ハッキングされたという悪い知らせは、企業にとって始まりにすぎません。法規上、株主、顧客、規制当局などに通知する責任が定められている場合もあり、会社の評判が傷付くおそれがあります。ただし、もみ消しを図ったことが発覚すれば、さらに大きな代償を払うことになりかねません。
たとえば米国の株式公開企業は、重大なセキュリティー侵害があれば、米国証券取引委員会に報告する義務が課せられています。一方、欧州連合(EU)で新たに定められた侵害通知規制では、侵害が発見されてから24時間以内に当局に報告することが、通信事業者とインターネットサービスプロバイダーに義務付けられています。また、消費者の個人情報にかかわる侵害であれば、影響を受けた個人に「遅滞なく」通知する必要があります。日本では、侵害の開示を怠った企業に対して重い罰金が課されます。中南米諸国のうちブラジルでは、すべての顧客データを国内に保管することも義務化する、データ侵害通知法の制定が検討されています。
世界的に強まる法規制
ロンドンに本部を置く出版社Pearson,PLCでセキュリティーオペレーション担当ディレクターを努めるBecky Pinkard氏によると、規制委員がEU圏全体を対象としたデータ侵害通知法の制定に向けて動いているという見方がEUオブザーバーの間で広がっています。EUではまた、ネットワークおよび情報セキュリティー(NIS)指令と呼ばれる包括的な枠組みも提案されています。Pinkard氏は、この枠組みの採用に向け、企業が支援する民間メンバーによる複数のグループ設立が進んでいると述べています。
「EU諸国のデータ侵害通知では、企業が規制当局による審査を受け、コンプライアンス違反の場合、罰金が課される可能性が非常に高いです。情報セキュリティー分野の専門家たちと話した経験から言えることですが、罰金というムチがなければ、企業はデータ侵害に関する情報をまったく報告しません。」
東京に本社を構えるセキュリティーフィルターアプライアンスメーカーのケイエルジェイテック社でCEOを務めるHendrik Adrian氏によると、日本ではすでに、違反者に重い罰金が課せられるデータ侵害時の開示に関する厳しい法律が施行されています。Adrian氏は次のように述べています。「被害を受けた個人や組織は、政府機関に報告し、訴訟を起こすことができます。報告者が訴訟に勝利するのはほぼ確実です。ハッカーには最長3年の懲役刑と約1万ドルの罰金が課され、被害者は望みどおりの損害賠償を請求できます。」
「毎日のように多くの企業が セキュリティー侵害を受けていますが、これらの企業は、世間にマイナスの イメージを持たれたくないためだけに 開示しないのです。」
Kevin Lawrence氏
Stach&Liu 社シニアセキュリティーアソシエイト
ビジネス顧問会社Alvarez&Marsal社のブラジルオフィスでサイバー セキュリティー担当マネージングディレクターを務めるWilliam Beer氏は、中南米諸国のうち、データ侵害時の通知に関する国の法律の土台作りが最も進んでいると思われるのは、ブラジルだと述べています。
Beer氏は次のように述べています。「この法案は、データ侵害時の通知に関する条項について懸念されているだけでなく、多方面に波紋を広げています。ブラジルで事業を営む企業は、ブラジル国民に関するデータをブラジル国内で保管することが義務付けられるためです。法案が可決される見込みは高いようですが、強制するための規定が設けられるかどうかは今後注目すべき点です。」
世論の制裁
ヨーロッパと南北アメリカに拠点を持つ世界的なセキュリティーサービスプロバイダーIoActive社でマネージングコンサルタントを務めるWim Remes氏によると、データ侵害を隠ぺいした企業が負うリスクは、法的な影響だけではありません。世論の風当たりの方がずっと厳しいものになる可能性があります。「決まり文句を並べた謝罪文を発表したり、謝罪メッセージビデオを作成したりしても、誰も許してくれません。」
米国アリゾナ州フェニックスに本拠を置くセキュリティーコンサルティング会社Stach&Liu社で、シニアセキュリティーアソシエイトを務めるKevin Lawrence氏は、侵害を受けた企業のうち、事件の報告を行っている企業はごく一部だと述べています。「通知義務を負わないための、論理的な言い訳を考え出す方法はいくらでもあります。毎日のように多くの企業はセキュリティー侵害を受けていますが、これらの企業は世間にマイナスイメージを持たれたくないため開示しないのです。」
米国マサチューセッツ州ウォルサムにあるセキュリティー企業Bit9社は、2013年2月、Bit9社製マルウェア対策ソフトウェアを使用する顧客を狙った多段階攻撃によって、同社のネットワークが侵害されたことを開示しました。
Bit9社は侵害の事実をただちに警察に通知し、調査を率いる外部の調査チームを雇い入れました。同社は、そうすることが正しいからだけでなく、将来的に自社を守るために、顧客への通知を選択しています。
「ほとんどの場合、事件に関する情報を共有し、顧客と世間一般に 対して全面的な開示を行うことによってもたらされるメリットは、データ侵害によって引き起こされるマイナスな影響を上回ります。」
Harry Sverdlove氏
Bit9社CTO
Bit9社のチーフ・テクノロジー・オフィサーであるHarry Sverdlove氏は、次のように述べています。「法的な観点から開示が重要なのは、調査で何が判明するかわからないからです。内部の関与が判明した場合や訴訟に発展した場合は、外部の調査員がいることが法的に重要になります。外部のチームによって、すべてが現場での証拠取り扱い規則に則って処理されていると保証される場合は特に調査結果に異議を唱えることが格段に難しくなります。」
Sverdlove氏は、開示による潜在的なリスクにばかり気をとられないようにと企業に助言しています。「ほとんどの場合、事件に関する情報を共有し、顧客と世間一般に対して全面的な開示を行うことによってもたらされるメリットは、データ侵害によって引き起こされるマイナス面を上回ります。」 ◆