2017年6月28日（水）東京・秋葉原で、
情報セキュリティマネジメントフォーラム2017が開催されます。
「十分なセキュリティ投資が出来ない中、企業はどのように対策をとるべきか？」
という、多くの情報セキュリティ担当の方がお持ちの共通の悩みに対して、
サイバーセキュリティに関する法律面のプロフェッショナルとして高取弁護士にご講演いただきます。

高取弁護士には「IoT時代のリスクと責任を最小化する方策」という、
まさに現在注目されている分野におけるセキュリティのテーマをご講演いただきます。

■ 経営者が名宛人となっているサイバーセキュリティ
■ 予防からインシデント対応ーよい証拠の残し方
■ GDPR等のグローバル対応
■ 弁護士・依頼者間秘匿特権（Attorney Client Privilege）の正しい活用の仕方
■ 「 チーム」によるサイバーセキュリティの必要性

という内容でご講演頂く予定ですが、さらに詳しい内容をお伺いしてきましたので、
ぜひ御覧ください。

お題にお書きしたIoT時代のリスクと責任の最小化というのは、
すなわちサイバーセキュリティって完全に防ぎきることはできない。

間違いなくそのリスクには皆さんさらされているし、
被害に気付いていないだけで、そのサイバー攻撃はあるので、
それを防ぎきれないとまず思ったほうがよい、というのが大前提です。

そのときに、結局、企業としてなんらかの情報を漏えいしてしまった、
その情報の所有者、個人とか、あるいはその情報が漏れてしまったことによって
迷惑がかかった相手の企業とか、その方たちに対する賠償責任とか、
場合によっては刑事責任といった法的責任をどう最小化するか、

「最小化する」ということはその責任をなくす、あるいは完全になくすことが無理でも、
例えばその損害賠償の金額を減らす、あるいは監督官庁からの制裁をなるべく少なくする。

そのために法律的にどういう証拠を残しておくべきかということが主なテーマになります。

ありますね。やはり、日本の企業でも、例えば漏洩した情報によって迷惑がかかる企業がアメリカにいます。あるいはアメリカの個人の情報、あるいはヨーロッパの個人の情報、あるいはデータを管理してる主体がヨーロッパ関連の相手方だとすれば、これはアメリカの法規制やヨーロッパの法規制が関わってきます。ここがまず皆さんにあまり理解されていない。

その法的な対策というのは、日本の企業は実はグローバルなビジネスをしてるのに、自社のことを「それほどグローバルではない」というふうに勘違いされているということが多いんですね。

国境を越えてるのに、例えば少し輸出してる程度だからとか、あるいは輸入を元請けから行っているだけだからとか、おおよその顧客が日本人が主だから、うちは日本の企業、日本国内のビジネスであって、別にアメリカの訴訟対策、ヨーロッパのレギュレーションの対策はいらないって勘違いしてるんです。
だから、当然その対策もしてない。あるいはとても不十分な状態。

しかし、やはりアメリカの企業だったり、ヨーロッパの企業は、これは当然、自分の国の管轄の公権力がおり、あるいはアメリカの企業であれば、従前もそのクラスアクション、いわゆる集団訴訟に巻き込まれたりとか、陪審による裁判にも個人レベルで慣れてるので、やはりいざという時にどういうふうに責任を負うことになるのか、あるいは日常的にどういう証拠を残すかというのは、例えばアメリカの企業だと顧問弁護士も慣れていますし、企業内弁護士も豊富にいるわけですよね。だから、日本企業のように弁護士をあまり使い慣れてない企業と比べると、事故が起こった時の対応や訴訟対策等、よほど進んでるというふうに思ったほうがいいですよね。

そうですね、主に施行が迫っている、GDPRのグローバル対応、あるいは弁護士・依頼者秘匿特権の正しい活用の仕方というのは、これはアメリカの企業や、ヨーロッパの企業の多くは慣れています。

プリビレッジ（弁護士依頼者間秘匿特権 ）というシステムに慣れていて、きちんと弁護士を抱えていて、いざというときには速やかに外部の弁護士を雇う体制があるし、そこにお金をかけることに慣れてるんですけど、

