【アメリカの人事部】サイバーセキュリティリスクへの法的対応~事前準備の重要性~

 

 

 

 

 

 

サイバーセキュリティリスクへの法的対応~事前準備の重要性~

 


概要

昨今日本でも大きな話題となっている企業に対する「サイバー攻撃」。顧客や従業員等の個人情報の漏洩は企業の社会的評価を含め甚大な損害をもたらします。本稿では、法的観点から、サイバーセキュリティリスクに企業はどのように向き合っていくべきかにつき解説します。


 

はじめに

2021年夏に開催された東京オリンピック・パラリンピックの期間中、大会運営に関わるシステムやネットワークに対して合計4億回を超えるサイバー攻撃が行われたことが大きな話題となりました(実害は発生せず)。また、大企業がいわゆるランサムウェア攻撃1を受け、ハッカーに対して身代金を支払ったという事案2も決して珍しいものではなくなりました。

 

このように、サイバー攻撃への備え、すなわちサイバーセキュリティの構築はいまや企業にとって喫緊の課題となっているといえます。しかしながら、自社サーバーのセキュリティを強化するといった技術的な対応策は思いつくとしても、法的に企業が(ひいては善管注意義務を負う役員が)どのような行動を取ることが必要か、という点については必ずしも明確に把握していない企業関係者の方も多いのではないでしょうか。

 

*********************

1 悪意あるソフトウェア/コードを指すマルウェアの一つであり、感染したコンピュータの利用者のシステムへのアクセスを制限する。利用者のアクセスを制限したうえで、解除のために(個人情報の公開を交渉材料にする場合もあり)身代金の支払いを要求するパターンが典型的です。


2 米国では 2021年だけでも、コロニアル・パイプライン社や JBS Foodsの米国子会社に対するランサムウェア攻撃の結果、当該企業が数百~数千万ドル規模の「身代金」を支払うに至ったという事件が発生しています。

 

 

今回は、サイバーセキュリティリスクへの企業としてのあるべき対応策について、法的観点からご紹介します。なお、サイバー攻撃の手法については、日々複雑化、変化を重ねており、企業として求められる対応の内容や程度もリスクの大きさに伴って日々変動するため、(以下にも述べるとおり)常に最新の状況に応じた対策を講じることが必要となってくる点にご留意ください。

 

 

サイバーセキュリティリスクと役員責任の関係性

まず前提として、サイバーセキュリティ体制の構築が役員の善管注意義務との関係でどのような意味を持つかを簡単に説明します。

 

役員が企業/ステークホルダーに対して負う義務(すなわち善管注意義務)は、「企業活動に内包されるリスク」の存在を前提に、「当該リスクを避ける」点にあるといえます。サイバーセキュリティとの関係では、企業活動との関係でサイバー攻撃を無視することはもはやできない昨今の状況に照らすと、具体的にどのようなリスクが存在し、いかにしてそのようなリスクを回避し企業価値を守るかという点の検討及び実行が、役員の善管注意義務の一端として要求されているといえます。

 

なお、企業活動が内包するリスクに関して、サイバーセキュリティについては、企業活動のグローバル化に伴い、本国のみでなく海外におけるセキュリティも注視する必要がある点に留意が必要です。例えば、海外子会社と日本の親会社が共通のサーバーを使用している場合、海外子会社サイドに対するハッカー攻撃が発生すると、親会社の保有する日本サイドの情報までもが漏洩対象となる、といった具合であり、海外子会社、場合によってはサプライチェーン上に存在する他社のセキュリティ状況の確認までも必要となってくるのです。

 

 

サイバーセキュリティ体制構築の重要性

上記のとおり、役員の善管注意義務の観点からも、サイバーセキュリティ体制を構築することは重要な企業課題となります。具体的には、①サイバーセキュリティ事案の発生防止を志向した危機管理体制、②有事を想定した事前準備、及び③迅速かつ適格な有事対応の整備がサイバーセキュリティ体制の要になるといえます。

 

