社内体制を整え、法的リスクを減らすことが重要-「サイバーセキュリティー対策セミナー」ロンドンで開催-

(英国)

ロンドン発

2017年11月13日

在英日本商工会議所(JCCI)、アシャースト法律事務所、IIJ(インターネットイニシアティブ)ヨーロッパ、ジェトロは10月17日、「サイバーセキュリティー対策セミナー」をロンドンで開催した。サイバー攻撃を受けた側にも罰金が科された例が紹介され、英国のEU離脱後も、基本的にはEU一般データ保護規則(GDPR)に基づいてコンプライアンスを考えるべきとの指摘があった。

内部に起因する漏えいの防止は不可能

在英日本商工会議所の花岡高明事務総長は冒頭あいさつで、最近のサイバーセキュリティーの事案としてWi-Fiの脆弱(ぜいじゃく)性が発見されたことや日本の銀行の5割がサイバー攻撃を受けている例を挙げ、「サイバーセキュリティーに関する多くの会合や記事などがあるが、サイバーセキュリティーは次々に変わっていくものなので、最新の情報を持ち帰っていただきたい」と述べた。

アシャースト法律事務所の岩村浩幸弁護士は、「サイバーセキュリティーに関する法的問題の解説と事例」について講演した。英国では、ハッカーやテロリストなど外部からのハッキングによるサイバーセキュリティー事件に対して、攻撃を受けた側が当局から罰金を科された例が多くあるとし、220万ポンド(約3億3,000万円、1ポンド=約150円)を超える罰金の例を紹介した。また情報漏えいは、従業員らによるメールの誤送信やデータの盗難など内部に起因するものもあり、「これらの事故を完全に防ぐことは不可能であり、事故が起こった際に会社としての法的責任をどこまで最小限にするかが重要」と述べ、次のように解説した。

サイバーセキュリティーに絡むリスクとしては、データの持ち出しなどがある。対象となるデータには個人情報、特許出願前の研究やリリース前の映画などの知的財産、M&Aの交渉情報など企業の将来戦略も含まれ、このような情報が盗まれた場合、例えば未公開映画の場合は、インターネット上で公開すると脅迫されたり、買収計画の場合は被買収企業の株価が上昇して買収できなくなるリスクなどがあるという。一方、法的なリスクとしては、行政罰として罰金が科される場合や民事訴訟、風評被害などがある。2018年5月から適用されるEU一般データ保護規則(GDPR)は、当局から罰金が科される規制の一例だ。

岩村弁護士はサイバーセキュリティーの観点から、「GDPRは一般の企業にとって一番気にしなければならない法律。会社が個人情報を取り扱う際には、しっかりとしたITセキュリティー対策を設ける義務が含まれている」と述べ、「ほとんどの会社が個人情報を取り扱っているため、英国でビジネスをしている企業はGDPRに基づいてセキュリティーを考えていかなければならない」とした。事前に法に基づく対策を取ることにより後々の責任の回避、罰金の軽減にもつながるという。重要な点は、しっかりとした社内体制の整備、契約条件の見直し、事件発生時の弁護士までの連絡系統の確保、従業員の教育とその記録だとして、「情報管理について再度、評価をすること、会社としてどこまで対応するのか検討すること、どのようなチームを作って問題に対応するのか事前に決めることが重要」とまとめた。

複数のアンチウイルスソフトなどで多重に防御

IIJネットワーク本部プロダクト推進部副部長の久保田範夫氏は、「サイバーセキュリティー最前線 サイバー攻撃の最新情報と対策」と題し、メールを主とする攻撃について、以下のように講演した。

メールは非常に便利でビジネスに欠かせないものになっており、サイバー攻撃の手段としても使われやすい。脅威メールは、有名企業を名乗り支払いを迫るものや請求書、コピー機からのスキャンデータ送信ファイルを模したものなど多様で、共通点は心理的に思わず開いてしまう内容になっていることだ。最近のウイルス入りの添付ファイルには、「.7」の拡張子のファイルが増えている。受信するファイル形式を指定してフィルタリングすることで、こうしたファイル形式を用いた未知のウイルスの受信を防ぐことができる。

サイバー攻撃への対策としては、攻撃者は既知の脆弱性を狙ってくることが多いため、OSやアプリケーションを常に最新の状態に保つこと、データのバックアップを定期的に行い、バックデータから復元できるか試すこと、アンチウイルスソフトは単一ではなく複数の製品を導入し多重で防御することなどがある。また、添付ファイルを仮想環境で実行し、その振る舞いにより危険な情報を判断するという今までのアンチウイルスソフトと異なるアプローチで害を与えるウイルスなどを特定する「サンドボックス」技術の必要性が高まっている。

久保田氏は、サイバー攻撃メールは意図せず加害者となってしまう危険性もあるとして、「子会社などで、重要な情報は全て本社にあるから大丈夫と思っていると、攻撃者の踏み台とされ、本社へ攻撃メールが送られてしまうケースもある」と注意を促した。また、メール送信時にも、GDPRの運用開始に伴う情報漏えいのリスクマネジメントが必要とし、添付ファイルの暗号化や送信の一時保留のシステムにより、会社として誤送信対策をしておくことが重要とした。

質疑応答では、英国のEU離脱後のGDPRの運用・対策について質問があり、岩村弁護士は「英国としてもEUと同様の法律を目指しており、基本的にはGDPRに基づいてコンプライアンスを考えるべき」と回答した。

(鵜澤聡)

(英国)

ビジネス短信 909fa2ab6861d6dd

関連情報