弁護士が語る!経営者が知っておきたい法律の話(第108回) 法律面から見たサプライチェーンのセキュリティ(後編)

法・制度対応

公開日:2023.09.26

 前編では、サプライチェーンにおける情報セキュリティの問題と、それに伴い発生する法的リスクについて説明しました。後編では、インシデント発生の予防とインシデント発生時の対応について、主なポイントを説明します。

予防対策として必須の3つのポイント

 まずは、インシデント発生の予防についてです。ポイントは、①セキュリティ対策の強化、②社内規定の整備(セキュリティを含む)、③従業員への研修の3つです。

①セキュリティ対策の強化
 予防のためには、セキュリティ対策の強化が必須です。具体的な対策の内容については、本サイトに掲載している情報セキュリティに関する他の記事が参考になるでしょう。

 セキュリティ対策の強化には費用が発生します。経済産業省と公正取引委員会は2022年10月に公表した「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」で、発注側企業が取引先へのサイバーセキュリティ対策の実施を要請するに当たり、優越的地位の乱用として問題となるおそれがある行為として、①取引の対価の一方的決定、②セキュリティ対策費の負担の要請、③購入・利用強制に関する考え方を示しています。

②社内規定の整備(セキュリティを含む)
 法的観点からは、情報管理規則の内容を見直して実施を徹底する他、インシデント対応体制を整備する必要があります。さらに、事業継続計画(BCP:Business Continuity Plan)を作成し、インシデント発生時に直ちに対応できるようにすることが重要です。最低限インシデント発生時の対応をする責任者を決定しておき、「インシデント発生時の対応」についてシミュレーションしておくとよいでしょう。

 サプライチェーンにおけるインシデントの発生を予防する観点からは、対策に漏れが生じないように、サプライチェーンに関する基本契約書、業務委託契約書等で、情報セキュリティに関するそれぞれの責任範囲を明確化しておくことも重要です。

③従業員への研修
 インシデントの発生を予防するには、従業員の情報リテラシーやモラルを向上させる必要があります。セキュリティ体制を強化したり、情報セキュリティに関する社内規定を整備したりしても、周知徹底されなければ効果が十分に発揮されません。このため、従業員に対して情報セキュリティに関する研修を実施し、意識の向上を図る必要があります。

 次に、インシデント発生時の対応について解説します。まずは、インシデント発生直後の対応に関するイメージを持ってもらうため、小島プレス工業が2022年3月1日にプレスリリースとして公表した「ウィルス感染被害によるシステム停止事案発生のお知らせ」のうち、発生直後における対応の部分を引用します。

【2月26日(土)】
21時頃 弊社ファイルサーバにて障害の発生を検知
23時頃 障害発生したサーバの再起動後にウィルス感染と脅迫メッセージの存在を確認

【2月27日(日)】

未明 外部専門家協力のもと、さらなる攻撃予防のため取引先様及び外部とのネットワーク遮断

終日 全サーバを停止後、生産活動にかかるサーバのシステム稼働可否を確認し、一部復旧

【2月28日(月)】

日中 ネットワーク遮断前に授受したデータをもとに生産活動を計画通り継続

夕刻 翌日分の生産活動に必要な取引先様とのデータ授受の代替手段を検討したが、対応が困難と判断し、関係取引先様へ連絡

法律により報告が義務付けられているケースも

 上記の対応を踏まえ、インシデント発生時における主な対応をまとめると、以下の①から⑦になります。こうしたインシデントに関わる法的な問題については、知見がある弁護士にも相談をしながら進める必要があるでしょう。

①インシデントの調査・復旧、再発防止策の検討・実施
 漏えい等インシデントの原因を調査し、復旧などの対処をします。社内における情報共有も重要です。さらに、これらと関連して再発防止策を検討し、実施していきます。インシデント発生時は、直ちにセキュリティ専門の調査会社と連携して対応する必要があり、数百万円以上の費用が発生する場合が多いでしょう。

②取引先への報告・対応
 サプライチェーン攻撃は取引先にもマルウエア感染が及ぶ可能性があり、取引先への報告が必要です。ランサムウエアに感染した場合には復旧に時間が掛かる可能性もあり、取引先に対応状況を報告する必要があります。納期に遅れると債務不履行となり、さらに取引先への連絡が遅く、ウイルス感染の二次被害が発生した場合には、そのこと自体による責任が発生するケースもあります。特に、委託を受けて情報を取り扱っている企業は、直ちに委託元に報告する必要があります。

