第5回:調査委員会と第三者委員会
2016-12-28
対談者
TMI総合法律事務所 パートナー弁護士 大井 哲也(写真左)
PwCサイバーサービス合同会社 上席研究員 神薗 雅紀(写真右)
危機管理は日頃から最悪の事態を想定して、備えておくことが鉄則です。もしも情報漏えいが発生してしまった場合、すみやかに対応するために調査委員会を設置して対策に当たることも対応策の一つです。調査委員会を設置する目的と意義について語ります。
調査委員会とは何か
大井 まず、情報漏えいのインシデントが起こった際に設置する調査委員会とは何かということですが、神薗さんは、情報漏えいを起こしてしまった企業から、フォレンジック(証拠調査・分析)の調査依頼されるケースは、どのくらいありますか。
神薗 今のところ、大小含めると、月に1~2回の頻度で問い合わせが来ています。
大井 そういった企業は、自社の情報システム部門では、対応しきれないために調査を依頼するのでしょうか。それとも自社で対応ができるけれども、別の理由で依頼をすることもあるのでしょうか。
神薗 両方あると思います。一番多いケースは、「外部から情報が漏えいしているという連絡を受けたけれども、何をどうすれば良いか、全く分からないので、とりあえずアドバイスがほしい」というのが、最初にやって来る理由です。それをよく聞いてみると、自分たちでは分析ができないので助けがほしいという場合もあれば、自社では十分な専門的知識やノウハウがあるけれども、自分たちが実施した分析や検証などが、果たして妥当だったのかどうかを知りたいということで、相談にいらっしゃるケースもあります。
大井 分析というのは、具体的には、どういった作業になるのですか。
神薗 本当に情報が漏えいしてしまったのかどうか、あるいは、何が原因で、どのようなことをされてしまったのか、さらには、分析にもいろいろ種類がありますが、何が目的だったのかなどについて、専門的に分析していきます。
大井 自社で実施した調査が妥当なのかどうか確認したい、という企業もあるということですが、具体的にはどういうことでしょうか。
神薗 実際に、その会社に専門知識を持った人材がいる場合、もちろん、きちんと分析はされているのですが、中立性や正確性、独立性を持って分析したということを第三者に認めてもらいたいというのが、その理由です。そうしないと、内部調査は被害を受けた組織が分析するのですから、当然都合の良い分析や解釈をしているのではないかという懸念を向けられることになります。一方的な解釈による分析結果を発表してしまい、後から発表内容を修正するといったケースも見られますが、場合によっては炎上してしまうケースも存在します。
従って、自分たちが分析した結果を第三者に追従してもらい、中立性や正確性、独立性を持って分析した、つまりは分析の妥当性を証明してほしいという理由で、ご依頼いただくケースが多くあります。
大井 自分たちの行った調査の中立性や正確性、独立性を担保してもらうために、PwCさんに依頼をして、検証してもらおうということなのですね。
第三者委員会という外部の評価
大井 調査委員会と一言で言っても、今神薗さんがおっしゃったのは、会社の調査の一環として、委託をされて対応するケースだと思います。
もう一つ、第三者委員会というものがあります。これについては、会社の社員、例えば、情報システム部門の担当者ではなくて、PwCさんのようなフォレンジック調査の専門機能を持っているコンサルティング会社や、私どものような弁護士など、外部者のみで構成される第三者調査委員会もあります。あるいは、半数は会社の社員で、半数は外部の専門家で構成されるハイブリッド構成のケースもあります。
第三者委員会を組成する必要があるかどうかは、法律問題においては大きな論点です。というのは、やはり自社のリソースでは、その調査の内容について、客観性、中立性が担保できないようなケースにおいては、第三者委員会を組成すべきであるということが、法律の世界ではよく議論されるからです。
今、申し上げているのは、情報漏えいのインシデントの話なので、ちょっと分かりにくいかもしれません。一般の企業の不祥事で考えていただければ、分かりやすいと思います。例えば、会社ぐるみで不正会計が起こったとします。そうすると、その会社ぐるみの不正会計について、社員がそれを調査した場合、結局、誰に責任があるのか、誰がどうするべきだったのかについては、どうしても上司と部下の指揮命令関係がありますから、中立的な調査が遂行できなくなってしまいがちです。
そういう場合に、社外の専門家を起用すると、利害関係のない、客観的、独立的な立場から、どの行為に責任があったのか、誰がどうするべきだったのかについて、専門家の目で指摘することができます。ここに、まさに第三者委員会を組成する意義があるわけです。
われわれ弁護士とPwCさんが、共に第三者委員会のメンバーになった場合は、弁護士が法的な側面を調査し、PwCさんが技術的な側面を分析します。この両方の側面を組み合わせて調査を行うケースは、私も多数やらせていただいています。