サイバー攻撃の内容が複雑化・多様化している現在、完全なセキュリティを敷くことは著しく困難です。一方で、企業として、万が一の事象が発生したとしても、事前に尽くせるだけの合理的措置は尽くしていたと主張できること、また、事態発生後に迅速かつ適格な対応を行ったと主張できることが、被害を最低限に食い止める上で極めて重要であることから、「事前準備」がサイバーセキュリティリスクに対峙する企業にとって何よりも重要なポイントであることを意識することが必要です。

 

以下では、特に事前準備の側面に焦点を当てたうえで、それぞれの対応事項について実務的観点から紹介していきます。

 

 

危機管理体制の構築:組織的な「心構え」の確立

取締役の役割としての明確化

上記のとおり、役員が負う善管注意義務の一端としてサイバーセキュリティ体制の構築・運用を位置付けることができるところ、このことを目に見える形で明確化すること(例:関連社内規定における取締役の管掌事項の一つとして、「サイバーセキュリティ体制の構築・運用」を挙げる等)が重要です。

 

また、既に欧米では多くの企業が導入しているとおり、取締役会や経営会議等の企業内の重要な意思決定機関における議題に自社のサイバーセキュリティに関する事項を加えることも重要です。なお、実際の検討内容や検討状況について議事録その他の記録を残すことも、万が一の事象が発生した場合の対応を見据える中で必要な対応といえます。

 

最後に、既に述べたとおり、企業活動の複雑化・グローバル化が進むなか、自社のみでなく関連会社におけるサイバーセキュリティ体制についても注視・監督できる体制を構築することがますます重要になってくるといえます3

*********************

3 なお、グループガバナンスとの関係では、海外子会社のガバナンス体制に対する過度な干渉は同時に法人格否認(Piercing Corporate Veil)という別途のイシューを生じさせることから、海外子会社の独立性は維持しつつグループ全体として万全のサイバーセキュリティ体制を構築するというバランス感覚に根ざした対応が要求される留意が必要です。

 

人材教育の重要性

この点、役員限りでサイバーセキュリティの重要性を認識するだけでは十分なサイバーセキュリティ体制の構築とはいえません。実務を担う各従業員が、サイバーセキュリティのなんたるか、どのような点に留意すべきかといった点を正確に理解していることが必要となります。

 

なお、人材教育に際して留意すべきは、管理部門の従業員/現場担当となる従業員それぞれが「各自の役割に応じた」十分な教育を受けられるようにする点です。この点、具体的な教育実施に際して、セキュリティの専門家や法律専門家の指導を仰ぐことも効果的であるといえます。

 

内部規定の整備

人材教育の点とも関連しますが、社内規定においてサイバーセキュリティに関する社内ルール・心構えをポリシーとして明確化することは、見落とされがちですが非常に重要なポイントです4。具体的には、以下のような内容を規定することが必要となってきます。

 

・従業員/現場担当者の一般的責務

・規定の適用対象となる情報等の画定

・具体的なセキュリティ対策の内容(情報等の取扱方法や禁止事項の設定)

・有事対応(情報漏洩等発生時の対処手順等)

・社内教育その他の一般的事項等

 

具体的に社内規定を整備するに際しては、各企業が対面するサイバーセキュリティリスクの性質に応じた内容の検討が必要となってくるため、内部規定整備の重要性に照らすと、外部専門家の助言を仰ぐことも十分合理的な判断といえます。

 

具体的な対策の導入及び運用

社内研修や会議体、社内規定を通じた体制を整備したうえで、具体的な対策を講じることとなります。ここで具体的にどのような対策を講じるかは、企業の活動内容や取り扱う情報等の性質、既存のセキュリティ状況を踏まえ検討していくこととなります。

 

冒頭にも述べたとおり、企業/役員は自社の内包するリスクを正確に把握し、これに対処する義務を負うという前提に立ち返って検討を進めることが必要です。例えば、システムに脆弱性が発見されたのであれば直ちにそこへの対処を(更にいえばその前提となる脆弱性有無の確認を)、在宅勤務が増加するなかで従業員の使用 PC についてのルールが明確でないのであれば即刻ルールづくり及び周知徹底を、といった具合に、まずは現状認識、その次に迅速かつ適格な対応という形で対策の導入及び運用を進めることとなります。

