JAXA がサイバー攻撃の標的に、外部機関の秘密情報含むファイルなど漏えい
2024/07/09   契約法務, 情報セキュリティ, 不正競争防止法

はじめに

2024年6月、宇宙航空研究開発機構（JAXA）は、役職員や派遣職員の個人情報などが保存されたサーバーに対し、合計4回（2023年～2024年）のサイバー攻撃を受けたことを明かしました。一連のサイバー攻撃により、JAXAが外部企業などと秘密保持契約を結んでいる文書などにも不正にアクセスされた可能性があるとしています。

秘密保持契約の文書も流出か

2023年10月、外部機関からの通報により、JAXAに対し2023年6月に外部から不正アクセスがあったことが発覚しました。

この不正アクセスにより、内部サーバーから職員の個人情報などが漏えいした可能性があったため、JAXAでは、被害の範囲や詳しい攻撃方法などを慎重に調査してきました。発覚後は、不正アクセスを受けないよう対策を行っていましたが、その後も複数回攻撃を受け、2023年6月以降合わせて4回のサイバー攻撃があったということです。

そして、今年7月5日、JAXAは共同で業務を行っていた外部機関との情報などが漏えいしていたと明らかにしました。

報道によると、一連のサイバー攻撃のうち2023年6月の被害が最大で、JAXA職員らの個人データ5,000人分などが盗まれたということです。また、マイクロソフト社のクラウドサービス「マイクロソフト365」が不正アクセスを受け、1万件以上のファイルが流出したおそれがあると報じられています。
これらのファイルのうち、外部の企業や組織から秘密保持義務と共に提供を受けたファイルは1000以上にのぼり、中には、米航空宇宙局（NASA）や欧州宇宙機関（ESA）、防衛省などのファイルも含まれているということです。

今回行われたとされる4回のサイバー攻撃。攻撃方法についてはいずれも、インターネットからJAXA内部のネットワークに接続する「VPN機器」をハッキングし、サーバーに侵入する手口が用いられたとみられています。

一連のサイバー攻撃による情報流出を受け、JAXA側は、謝罪を行うと共に、信頼回復と再発防止に向けて対策強化に取り組むとコメントしています。

JAXAにおいて発生した不正アクセスによる情報漏洩について（国立研究開発法人宇宙航空研究開発機構）

サイバー攻撃で秘密情報が流出したら？

昨年から今年にかけて、企業や組織などがサイバー攻撃を受けたとするニュースが度々報道されています。

サイバー攻撃では社員らの個人情報のほか、対外的に秘密保持義務を負う秘密情報なども盗まれる可能性があります。サイバー攻撃により、取引先等の秘密情報の盗難被害があった場合、秘密保持義務違反の問題が生じ、損害拡大防止策の実行や損害賠償などを求められるおそれがあります。

この点、企業が出来る法的な対策としては、
・契約書内の不可抗力条項（不可抗力による契約の不履行や履行遅延について当事者が責任を負わないとする条項）に「サイバー攻撃」を不可抗力要因の具体例として明記する
・秘密保持契約書内の損害賠償に関する条項に関し、「自社の過失により情報漏洩等が生じた場合に限り賠償責任を負う」旨の内容としておく

などが考えられます。

もっとも、不可抗力や自社の無過失を主張するためには、企業側が日ごろから、通常要求されるレベルでのセキュリティ対策・サイバー対策を十分に実施していることが前提となりますので、いずれにせよ、情報セキュリティ面での備えが重要になります。

コメント

各社、対策に悩まされているサイバー攻撃問題。
警視庁は、日本企業などを攻撃していたとして、7月9日、日本・オーストリア・米国・英国・カナダ・ニュージーランド・ドイツの7カ国共同で、中国を背景とするサイバー攻撃集団「APT40」に関する手口や対策をまとめた注意喚起文書を公表しました。

APT40の攻撃の特徴として、悪意あるプログラムを添付したメールの送付やセキュリティが比較的弱い海外子会社などを通じた本社データの盗み出しなどが挙げられるといいます。

今回のJAXAの情報流出とAPT40との関連は不明ですが、いずれにせよ、個人情報や社内外の秘密情報などが流出した場合、想像以上の損害につながるおそれがあります。

日頃からセキュリティ対策を万全にしておくと共に、契約面でもリスクヘッジできるよう、備えておく必要があります。