③被害者への対応
 状況に応じて、速やかに被害者に通知をする必要もあります。特に個人情報の漏えい等の場合には、個人情報保護法により本人への通知が義務となっています(個人情報保護法第26条2項)。対応やタイミングは、二次被害を防止する観点などから判断します。被害者が不特定または多数である場合には、専用の相談窓口を設ける企業が多くなっています。

④プレスリリース(情報公開)
 上場企業ではなくとも、取引先、被害者、マスコミなどに正確な情報を提供する目的で、適切なタイミングでプレスリリースなどを出して、情報を公開することが求められます。

⑤個人情報保護委員会、監督官庁への漏えい等の報告
 サイバー攻撃が原因で個人データの漏えい等(漏えい、滅失、毀損)が発生した場合、「不正の目的をもって行われたおそれがある個人データの漏えい等」に当たるとされており、1件でも個人データ(従業員や取引先の担当者の個人データを含む)の漏えい等が発生し、または発生したおそれがある時点で、個人情報保護委員会への報告が必要です(個人情報保護法第26条1項)。

 さらに、サイバー攻撃の事案については、C&Cサーバーが使用しているものと知られているIPアドレス・FQDNへの通信が確認された場合など一定の場合に、「漏えい」が発生した恐れがある事態に該当し得るとされています。ランサムウエアに感染した場合は「毀損」に当たり、漏えい等したことになります。

 企業のいずれかの部署が知った時点からおおむね3日から5日以内に、その時点において報告事項のうち把握している内容を報告し(速報)、さらに、当該事態を知った時点から30日以内(サイバーインシデントの場合にあっては、60日以内)に報告事故の全ての事項を報告する必要があります(確報)。

 特定の情報が漏えいしたり、サイバーインシデントが発生したりした場合などは、個人情報保護委員会への報告とは別に、監督官庁への報告(例:厚生労働省、総務省)が必要なケースもありますから、注意してください。

⑥警察への連絡
 サイバー攻撃は犯罪になります。例えば、不正アクセスは不正アクセス罪に当たり、マルウエアの作成は不正指令電磁的記録に関する罪(刑法第168条の2、同条の3)に当たります。このため、サイバーインシデント発生時には警察に相談し、被害届等を提出することになります。

⑦損害賠償等に関する対応
 インシデント発生に関し、取引先、被害者、システム・保守の発注先などとの間で、損害賠償責任や債務不履行責任等に関する対応が必要になることが多いでしょう。

 大企業だけでなく中小企業も、サプライチェーンを意識した情報セキュリティ対策が必須になっています。最近は中小企業も、サプライチェーンの中に組み込まれているケースが非常に多くなっています。自社が原因となり、サプライチェーンに被害が生じれば、取引先を失うだけでなく、損害賠償が発生する可能性もあり、事業継続が困難になってしまいます。サプライチェーンに組み込まれている以上、取引面だけでなく、情報セキュリティ面においても、適切な報告・連絡・相談が重要です。また、近頃は情報セキュリティ面に関するサイバー保険も登場しています。万が一を考えた場合、こうした新しいサービスの活用も有益でしょう。

執筆=渡邊 涼介

光和総合法律事務所 弁護士 2007年弁護士登録。元総務省総合通信基盤局専門職。2023年4月から「プライバシー・サイバーセキュリティと企業法務」を法律のひろば(ぎょうせい)で連載。主な著作として、『データ利活用とプライバシー・個人情報保護〔第2版〕』(青林書院、2023)がある。

【TP】

あわせて読みたい記事

  • 弁護士が語る!経営者が知っておきたい法律の話(第123回)

    自転車の「酒気帯び運転」が新たな罰則対象に

    法・制度対応

    2025.01.17

  • 弁護士が語る!経営者が知っておきたい法律の話(第122回)

    「代表取締役」と「社長」の違い知っていますか?

    法・制度対応

    2024.11.21

  • 弁護士が語る!経営者が知っておきたい法律の話(第121回)

    カスハラ対策に真剣に取り組もう

    法・制度対応

    2024.10.22

「法・制度対応」カテゴリーから探す

連載バックナンバー

弁護士が語る!経営者が知っておきたい法律の話

もっと見る

カテゴリー 一覧