 

その他の事前準備

上記各プロセスの他、自社のサイバーセキュリティリスクが実際のどの程度のインパクトを有するものか(=金銭的評価/プライシング)を踏まえ、場合によっては、サイバーセキュリティ保険への加入やセキュリティ会社への外部委託等のリスク分散手法を採用することも一つの検討事項になってきます。

 

*********************

4 この点、一般的に「サイバーセキュリティポリシー」というとウェブサイトに掲載される利用者・顧客向けのポリシーを思い浮かべがちですが、ここでは純粋な社内規定(例えば Information Privacy Policy 等)におけるサイバーセキュリティ関連の規定設定を想定しています。

 

 

事後対応について

事後対応については簡潔に述べるに留めますが、まずは状況の迅速な把握及び対策チームの組成(外部専門家への委任を含む)必要であり、これまで述べてきた諸々の事前準備は、有事対応の迅速性確保のためにも存在するといえます。とりわけ情報漏洩に関しては、時間の経過に比例して企業のダメージが拡大していくことから、担当者限りでの処理を試みるといった対応ではなく(そのような対応は却って証拠隠滅等のより不利な状況に企業を貶める恐れが高くなります)、内部共有・外部開示や原因究明その他の再発防止策の策定を含めた方針検討への迅速な移行が必要となります。

 

なお、とりわけ米国においてはディスカバリー制度が存在し、関係者には証拠保持義務が課せられることから、情報漏えいが発生した場合、事態の把握に加え、関連する資料やコミュニケーションの破棄・改変が生じないように徹底すること(まずはそのような必要があることについての平時からの意識付け)が必要となる点、日本企業が見落としがちな留意点として申し添えておきます。

 

 

おわりに

本稿では、近年ますます重大な企業課題となってきているサイバーセキュリティ関連リスクについて、どのように対処すべきかという点について、法的側面から分析を行いました。

 

冒頭にも言及しているとおり、残念ながら「自社は絶対安全」と断言できるセキュリティ体制を構築することが難しいというのが、現在のハッカー等によるサイバー攻撃の状況を踏まえた客観的な評価になるかと思います。

 

しかしながら、だからこそ、実務上どこまでできるのか、どこまですべきなのかという点がより重要なポイントになってきており、外部専門家の助言も受けつつ、社内で適切な事前準備体制を構築していくことが、企業の保有する「情報」の価値がますます増大していく現代社会の中で重要な企業の取組事項となるのであり、本稿を踏まえ、企業の皆様が自社・自社グループ(ひいてはサプライチェーン)のサイバーセキュリティ体制について再考する契機となれば幸いです。

 

(2022年2月現在)

 

 

※この記事に関してご質問は、SGR法律事務所まで、お気軽にお問い合わせください。

   

                                                                            


 

  【執筆】

    

 

SGR法律事務所

弁護士

佐賀洋之

https://sgrlaw.com/practices/japan-practice-team/

Email : hsaga@sgrlaw.com

 

【プロフィール】

2014年東京大学法科大学院修了。2015年弁護士登録。同年よりアンダーソン・毛利・友常法律事務所外国法共同事業にて執務。コーポレート(株主総会対応・M&A を含む業務提携・グローバル報酬プランの設計等)、国内外のベンチャー企業に対する投資案件、独占禁止法・下請法対応、国内外の訴訟対応等を主たる業務分野として活躍。2021年米国コロンビア大学ロースクール(LL.M.)修了。2021年 8月から SGR法律事務所にて交換弁護士として執務。

 

 

Smith Gambrell Russel (SGR) 法律事務所:

SGR 法律事務所は、1893 年に創設された創業 129年のジョージア州アトランタ市発祥の米国総合法律事務所です。全米各地ニューヨーク(NY)、ロサンゼルス(CA)、ワシントンDC、マイアミ・ジャクソンビル(FL)、オースティン(TX)、シャーロット(NC)、シカゴ(IL)と海外ではイギリスとドイツにオフィスを構え、約 300人の弁護士が所属しています。