日本の企業の場合は、問題が起きてすぐ弁護士に頼むということに慣れていないですし、ましてや日常レベルからうまく証拠を残せてないという意味では、この予防からのインシデント対応、よい証拠の残し方にも関わる重大な問題と思いますね。また、秘匿特権への配慮が不十分なまま、GDPR対策をオファーしているベンダーが多いのも気になります。お金をかけて、ディスカバリーの対象になる不利な証拠を増産することにつながりかねないですから。

これは、要は経産省がIPAと一緒に出した経営ガイドラインがありますよね。

これはサイバーセキュリティ経営ガイドラインと言って、
2015年の12月に制定して、その後昨年末に改訂されてるんですけども、あまり、具体的なことは書いていなくて、抽象的というか基本的なことしか書いてないんです。

この経営ガイドラインのポイントは、「こういうサイバーセキュリティ対策をしなさい」という言われてるのは、情報セキュリティのIT部門の人でもないし、法務部でもないし、誰が命じられてるかというと、経営者なんですよ。

経営者が責任者ということを明確にうたっている。

経営者に対して命じているということは、マネジメントが責任を取らなきゃいけないといし、責任を持たなければいけないということですね。

例えばその企業が、アメリカで訴訟に巻き込まれたときに、アメリカの証人尋問や、あるいはデポジションといって証拠保全的な、いろんな関連人物を引っ張り出して、例えば1日拘束されて尋問を受けることになるんですけども、その対象に、経営者がなりやすい可能性があります。

その武器として、もし、例えばアメリカの企業が日本の企業を訴える場合に、日本の企業で「責任を負うべき人は誰だ？」と言って来た時に、会長だったり社長だったりすると、その人たちを引っ張り出して来ようとして、証人尋問請求とかデポジションで「あなたを呼びますよ、アメリカに来なさい」ということを言ってきたときに、

日本の企業は従来だと、

「いやいや、経営者はそんなに細かいことまで関知していません
　私は情報セキュリティの担当者に任せてました。」

って言いがちなんですけど、これがあると、そうは言えない、言いにくんですよね。

つまり、あなたがちゃんと責任をもってやりなさいって明確に言われているのに、

「あなたが知らないこと自体まずいでしょ。
　経営ガイドラインでもあなたがやりなさいと書いてあるでしょ。
　知らないなら知らないということを法廷で証言しなさい」

というふうに、引っ張り出す武器として使われる可能性は高いと思うんです。これは経産省の方もあんまり気付いていないみたいでした。で、これを僕が、内閣府の勉強会や講演等で指摘すると、かなり皆さん驚かれて、「そういう効果もあるんですね」と、そこまでは考えが及んでいませんでしたという話をしてましたね。

そうですね。ぜひその企業の担当者の方、情報セキュリティ部門の方が
予算を取りたいときの1つの方法として、このサイバーセキュリティ経営ガイドラインを持って行って、経営者に、見せてください。

「このガイドラインは私たちの問題ではなくて、
　経営者であるあなたが主体になっていますよ。
　法廷に呼ばれる可能性があるんです」

と、これを見せながら言ってください。そうすれば多分予算増えますよ。
自分が法廷に呼ばれる可能性があるのですから。その意識は今の多くの日本企業にはないんです。だからその武器として使ってほしい。

日本のガイドラインであっても、その名宛人になっている以上、米国の裁判等で武器として使われる可能性はあるんです。

僕が言いたいのは、このガイドラインは決して悪い規定ではないし、別に経産省の方々に落ち度があるわけではないんです。

むしろ経営者の方々に自覚を持たせるだけじゃなくて、企業が適切な対策を取るには、企業の経営トップがお金を投資して体制整えなきゃいけないんですよね。だから、その武器として使ってほしいと思っています。その意味では、すごく良いガイドラインだと思っていますけどね。

そうですね。だから、やっぱり技術的にやれるだけのことをやっているか、あるいは物理的にも、対策を行っているか。また、人的に十分な対策を行っているか。

例えばシーサートの整備にしても、ちゃんとトレーニングを行っているか。あるいは、マルウェアが仕込まれているような添付メールを、簡単に開けないようなトレーニングをしているかとか人的な意味での証拠を残しておくか。

あるいは、例えば外部から僕みたいな弁護士を呼んでトレーニングしてるか、これ自体も証拠なんですよ。

証拠というのは、別に何もかっちりした、例えば指紋とかそういう科学的、客観的なものだけが証拠ではなくて、「誰かが来た」とか、例えば、「高久さんと私が今話してること」とか、その事実自体も証拠なんですよ。

