「結果としてルールを守ったかどうかより、守れる体制をとっているかどうかが大事だ」---。中央大学法科大学院教授で森・濱田松本法律事務所客員弁護士の野村修也氏氏(写真)は2016年3月11日、日経BP社主催の「日経BP Cloud Days Tokyo 2016」で講演した。自身が調査委員会の事務局長を務めた日本年金機構の事案を題材に、サイバー攻撃に対する組織的な取り組みのあり方を説明した。同イベントは「ビッグデータEXPO 東京 2016」「Security & Governance 2016東京」「IoT Japan 2016・東京」「Mobile & Wearable 2016春・東京」を併催している。
野村氏は講演の結論として、内部統制の最大の問題は組織の問題であるとした。特に、経営陣の意識をどう改革するかが今後の課題になる。サイバー攻撃などに対しても、「現場のシステム担当者の間では準備が進んできているが、経営層の意識が付いてきていない」と指摘する。
ルールについても、「日本は後ろ向きの点検ばかり」と指摘する。結果としてルールを守ったかどうかは重要ではなく、ルールを守れる体制をとっているかどうかが大事だとした。また、頭でっかちなルールを作って押し付けるだけでは、現場はアリバイを作ってルールを回避するだけとした。
理想的な企業組織を、野村氏はコーヒーカップ遊具(東京ディズニーランドの「アリスのティーパーティー」など)に見立てて説明した。全体が回るだけでなく、中にある個々のカップも回っている。現場と企業が一体となってPDCAを回すことが重要とした。
日本年金機構は標的型攻撃の代表事案
内部統制においては、現代では特にサイバー攻撃への対策が必要になっている。標的型攻撃という新しいタイプの攻撃が登場したことで、内部統制は大きな転換点を迎えた。野村氏は、標的型攻撃事案の代表例として日本年金機構の事件を取り上げた。この事案から企業は教訓を学ばなければならないという。
野村氏は、日本年金機構の事件のあらましを紹介した。2015年5月8日以降、124通の不審なメールを受信し、5人が開封し、31台の端末が感染した。被害として、5月21日から28日の間に125万件の個人情報を流出させた。攻撃を受けてからも小さな対処にとどまり、抜本的な対処を行わなったことが、情報の漏えいにつながった。
経緯としては、5月8日に内閣サイバーセキュリティセンター(NISC)から「不審な通信を検知した」と連絡を受けた。これを受けて、当該端末を特定してネットワークから外した。5月15日には終息したと判断した。送信元メールアドレスからの受信を拒否するといった設定も行わなかった。
5月18日には再度、不審メールが届いた。5月22日にはNISCから「不審な通信を検知した」と連絡を受けた。この時も、当該端末を特定してネットワークから外した。該当拠点のインターネットアクセスも遮断したが、情報を流出させてからようやく、5月29日に機構全体のインターネットアクセスを遮断した。