取扱分野は、法人設立、各種契約、M&A・合弁・業務提携、雇用・労務、訴訟・紛争、企業誘致・助成金交渉、 貿易・通商関連、環境、建設、不動産、知財、倒産、税務、遺産相続計画、年金・福利厚生、海事、 サイバーセキュリティ・情報保護法、移民法・ビザ等、企業法務全般をカバーしています。全米法 律事務所ランキング・トップ 200(Am Law 200)にも継続して選出されています。日本チームは、 上記の総合法律サービスを日本語により提供しています。詳しくは、SGR 法律事務所の日本語ページをご参照ください。 https://www.sgrlaw.com/practices/japan-practice-team/

 

※免責事項:上記の内容は、一般的な説明にすぎません。具体的な状況に応じた法的助言または専門家意見として解釈しないようご留意ください。ご不明な点がございましたら、SGR法律事務所までお問い合わせください。

 

米国弁護士 小島清顕 kkojima@sgrlaw.com

 

 

米国弁護士 猪子晶代 ahewett@sgrlaw.com

 

 

 


 

●「アメリカの人事部」ニュースレターのお申込み

クイックUSAは「アメリカの人事部」を発足し、在米日系企業様向けにニュースレターを配信させていただいております。アメリカでビジネスを遂行していくために、必ず知っておかなければならない法律、人事・労務、ビザなどの最新ニュースを定期的にお届けしております。

 

「アメリカの人事部」のニュースレターをご希望の企業様は、下記までお気軽にお申し付けください。   「アメリカの人事部」のニュースレターお申込みご希望の方はお手数ですが、会社名、ご担当者様氏名、役職、電話番号、会社のご住所、E-mailアドレスを明記の上、下記E-mailアドレスまでご連絡くださいますようお願いいたします。 

 

E-mail:info-usjinjibu@919usa.com  

 

     

 

「アメリカの人事部ニュースレター」のバックナンバーをご希望の方は、 E-mail:info-usjinjibu@919usa.com まで、 ご希望のナンバーをお気軽にお知らせください。  

 

【バックナンバー】  

No.1 日本の人事について、トランプ政権発足以降のビザ取得の状況

No.2 人事が知っておくべき高額医療/消費者保護法(CCPA)施行/感染症対策

No.3 コロナウィルス拡大で米国CDCも推奨「在宅勤務」について/シックリーブ

No.4 在宅勤務特集/在宅勤務に関するQ&A

No.5 コロナウイルスに関するQ&A/WiFiの規定/より快適な在宅勤務のコツ

No.6 CDC雇用者向けページを確認しよう/After COVID-19の訴訟について

No.7 ポスト・コロナの職場環境/ビザ取得の状況/WEB面接のコツ

No.8 出社への不安という理由/職場再開における適正な準備と手順

No.9    Return to Workのポリシーを作ろう/オフォス再開に関する一問一答

No.10  コロナ禍で考える「評価制度の構築」/ Don’t be silent ~アメリカの人事は差別との闘いであるから

No.11 移民法、雇用調整助成金(ERC)最新情報

No.12 失業保険の不正受給が急増/評価制度Q&A

No.13 職場におけるコロナ関連訴訟/ オフィス対策/ 感染テスト

No.14  ジョブ型?メンバーシップ型?/自主隔離を終了させる新たなガイドライン

No.15  CA州無給休暇と収入保障/強い企業になる!ブラックスワン比較とは

No.16 ポストコロナの新入社員研修/最新移民法/リモート採用注意点/失業率の推移、学校再開Q&A

No.17 訴訟が多いワースト10/コーチングの活用目的

No.18 緊急有給シックリーブ法の改定/リモートでのコミュニケーション

No.19 各州の雇用に必要な給与額/従業員が感染!会社としての対策とは

No.20 2021年は2.6%昇給すべきか?!/採用もマーケティングと同じ

No.21 バイデン新政権誕生で変わる今後の雇用情勢/H1b申請新基準

No.22 企業が提供する祝日と割合/オンラインホリディパーティゲーム9選

No.23 医療費は上がり続けるのか?

