サイバーセキュリティに関連する法律関係についての覚書

はじめに

今年3月1日に国内の自動車部品メーカーがサイバー攻撃による被害を受けた旨の発表を行ったことを皮切りに、ランサムウェアやEmotet（エモテット）等に代表されるサイバー攻撃がますます激化していることが、日々の報道より看取されます。また、関係省庁からも注意喚起情報が相次いで発出されております¹

本稿では、サイバーセキュリティの観点を踏まえたシステム導入・維持・管理に役立てていただくため、ごく簡単にではありますが、ランサムウェアやEmotet（エモテット）に代表されるサイバー攻撃を巡る代表的な論点や、システム開発・選定において留意すべき視点を概観できれば、と思います。

ランサムウェア／サイバー攻撃に関連する代表的な法律上の論点

・ランサムウェア攻撃を受けた際に、「身代金」支払いに応じるべきか否か

いわゆるランサムウェア攻撃を受けた際の「身代金」の支払要求に対しては、以下のような観点²から、支払わないことが大原則、とされています。

①「身代金」の支払は、当該ランサムウェアによる攻撃を行っている犯罪組織に対し支援を行っているのと同じ意味を持ってしまう
②金銭を支払うことで、データ公開が止められたり、暗号化されたデータが復号されたりすることが保証されるわけではない
③国によっては、「身代金」の支払がテロ等の犯罪組織への資金提供であるとみなされ、金銭の支払いを行った企業に対して制裁が課される可能性もある

このような「身代金」の支払の適法性が争われる場面としては、会社役員の会社に対する任務懈怠責任（会社法第423条）を株主から追及されるケースが考えられます。
この点、総会屋に対する利益供与の責任が問題となった最高裁の判例³では、「会社経営者としては、（中略）株主の地位を濫用した不要な要求がされた場合には、法令に従った適切な対応をすべき義務を有する」として、約300億円という巨額の金額を総会屋が経営する企業に対し交付することを提案・同意した役員の過失を「やむをえなかったものとして過失を否定することは、できない」としています。
ランサムウェアによる「身代金」の支払も、総会屋に対する利益供与と同様に違法・不当な要求への支払であるという共通項があります。そうすると、ランサムウェアによる「身代金」の支払に関しても会社に対する会社役員の任務懈怠責任が認められるおそれは否定しきれないとも考えられ、「身代金」の支払にはなお一層慎重な対応検討が必要とされるところではあります。

・サイバー攻撃を受けた際の民事上の責任

また、Emotet（エモテット）などのようなウイルス付のメールを拡散するタイプのサイバー攻撃に関しては、サイバーセキュリティ対策を怠っていたことを理由に、被害に遭った企業から取引先企業に対しての損害賠償請求（不法行為責任〔民法709条、同715条〕、債務不履行責任〔民法415条〕）がなされる可能性も考えられます。
現に、経済産業省の報告書⁴ では、ビジネスメール詐欺（BEC（Business E-mail Compromise））の事案で、取引先企業のメールアカウントが乗っ取られ、そのアカウントから送られてきた詐欺メールにひっかかって金を振り込んでしまったケースで、詐欺に引っかかった企業が、取引先企業がサイバーセキュリティ対策を怠ったことでメールアカウントが乗っ取られたことを証明し、それによって自社が被害にあったことを主張したことで、取引先企業が損失の一部負担の和解に応じた、という事例も紹介されています。

ここで考えておかなければならないのが、自社がサイバー攻撃を受けて被害が発生していたにもかかわらず、取引先に連絡をいれない事に関するリスクです。取引先からの損害賠償請求をおそれて取引先への連絡を躊躇してしまう（いわば「ダンマリを決め込む」）と、そのこと自体が取引先におけるサイバー攻撃への被害拡大措置を妨げるもの、と捉えられてしまう可能性も考えられます。自社がサイバーセキュリティ対策を怠っていた場合、取引先に対する損害賠償責任との関係でも非常に難しい立場に立たされることになる点にも思いを致しておかなければならないでしょう。

