24 危機管理, 情報セキュリティ, 民法・商法, 刑事法, その他

米映画会社がサイバー攻撃の標的に

２０１４年１２月現在、アメリカでは米映画会社「ソニー・ピクチャーズエンタテインメント」が何者かによるサイバー攻撃を受けたとして、メディアを騒がせています。このサイバー攻撃により、ソニー・ピクチャーズエンタテインメント社が劇場公開予定だった映画やＤＶＤリリース前の映画等が流出し、さらに、今後製作予定の映画の脚本もネット上にアップされる等その被害は大きく、同社にとって大打撃となりました。また、そもそも同社がサイバー攻撃の標的となった原因は、同社が、北朝鮮の金正恩第１書記の暗殺を題材にしたコメディ映画の公開を計画していたためと見られており、このサイバー攻撃には北朝鮮政府の関与も疑われ、今回の事件はハリウッドのみならず、ホワイトハウスまで巻き込んで大きくなる一方です。
一方日本でも、２０１１年には三菱重工業、川崎重工業、そして防衛関連の業界団体である日本航空宇宙工業会等のパソコンが情報を盗み取る不正プログラムに感染する大規模なサイバー攻撃を受けるなどしており、近年においては数々の企業・団体がその標的となっています。
そこで、今回は、企業がサイバー攻撃を受けた場合、企業の法務・管理部門はどのように対処すべきなのかを考えてみました。

サイバー犯罪に関する法律

一言に「サイバー攻撃」と言っても、不正アクセスや、コンピュータウイルスの流布など様々な態様の攻撃が考えられますが、一般には、２００１年の「欧州評議会サイバー犯罪に関する条約」以降、不正アクセス、コンピュータ関連詐欺、児童ポルノ関連犯罪等「情報技術を悪用した犯罪」一般を「サイバー犯罪」と呼ぶことが国際的にも一般化しています。
日本における、サイバー攻撃に対する法的対応としては、まず、刑法２３４条の威力業務妨害罪や、刑法２３４条２項の電子計算機損壊等業務妨害罪が考えられます。またウィルスに感染したファイルを送って、コンピュータを正常に使用できない状態にした場合には、刑法２６１条の器物損壊罪に問われる可能性もあります。
さらに、２０１１年には不正指令電磁的記録に関する罪（刑法１６８条の２及び１６８条の３、通称「ウイルス作成罪」）が新設されました。これにより、研究等の正当な理由がないにも関わらず、人が電子機器を使用するに際して、その意図に沿った動作をさせず、又は不正な指令を与える電磁的記録たるコンピュータウイルスを作成したり、ばらまいたりした場合は３年以下の懲役または５０万円以下の罰金、所持や保管した場合は２年以下の懲役または３０万円以下の罰金が科されることとなり、捜査当局が「パソコンに意図的に侵入させた」「記録を破壊した」など各段階を立証せずとも、「ウイルスの作成」をつかんだ段階で立件することが可能となりました。
また、もちろん、民事的には損害賠償の対象となる可能性もあります。

サイバー攻撃を受けてしまったら・・・

それでは、企業がサイバー攻撃を受けた場合、具体的にどのような対応をとるべきでしょうか。

(1)警察・弁護士など、法的対応を考えて関係各所に連絡

法務の対応としましては、もちろん、上記刑法の罪にあたるとして警察等、関係当局に連絡をしたり、民事の損害賠償について弁護士と連携したりということも必要でしょう。
しかし、サイバー攻撃により会社のコンピュータがウイルスに感染したり、会社情報が流出した場合、一刻も早くネットワーク上のセキュリティを強化し、これ以上被害が拡大しないための技術的な手を打たなければならないので、企業の法務・管理部門担当者は、上記法的対応に並行して、次の対応をすることも求められます。

(2)外部のセキュリティ専門家に連絡

それは、コンピュータセキュリティサービスを提供する専門会社に相談する等、外部の専門家に連絡することです。自社のシステム開発部門やシステム開発会社に連絡することも必要ですが、開発担当が自分たちの責任を隠すためにシステム上の脆弱性を隠ぺいし、原因追究をさらに難しくすることも考えられますし、何より、開発担当者はセキュリティの専門家ではなく、サイバーセキュリティにおいては、専門的な知識と訓練が何より必要とされるため、外部のセキュリティ専門家にいち早く連絡をとることが重要です。
そしてこの時注意しなければならない事は、コンピュータシステムについて専門的知識を持たない法務・管理部門の担当者は、絶対に自分たちで解決しようとしてコンピュータやサーバを触ってはいけない、また専門家以外に触らせてはいけない、ということです。コンピュータ犯罪における証拠は簡単に消滅・散逸してしまうものなので、サイバー犯罪の証拠を今後証拠能力を損なわない方法で採取するためにも、専門知識を持つエンジニア以外がコンピュータに触ってはいけません。

(3)サイバー攻撃対策のセミナー等を開催

外部のセキュリティ専門家、警察、弁護士等に連絡し連携を図った後は、それぞれの指示に従い、迅速かつ冷静に対応にあたることが大切です。さらに、今後、このようなサイバー攻撃を受けないために、また受けた時に適切な対応がとれるように、外部の講師を招くなどして全社員を対象としたコンピュータウイルスに対するセミナー等の啓蒙活動を行うことも必要でしょう。

最後に

上記ソニー・ピクチャーズエンタテインメントの事例のように、サイバー攻撃はその標的になってしまうと、被害がどこまでも広がってしまう可能性があります。これを機会に、是非自社のコンピュータセキュリティは安全か、また万が一サイバー攻撃を受けた場合、どのように自社では対応すべきなのか、その確認をいま一度することをおすすめします。