No.24 2021年有給シックリーブ法/何はなくともブランディング

No.25 グラフで振り返る2020年/新世代のコミュニケーションCPaaSとは

No.26 ワクチン接種を強制しますか?/H-1Bビザ抽選プロセスの変更案について

No.27 大統領令と法律の違い/医療費控除を最大に/州政府の仕事を請け負うには

No.28 従業員ベネフィットのトレンド/COVID後のオフィスデザイントレンド

No.29  COVID-19救済法と人事関連情報/コミュニケーションは進化する/音声メディアを考えてみる

No.30  2021年ハンドブック更新の拠り所/まだ間に合う!節税のためのIRA/クラウドサービス利用の秘訣

No.31 大麻使用許可による職場規定とドラッグテストの影響/永遠に勝てる組織を作るには

No.32  あなたの給料はAIが決めてもよいか?/駐在員が絶対に知らないといけない個人税務知識

No.33  アメリカの失業保険制度と給付金/最近のアメリカ移民法事情/日本帰国のポイント  

No.34  リモートワークでの雇用と離職について/短期の離職を抑えるためにできること/音声メディアを考えてみる Part:2

No.35  CA州はマスクを外せないのか?/ここだけは押さえておきたいIRS

No.36  新法HERO Act法とは?/「小さな物語」が組織を変える

No.37  学生スポーツのビジネス化/ リモート、ハイブリッドでの新人教育

No.38  なぜ過去の給与履歴を質問してはいけないのか?/ オンラインビジネスの主な形態  

No.39  来るべき人材採用難と従業員の離職対策/ 新しい「働く」をデザイン-オフィス再開に向けて-/ 「日本型」ジョブ型雇用が抱える課題 

No.40  出張の回復は2024年/ 予定納税ってなに?自分には関係ある? 

No.41  日本にあってアメリカにないものは?/変化の時代ころ「パーパス」について語り合う

No.42  リモートワーク下での人事評価/ 駐在者へのトレーニング

No.43  2019年からの求人数・雇用数の推移/駐在員のジレンマ~相手の価値観と自分の価値観~/米国大使館のEビザ申請の現状

No.44  2022年のSalaryトレンド。インフレ+人手不足で昇給率は更に上がるか?/コロナ後の新しい雇用のカタチ/アメリカ進出!BtoBマーケティングの基本となる8つのポイント

No.45  ワクチン接種を拒む従業員への対応/昇給・給与設定にありがちな問題!~問題を回避する秘訣とは?!~/クラウド時代のネットワークを実現するSecure Access Service Edge(サシー)

No.46 雇用者数の推移と、重要な数値/GILTI(米国外軽課税無形資産所得)とFDII(外国稼得無形資産所得)

No.47  2022年カリフォルニア州の人事関連 新しい法律

No.48  コロナ禍によるパワーシフト | その会議に心理的安全性はありますか?

No.49  各州での最低賃金の上昇 | 日系企業の意識改革の試み

No.50  評価制度を止めた企業はどうなったか? | H-1B、E、Lビザ配偶者の就労許可について

No.51  2022年は日系企業のDEI元年| 個人の確定申告で注意すべき4つのポイント

No.52  健康保険加入でCOVID-19の自宅検査キットが無料に | 人材難が続くアメリカのGreat Resignation~いま何が起こっているのか~

No.53  2022年アメリカの物価上昇と昇給への影響は? | あなたは、どのように組織に「社会化」していますか?

No.54  複雑化し、高度化するアメリカHR  | リモートワークと企業文化の維持~アポロ宇宙船基地のトイレ清掃員の目的意識と通ずるところ

No.55  COVID-19以降のキャリアとライフスタイル | アフターコロナ新たな課題~人材採用で一役買うかもしれない新たなサービス~

No.56 【報酬】募集広告にサラリーレンジの開示義務(アメリカ流ジョブ型雇用義務化の流れ) | 日米税務当局間の金融口座に関する情報交換

No.57  DEIのEを知る | 職場で気を付けたい年齢発言

No.58  幅広いメンタルヘルスのベネフィット | 1on1で対話をすると組織の何が変わるのか? ~4ヶ月で起こせる変化~ | カナダ、メキシコ国籍保有者がアメリカ就労を可能にする専門職ビザ ”TNビザ”とは

No.59 リモートワークは是が非か? | アメリカの安全な都市。テキサス州のフリスコ市とマッキーニ市が1位2位!

