情报ネットワーク法学会2022サイバー攻撃被害公司の取引先に対する法的责任(大井哲也)12032022.辫辫迟虫
?Download as PPTX, PDF?
0 likes?792 views
サイバー攻撃被害公司の取引先に対する法的责任
情报ネットワーク法学会2022サイバー攻撃被害公司の取引先に対する法的责任(大井哲也)12032022.辫辫迟虫
- 2. スピーカーのご紹介 大井哲也|Tetsuya OI TMI総合法律事務所パートナー弁護士 TMIプライバシー&セキュリティコンサルティング株式代表取締役 2001年弁護士登録。IPO、企業間紛争。クラウド、インターネット?イン フラ/コンテンツ、SNS、アプリ?システム開発、アドテクノロジー、 ビッグデータアナリティクス、IoT、AI、サイバー?セキュリティの各産 業分野における実務を専門とし、ISMS認証機関公平性委員会委員長、社 団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省の 情報セキュリティに関するタスクフォース委員を歴任する。 データ利活用、セキュリティアセスメント、サイバー?インシデントレスポンス ? 個人データ利活用支援、 ? DMP?CDP実装支援 ? 個人情報保護法?GDPRの適合性評価およびGDPR対応?実装支援 ? クラウド導入に伴う個人情報保護法(日本法及び海外法)の適合性評価 ? 世界各国のグローバルレベルでの個人情報保護法対応 ? 個人データの「匿名加工手続き」の個人情報保護法の適法性評価 ? 情報漏えいインシデントなどインシデントレスポンス
- 3. 〒106-6123 東京都港区六本木6-10-1 六本木ヒルズ森タワー23階 TMI 総合法律事務所 弁護士大井 哲也 03-6438-5554 toi@tmi.gr.jp www.tetsuyaoi.com Facebook, Twitter “大井哲也” ご質問?ご相談は下記まで
- 5. ランサムウェア攻撃の対応ポイント 1 サイバーアタックの類型 2 インシデント発生時の対応体制 3 想定される影響 5 2次的対応 4 トリアージ 5
- 6. 1 サイバーアタックの類型 1 サイバーアタックの類型 ? ダークウェブ上で売買し換金 ?情報奪取型 ? 身代金の要求 ?データ暗号化型 ? ダークウェブ上にアップしつつ身代金の要求 ?両者のミックス型 6
- 7. ? 指揮部局、関連部局の窓口?役割分担 →特に、CISO、情報システム、法務、IR?PR の連携が重要 ? 報告ルート、報告事項 2 インシデント発生時の対応体制 2 インシデント発生時の対応体制 7
- 8. 2 インシデント発生時の対応体制 2 インシデント発生時の対応体制 統括調査チーム の統括?意思決定 情報システム 情報流出経路の特 定 法務/人事 民事責任の追及刑 事告訴 クレーム対応/広報 クレーム対応/プレスリ ス、記者会見 内部者 社長?CISO 情報システム部 法務部 人事部 カスタマーセンタ 広報部 外部専門家 外部弁護士 フォレンジック 調査会社 外部弁護士 PR会社 外部弁護士 8
- 9. ? データそのものの価値の損失 ?特許情報など技術情報の価値 ? 個人情報漏えいによる慰謝料請求の発生 ? 制御系や業務システムの稼働の停止によるサー ビス中断にともなう逸失利益 2 インシデント発生時の対応体制 3 想定される影響 3 想定される影響評価 9
- 10. ? 被害?損害状況の(初期的な)把握 →SOCからのレポーティングラインでの判断を誰がどう 行うか、特に休日?深夜の意思決定メカニズムを策定 ? システムの初期対応 →サーバ停止、ネットワークの遮断 ? 社内向け対応(注意喚起) →特に、被害拡大防止とクライアント向けの説明 2 インシデント発生時の対応体制 4 トリアージ 4 トリアージ(初動対応) 10
- 11. 警察への届出 ■警察への被害届出を行うかどうかの判断基準?考慮要素(捜査のため のシステム停止有無、業務への影響等) 少なくとも「被害届」は実施することを推奨 ① 民事?刑事的責任追及による被害回復措置の努力を果たした証跡 ② PCI-DSSでは「事実上の」要求されるケース有り 2 インシデント発生時の対応体制 5 2次的対応 5 2次的対応 11
