【PR】情報漏洩時の有事対応シリーズ①:初動って何するの?


Z社で情報漏洩が発生!!

法務部員Aさん:
部長! 先ほど会社の問合せ窓口に「会社で管理しているサーバー内の機密情報や個人データが外部に流出している」との指摘があり、広報部のCさんから連絡を受けました。

B法務部長:
直ぐに情報システム部を含めた関連部署と連携して情報収集しろ!!

このようなやり取りは情報漏洩や不正アクセスの第一報が会社側にあった際によくある光景です。この時点で、今回通報のあった外部流出の原因が、①ミスや障害によるものか(例:紛失・置き忘れ、操作ミス、設定・管理ミス、システム障害)、②内部不正によるものか、③外部からの不正によるものか(例:ハッキング、スパイウェア、サイバー攻撃)、④内部関係者と外部の者の共謀による不正行為によるものかにより、Z社の初期対応のアプローチは大きく異なります。また、漏洩内容・件数・時期や被害状況、個人データが含まれるか否か、訴訟の可能性によっても、対応方法が異なります。

ご参考までに、独立行政法人情報処理推進機構(IPA)が公開した、組織に対する「情報セキュリティ10大脅威2020」のトップ3は、①標的型攻撃による機密情報の窃取、②内部不正による情報漏洩、③ビジネスメール詐欺による金銭被害でした。

有事対応時の基本的な心構え

今回の「情報漏洩時の有事対応シリーズ」では、現場目線に焦点を当てて、重要ポイントのみを解説します。今回は第一弾として初期対応について説明します。先ず情報漏洩を含めた有事対応時の基本的な心構えについて、筆者の危機管理、不正調査、取締当局対応の実務経験からの学びは以下の通りです:

  1. 有事はどの会社にも起こりうる。悪意ある者による不正行為が存在する限り、完全な予防対策は存在しない。
  2. 平時の万全な事前準備なくして、迅速・適切な初期対応は困難(当局への抗弁の材料となる可能性あり)
  3. 但し、ベストではなく、ベターな平時の社内体制の構築を目指す(同業他社よりも少し上、ステークホルダーやマスコミ等に説明責任が果たせるレベルが最低限)
  4. 不幸にも有事が発生してしまった場合、被害を極小化するために必要な場合は社内体制・関連規程・手順書・プロセスを簡素化する(仏作って魂入れずではダメ)
  5. 迅速・適切な初期対応は、甚大な二次・三次被害の回避だけでなく、会社の真摯な取り組みを外部にアピールするリカバリー・チャンスでもある

迅速・適切な初期対応時の重要ポイントとは

上述のZ社事案で、初期対応時の留意点は以下の通りです:

  1. 発覚の経緯が内部通報か外部通報か、通常業務による検知か、定期診断・監査による検知か、偶然の検知かによって、Z社の初期対応に対する重要性と緊急性は大きく異なる
  2. そもそもの通報内容が、誤情報、愉快犯による行為、悪意ある行為である可能性も念頭に置く(特にBtoCビジネス)
  3. 内部・外部通報があった場合、可能な限り詳細情報収集のため通報者との再コンタクトを検討する。通常、通報者は、自身の立場の保障、会社からの報復行為や証拠隠滅等を懸念しており、客観性を確保するためにも、会社と独立性と利益相反(コンフリクト)上の懸念が無い、法務・コンプライアンス領域とITセキュリティ領域両方に精通した専門家集団を適宜活用する
  4. Z社がサイバー保険等を利用しており、そのカバー内容について損害保険会社に再確認する(例:グローバルカバー、GDRP違反による損害賠償、遺失利益、復旧のためのコスト)
  5. 上述の「会社で管理しているサーバー内の機密情報や個人データが外部に流出している」といった疑惑について、先ず事実(信憑性)確認調査とそれを裏付けるエビデンス収集を行う
  6. 重要性や緊急性を考慮して、リスクベース(フェーズ)・アプローチによる初期対応の対象範囲の絞込みが実効的
  7. 監督機関への説明を前提とした文書化を準備する(参考:監督機関の第一声は「見せてくれ」であることに留意)
  8. 通報が国内からあった場合、消費者庁の内部通報ガイドラインや公益通報者保護法の20日間ルールに留意する。つまり、内部通報後20日間、会社が放置もしくは社内調査を実施しない場合、マスコミ等への外部通報もできると規定されているため、Z社にはスピード対応が求められる。
  9. 事実確認調査の際、秘密厳守・密行調査である必要があり、それに失敗した場合、Z社内に悪い噂が広がる⇒通報者探しが社内外で始まる⇒社内に疑心暗鬼・相互不信が生まれる⇒協力を得ることが難しくなる⇒通常業務に悪影響を及ぼす⇒関係者による隠蔽・偽装工作が始まる⇒集団訴訟のリスクが大きくなる、といった負の連鎖が始まる

情報漏洩事象がGDPR適用対象である場合、データ侵害認知後72時間以内の監督機関への報告が必要である点に留意する

「事実(信憑性)確認調査とそれを裏付けるエビデンス収集」って具体的に何するの?

