© 2

015

Mor

gan,

Lew

is &

Boc

kius

LLP

ハッキング・サイバー攻撃日本企業が採るべき具体策と法的手段

マーク L. クロトスキデービッド I. ミラーフィールズ・竹田 公子

2015年12月3日

概要

•サイバー攻撃の情勢

•サイバー攻撃やプライバシー侵害における共通の課題

•規制関連問題

•データ漏洩/侵害発生時の対応

2

サイバー攻撃の情勢

サイバースピオナージ（諜報活動）及びサイバー攻撃は深刻な脅威である

「精巧なサイバー攻撃がもたらす脅威は、国家支援の後ろ盾を持つハッカー、雇われ敏腕ハッカー、サイバーシンジケート組織、テロリストらによるものである。国家秘密、企業機密、テクノロジーやアイデアなど我々にとって非常に重要度の高い情報がターゲットにされている」

– 2014年5月2日 上院司法委員会におけるFBI Director、James B. Comey Jr. の発言

4

サイバー犯罪の傾向

5http://www.ponemon.org/news-2/66

中国軍ハッカー

6

http://www.justice.gov/opa/pr/us-charges-five-chinese-military-hackers-cyber-espionage-against-us-corporations-and-labor

サイバーエスピオナージ対策: 米国政府の優先事項

• 米国司法省 (DOJ)– 2014年5月、米司法省は産業スパイ（諜報活動）、コンピューターのハッキング等の容疑で中国軍関係者5人を起訴した

– エリック・ホルダー米司法長官は、「このようなハッキング事件において国家支援を有する者（海外の政府当局者）を起訴したのは今回が初めてである」と述べた

– 2014年12月、FBIは、ソニー・ピクチャーズ社に対するサイバー攻撃は北朝鮮政府によるものであると発表した

– その他にも、国家支援のあるハッキングや不正流用は中国やロシア政府グループに起因するとの報告もある

7

最近のFraud Alert（詐欺注意）: なりすましビジネスEメール（ＢＥＣ）

8

https://www.fsisac.com/sites/default/files/news/BEC_Joint_Product_Final.pdf?utm_source=hs_email&utm_medium=email&utm_content=19064920&_hsenc=p2ANqtz-9wi5WFkCmzCmWDl-Z3g2N6n8MrzmLqqXoyXMAwblLJ0wYOm8WbKXL4gh-jzpsXpt2QuKWeF4uqxOhWEChCi3HlS3RVfg&_hsmi=19064920

最近のFraud Alert（詐欺注意）: なりすましビジネスEメール （ＢＥＣ）

• 「 大半のBEC 事件においては、電信送金の担当従業員に送金指示を送信するために、事業所のCEO/ CFOのeメールアカウントになりすましが関与している」

• 「他の事件としては、取引関連会社の銀行口座を変更するために、取引関連会社のeメールアカウントになりすますことなどが挙げられる」

9

https://www.fsisac.com/sites/default/files/news/BEC_Joint_Product_Final.pdf?utm_source=hs_email&utm_medium=email&utm_content=19064920&_hsenc=p2ANqtz-9wi5WFkCmzCmWDl-Z3g2N6n8MrzmLqqXoyXMAwblLJ0wYOm8WbKXL4gh-jzpsXpt2QuKWeF4uqxOhWEChCi3HlS3RVfg&_hsmi=19064920

インサイダー取引の事例

10http://www.justice.gov/usao-nj/pr/nine-people-charged-largest-known-computer-hacking-and-securities-fraud-scheme

サイバー攻撃及びプライバシー問題に関する共通課題

厳しい質問をすること（例）

• いつ漏洩/侵害が発見されるのか?

• どのようにして漏洩/侵害が見つけられるのか?

• いつ漏洩/侵害が起きたのか?– 状況について早い時期に行われたアセスメントは見直せる

• 誰が漏洩/侵害したのか?– 要因分析

• どのようにして漏洩/侵害が起きたのか?