- 12. ? 不正アクセス禁止法や業務妨害罪 ? 警察への相談時に準備する情報 ? 警察への相談?届出のタイミング ? 所轄の警察(サイバー犯罪対策担当) 2 インシデント発生時の対応体制 5 2次的対応 6 ハッキング集団に対する被害届?告訴 12
- 13. ? 対応?交渉戦略 →基本的には無視でよい ? 身代金を支払うかどうかの判断基準?考慮要素 OFAC規制への抵触問題(次頁) ? 支払った/支払わなかったことに対する対外的な説明 2 インシデント発生時の対応体制 5 2次的対応 7 攻撃者への対応 13
- 14. ? Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Paymentsが示すOFAC規制 2021年9月21日、米国財務省局(the U.S. Department of the Treasury’s Office of Foreign Assets Control)は身代金の支払いについて、OFAC規制の制裁対象とな り得る旨の勧告をリリース ?ランサムウェア被害による支払いが、OFAC規制に違反し、民事罰を含む制裁の対象 となる可能性があることを示唆 2 インシデント発生時の対応体制 5 2次的対応 7 攻撃者への対応 14
- 15. 対外公表の基準とその考慮要素 ? 適時開示義務の有無 ? 令和2年改正個人情報保護法に基づく個人情報保護委員会への報 告義務と本人への通知義務 ? 利害関係人への他の説明手段の有無 ? 他の攻撃者など模倣犯?二次被害の誘発リスク を総合判断する 2 インシデント発生時の対応体制 5 2次的対応 8 対外公表 15
- 16. ? 事案公表する場合の公表内容 ? 事案の概要 ?秘匿を要する事案内容有り ? 被害内容 ? 被害者への補償方針 ? 再発防止策 2 インシデント発生時の対応体制 5 2次的対応 9 対外公表 16
- 17. その後の進捗公表のタイミング ? 初報、続報、最終報告書の開示 ?秘匿目的で開示タイミングを遅らせる要請有り コールセンター設置の要否(Q&A作成含む) ? SNSでの拡散を想定し、公表事項と同期 2 インシデント発生時の対応体制 5 2次的対応 10 対外公表 17
- 18. ? 適用スコープ ? 原則として、属地主義。現地法人が海外の個人情報保護法の対 応義務あり。例外として、GDPRなど各国法令の域外適用の有無 の判断が必要 ? 報告義務の有無 ? 原則として各国法令において定め ? 漏えい報告期限 ? 72時間以内の短期の期間制限 ? 漏えい報告の要否 2 インシデント発生時の対応体制 5 2次的対応 11 個人情報保護当局対応(国内?海外) 18
- 19. ?IPA ?JPCERT/CC 2 インシデント発生時の対応体制 5 2次的対応 12 その他の当局対応 19
- 21. ? 取引先(サプライチェーン)からの損害賠償請求対応 ? 取引先から預かっている機密情報を漏えいさせてしまったケース ? 自社がサイバー攻撃を受け、横展開により取引先にも攻撃を許し てしまったケース ? インシデント事案の説明 ? 注意喚起 ? ビジネスメール詐欺=BEC=Business E-mail Compromise 2 インシデント発生時の対応体制 5 2次的対応 13 取引先対応(1) 21
- 22. ウィルス感染被害によるシステム停止事案発生のお知らせ(小島プレス工業株式会社 ) 2022 年 2 月 26日深夜から弊社サーバで障害を検知し、再起動して確認したところ、一部サーバで ウィルス感染を確認いたしました。???翌 27 日中には、外部専門家を含む対策チームを設置して サーバの停止、ネットワークの遮断を行い、すべてのシステムを停止。影響範囲等の特定および対策を 進めながら順次復旧作業を進めております。 1.これまでの経緯と対応 【2 月 26 日(土)】 21 時頃 弊社ファイルサーバにて障害の発生を検知 23 時頃 障害発生したサーバの再起動後にウィルス感染と脅迫メッセージの存在を確認 【2 月 27 日(日)】 未明 外部専門家協力のもと、さらなる攻撃予防のため取引先様及び外部とのネットワーク遮断 終日 全サーバを停止後、生産活動にかかるサーバのシステム稼働可否を確認し、一部復旧 【2 月 28 日(月)】 日中 ネットワーク遮断前に授受したデータをもとに生産活動を計画通り継続 夕刻 翌日分の生産活動に必要な取引先様とのデータ授受の代替手段を検討したが、 対応が困難と判断 し、関係取引先様へ連絡 2 インシデント発生時の対応体制 5 2次的対応 13 取引先対応(2)サプライチェーンリスク 22