だから、それをやはり日常のレベルからきちんと残しておくのは、よい証拠を残しておくという意味でとても重要です。

あともう1つ、組織的な証拠というのがあって、やはり経営者から、例えばトップダウンできちんとその情報セキュリティの部門を監督して、そこにきちんと報告のラインを設けて、あるいは、例えばデータにアクセスできる人が誰なのかということを明確にして、そのアクセス権限を制限して、そのセキュリティをかけてたかどうか、などなど。

これは物的な意味でもセキュリティをかけていたという証拠が役立つし、
人的にな意味でのセキュリティ対策も証拠になります。
そして、組織的にも適切にそのような体制を整えたかどうかも証拠づくりなんですね。

それはやはり、

「うちはあんまり経営者に報告する体制が設置・運用されていなかった、
　そのためのシーサートも置いてなかった。
　それから従業員のアクセス権限もちゃんと制限してなかった」

なんてことになると、それはもう証拠がないというよりは悪い証拠が揃ってるという状態になりますよね。

逆に、よい証拠をなるだけ揃えておくと、いざ攻撃を受けて情報が出てしまった時に、

「いやいや、うちはやれるだけのことはやってたんですと。
ほかの業界や競業他社を見ても、うち以上にやってるとこないでしょ。
でも攻められてしまうと、これはもうしょうがないことなんです」

と言えば、その法的な責任や賠償の金額が減る可能性がありますよね。
その方策を「日常レベルからちゃんとやっていきましょう」ということです。

そうですね。例えば、脆弱性テストってありますよね？

システムを実際攻撃してみて、どのぐらい弱いかっていうのをアセスメントしますよね。
それ自体はいいことなんです。

「うちは弱いっていうことが分かったから改善しよう」というためのテストであり分析ですから。

テストするまではいいんだけども、その脆弱性テストで、例えば
「ここの部分が弱いですね」と指摘されたときに、内部で不用意にメールが飛び交って、
「うちはこんなに弱いんだ、これでは秘密管理も何もあったもんじゃないね、およそ秘密管理性はうちはないというに等しいじゃないか」といったメールが残ったとしますよね。

そのメールは、将来、仮にその時点で出てしまったデータがもし問題になったりしたら、
間違いなく証拠になりうるわけですよ。

「当時から自分のところは脆弱で弱いっていうことを認めてた」という
自分の不利益な事実を認めた自白証拠を自ら残してることになってしまうんですよ。

そんな証拠が、例えば米国の裁判のディスカバリーで、不用意に出てしまわないようにするための方法が1つあって、
それは、その脆弱性テストについて、「うちの管理は弱いね」というような、微妙な評価に関わるようなコミュニケーションは、
弁護士から法的なアドバイスをもらうための目的でやってほしいんですよ。

「弁護士に法的なアドバイスをもらうために、うちは例えばデータプロテクションを含むコンプライアンスを改善する方策として脆弱性テストをしましたよ、それを整えるために、外部の弁護士から法的なアドバイスをもらうためにこのテストをして評価をします」

となれば、将来ディスカバリーで、そのコミュニケーション出せというときに、

「これは弁護士との法律相談のコミュニケーションだから、それはさすがに出せないでしょ」
と言える可能性が高まるんですね。

それを弁護士・依頼者間秘匿特権というんですけど、今、脆弱性テストを依頼して、そういう評価を会社の中にコミュニケーションとして回している会社で、そこまでケアしてる会社というのはほとんどないと思いますよ。
脆弱性テストを実施オファーしているベンダーの多くも気づいていない。

だから自分たちのお金をかけて、不利な証拠をどんどんつくってしまっている状態なんです。そこに警笛を鳴らしているんですけどね。例えばGDPRの緊急対策についても、売り込んでくるベンダーが弁護士の指示でやらないと、秘匿特権がかからないので、深刻な状況になりかねない。

ただ、これはセミナーでも言ってるんですけども、
外の弁護士に依頼して、存在した、あるいは起きた事実自体を隠せるわけではないんですよ。
脆弱だ、あるいは脆弱だったという事実自体は隠せない。
当時、“脆弱だったかどうか”ということは事実ですから、これは隠せないですよね。

