もしもサイバー攻撃を受けてしまったら・・・
2014/12/24   危機管理, 情報セキュリティ, 民法・商法, 刑事法, その他

米映画会社がサイバー攻撃の標的に

2014年12月現在、アメリカでは米映画会社「ソニー・ピクチャーズエンタテインメント」が何者かによるサイバー攻撃を受けたとして、メディアを騒がせています。このサイバー攻撃により、ソニー・ピクチャーズエンタテインメント社が劇場公開予定だった映画やDVDリリース前の映画等が流出し、さらに、今後製作予定の映画の脚本もネット上にアップされる等その被害は大きく、同社にとって大打撃となりました。また、そもそも同社がサイバー攻撃の標的となった原因は、同社が、北朝鮮の金正恩第1書記の暗殺を題材にしたコメディ映画の公開を計画していたためと見られており、このサイバー攻撃には北朝鮮政府の関与も疑われ、今回の事件はハリウッドのみならず、ホワイトハウスまで巻き込んで大きくなる一方です。
一方日本でも、2011年には三菱重工業、川崎重工業、そして防衛関連の業界団体である日本航空宇宙工業会等のパソコンが情報を盗み取る不正プログラムに感染する大規模なサイバー攻撃を受けるなどしており、近年においては数々の企業・団体がその標的となっています。
そこで、今回は、企業がサイバー攻撃を受けた場合、企業の法務・管理部門はどのように対処すべきなのかを考えてみました。

サイバー犯罪に関する法律

一言に「サイバー攻撃」と言っても、不正アクセスや、コンピュータウイルスの流布など様々な態様の攻撃が考えられますが、一般には、2001年の「欧州評議会サイバー犯罪に関する条約」以降、不正アクセス、コンピュータ関連詐欺、児童ポルノ関連犯罪等「情報技術を悪用した犯罪」一般を「サイバー犯罪」と呼ぶことが国際的にも一般化しています。
日本における、サイバー攻撃に対する法的対応としては、まず、刑法234条の威力業務妨害罪や、刑法234条2項の電子計算機損壊等業務妨害罪が考えられます。またウィルスに感染したファイルを送って、コンピュータを正常に使用できない状態にした場合には、刑法261条の器物損壊罪に問われる可能性もあります。
さらに、2011年には不正指令電磁的記録に関する罪(刑法168条の2及び168条の3、通称「ウイルス作成罪」)が新設されました。これにより、研究等の正当な理由がないにも関わらず、人が電子機器を使用するに際して、その意図に沿った動作をさせず、又は不正な指令を与える電磁的記録たるコンピュータウイルスを作成したり、ばらまいたりした場合は3年以下の懲役または50万円以下の罰金、所持や保管した場合は2年以下の懲役または30万円以下の罰金が科されることとなり、捜査当局が「パソコンに意図的に侵入させた」「記録を破壊した」など各段階を立証せずとも、「ウイルスの作成」をつかんだ段階で立件することが可能となりました。
また、もちろん、民事的には損害賠償の対象となる可能性もあります。

サイバー攻撃を受けてしまったら・・・

それでは、企業がサイバー攻撃を受けた場合、具体的にどのような対応をとるべきでしょうか。
①警察・弁護士など、法的対応を考えて関係各所に連絡
法務の対応としましては、もちろん、上記刑法の罪にあたるとして警察等、関係当局に連絡をしたり、民事の損害賠償について弁護士と連携したりということも必要でしょう。
しかし、サイバー攻撃により会社のコンピュータがウイルスに感染したり、会社情報が流出した場合、一刻も早くネットワーク上のセキュリティを強化し、これ以上被害が拡大しないための技術的な手を打たなければならないので、企業の法務・管理部門担当者は、上記法的対応に並行して、次の対応をすることも求められます。
②外部のセキュリティ専門家に連絡
それは、コンピュータセキュリティサービスを提供する専門会社に相談する等、外部の専門家に連絡することです。自社のシステム開発部門やシステム開発会社に連絡することも必要ですが、開発担当が自分たちの責任を隠すためにシステム上の脆弱性を隠ぺいし、原因追究をさらに難しくすることも考えられますし、何より、開発担当者はセキュリティの専門家ではなく、サイバーセキュリティにおいては、専門的な知識と訓練が何より必要とされるため、外部のセキュリティ専門家にいち早く連絡をとることが重要です。
そしてこの時注意しなければならない事は、コンピュータシステムについて専門的知識を持たない法務・管理部門の担当者は、絶対に自分たちで解決しようとしてコンピュータやサーバを触ってはいけない、また専門家以外に触らせてはいけない、ということです。コンピュータ犯罪における証拠は簡単に消滅・散逸してしまうものなので、サイバー犯罪の証拠を今後証拠能力を損なわない方法で採取するためにも、専門知識を持つエンジニア以外がコンピュータに触ってはいけません。
③サイバー攻撃対策のセミナー等を開催
外部のセキュリティ専門家、警察、弁護士等に連絡し連携を図った後は、それぞれの指示に従い、迅速かつ冷静に対応にあたることが大切です。さらに、今後、このようなサイバー攻撃を受けないために、また受けた時に適切な対応がとれるように、外部の講師を招くなどして全社員を対象としたコンピュータウイルスに対するセミナー等の啓蒙活動を行うことも必要でしょう。

最後に

上記ソニー・ピクチャーズエンタテインメントの事例のように、サイバー攻撃はその標的になってしまうと、被害がどこまでも広がってしまう可能性があります。これを機会に、是非自社のコンピュータセキュリティは安全か、また万が一サイバー攻撃を受けた場合、どのように自社では対応すべきなのか、その確認をいま一度することをおすすめします。

関連サイト

サイバー攻撃~狙われた防衛関連企業~ 企業法務ナビ
サイバー犯罪対策にご協力を! 鹿児島県警察
サイバー攻撃を受けたら何をするべきか TOTEC

シェアする

  • はてなブックマークに追加
  • LINEで送る
  • TKC
  • 法務人材の紹介 経験者・法科大学院修了生
  • 法務人材の派遣 登録者多数/高い法的素養

新着情報

公式メールマガジン

企業法務ナビでは、不定期に法務に関する有益な情報(最新の法律情報、研修、交流会(MSサロン)の開催)をお届けするメールマガジンを配信しています。

申込は、こちらのボタンから。

メルマガ会員登録

公式SNS

企業法務ナビでは各種SNSでも
法務ニュースの新着情報をお届けしております。

企業法務ナビの課題別ソリューション

企業法務人手不足を解消したい!

2007年創業以来、法務経験者・法科大学院修了生など
企業法務に特化した人材紹介・派遣を行っております。

業務を効率化したい!

企業法務業務を効率化したい!

契約法務、翻訳等、法務部門に関連する業務を
効率化するリーガルテック商材や、
アウトソーシングサービス等をご紹介しています。

企業法務の業務を効率化

公式メールマガジン

企業法務ナビでは、不定期に法務に関する有益な情報(最新の法律情報、研修、交流会(MSサロン)の開催)をお届けするメールマガジンを配信しています。

申込は、こちらのボタンから。

メルマガ会員登録

公式SNS

企業法務ナビでは各種SNSでも
法務ニュースの新着情報をお届けしております。

企業法務ナビに興味を持たれた法人様へ

企業法務ナビを活用して顧客開拓をされたい企業、弁護士の方はこちらからお問い合わせください。