A. 「初期調査項目一覧(チェックリスト)」を作成する
一つ目は、事前に作成・周知徹底しておくことが望ましいのですが、以下のような調査項目一覧を利用して事実確認目的の対物・対人調査を早急に実施することです。内部・外部不正の可能性がある場合は、秘匿性を確保するために事実確認調査は短期集中で行い、必要に応じて覆面・ダミー調査を行うことも視野に入れる必要があります。調査の過程で入手したエビデンスは、①紙の書類、②電子データ(例:各種ログ、外部媒体の接続履歴、インターネット閲覧履歴、電子メール)、③関係者の証言になります。これらのエビデンスを疑惑毎に、①直接証拠、②状況証拠、③伝聞情報(推測)、④参考情報に分類して精査することが肝要です。例えば、上述のZ社事案の場合、「会社サーバー内の機密情報や個人データが外部流出している」疑惑について、外部流出した電子ファイル等の決定的な重要証拠(直接証拠)を入手できた場合、クロであることが立証(事実確認)可能となり、これ以上の状況証拠、伝聞情報(推測)、参考情報の入手は不要となります。


B. 「発生事象の時系列一覧」を作成する
二つ目は、入手した重要情報を時系列に整理することです。これは海外の捜査当局でも使う手法ですが、関与者が多数に及び事象が複雑な場合、以下の「発生事象の時系列一覧(Chronology of Events)」は有事対応チーム内の混乱を避けるため、また関係者とのヒアリングの際にも有効な資料となります:

  発生年月日 時間 行為の種類 行為者 関係人物・組織 場所 行為の概要 備考(例:証拠の種類)
  年 月 日   時 分 秒            
               
               
               
               
・・・                


C. 上述の結果を精査し、各疑惑の事実確認、フォロー内容について再検討
この段階で、Z社事案の内容が、①ミスや障害によるものか、②内部不正によるものか、③外部からの不正によるものか、④内部関係者と外部の者の共謀による不正行為によるものかおおよそ判明します。その後、各疑惑について確認された証拠や、新たな疑惑を整理し、Z社内で、状況・影響範囲・原因の把握、データ主体への影響といったリスク評価を再度行い、今後の対応方針(例:フォロー調査の必要性、対象範囲、対象期間、対象者、スケジュールと具体的な手続き)について関係者間で協議・合意し、フォロー調査開始後も適宜見直しを行う必要があります。

GDPR適用対象の場合、適切なDPOやEU代理人の選任がEU監督機関とのスムーズ折衝の成否のカギ

そもそもZ社のビジネスがGDPR適用対象であり、データ保護オフィサー(DPO)EU代理人の選任義務がある場合、事前にコンフリクトのない専門家をアサインすることが重要です。DPOEU代理人はZ社のために監督機関との連絡窓口となる重要な役割を担っており、少なくとも法務・コンプライアンス領域とITセキュリティ領域両方に知見があり、日本本社の意向を汲みながら、EU監督機関との英語折衝能力がある方を選任する必要があります。

今年6月には、スペイン当局がDPO選任していなかった現地企業に対して2万5千ユーロ(約300万円)の制裁金を課した事象が発生しています。また今年5月には、ベルギー当局が、会社の内部監査室長、リスク管理部門長、コンプライアンス部門長等にはコンフリクトがあるため、DPOとして不適切との見解を出しています。その他の最新ニュースについては、DPOについてはこちらEU代理人についてはこちらを参照して下さい。

GDPR有事対応フローの全体像

ご参考までに、GDPR有事対応フローの全体像(例)は以下の通りとなり、初期対応は青枠箇所になります:

海外事案になった場合の留意点

もし内部・外部通報が海外からあった場合、例えばEUの場合はEU公益通報者保護指令等、米国の場合はSOX法やドッド・フランク法{例:内部通報者報奨金制度(100万ドル超の罰金、没収金等が課せられた場合、その10~30%を通報者へ支払う制度)}といった現地の法規制にも留意する必要があります。また、情報漏洩の発生国における現地法(例:中国であれば国家機密法や中国サイバーセキュリティ法のデータローカリゼーションによる機密情報や個人データの国外持ち出し制限)の規制により、日本の本社主導での事実確認調査が難しくなる可能性があります。

万全な事前準備なくして、迅速・適切な初期対応は困難

筆者は過去25年に渡り、横領、会計不正、贈収賄、表示偽装、異物混入、知財問題、情報漏洩、サイバー犯罪、産業スパイ、労使紛争、テロ、誘拐、脅迫、詐欺といった様々な有事対応を提供してきましたが、有事対応の成否は、迅速・適切な初期対応と平時の事前準備に依存するところが大きいと感じています。日頃から外部専門家とのコミュニケーションを維持し、自社のリスクに即した有事対応の社内体制を構築しておくことが、リスク極小化と費用対効果の点でもカギとなります。また、取締り動向や他社事例、訴訟リスクの最新情報を適宜収集し、経営層のリスク感度を上げておくことも、迅速・適切な初期対応に向けた重要な土台作りとなります。

 

次回は、「情報漏洩時の有事対応シリーズ」の第二弾として内部不正の場合の留意点について、第三弾として外部からの不正の場合の留意点について解説します。

(執筆:宮岡 泰治)

関連情報

IIJ ビジネスリスクマネジメントポータル

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

IIJビジネスリスクアドバイザリーサービス 

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします。

世界19ヵ国・地域のクッキー規制を網羅したグローバル・オーバービュー(概要版)

IIJでは日本企業からのニーズが高かった①19ヵ国・地域、②17調査項目を対象に、西村あさひ法律事務所様の協力も得て、2019年4月の初版に続き、「世界のプライバシー保護法制の最新動向に関するレポート(グローバル・オーバービュー)をアップデートしました。

サンプルの閲覧はこちら
購入のお申込みはこちら

関連記事