• リスクは?

12

費用と結果

• 風評（世評）被害– マスコミ報道

• 取引上のあるいは顧客の損失• 投資家からの質問事項• （法的）対応措置

– 罰金– 悪評

• 警察との協働– 犯罪被害者として周知されること– 複数の当局との関わり

13

• 漏洩/侵害対策について会社の対応方針の再考・変更

• 漏洩/侵害対策にかかる費用– 通知– コールセンター– フォレンジック(科学捜査）– 調査

• 訴訟費用

規制関連問題

14

規制関連問題

•デ－タ漏洩/侵害の通知

•データ・セキュリティとその管理

•連邦取引委員会（FTC）の新しい事例

15

漏洩通知義務を有する米国47州

16

Alaska

Virgin Islands

ArkansasArkansasArkansasArizona

CaliforniaCaliforniaColoradoColorado

ConnecticutConnecticut

DelawareDelawareMarylandMaryland

VirginiaVirginia

West VirginiaWest

Virginia

Florida

Georgia

IdahoIdaho

IllinoisIllinois IndianaIllinois IndianaIndiana

IowaIowa

KansasKansas KentuckyKentucky

LouisianaLouisianaLouisiana

Maine

New York

Pennsylvania

MaineMaine

New YorkNew York

PennsylvaniaPennsylvania

MassachusettsMassachusettsMichiganMichiganMichigan

MinnesotaMinnesotaMinnesota

MississippiMississippiMississippi

MissouriMissouriMissouri

Montana North DakotaMontanaMontana North DakotaNorth Dakota

ArizonaArizona

South Dakota

NevadaNevada

New HampshireNew Hampshire

New JerseyNew Jersey

North CarolinaNorth Carolina

OhioOhio

OklahomaOklahoma

OregonOregon

Rhode IslandRhode Island

South CarolinaSouth CarolinaTennesseeTennessee

WyomingWyoming

TexasTexas

VermontVermont

WashingtonWashington

WisconsinWisconsin

UtahUtah District of ColumbiaDistrict of Columbia

NebraskaNebraska

New MexicoAlabama

Hawaii

Guam

Puerto Rico

データ漏洩に関する州法

•共通規定– 誰が対象?

– 州に居住する消費者

– どのような情報 (PII)が対象?– SSN番号や自動車運転免許書に結びつく氏名

– 漏洩/侵害に該当するのは、どのような事由か?– データの不正取得

17

– 通知要件とは? – 通知時期あるいは通知方法

– 誰に通知しなければならないのか

– 除外(例： 暗号化された情報)

