サイバーセキュリティ基本法の制定 ⾏行行政機関などにおけるサイバーセキュリティの確保(第13条) 重要なインフラ事業者におけるサイバーセキュリティの確保(第14条) ⺠民間事業者や教育研究機関における⾃自発的な取り組みの促進(第15条) 犯罪の取り締まり、および被害の拡⼤大防⽌止(第17条) 国の安全に重⼤大な影響を及ぼす恐れのある事象への対応(第18条) 産業の振興および国際競争⼒力力強化(第19条) 研究開発の推進(第20条) ⼈人材の確保(第21条) 教育と学習の振興および普及の啓発(第22条) 国際協⼒力力の推進(第23条) 1 サイバーセキュリティ経営ガイドライン(1) 指⽰示1 サイバーセキュリティリスクへの対応について、組織の内外に ⽰示すための⽅方針(セキュリティポリシー)を策定すること。 指⽰示2 ⽅方針に基づく対応策を実装できるよう、経営者とセキュリティ 担当者、両者をつなぐ仲介者としてのCISO等からなる適切切な 管理理体制を構築すること。その中で、責任を明確化すること。 指⽰示3 経営戦略略を踏まえて守るべき資産を特定し、セキュリティリスク を洗い出すとともに、そのリスクへの対処に向けた計画を 策定すること。 2 サイバーセキュリティ経営ガイドライン(2) 指⽰示4 計画が確実に実施され、改善が図られるよう、PDCAを実施する こと。また、対策状況については、CISO等が定期的に経営者に 対して報告をするとともに、ステークホルダーからの信頼性を ⾼高めるべく適切切に開⽰示すること。 指⽰示5 系列列企業やサプライチェーンのビジネスパートナーを含め、 ⾃自社同様にPDCAの運⽤用を含むサイバーセキュリティ対策を ⾏行行わせること。 指⽰示6 PDCAの運⽤用を含むサイバーセキュリティ対策の着実な実施に 備え、必要な予算の確保や⼈人材育成など資源の確保について 検討すること。 3 サイバーセキュリティ経営ガイドライン(3) 指⽰示7 ITシステムの運⽤用について、⾃自社の技術⼒力力や効率率率性などの観点 から⾃自組織で対応する部分と他組織に委託する部分の適切切な 切切り分けをすること。また、他組織に委託する場合においても、 委託先への攻撃を想定したサイバーセキュリティの確保を 確認すること。 指⽰示8 攻撃側のレベルは常に向上することから、情報共有活動に参加し、 最新の状況を⾃自社の対策に反映すること。また、可能な限り、 ⾃自社への攻撃情報を公的な情報共有活動に提供するなどにより、 同様の被害が社会全体に広がることの未然防⽌止に貢献すること。 4 サイバーセキュリティ経営ガイドライン(4) 指⽰示9 サイバー攻撃を受けた場合、迅速な初動対応により被害拡⼤大を 防ぐため、CSIRT(サイバー攻撃による情報漏漏えいや障害など、コ ンピュータセキュリティにかかるインシデントに対処するための 組織)の整備や、初動対応マニュアルの策定など緊急時の対応体制 を整備すること。また、定期的かつ実践的な演習を実施すること。 指⽰示10 サイバー攻撃を受けた場合に備え、被害発覚後の通知先や開⽰示が 必要な情報項⽬目の整理理をするとともに、組織の内外に対し、 経営者がスムーズに必要な説明ができるよう準備しておくこと。 5 ベネッセ事件 教育事業等を営み、多数の顧客情報を保有するベネッセHDが、 (100%⼦子会社からの業務委託先の当時の従業員であり、データベースの 保守管理理業務に従事していた者による、意図的な持出し及び売却により) 当該顧客情報のうち 約3500万件(登録者及 ⼦子 の ⽒氏名、性別、⽣生年年⽉月⽇日 及び 続柄、住所、電話番号、出産予定⽇日並びにメールアドレス等。 クレジットカード情報は含まれていないとのこと。)を流流出させたという 事案(平26.7.9第⼀一報開⽰示)。 ベネッセHDは、現時点で、個⼈人情報漏漏洩対応費⽤用として、 顧客への補償費⽤用200億円を含む 260億円 の特別損失を計上している。 