サイバー攻撃の脅威とトップリスクマネジメント

　常に脆弱性が発見されパッチ（修正プログラム）が提供されるようなソフトウエアを利用してシステムを構築する場合には、開発ベンダーは契約時に一定期間のセキュリティ対応について保証を行った上で、その後にリリースされるパッチの対応方法についてはあらかじめ定めておくことが求められるだろう。

　たとえば、開発環境は○月○日付の最新パッチ適用のものとし、その日から利用開始時までの間にリリースされたパッチについては、運用開始以降における対応と同じと扱うなどである。システム開発時のバグと、パッチ適用に伴う不具合とを切り分けるためにも、どこかで線を引く必要はあると考える。

　調査委員会の最終報告は、開発ベンダーの責任について開発時の対応に関する責任だけに触れており、保守運用における対応に関する責任には触れていない。セキュリティ対応は運用開始以降も常に必要となることから、保守運用委託契約の中で役割分担をあらかじめ決めておく必要がある。

　ジェイアイエヌの事故後の対応は素早く、あらかじめマニュアル化されていたことがうかがえる。一方で、脆弱性のあるシステムを使い続けていたことから、パッチのマネジメント（最新のパッチ提供状況をウォッチして適用タイミングを計画し実施する）についてはマニュアル化されていなかったようだ。システム保守の一括委託とはいえ、このことが最終報告における「業務品質の管理義務」違反であるとの指摘にあたると考えられる。しかし開発ベンダー側としても、このようなサービスの提供には相応のコストが発生するため、保守運用サービスのメニューとして別途項目を立てる必要があると考えられる。

トップリスクマネジメントにおける要点とは

　企業を狙ったサイバー攻撃が多発する中で、企業は「被害者意識」ではなく、まず「加害者意識」を持つことが必要である。経営者の善管注意義務における予見可能性は、社会取引通念に照らして既に「あり」と判断される状況であると認識すべきである。

　サイバー攻撃により顧客が被った経済的損害も、500円や1000円の謝金は効果的ではあるが対症療法に過ぎない。過去の判例に照らしても、クレジットカード情報という機密度の高い情報が漏えいした場合の損害賠償額は、1人当たり10万～30万円と考えるべきだ。被害者10万人で賠償リスクは100億円～300億円に上る。企業が存亡の危機に陥るリスクと言える。さらに経済的損害に勝るとも劣らない社会的信用低下のリスクも認識しておかなければならない。

　インターネットは、その可能性の大きさと進化のスピードにおいて、これまでに人類が手にしたどんな技術ともまったく異なる。「コンピュータが地球上に生まれた」のが1941年で73年目、「インターネット運用が民間移行された」のが1995年でわずか19年しかたっていない。しかしインターネット技術は、メリットの面で超高速に進化している。同時にデメリットの面も、超高速に悪質性を高めている。

　企業がインターネット技術のメリットを利用しようとするならば、デメリット（サイバー攻撃はその一つに過ぎない）に対するコントロール（統制）なくして利用することは法的責任として認められない。

　刑事法である不正アクセス禁止法第8条は、アクセス管理者に対して（1）識別符号等の適切な管理、（2）アクセス制御機能の検証および高度化、（3）その他不正アクセス行為から防御するために必要な措置を行う努力義務があると定めた。

　刑事法的には努力義務であったとしても、民事法的には企業トップの経営上の具体的な注意義務を認定する基準を定めたものと解される。企業トップは経営上の今日的な必須事項と認識しなければならない。「セキュリティは利益を生まないから積極投資しない」との考え方は改めなければならないのである。