神薗さんは、私どものような法的部門と共同で、調査などをしている中で、何か気づいた点はありましたか。
神薗 やはり、われわれは技術部隊ですので、技術的なアドバイスをするのが仕事です。その時に、そもそもこういった分析をなぜしなければならないか、ということを法的に説明してくださる方がいると、スムーズに分析が進むことを実感しました。
さらに、法的な側面やデータオーナーの観点など、さまざまな側面から考えると、被害を受けてしまった企業側が、最も知りたいことは、今後どのような対策を取っていかなければならないのか、ということだと思います。
今後、取るべき必要な対策には、技術的なこともありますし、体制についてのこともあります。そういった体制やバランスについて、大井先生のような法律家のチームが、明確にアドバイスを提示してくださると、それを踏まえたうえで、技術的なアドバイスをすることができるので、より、われわれの価値を出すことができたと感じています。一緒にタッグを組んだことによって、今まで、われわれ技術者だけではできなかった、包括的なアドバイスができるようになりました。
そのことは、サイバー攻撃を受けてインシデントを発生させてしまった企業にとっても、価値のあることであり、知見になると思います。
大井 われわれ弁護士が、最も技術部門の方と一緒にタッグを組むことの意義を感じたのは、やはり技術的な知見です。われわれも、自分たち自身でセキュリティの技術面をキャッチアップしなければならないと思って努力はしていますが、弁護士は、どうしても技術的なシステムの知見に乏しいものです。PwCさんと一緒になって、具体的な生の事案に対応することによって、現実的で専門的な観点からの分析を詳しく知ることができました。現に起こっている最新の動向に対しても、知見を共有することができ、私自身も、学ばせていただく面が多くありました。
そうやって、お互いにレベルアップができると、自ずと、われわれが提供できる技術や体制づくりのアドバイスも、より現実に即した有益なものになると思います。
神薗 今回に限ったことではありませんが、われわれが一番やりにくいケースは、被害を受けた企業が、自分たちは被害者であって、自分たちに責任はないという認識を持っている場合です。そのような企業に対して、調査の必要性を説明しても分かってもらえずに、「それについては被害者だから言いたくない」などと言われてしまったりして、なかなか調査が進まないことがあります。
大井 そういう意味では、リーガル(法的)部門とテクノロジー(技術)部門が一緒に共同作業することによって、被害者である情報漏えい元の企業に対しても、説得力を発揮し得るという良い側面もあったのではないかと思います。
神薗 そのとおりです。
インシデントに日頃から備えることこそがセキュリティ
大井 最後に、日頃からのインシデントへの備えについて、考えたいと思います。
今後、第三者委員会を組成し、または調査を進めていくにあたって、法的、または技術的なアドバイスを受ける可能性のある企業は、インシデントが起こってからではなく、平時において、どういう体制に気を付けて、どのような準備をしておくべきなのか。まず、法的な側面を申し上げます。
インシデントが起こってから、短時間で、シームレスにわれわれの弁護士事務所とPwCさんがチームを組んで、それぞれのチームから人を選抜し、調査委員会の構成メンバーを組成した例があります。それができたのは、その企業が、インシデントが起こってしまった場合に、どういう緊急対応をすべきなのか、誰にアドバイスを受けるべきなのかを、平時から知っていたからです。
その意味で、事故が起こった1日目、つまりDay1(デイワン)に、素早く連絡を取って相談することができるように、日頃から外部のベンダーや専門家と、コネクションづくりをしておくこと、平時の備えについて相談しておくことが、緊急事態に生きてくるのではないかと思いました。
神薗 後は、インシデントが起こった際に、まずはSOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)などの部門を中心にして、できるだけトリアージできる体制を作っていることが大前提になると思います。
さらに、大井先生のような弁護士や、PwCのような技術部門などもそうですが、外部の組織と、平時から緊密に連絡を取っておいて、何かあったら連絡がとれる体制を取っておくことが大事です。そうやって、いざインシデントがあった際に即座に動くことができるよう、自分の組織と、外部の組織が即座に動ける体制をあらかじめ準備しておくことが一番重要ではないかと思います。
大井 やはり緊急対応時に、迅速で的確な対応をするためには、平時からの備えがものを言います。
次回は、今話題に出ましたインシデントが起こった日(Day1)、その当日に、どのような対応をしなければならないかについて、具体的な話をしていきたいと思います。
※法人名、役職、対談の内容などは掲載当時のものです。