6 第1 事例例紹介 7 経緯(2014年年) 7⽉月 9⽇日 お客様情報の漏漏えいについてお詫びとご説明 7⽉月15⽇日 個⼈人情報漏漏えい事故調査委員会発⾜足に関するお知らせ 7⽉月17⽇日 経済産業省省への報告書提出について 弊社グループ会社の業務委託先の元社員の逮捕について 7⽉月31⽇日 代表取締役及び取締役の異異動(辞任)に関するお知らせ 7⽉月31⽇日 特別損失の計上に関するお知らせ 8⽉月 7⽇日 弊社グループ会社の業務委託先の元社員の起訴について 9⽉月10⽇日 お客様情報の漏漏えいに関するご報告と対応について 9⽉月10⽇日 合弁会社設⽴立立に関する基本合意のお知らせ http://blog.benesse.ne.jp /bh/ja/ir_̲news/m/2014/07/31/uploads/pdf/news_̲20140 731_̲jp_̲2.pdf http://blog.benesse.ne.jp /bh/ja/news/m/2014/09/10/docs/20140910%E3%83% AA%E3%83%AA%E3%83%BC%E3%82%B9%E2%91%A0.pdf 8 第2 情報の種類とプレーヤー 9 顧客 サービス契約 アタッカー ユーザが収集 した顧客情報 刑事責任 ⺠民事責任 プライバシーポリシー データ処理理業務委託 ユーザ 役員責任 データ取扱・処理理事業者 ⺠民事上の損害賠償責任 会社=株主からの損害賠償請求のための代表訴訟) 個⼈人情報保護法上の責任 10 時系列列の対応フロー① ⽇日時 当事者 イベント EC会社/ベンダ ECシステム構築に関わる契約を締結 EC会社 ECシステムの稼働を開始 EC会社→ベンダ ECサイトに異異常が⽣生じている旨をベンダに報告し、調査を依頼 ベンダ 改竄されたソースファイルを確認し、同ソースファイルの調査を開始 ベンダからEC責任者に情報漏漏えいの可能性について報告 1 ベンダ→EC会社 EC会社からベンダへ、ECサイトの停⽌止作業、EC会社管理理外サーバの メンテナンス切切替作業及びシャットダウン作業並びに情報漏漏えいの 可能性のあるお客様のリストアップを指⽰示 11 時系列列の対応フロー② ⽇日時 2 当事者 イベント ベンダ→EC会社 情報漏漏えいの可能性があるお客様リストをEC会社に送付 EC会社→ベンダ ⼀一部のサーバを除く、全てのサーバのシャットダウンを指⽰示 ベンダ→EC会社 指⽰示を受けた全サーバのシャットダウンを完了了し、EC会社へ報告 ベンダ→EC会社 ソースファイルの改竄箇所を送付する EC会社→ベンダ お客様対応窓⼝口の設置及び運営を依頼 12 時系列列の対応フロー③ ⽇日時 当事者 EC会社 3 イベント 担当者が警察署へ赴き、本件事故の発⽣生を報告 被害届提出に必要な情報、書類の指⽰示を受ける EC会社 不不正アクセスによる情報流流出の可能性のお知らせとお詫びを開⽰示 EC会社→お客様 上記リリース内容をEC会員登録者全員にメール配信 EC会社 情報が漏漏えいした可能性がある顧客のキー情報(決済受付番号)を →決済代⾏行行会社 通知し、各クレジット会社への通知を依頼する EC会社→お客様 クレジットカードの不不正利利⽤用履履歴がないか利利⽤用明細の確認を 依頼する内容のメールを送信 13 時系列列の対応フロー④ ⽇日時 3 4 当事者 イベント EC会社 専⾨門調査機関である調査会社へ原因究明調査を依頼 EC会社 お客様からの連絡でEC会社においてクレジット不不正利利⽤用の発⽣生を認識識 EC会社 カード情報の漏漏えい可能性が⾼高いお客様に、カード再発⾏行行のお願い、 →お客様 不不正利利⽤用時の補償についてのメールを送付 EC会社 5 EC会社 EC会社 経済産業省省を訪問し、経緯、今後の対応⽅方針等を説明 同省省より報告書提出要請を受ける 弁護⼠士、フォレンジック調査会社技術担当者をメンバーとする 本事故調査委員会を組成 経済産業省省へ「事故発⽣生報告書」を提出 14 時系列列の対応フロー⑤ ⽇日時 6 7 当事者 EC会社 EC会社 イベント 警察署を訪問。 サイバー犯罪対策課担当者への情報提供を⾏行行うとともに、 被害届の提出及び告訴の意思を伝える カード情報の漏漏えい可能性があるお客様全員に対し、 不不正アクセスによ る情報流流出の可能性のあるお客様に対する補償についてのメールを送信 カード情報の漏漏えい可能性が⾼高いお客様全員に⾦金金券発送 調査会社より、調査結果最終報告書を受領領 8 EC会社 警察署を訪問する。