おそらく、本社側はセキュリティが強固で侵入しづらいことから、対策が不十分な取引先や海外拠点をまず狙い、そこから企業ネットワークに侵入するという流れではないかと考えています。

――実際にインシデントが発生した企業から支援を求められたとき、デロイト トーマツではまずどういった対応を行うのでしょうか。

井上:最初に行うのはインシデント内容の確認です。情報が漏えいした企業側で把握している範囲内で、いつ、どこで、どういった事象が発生したのか、顕在化している問題は何かなどといったことを確認することから始めます。この際、企業側にCSIRT(Computer Security Incident Response Team)などの組織がある場合は、そちらと連携しつつ対応を進めていきます。

実際にインシデントが発生したとき、ぜひ注意して行っていただきたいのは証拠の確保です。最初は本当にインシデントかどうかの判断が付かないため、社内で様々な調査をされると思います。そこでサイバー攻撃の可能性が高いということが分かれば、証拠となるデータをきちんと確保することを意識する必要があります。もし証拠がなければ、調査を行う際に被害の範囲や攻撃の手口を明らかにすることが難しくなる、あるいはできなくなる可能性があるためです。被害の範囲が明らかにならないと被害者への対応を含めたステークホルダー対応が困難になります。また、攻撃の手口が明らかにならないと再発防止が充分に行えなくなります。

清水:多くの場合、最初期の段階では情報が漏えいしているかどうかの判断はできないと思います。具体的なインシデントの内容を見極めることも困難でしょう。そのため、IT部門だけで調査を行うケースが多いのですが、早めに会社としての体制を作ることが重要です。特に漏えいしたのが個人情報であったり、あるいは機密情報であったりした場合、IT部門だけでは適切に判断・対処することができず、その後の対応に遅れが出る可能性があるためです。

内藤:インシデントの内容によっても異なりますが、実際に情報漏えいが発生すると多くの場合は様々な部門が絡むことになります。この時、それをまとめていく責任者は誰なのかが明確でないと、その後の対応に混乱を来すことになりかねません。そのため、誰が責任者としてコントロールするのかを決定することは重要です。

実際にどういった役職の方が責任者を務めるのかは、漏えいした情報の内容によっても異なります。ただ、そもそも漏えい事故が発覚した時点ではどういった情報が外部に流出したのか、本当に漏洩したのかを判断することは困難です。そのため、CLO(Chief Legal Officer)やCCO(Chief Compliance Officer)、あるいは経営企画部門のトップなど、全社のビジネスラインを横断的にコントロールできる方が主導するべきではないかと思います。

清水:一般的な文書管理であれば、通常は総務部門の管轄でしょう。ただ個々の契約書に抵触するのであればビジネス側も関係することになりますし、個人情報が漏えいした場合であれば、法務部門での対応も必要になります。これら全体を掌握して必要な判断を下せるという意味では、やはり経営層やそれに近い方、あるいは経営企画部門がハンドリングするべきではないでしょうか。

※ランサムウェア……マルウェアの一種。暗号化によってファイルを利用不可能な状態にしたうえで、元に戻すために必要となる情報(鍵)と引き換えに身代金を要求する。

 

II. 情報漏えいの事実を公表するタイミング

――実際にインシデントが発生した際、社内の調査に時間がかかった、あるいは気づくのが遅れたなどの理由で、対応が後手に回るケースもあると思います。その場合、インシデント対応にどのような支障が生じるのでしょうか。

井上:よくあるのは、証拠となるデータが失われているといったケースです。重要な証拠であるにもかかわらず、失われることが多いのはネットワークログです。比較的短期間で消去されるように設定されていることが多く、調査でログを参照しようとする際にはすでに消去されていたといったことは少なくありません。インシデントが疑われた場合、コンピューター内の情報だけでなく、ネットワークログなどもできるだけ早めに安全に保存しておくようにするべきです。調査するうえで重要なデータが失われている場合、事実確認をするためにより広範囲な情報を総合的に分析する必要性が生じ、調査が長期化することがあります。また、時間を掛けて調査しても有益な結果が得られないこともあります。その場合、先に話したステークホルダー対応や再発防止対策が困難になるという状況に陥ります。

少し話がそれますが、マルウェアに感染した場合に、そのコンピューターをデータ保全する前に初期化(ファイルシステムのフォーマット等)してしまっているケースがしばしば見受けられます。この場合も調査が困難になるため、初期化前のデータを保全しておくことが望まれます。そのほか、パスワード変更する前にパスワードの最終変更日を記録しておくなども同様のこととして挙げられます。

清水:情報が漏えいしたにもかかわらず放置し、外部から指摘を受けるという形になると、その後の対応がすごく難しくなるといった側面もあります。特に調査していない段階であるにもかかわらず、指摘を受けて何らかの事柄を外部に発表せざるを得ないということになれば、その後の調査に大きな支障が生じる恐れがあります。