ただ、その脆弱だという事実をもとに、
「うちは管理がなってないじゃないか」とか
「何やってるんだ、これはおまえの落ち度だろ」
といった評価に関わる部分は、評価自体微妙だったり、争えたりする余地があるわけで、
あえて不利な証拠として相手に渡す必要ないじゃないですか。

これは結局そのコミュニケーションの一部なので、弁護士を、法的なアドバイスを得るためのコミュニケーションとしておけば出さなくていい可能性が高まりますね。

だから、不必要に自白証拠として使われる可能性があるものを相手に渡さなくていいという話。
これをできる可能性をつくる武器のひとつが秘匿特権です。

でもこれは、こういう秘匿特権のかけ方もアメリカの企業とかヨーロッパの企業はすごく慣れているんですよ。だけど日本の企業は全然慣れてないんです。

何でかと言うと、日本にはディスカバリーというシステムがないし、従って秘匿特権で隠す必要もない。例えば独禁法違反の調査で日本の公正取引委員会が来たりすると、それは全部出さなくちゃいけなくて、秘匿特権などという観念がなく、浸透もしていないので、日本の企業って慣れてないんですよね。ただグローバルにビジネスはしているので、国境を超えた紛争で、ディスカバリーに巻き込まれることは十分ある。

特にこのセキュリティの部分に関しては、秘匿特権をかけてないばかりに自白証拠が出てしまって、例えば「秘密の管理をきちんとしていたんですか？」という論点のときに、向こうの弁護士から、

「この会社は脆弱性テストを実施していて、うちは弱いっていうことを
認めてるじゃないか。人的管理、物的な管理だけでなく、組織的な管理体制もしてないということを自ら認めてますよ。こんなメールがありますよ。」

というように、自白証拠として使うわけですよ。
それは日本の企業にとって致命的になるかもしれない。

そうなんです。それは国益に関することなので、だから日本の企業に、事実は隠せないけど、自ら不利益な自白証拠をどんどん揃える必要はないでしょうということをお伝えしたいんですね。

それは、国としても頑張って企業を啓発しなきゃいけないし、われわれ弁護士も頑張って、国際的な紛争に巻き込まれるときの心がけというのを企業に啓発しておかなきゃいけないと私は思っているんですが、残念ながら、国際弁護士と謳う人でもこの秘匿特権の論点についてはほとんどの人が知らないし、ケアしてないんですよね、経験がないから。だから非常にまずい状態になってるわけですよ。

これは経営者が名宛人となっているというところでも関連するんですけども、
要はトップダウンで予算を取って、きちんとチームを作っていて、シーサートをこういう権限を持たせる。
それから、そのインシデントが出たら、誰が、まずどの範囲で情報を共有して、
誰がいつ、例えば広報がいつ、どういうふうに発表して、誰が誰に謝るかとか、
誰がお客様に対してどういう通知を送るかとかというそのチーム体制を、
あらかじめ、その法務と知財と人事と広報という各事業部と、
ITセキュリティ対策室はもちろんですけれども、
どの部署がどういう権限を持って、どういうふうに動くか。予防の段階でどうするか。
あるいはインシデントが起きたときにどうするか、サイバー攻撃に晒されたらどうするか？ということを
きちんとチームとして決めておきましょうということです。

そして、決めておくだけではなくて、運用もできるようにしておきましょう。

美しく細かいポリシーをつくって決めている企業は多いんですよが、
それが実際運用できるかというと、これは難しい。

それはやはりトレーニングしておかなきゃいけない。それはやっぱりチーム作業ですよね。
だから、私はそのインシデントシミュレーションとかを各企業と行うときに、
なるべく法務の方だけじゃなくて、人事の人も広報の人も、事業部の人も、
もちろんIT部門の方も、できれば経営陣も全部揃えてくださいということを言うんですよね。

そのチームをまとめられるのは経営者じゃないですか。

いくら法務が言っても、、事業部が耳をかさないこともありますよね。
うるさい法律的なことを言う部署だと、煙たがられていることもありがちですから、内部では。
それをちゃんと上から言えるのは経営者しかいないですよね。

すごくジェネラルなやつは2.5時間で、目安として金額10万円でやっています。
GDPR対策等は、欧州の同僚弁護士とビデオでつなぐなどしてやっているので、すごく破格の金額です。