サイバー犯罪対策課への情報提供を⾏行行うとともに 上記調査結果最終報告書を提出 経済産業省省へ上記調査結果最終報告書を提出 15 時系列列の対応フロー⑥ ⽇日時 当事者 9 EC会社 10 EC会社 11 EC会社 イベント 不不正アクセスに関する調査報告(最終報告)を開⽰示し、 当該リリース内容をオンラインショップ会員登録者様全員にメール配信 PCI-‐‑‒DSS準拠 オンラインショップを再開 クレジット決済を再開 16 第3 各プレーヤーの責任概観 17 各プレイヤーの責任概観 1.事業者の責任 (1) 役員責任 (2) 個⼈人情報保護法上の責任 (3) ユーザの顧客に対する⺠民事責任 2.データ流流出・消失関与者の責任 3.委託先事業者の責任 ⺠民事上・契約上の損害賠償責任 18 会社の役員責任 会社法上の役員の 内部統制構築義務 違反 情報セキュリティの管理理義務 会社(法⼈人)のみならず、役員個⼈人の責任にも 19 善管注意義務違反を回避する⼿手段 リスクの把握・評価 情報セキュリティ体制の脆弱性についての 法的側⾯面・技術的側⾯面からの把握 リスクのコントロール(除去・転化) リスクコントロール体制の 整備(運⽤用⾯面)・ 技術的措置(技術⾯面)の導⼊入 20 セキュリティ・リスクの存在を認識識しつつも、 それに対する適切切なリスクコントロールを懈怠するケース リスクに適合的な、不不⾜足のない、かつ、過度度にわたらない システム構築の選択肢の⽋欠如 セキュリティ対応策の知⾒見見不不⾜足 善管注意義務違反の有無の判断ポイントは、結果発⽣生の有無ではない。 その判断プロセスの正当性・合理理性にこそ、本質がある。 [例例] サイバーセキュリティ経営ガイドラインの履履践状況は? 21 セキュリティ・リスクが存在するにもかかわらず、 その認識識をしていないケース セキュリティ・リスクのセルフチェック(⾃自⼰己監査)の⽋欠如 セキュリティ・リスクの第三者チェック(他者監査)の⽋欠如 同業態におけるセキュリティ事故事例例の分析の⽋欠如 セキュリティの脅威に対する知⾒見見不不⾜足 22 ユーザの顧客に対する⺠民事責任 会社と顧客間 取引契約(黙⽰示的な付随義務)の債務不不履履⾏行行に基づく 損害賠責任 23 個⼈人情報漏漏えい | 損害賠償額(1) 想定事例例:ユーザの個⼈人情報の流流出事案発⽣生 最近の漏漏えい事故の損害賠償⾦金金額=⾼高額化の傾向 例例1 ⼤大洲市情報公開条例例事件 公開した情報が、政治的信条にかかわるセンシティブ情報を含んでいる ことから、1⼈人当たり5万円の損害賠償が認められる。 例例2 TBC 顧客情報流流出事件 アンケートデータや資料料請求のために⼊入⼒力力されたデータがおよそ5万⼈人分 閲覧可能。1⼈人当たり慰謝料料3万円、弁護⼠士費⽤用5千円の損害賠償が 認められる。 24 個⼈人情報漏漏えい | 損害賠償額(2) 例例3 YahooBB 事件 顧客情報(住所、⽒氏名、電話番号、メールアドレス、ID、申込⽇日)を、 業務委託先からソフトバンクBBに派遣され、同社の顧客データベースの メンテナンス等を⾏行行う業務に従事していた者が外部に転送。 それが DVD-‐‑‒R や CD-‐‑‒R に記録され恐喝未遂犯の⼿手に渡った事案。 1⼈人あたり慰謝料料 5000円、弁護⼠士費⽤用 1千円の損害賠償が認められる。 25 個⼈人情報漏漏えい | 損害賠償額(3) 裁判によらず、任意に損害を賠償した過去の事例例では 500円〜~1000円 程度度の⾦金金券・クオカードの給付が⽐比較的多い。 例例1 アミューズ社 ⇒ 500円 のクオカード 通信販売サイト「アスマート」に対する不不正アクセスにより、 14万8680⼈人の個⼈人情報(メールアドレス情報11万6911件、 クレジットカード情報3万4988件、その他)が流流出。 例例2 アプラス社 ⇒ 1000円 の商品券 クレジットカード会員7万9110⼈人分の個⼈人情報(⽒氏名、住所、性別、 ⽣生年年⽉月⽇日、電話番号、住居形態、職業区分、年年収区分)がダイレクトメール 会社に流流出。外部委託先のサーバーから情報が漏漏れた疑いが濃厚。 