近年、サイバー攻撃によって生じるセキュリティインシデントとその被害は今や我々にとって対岸の火事ではなくなりました。
またサイバー攻撃の目的は知識好奇心の満足から金銭や知的財産搾取などへと多様化し、攻撃手法も高度化・複雑化しています。
その結果、攻撃の全容把握、再発防止・被害の最小化を攻撃を受けた単一組織だけで実施することに限界があることは、現代社会において解決すべき重要課題の一つとなっています。
そのような中、攻撃被害を受けた組織が速やかにセキュリティインシデントの情報を共有し、適切なタイミングで外部にセキュリティインシデントの発生を通知し、外部組織と連携する方法をまとめた「サイバー攻撃被害に係る情報の共有・公表ガイダンス」が警察庁、内閣官房内閣サイバーセキュリティセンター、総務省、経済産業省及びJPCERT/CCを事務局とした検討会にて2023年3月8日に策定されました。
本記事は、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を参考に、セキュリティインシデントが発生した際の報告義務を中心にまとめた内容となっています。
セキュリティインシデントが発生!法令で定められた報告義務とは
セキュリティインシデントが発生した際に、法令で定められている報告義務は以下の4種類に分類されます。
1. 個人データの漏えい、滅失、毀損に対する報告義務
2. 特定個人情報の漏えい等に対する報告義務
3. 業法に基づく事故報告義務
4. 報告書の求めへの対応義務
ここでは、それぞれのセキュリティインシデントの内容、関連する法令、報告先等について1~4の順番に解説をしていきます。
1. 個人データの漏えい、滅失、毀損に対する報告義務
個人データとは個人情報を容易に検索することができるように体系的にまとめ、データベース化した個人情報を指します。
個人データの漏えい、滅失、毀損とは
個人データの漏えいとは個人データが外部に流出すること、滅失とは個人データの内容が失われること、毀損とは個人データが意図しない形で変更されることや、内容を保ちつつも利用不能な状態となることを意味します。以下が各セキュリティインシデントの具体的な例となります。
●個人データの漏えい
従業員が個人データを不正に持ち出して第三者に提供した。
●個人データの滅失
個人データを記録したUSBメモリを社内で紛失した。
●個人データの毀損
ランサムウェアにより個人データが暗号化されて復元できなくなった。
報告義務と報告先
この報告義務は個人情報保護法等で定められたものとなります。
個人情報保護法* 第二十六条では、個人データの漏えい、滅失、毀損というセキュリティインシデントが発生した場合、個人情報取扱事業者は報告先として個人情報保護委員会への報告義務があること、更に個人情報によって識別される特定の個人である「本人」に対して通知義務があることを明記しています。
* https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
なお、個人情報保護委員会では、セキュリティインシデントの発覚から3~5日以内に速報(新規)を求めた上で、30日以内に確報(続報)を求めています。報告内容は以下の個人情報保護委員会が定めるフォーマットに従ってください。
https://www.ppc.go.jp/personalinfo/legal/leakAction/#leak_report
2. 特定個人情報の漏えい等に対する報告義務
特定個人情報とは「マイナンバー(個人番号)をその内容に含む個人情報」を意味し、特定個人情報の漏えい等に対する報告義務はマイナンバー法によって定められています。
マイナンバー法* 第二十九条の四では、”特定個人情報の漏えい等(漏えい、滅失、毀損その他の特定個人情報の安産の確保に関わる事態であって個人の権利利益を害する恐れが大きいもの)” というセキュリティシンシデントが発生した場合、報告先として個人情報保護委員会への報告義務があること、及び本人への通知義務があることを明記しています。
* https://elaws.e-gov.go.jp/document?lawid=425AC0000000027
本セキュリティインシデントが発生した場合は、以下の個人情報保護員会のWebサイトより報告を行ってください。
https://www.ppc.go.jp/legal/rouei/
3. 業法に基づく事故報告義務
業法とは業種ごとの基本的な事業要件を定める法律です。日本国内には100を超える業法が存在しています。
特に重要インフラ14分野では、セキュリティインシデントを含む事故や障害が国民の生活に深刻な影響を与える可能性があることから、事故(サイバーセキュリティインシデント含む)発生時に報告義務を課しているものがあります。ここでは業法における事故報告義務の代表例をいくつかご紹介します。
情報通信分野(電気通信役務)における報告義務
この報告義務は電気通信役務を行う電気通信事業者に対するものです。
電気通信事業法* 第二十八条では、通信の秘密の漏えいやセキュリティインシデント等にも起因する重大な事故が発生した場合に原因を含めて報告先として総務大臣への報告が義務付けられています。
なお、電気通信事業法施行規則** 第五十八条では報告を要する重大な事故を詳細に定めています。
* https://elaws.e-gov.go.jp/document?lawid=359AC0000000086
** https://elaws.e-gov.go.jp/document?lawid=360M50001000025
情報通信分野(放送)における報告義務
この報告義務は放送事業者に対するものです。
放送法* 第百十三条では、放送設備の障害による放送の停止やその他、セキュリティインシデント等にも起因する重大な事故が発生した場合に原因を含めて報告先として総務大臣への報告が義務付けられています。
なお、放送法施行規則** 第百二十五条では、報告を要する重大な事故を詳細に定めています。
* https://elaws.e-gov.go.jp/document?lawid=325AC0000000132
** https://elaws.e-gov.go.jp/document?lawid=325M50080000010
情報通信分野(ケーブルテレビ)における報告義務