・企業としてサイバーセキュリティ対策を講ずべき義務と、参考となる代表的なガイドライン

このように見ていきますと、個別のインシデントが生じた場合の対応のみならず、あらかじめサイバー攻撃に対して平時からの備えや有事対応を見据えた準備、すなわちサイバーセキュリティ対策をしておくことは、会社としての業務の適正を担保するための内部統制システム⁵の一環として必要なことといえそうです。
サイバーセキュリティ対策としてどのようなことを実践すべきかに関しては、個別具体的な技術対応が必要となる点も多く、さらに技術やそれに伴うサイバー攻撃・防御双方の手法の進展も考えられるため、継続的なリスクマネジメントを行う、という視点が重要となってきます。
その意味で、企業としてサイバーセキュリティ対策を考える際には、基本的なガイドラインとして、経産省・IPA（独立行政法人情報処理推進機構）が公開している「サイバーセキュリティ経営ガイドラインVer2.0」を参酌されるのがよい、と考えております。

上記ガイドラインは、
・リスクの認識を踏まえた組織全体での対応方針の決定や経営資源（予算、人材等）の確保、仕組みの構築のみならず、緊急時対応・復旧体制もあらかじめ整備しておくべきこと
・サイバーセキュリティ対策自体もPDCAサイクルを実施していくべきこと
・サプライチェーン全体の対策及び状況把握も必要であること
等に触れられており、サイバーセキュリティの継続的なリスクマネジメントの在り方を簡潔かつ分かりやすくまとめたものとなっております。詳細につきましては、原文に当たられることをお勧めいたします。

システム開発・選定において留意すべき視点

・セキュリティバイデザイン
サイバーセキュリティ対策を実際のシステム開発や運用に落とし込んでいく場合、ユーザ企業におかれましてもいわゆる「セキュリティバイデザイン」（システムの設計・企画段階からサイバーセキュリティを考慮すること）という観点を踏まえ、セキュリティ基準等公表情報を参酌しつつ、ベンダとのリスクコミュニケーションを積極的に図っていただければ、と存じます。

・クラウドシステムの利用
また、具体的なセキュリティ対策を実践しようとした場合、どうしても人材・予算といったリソース確保が難しい、といった場面も多々生じえます。そのような場面に置かれては、セキュリティ対策が充実したクラウド基盤上で展開されるサービス（Salesforce基盤上で展開するサービスとしては、手前味噌となりますが、UM SaaS Cloud等）のご活用も検討いただければ、と存じます。クラウドシステムは、一般的にサービス提供価格の低廉化／高度化というメリットが高いとされるものですが、サイバーセキュリティ対策はまさにその最たるものとなります。

おわりに

以上、簡単にではありますが、ランサムウェアやEmotet（エモテット）に代表されるサイバー攻撃を巡る代表的な論点や、システム開発・選定において留意すべき視点を解説してまいりました。
ユーザの皆様におかれましては、システム開発・選定・運用の検討に当たり参考にしていただければ幸いです。

▼注釈

1. 令和4年3月1日付経済産業省・金融庁・総務省・厚生労働省・国土交通省・警察庁、内閣官房催場セキュリティセンター（NISC）「サイバーセキュリティ対策の強化について（注意喚起）」（NISCのプレスリリースPDFへの直リンク）、令和4年3月24日経済参照省・総務省・警察庁・NISC「現下の情勢を踏まえたサイバーセキュリティ対策の強化について（注意喚起）」（NISCのプレスリリースPDFへの直リンク）を参照。
2. 下記の視点については、2020年12月18日経済産業省「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」（経済産業省PDF資料への直リンク）P7を参照
3. 最判平成18年4月10日民集60巻4号1273頁。なお、最高裁判所HP上の裁判例情報は、こちら
4.  2020年6月12日経済産業省「昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性についての報告書」（経済産業省PDF資料への直リンク）P18参照
5. 会社法362条4項6号、同条5項および会社法施行規則第100条第1項参照。