- 23. ケース1 ランサムウェア感染被害により自社システムの稼働が停止 し、取引先との契約の履行が不能となった、または遅滞したケース ? 取引先からの損害賠償請求リスクは? ? ウィルス感染を受け自社システムの稼働が停止し、契約が履行できなかったことにつき 「過失」があると言えるか? ? ゼロデイ攻撃や当時の技術水準に照らしてサイバーアタックを防止する術がなかった ケースなどサイバー攻撃を許してしまったこと自体について「過失」無しと認定される 場合は? ? サイバー攻撃を想定したバックアッププランの欠如が「過失」と言えないか? 2 インシデント発生時の対応体制 5 2次的対応 13 取引先対応(3)取引先との責任分界点 23
- 24. ケース2 自社のマルウェア感染被害により取引先にラテラル攻撃 (水平展開)を許してしまったケース =サイバー攻撃における攻撃者が特定の環境に侵入した後、侵害を 横展開する手法 ? 取引先からの損害賠償請求リスクは? ? 自社のサイバー攻撃に対する防衛体制の整備を怠っていたことに 「過失」ありと言えるか? ? 攻撃者の取引先システムへの不正侵入を許したこととの相当因果 関係ありと言えるか? 2 インシデント発生時の対応体制 5 2次的対応 13 取引先対応(3)取引先との責任分界点 24
- 25. ケース3 自社が管理するサーバが踏み台とされ、他社にサイバー攻 撃を許してしまったケース =攻撃者は、そのシステムを踏み台として、さらに組織内部に侵入 し、または、そのシステムからインターネットを通じて外部の他社 のシステムを攻撃する ? 自社のサイバー攻撃に対する防衛体制の整備を怠っていたことに 「過失」ありと言えるか? ? 攻撃者の他社システムへの不正侵入を許したこととの相当因果関 係ありと言えるか? 2 インシデント発生時の対応体制 5 2次的対応 13 取引先対応(3)取引先との責任分界点 25
- 26. 2 インシデント発生時の対応体制 5 2次的対応 13 取引先対応(3)取引先との責任分界点 26
- 27. 2 インシデント発生時の対応体制 5 2次的対応 13 取引先対応(3)取引先との責任分界点 27
- 28. ? 取引先との契約書上の取組み ? セキュリティレベルが高い情報を扱う場合など、取引先との契約書にシステムのセキュリ ティ要件を盛り込む ? インシデント発生時の取引先への報告義務 ? システム連携をしているサプライチェーン企業に対して独自のセキュリティ基準を設定し、 定期的な監査を実施 2 インシデント発生時の対応体制 5 2次的対応 13 取引先対応(3)取引先との責任分界点 28 (出典)2022年3月31日サプライチェーンにおけるサイバーセキュリティ対策の強化について(SC3 攻撃動向分析?対策WG)
- 29. ? 令和2年改正個人情報保護法に基づく被害者への通知義 務の対応(努力義務→法的義務へ昇格) ? 被害者への任意での補償支払い ? 損害賠償請求訴訟対応 2 インシデント発生時の対応体制 5 2次的対応 14 被害者対応 29
- 30. ? 記者会見や情報開示の必要性の判断 ? 情報漏えいインシデント記事掲載への牽制 ?ハッキング集団のリークサイトから発信 →SNSやウェブメディアに伝播 →全国紙の新聞記事掲載 →時機に遅れた会社からの公表?開示は避ける 2 インシデント発生時の対応体制 5 2次的対応 15 メディア対応 30
- 31. ? ハッキングの原因となったITベンダーへの 責任追及 ? 会社に発生した損害の回復という観点からは、 検討は必須 ? 株主への説明責任 2 インシデント発生時の対応体制 5 2次的対応 16 事後的なベンダへの責任追及 31