この報告義務はケーブルテレビ事業者に対するものです。
放送法* 第百三十七条では、放送設備の障害による放送の停止やその他、セキュリティインシデント等にも起因する重大な事故が発生した場合に原因を含めて報告先として総務大臣への報告が義務付けられています。
なお、放送法施行規則** 第百五十七条では、報告を要する重大な事故を詳細に定めています。
* https://elaws.e-gov.go.jp/document?lawid=325AC0000000132
** https://elaws.e-gov.go.jp/document?lawid=325M50080000010
鉄道分野における報告義務
この報告義務は鉄道事業者に対するものです。
鉄道事業法* 第十九条では鉄道における事故等の報告、第十九条の二では鉄道運転事故等の報告について原因を含めて報告先として国土交通大臣への報告が義務付けられています。
* https://elaws.e-gov.go.jp/document?lawid=361AC0000000092
電力分野における報告義務
この報告義務は電気事業者に対するものです。
電気関係報告規則* 第三条では報告を要する事故の内容や事業者の規模や事故の深刻さに応じた報告先について詳細に定義されています。深刻な事故については報告先として経済産業大臣への報告が義務付けられています。
* https://elaws.e-gov.go.jp/document?lawid=340M50000400054
4. 報告書の求めへの対応義務
この義務は当局から法令に基づく報告等の求めがあった場合、原則として対応が必要となる義務になります。
サイバーセキュリティ基本法* 第十七条 3項では、サイバーセキュリティ戦略本部長及びその委嘱を受けた国務大臣は、自身が組織するサイバーセキュリティ協議会の構成員に対してサイバーセキュリティに関する施策の推進に関し必要な資料の提出、意見の開陳、説明その他の協力を要請することが可能であり、構成員は原則として応じなければならないと記載されています。
* https://elaws.e-gov.go.jp/document?lawid=426AC1000000104
セキュリティインシデントが発生!約款・規約で定められた報告義務とは
セキュリティインシデントが発生した際に、法令による報告義務はないものの、約款や規約で定められたセキュリティインシデントに関する報告義務があります。
ここでは以下の4つの義務について1~4の順番で解説をします。
1. 上場企業の適時開示義務
2. 認定個人情報保護団体対象事業者の義務
3. プライバシーマーク付与事業者の義務
4. その他契約に基づく義務
1. 上場企業の適時開示義務
この報告義務は有価証券上場規程(東京証券取引所)* 第402条 2項に記載されている義務になります。
上場企業やその子会社でサイバーセキュリティインシデントが発生し、その影響が株主の投資判断に大きな影響を及ぼす可能性がある場合、適時情報開示を義務付けられています。
* https://jpx-gr.info/rule/tosho_regu_201305070041001.html
2. 認定個人情報保護団体対象事業者の義務
この報告義務は認定個人情報保護団体の対象事業者に対する義務になります。認定個人情報保護団体とは、個人情報の取り扱いについて苦情の申し立てをしたい場合、苦情の対象となっている個人情報取扱事業者への苦情を代わりに受け付けてくれる団体のことで、その役割については個人情報保護法の中で規定されています。認定個人情報保護団体の対象事業者においてセキュリティインシデント等の事故が発生した場合に、報告先として認定個人情報保護団体への事故報告が求められるケースがあります。
3. プライバシーマーク付与事業者の義務
この報告義務はプライバシーマーク付与事業者に対する報告義務になります。
プライバシーマーク付与に関する規約* 第12条の中ではプライバシーマーク付与事業者でセキュリティインシデント(個人情報に関する事故等)が発生した場合、原則30日以内に報告先として関係審査機関に報告しなけれならないとの記載があります。
* https://privacymark.jp/system/guideline/pmk_pdf/PMK500.pdf
4. その他契約に基づく義務
この報告義務は機密保持契約(NDA)や委託契約内において義務付けされている、セキュリティインシデント発生時における相手方への報告義務です。
サプライチェーン攻撃対策や極めて機密性の高い情報を扱う受託開発等においてセキュリティインシデント対策を想定しているケースです。このケースは、今後増えていく可能性があります。また、自組織と複数の取引先との契約間でセキュリティインシデント報告義務が課せられている場合は、万一のセキュリティインシデント発生の際に、義務付けされている報告先の相手組織全てに対して、確実に報告がなされるよう管理する必要がありますので注意が必要です。
セキュリティインシデントの報告義務 その目的を忘れてはならない
本記事では、セキュリティインシデントが発生した際の報告義務について、法令の観点、約款・規約の観点の2つの観点からまとめました。
セキュリティインシデントの報告義務において、忘れてはならない重要な目的の一つは、サイバー攻撃の被害を被った組織からの情報共有や事故報告によって、被害組織間の協力、あるいは官民連携により、当該サイバー攻撃の全容の把握やサイバー攻撃の目的を把握し、自組織あるいは他組織におけるセキュリティインシデントの再発防止やその被害の拡大を防ぐことにあります。
本記事では、報告義務を中心にまとめていますが、参考としました「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の中では法的拘束力はないが推奨される事項についての記載もあります。本記事と合わせてご覧いただくことでセキュリティシンシデントで被害を受けた際の実務のイメージが更に具体的になるかと思います。
(参考: サイバー攻撃被害に係る情報の共有・公表ガイダンス )
https://www.nisc.go.jp/pdf/council/cs/kyogikai/guidance2022_honbun.pdf