異なる基準

• 漏洩/侵害の基準は、州によって異なり、また状況によっても異なる

– 「個人情報」の定義

– 通知が必要となる事由

– 司法長官あるいは他の州当局への通知

– 通知の方法

– データ形式: 書面による届出、または電子送信のみによる届出

– 暗号使用の安全ガイドライン

18

2015年セキュリティ侵害通知法

• 2015年3月25日

• 商業、製造、貿易に関する下院エネルギー商業小委員会

• 発起人

– エネルギー商業委員会副委員長マーシャ・ブラックバーン（共和党テネシー州）及び下院議員ピーター・ウェルチ（民主党バーモント州）

19

• 個人情報を保護し、守るために合理的なセキュリティーを維持する国家レベルのスタンダード

– 革新的且つ新しいテクノロジーの柔軟性を有するテクノロジーやプロセスに関する中立なスタンダード

• 30日以内の通知

– 個人情報の盗難、経済的な損害、経済的な脅威、あるいは金銭詐欺の合理的なリスクがない限りにおいて

– 法執行あるいは安全保障の目的における通知の猶予

• 連邦取引委員会（FTC）及び州の司法長官による法執行

– ＦＴＣ法の下では、違反は不正且つ疑わしい行為、あるいは実践とされる

• 行為の私権は該当しない

• プライバシー保護法に先んじない

サイバーセキュリティについての開示

20http://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm

米証券取引委員会（SEC） によるサイバーセキュリティーの強化

• 米証券取引委員会 (SEC)– 上場企業にとって、サイバーエスピオナージあるいはサイバー攻撃に起因する知財・その他

の資産の損失は、SECの開示義務の対象となる可能性がある

– 政府による調査が行われている場合、企業は証拠を適切に保全するために法執行機関

に協力する必要がある

• 2015年におけるSECの調査・執行に関する優先事項

– サイバーセキュリティ及びリスク評価方針に関する精査

– データ漏洩防止方針に関する精査

– 2015年9月、 SECは、外部サーバーで管理していた顧客データの保護を怠った責任を

問われていた投資アドバイザーと和解した

– 研修プログラムとインシデント対応計画に関する精査

21

データセキュリティと管理

• 産業あるいは特定業界スタンダードの適用を受ける

• PCIデータセキュリティスタンダード（Payment Card Industry Data Security Standard (PCI DSS)）

• クレジットカード別コンプライアンス・プログラム

– アメリカン・エキスプレス: www.americanexpress.com/datasecurity– ディスカバー: www.discovernetwork.com/fraudsecurity/disc.html– JCB インターナショナル: http://partner.jcbcard.com/security/jcbprogram/– マスターカード: www.mastercard.com/sdp– ビザ: www.visa.com/cisp– ビザヨーロッパ: www.visaeurope.com/ais

22https://www.pcisecuritystandards.org/documents/PCISSC%20QRG%20August%202014%20-print.pdf

連邦取引委員会（FTC）

権限強化を要請

連邦取引委員会（FTC）は、下記の方針を具現化する連邦法制定を指示する

(1) 企業のデータセキュリティ基準を統括する既存権限の強化、および

(2) セキュリティの漏洩・侵害の発生時において、消費者に適宜通知することを企業に義務付ける

23

FTC Chairwoman Edith Ramirez, Statement on Protecting Personal Data from Cyber Attacks and Data Breaches Before the Senate Committee on Commerce, Science, and Transportation (Mar. 26, 2014)

連邦取引委員会（ＦＴＣ） 対 ウィンダム・ワールドワイド社（連邦第３巡回裁判所）

24https://www.ftc.gov/news-events/press-releases/2012/06/ftc-files-complaint-against-wyndham-hotels-failure-protect

データ漏洩／侵害発生時

25

法令

• 民事訴訟における選択肢– 統一営業秘密法（米統一州法委員会）: 企業秘密の窃盗に関する州法に基づく私的請求権を付与するために48の州で制定された

– 連邦法では、営業秘密の窃盗に関する請求において、私的請求権は付与されない

– コンピュータ犯罪取締法 （18 U.S.C. § 1030）:企業のネットワークハッキングに関する私的請求権を制定した、ハッキング防止に関する連邦法

• 刑事訴追における選択肢

– 経済スパイ活動取締法 （18 U.S.C. §§ 1831-1839）: 典型的な営業秘密犯罪に加え、「海外経済スパイ活動」（海外政府・当局に利益をもたらす目的での営業秘密窃盗）にも刑事罰を科す

– コンピュータ犯罪取締法: ハッキング行為に対して刑事罰を科す

– なりすまし犯罪法 （例：18 U.S.C. §§ 1028-1029）: 個人情報（例：自動車運転免許書、政府発行の身分証明書、クレジット・カード等）の窃盗や不正使用に刑事罰を科す