これはある程度オーダーメイドなんですけども、ITセキュリティ対策室、法務、あるいは広報、事業部、場合によっては人事の方に来てもらって、

例えば

「こういうメールが送りつけられて、例えば、データが保管されているサーバーはフリーズしたよ、
あるいは暗号化したから、お金を払わないと、使えないよ、というメールが来たり、
そういう報告が入ってきたとします。
どうしますか、誰に報告して、あるいは実際に個人情報や機密情報が洩れている可能性を、
どういうふうに誰が調査して、その対象となっている情報が洩れてしまった顧客の名簿があったりすると、
その該当顧客にいつ、誰が、どういうタイミングでどのぐらい報告するか、どうしますか？」

ということを、どんどん聞いていくんですよ。そうすると大体、

「それはうちの部署かな、どうかな、こっちかな？」
「うち事業部なので、それはそのセキュリティ対策室の問題なんじゃないですか？」

情報セキュリティ対策室の人は、

「いやいや、これは例えば、事業部の方のコミュニケーションの問題だからそっちだと思います」

というように、すでにキャッチボールが始まるんですよ、投げ合いが。
それ自体アウトですよね。そういう膿をどんどん出していくんですよ。

それを2.5時間全部じゃないですけども少しやってみて、
まず、こういうことがあったときの報告のラインとか、情報共有を誰がどうするかという

そのルールづくりだけじゃなくて、トレーニングもちゃんとしましょうねという、
その問題意識を認識してもらうセクション。これは10万円でやっていますね。
米国の連邦検察官で、サイバーセキュリティのヘッドをやっていた同僚と
ビデオでつないでトレーニングをすることもやっています。

高取先生の著書のご紹介を頂きました。
著書：訴訟・コンプライアンスのためのサイバーセキュリティ戦略
URL：http://www.nttpub.co.jp/search/books/detail/100002350

1つ、この本に関しては、外部からの攻撃もさることながら、もっと顕在化する問題としては内部からの持ち出し、これはさらに深刻なんですね。

皆さん、結構、サイバーアタック、
外部からの攻撃ばかり気にされるんですけれども、

実は足元とか、内部の方のアクセス、例えば、守衛の方が簡単にだまされちゃって門を通して、コンピューターの部屋に入れて、引き出しを開けられてしまうという方がよっぽど怖かったり、

また、退職をする人、あるいはヘッドハントを受けて会社を移るマネジメントがデータの入ったUSBを簡単に持ち出したりできるような状態というのが結構あって、

その内部からの持ち出しとか、あるいは外部からのアタックと内部からの持ち出しの中間的なものに対する対策を中心に書いているので、是非参考にはしていただきたいと思います。

ポイントとしては、やっぱり外部のアタックだけじゃなくて内部からの漏洩。
さらに、内部に気を付けるということは、人事部の役割もすごく重要なんですよね。
例えば人が辞めるとき、入るとき、どういう約束をさせるのか、USBをどのぐらい使わせるのか、
どういうふうに返却させるのか。それからプリントアウトした紙媒体はいつ、どうやって破棄、焼却するのかとか、そういう日常的な努力というか方策がすごく重要で、それがまさに一つ一つ証拠なんですね。

だから、この本でそれらの重要性を具体的に書いてますし、、
内部対策、中間対策、それから外部からのアタック対策というのは、
基本的には共通、つまりどういう証拠を残すかということで、
これは予防段階、それからインシデントが起きた段階、発覚、それから、
裁判等いざ戦う段階、あるいは、いざ公権力が調査に入った段階、
その3段階のスリーステップで、弁護士と、それからクライアントである企業と、
あとそのセキュリティ技術を持つベンダーが、どう協力して進めていくかという観点で、
この本についても図式、チャートを入れていますし、
そういう切り口でまとめてるので、参考にしていただきたい。

やはり紛争の段階で、あのときこうしておけばよかった、こういう情報を残しておけばよかったなって言っても、あとの祭りなんですよね。だから、予防段階が重要ですし、また、このインシデントが起きたとき、、すなわち発覚段階で例えば弁護士・依頼者間秘匿特権の活用等に失敗すると、この紛争段階が戦いにくかったりするので、常に前倒しで考えていくっていうとこですね。
ありがとうございました。