こうした外部に公表するベストなタイミングは状況によって異なります。企業としては、すべてが明確になったタイミングで公表したいところだと思いますが、情報漏えいの中身が極めてプライバシー情報に近いものであると、インシデントの内容がすべて明確でない状況であっても、早めに公表すべきという判断もあります。

またインシデントの内容によっては警察に届ける必要があるほか、個人情報が漏えいしたのであれば各国・地域の法律などに従って当局への報告も必要でしょう。こうした届け出や報告も、対外発表のタイミングに影響します。

内藤:届け出の観点で言うと、EUのGDPR(General Data Protection Regulation)では、対象となるデータが侵害されてから72時間以内に監督機関に通知することが求められています。

たとえばEU域内にある子会社の従業員情報が数百名分漏えいし、しかもその内容がダークウェブ(※)に掲示されていることを確認したにもかかわらず、企業側の対応が遅れて72時間以上が経過した場合、問題になる可能性があるため注意が必要です。

※ダークウェブ……通信経路を秘匿化する、特定のソフトウェアを利用してアクセスするネットワーク上に構築されたWebサイト群。匿名で利用できることから、違法なコンテンツの公開や麻薬などの取引に用いられている。

 

III. 国をまたいだ情報漏えいへの対処

――複数の国・地域から個人情報が漏えいするといったことも考えられると思います。このようなケースでは、どういったことが問題になるのでしょうか。

内藤:本社が主導して案件対応したいところだと思いますが、そこには言語の問題がまず存在します。また、日本企業でよくある話ではあるのですが、そもそも海外子会社に対して平時でもガバナンスが効いていないこともあります。普段からガバナンスが効いていないにもかかわらず、インシデントが発生したときだけガバナンスを効かせられるのかというと、正直なところ難しいでしょう。

また複数の国で情報漏えいが発生し、その原因が同じである場合、どの国の当局にも同じ説明をしなければなりません。ある国ではランサムウェアだと説明していて、別の国ではサーバーへの不正侵入だったなどといったように理由が異なれば、その後に混乱を招くことは容易に想像できるでしょう。そのため、同じ説明をそれぞれの言語でタイムリーに行う必要があります。これを本社主導でできるかどうかが最大のチャレンジではないかと思います。

 

IV. 情報漏えいの対外公表で欠かせないリーガルの視点

――実際に情報漏えいが発生した際、その対応において何に注意すべきでしょうか。

井上:いくつかありますが、その1つとして挙げたいのが社内調査体制です。特にサイバー攻撃などによる情報漏えいの場合、IT部門はどちらかというとミスを起こした側になります。その人たちが調査を行うと、利害関係がバッティングしてしまうことがあります。

実際、調査を行う中で自分たちのミスを隠蔽しようとしたケースがあったほか、自分たちの不手際をなかったことにするためにログを消去したといったことがあります。そのため、調査体制をどのように整えるかは重要だと考えています。

清水:ITだけでなく、会社全体の体制でも同じことがいえます。発生した事象の責任が明らかであろう人が調査チームのリーダーになると、調査そのものが歪んでしまうといったことが起こりえます。そのため、会社の中でも中立性を保てる方を中心に組成しなければ、対策チームが次のリスクを生むことになりかねません。

――情報漏えいが発生すれば、その内容を対外的に公表することが求められるケースもあります。その際に何を意識すべきでしょうか。

清水:当然ですが、発表するからには事実を伝えなければなりません。様々な状況から情報が漏えいしている可能性が高いと考えられるケースであるにもかかわらず、「情報漏えいは発生していません。安心してください」などと発表してしまえば、後々大きなトラブルになることは明らかです。そのため、現状を見極めたうえで、できる限り正確に事実を伝えることを意識すべきです。また、発表内容は事前にリーガルチェックを実施すべきことも大切です。

内藤:情報漏えいにおける対外的な説明には、民事と刑事、そして行政の3つの観点があります。このうちの民事において、情報が漏えいしているにもかかわらず、「漏えいしていません」などと発表してしまうと、場合によっては被害の拡大を招くことにもなりかねません。もっと早いタイミングで漏えいしたことが分かっていれば被害を最小化できたにもかかわらず、情報漏えいを起こした企業が適切な説明を行わなかったがゆえに、被害が拡大してしまったというわけです。この場合、取締役の善管注意義務違反になる可能性もありますので注意が必要です。

このため対外的な発表には本当に一字一句注意することが求められるため、正確な説明内容を専門家を交えて作る必要があるでしょう。発表内容を誤れば企業の信頼が毀損し、その後の事業にも影響が及ぶことにもなりかねないため、十分に気をつけていただきたいところです。

 

V. 情報漏えいのインシデント対応をスムーズに進めるために

――情報漏えいに対する迅速な対処、あるいは被害の最小化のためには、どういったことに取り組んでおくべきでしょうか。

清水:理想論を言えば、社内の文書を一元的に管理するECM(Enterprise Contents Management)を導入し、そこですべての文書を管理することが望ましいと考えています。このようになっていれば、ピンポイントでセキュリティ対策を図ることができるほか、何かあったときの調査も迅速に行えます。