26

データ漏洩／侵害対応チェックリスト

27

弁護士・依頼者間秘匿特権の役割

• 早い段階における特権活用の重要性

• 特権が適正に活用あるいは保護されていない場合のリスク

• 外部法律顧問と協働する企業

• 民間調査会社等を利用する弁護士の役割

• 特権を保護するために企業が採る手段

• 特権はサイバー脅威や侵害の精査を促し、また、調査、通知 及び訴訟についても迅速な対応を促進する

28

米国政府との連携: 長所と短所の検討

• 企業への恩典

– 政府は、国内全土の連邦当局職員から支援を求める権限を有していることを含め、調査に関する多大なリソースを擁している

– 相当な理由を示すことで、嫌疑をかけられたハッカーの電子データに対して捜査令状を取得し、その電子データを保存するために法的措置を執行することができる

– また、違法製品の販売あるいはさらに違法行為を助長するために使われたウエブサイトを差し押さえるために法的措置を執行することができる

– 刑事共助条約に基づき、海外に所在する証拠を取得できる

– 100カ国を超える国々との犯罪者引渡条約に基づき、犯罪者を送還できる

– 政府は刑事事件の被害者のために賠償を求めることができる

• 企業の負担

– 調査及び刑事事件手続きのタイミングをコントロールすることが出来ない

– 刑事事件手続きに起因する風評被害

– 公開刑事裁判の及ぼす影響

– 企業内調査の開示に起因する、秘匿特権放棄の可能性

29

制裁と大統領（執行）イニシアチブ

• 制裁

– 米国政府は、国際緊急経済権限法（IEEPA）の下、国外企業や外国政府に制裁を科すことができる

– 2015年1月2日: 米国は、サイバー攻撃に対して北朝鮮に制裁を科すと発表

– 最近では、中国政府の支援するサイバー攻撃の抑制に経済制裁が効果的であるとの見方がでている

• 大統領（執行）イニシアチブ

– 2015年4月1日: オバマ大統領は、「悪意のあるサイバー利用活動に関与する特定の人物の資産を凍結する」大統領令（E.O. 13694）を発令した

– EO 13694 は、サイバー・エスピオナージは「国家の緊急事態」であると宣言し、「悪意のあるサイバー利用活動」に関与する者及び自主独立体を対象とする制裁を科すことを認可した

30

対応準備は出来ていますか？

以下の項目について、準備は出来ていますか:– 総体的且つ統合されたサイバーセキュリティ・プログラム

– 貴社特有の情報・必要性・リスクに対応する独自のプログラム

– サイバーセキュリティへの意識を高め、促進する社内のカルチャー

– 企業の上層管理者からの理解とサポート

– 最弱のリンクの特定と報告、更に、インシデントの検知、防止及び適切な対処方法に関するメカニズム

•今こそまさに、効果的かつ独自のサイバーセキュティー･プログラムを準備し、導入するべき時です

31

お問い合わせ先

32

Mark L. Krotoski Silicon Valley, Californiatel. +1.650.843.7212fax. +1.650.843.4001

mkrotoski@morganlewis.com

David I. Miller New York, New Yorktel. +1.212.309.6985fax. +1.212.309.6001

david.miller@morganlewis.com

Kimiko Takeda Fields New York, New Yorktel. +1.212.309.6951fax. +1.212.309.6001

kimiko.fields@morganlewis.com

Africa Asia PacificEuropeLatin AmericaMiddle EastNorth America

Our Global Reach

AlmatyAstanaBeijingBostonBrusselsChicago

DallasDubaiFrankfurt HartfordHoustonLondon

Los AngelesMiamiMoscowNew YorkOrange CountyParis

PhiladelphiaPittsburghPrincetonSan FranciscoSanta MonicaSilicon Valley

SingaporeTokyoWashington, DCWilmington

Our Locations

This material is provided as a general informational service to clients and friends of Morgan, Lewis & Bockius LLP. It does not constitute, and should not be construed as, legal advice on any specific matter, nor does it create an attorney-client relationship. You should not act or refrain from acting on the basis of this information. This material may be considered Attorney Advertising in some states. Any prior results discussed in the material do not guarantee similar outcomes. Links provided from outside sources are subject to expiration or change.

© 2015 Morgan, Lewis & Bockius LLP. All Rights Reserved.

THANK YOU

34