26 個⼈人情報漏漏えい | 損害賠償額(4) ※1万円のギフト券を給付した事案も!⇒ 三菱菱UFJ証券の例例 同社システム部元社員が個⼈人顧客148万6651⼈人分の情報(⽒氏名、住所、電話番号、性 別、⽣生年年⽉月⽇日、職業、年年収区分、勤務先名、勤務先住所、勤務先電話番号、 勤務先部署名、役職、業種)を不不正に持ち出し、そのうち4万9159⼈人分を名簿業者に 売却。これにより顧客に対して新規公開株や投資⽤用マンションの勧誘等が頻繁になさ れるようになった。 27 被害者に対する損害賠償⾦金金額 賠償額算定の基準 [出展] JNSA2011年年情報セキュリティインシデントに関する調査報告書 平均損害賠償額は、1⼈人 あたり 4万1,192円 ① その個⼈人情報の価値(センシティブ情報か否か、本⼈人を特定しやすいか否か。) ② 情報漏漏えい元の社会的責任度度(個⼈人情報の適正な取扱いを確保すべき 個別分野の業種、公的機関、知名度度の⾼高い⼤大企業かどうか。) ③ 事後対応の評価 特に、顧客の資産状況、財務内容などの秘匿匿性の⾼高い情報 28 データ流流出・消失関与者の⺠民事責任 責任根拠 外部アタック 内部者(社員) 不不法⾏行行為に基づく 損害賠償責任 雇⽤用契約の債務不不履履⾏行行 に基づく損害賠償責任 不不正競争防⽌止法に 基づく損害賠償責任 限 界 犯⼈人の探知不不可能 個⼈人の資⼒力力の問題 29 情報セキュリティに対する 内部統制システム構築のためのアクションプラン ⾃自⼰己監査のためのマッピング 「誰が」「どこに」「どんな媒体で」「いかなる情報を」「どのような⼿手段で」 ⼊入⼿手し、保管しているか? セキュリティ・リスクの洗い出しのための第三者監査 (デューデリジェンス) 「いかなる情報」が「どのような流流出経路路」で「どのくらいのボリュームで」 流流出するのか、その場合の「経済的な損害」は? 具体的なセキュリティ施策の検討へ 30 インシデント対応チームの組成 被害の調査・特定 / 原因の除去と被害の拡⼤大防⽌止措置 / 証拠保全 統括調査チーム の統括・意思決定 内部者 社⻑⾧長 外部専⾨門家 外部弁護⼠士 情報システム 法務/⼈人事 クレーム対応/広報 情報流流出経路路の ⺠民事責任の追及 クレーム対応/プレスリ 特定 刑事告訴 リース、記者会⾒見見 情報システム部 フォレンジック 調査会社 法務部 カスタマーセンタ ⼈人事部 広報部 外部弁護⼠士 PR会社 外部弁護⼠士 31 ご質問がございましたら下記まで TMI 総合法律律事務所 弁護⼠士 ⼤大井 哲也 〒106-‐‑‒6123 東京都港区六六本⽊木6-10-1 六六本⽊木ヒルズ森タワー23F Tel:03-‐‑‒6438-‐‑‒5554 Mail:[email protected] URL www.tmi.gr.jp 32 TMI総合法律律事務所パートナー弁護⼠士 ⼤大井 哲也 ⼀一般社団法⼈人クラウド利利⽤用促進機構(CUPA) 法律律アドバイザー ISMS認証機関公平性委員会委員⻑⾧長 / 経済産業省省 タスクフォース委員 クラウド・情報セキュリティに関する主な著書 「ビッグデータ活⽤用の基盤を整える 個⼈人情報保護法の改正」ビジネス法務2015年年7⽉月 「EUを筆頭にますます厳しくなる⽅方向へ”個⼈人データの域外移転規制への対応”」経理理情報 「クラウド・コンピューティングと個⼈人情報保護法」ビジネス法務2012年年1⽉月号 『個⼈人情報管理理ハンドブック』 商事法務 「クラウドセキュリティガイドライン活⽤用ガイドブック」経済産業省省商務情報政策局情報 セキュリティ政策室 33 主な取扱分野 M&A、IPO、企業間紛争・訴訟。 クラウドコンピューティング、インターネット・インフラ/コンテンツ、 SNS、アプリ・システム開発、情報セキュリティーの各産業分野における 実務に精通し、情報セキュリティマネジメントシステム(ISMS)認証 機関公平性委員会委員⻑⾧長、社団法⼈人クラウド利利⽤用促進機構(CUPA) 法律律アドバイザー、経済産業省省の情報セキュリティに関する タスクフォース委員を歴任する。 34
© Copyright 2024 ExpyDoc