もう1つ、意識していただきたいのは、廃棄すべき文書は確実に廃棄するということです。文書管理規定上は廃棄することになっているにもかかわらず、実際には社内には存在していましたというケースは少なくありません。そうすると、規定上は存在していないことになっているが、存在しているかもしれないという前提で調査を行うことになり、負担が大幅に増すことになってしまいます。

内藤:個人情報の観点で言えば、どこに、どういった個人情報が保存されているのかを把握しておくことは大切です。また昨今では、様々な国で個人情報の保護を目的としたルールが整備されているため、どこの国の個人情報であるかまで含めて把握しておくべきです。

経営層の意識を変えることも重要です。実際に裁判ということになれば、最終的に責任を取るのは経営層になりますが、残念ながら現状ではそれが十分に理解されていないと感じています。

特に昨今では、サイバー攻撃のリスクはIT部門だけで判断するものではなく、経営問題として捉えるべきという認識が広まりつつあります。2020年12月18日には、経済産業省が、「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」を発表しています。そうした状況であるにもかかわらず、情報漏えいを大きなインシデントとして捉えず、適切に対処を行う必要はないなどと取締役が判断すれば、その後レピュテーションリスクが高まり、経営にダメージを受けることにもなりかねないでしょう。そのため、経営層が情報漏えいなどのインシデントに対する知識を持つべきです。

井上:個人情報と同様、IT資産がどのような状態にあるのかを把握しておくことも重要です。IT資産として何を持っているのかを把握していないという状況では、被害範囲を確定することも困難となり、その後の調査の妨げとなります。

また設計書類が陳腐化していて、内容が現状に即してないケースも散見されます。そうすると、まず現状を把握することから始めなければならないため、調査が長引く原因となります。

清水:迅速な対処という点では、インシデントが発生して外部に調査を依頼する際は、できるだけ早めに連絡することを心がけていただきたいと思います。時間が経ってしまうと、情報漏えいの実態を把握するうえで重要な鍵を握るログが消えてしまい、調査が難航することが想定されるためです。

また実際に調査を行ったうえで情報漏えいの事実が判明し、発表せざるを得ないとなったとき、時間が経てば経つほど「なぜ今まで発表できなかったのか」という疑問が生じてしまいます。あまりに発表が遅くなれば、企業としての意思決定の姿勢まで問われることになりかねません。状況によっては、経営リスクにつながる可能性もあるでしょう。こうしたリスクを避けるために、スピーディに取り組むことを意識していただきたいと思います。

 

VI. 最後に

――情報漏えいをはじめとするインシデントの調査や対応の支援において、デロイト トーマツにはどのような強みがあるのでしょうか。

内藤:デロイト トーマツには、ITから危機管理、広報、法律など幅広い分野の専門家が在籍しており、情報漏えい以外も含めて、あらゆる種類のインシデントに対応できる体制を整えています。

情報漏えいをはじめとするインシデントは、1分野の専門家だけで対応できるものではありません。ITについての理解が求められるほか、対外発表などでは広報の立場から危機管理を行う必要があります。また、ビジネスについての理解が求められることもあるでしょう。デロイト トーマツであれば、それぞれの領域の専門家がチームを組んで対処できるため、適切な対応を支援することが可能です。これが我々の強みであると考えています。

井上:様々な立場の専門家がチームを組んでインシデントに対処する際、情報共有が非常に重要なポイントになります。この際、デロイト トーマツであればグループ内の各専門家が密に連携することが可能であり、それによって調査や対処、判断のスピードを高められることも、多彩な専門家が在籍しているデロイト トーマツならではのメリットです。

清水:グローバルで対応できることもデロイト トーマツの特長であると考えています。単に各国の言語で対応できるだけでなく、我々はグローバル各地に拠点があるため、日本と同様の対応を海外で行うことも可能です。事業のグローバル化が進んでいる現在、こうした部分もお客さまに提供できるベネフィットの1つであると捉えています。

※本文中の意見や見解に関わる部分は私見であることをお断りする。

 

鼎談参加者(プロフェッショナル)

内藤 裕史
DT弁護士法人 弁護士、弁理士、ニューヨーク州弁護士

井上 健一
デロイト トーマツ サイバー合同会社
ディレクター

清水 亮
デロイト トーマツ ファイナンシャルアドバイザリー合同会社
フォレンジック&クライシスマネジメントサービス
シニアヴァイスプレジデント

大手出版社勤務後、大手メーカー経営企画にて、グローバル戦略、ブランドマネジメントを担当。2014年より、NPEファンドの立ち上げに参画。2016年より現職。現在は有事を中心にクライシスマネジメント(初動対応、危機管理広報)業務の提供を行っている。