No.60  Exempt 従業員は時間管理が出来るのか? | 「急がば回れ」が機能するとき

 

 


 

【アメリカでのご採用をご検討中の企業様へ】

 

★採用でお困りなことはありませんか?

クイックUSAでは、アメリカでのご採用のお手伝いをしています。

フルタイム、パートタイム、派遣等、御社のご採用のお手伝いをさせていただきます。

お気軽に下記までご連絡ください。  

 


 

●人事・労務関連のご相談にも応じております。

クイックUSAではハンドブックの作成・見直し、ジョブディスクリプションの作成、セクハラ防止セミナーの開催など、 人事労務関連のご相談も承っております。内容、お見積りなど何でもお気軽に下記までご相談ください。  

 

QUICK USA, Inc.

 

[New York Office ](Headquarters)

8 West 38th Street, Suite 802, New York, NY 10018

Email:quick@919usa.com

Phone: 212-692-0850  

 

[Los Angeles Office ]

1995 W.190th Street, Suite 200 Torrance, CA 90504

Email:quickla@919usa.com

Phone: 310-323-9190  

 

[Dallas Office ] 

5851 Legacy Circle, Suite 600, Plano, TX 75024 

Email:quicktx@919usa.com

Phone: 469-626-5265 

 


 

【アメリカでのご転職・就職をお考えの方へ】

 

アメリカでのお仕事探し、就職・転職はクイックUSAにお任せください。

弊社のサービスにご登録がお済みでない方は、まずは英文履歴書のご登録をお願いいたします。

www.919usa.comより、オンライン登録をしていただくか、

quick@919usa.comまでE-mailにて英文履歴書を添付ファイルにてお送りください。

折り返しご連絡させていただきます。  

 

※クイックUSAではニューヨークとロサンゼルスを拠点に全米で、留学生や社会人の求職者に対してアメリカでの就職・転職のお手伝いをしています。ご紹介しているお仕事は、金融、会計、IT、輸出入、人事、営業など多岐に渡ります。  

 

雇用形態はお仕事をお探しの方のライフスタイルに合わせて、 フルタイムのお仕事とテンポラリーのポジションをご紹介。 クイックUSAでは経験豊富なリクルーターが、求職者の皆様一人ひとりのご希望などを伺いアメリカでのキャリアプランを一緒に考えさせていただいています。 アメリカでお仕事をお探しであれば、アメリカ求人多数のクイックUSAに是非ご登録ください!(無料)  

 


 

★★クイックUSAにレジュメのご登録がまだの方は、今すぐご登録ください!★★

 

 

 

クイックUSAでは、ご登録者の方に対して無料のキャリアカウンセリングを実施しています。
★★Emailにてレジュメを送るだけで登録完了のエクスプレス登録もご利用いただけます!★★

         

 

 

アメリカで現在お仕事をされている方、OPTや学生の方など、現在アメリカに住んでいらっしゃる方へ
アメリカでのご転職・就職で何かご質問がございましたら下記よりご連絡ください。

 

 

   


 

[New York Office ](Headquarters)

8 West 38th Street, Suite 802, New York, NY 10018

Email:quick@919usa.com

Phone: 212-692-0850  

 

[Los Angeles Office ]

1995 W.190th Street, Suite 200 Torrance, CA 90504

Email:quickla@919usa.com

Phone: 310-323-9190  

 

[Dallas Office ] 

5851 Legacy Circle, Suite, TX 75024

Email:quicktx@919usa.com

Phone: 469-626-5265 

 


 

    

 
クイックUSAでは、LinkedinLINE、InstagramFacebookTwitterでも情報発信をしています。是非、フォローお願いします。