1つ目の注意点は、報告義務を怠った場合には過失の程度に応じてペナルティが課せられることになるが、高額の罰金が課せられるケースが続発しているという点だ。親会社で発生した情報漏洩事故に関連して、影響範囲の十分な情報を提供しなかったことを理由の1つに、英国の金融行動監視機構からEquifaxに対して1100万ポンド(約20億円)の罰金が昨年課せられている。Blackbaudのケースでも300万米国ドル(約4億4000万円)の罰金が課せられた。
もう1つの注意点は、欧米では数年前まで遡って制裁が行われるケースが続発している点だ。SolarWindsとBlackbaudいずれの事案も2020年の事故がきっかけだが、Equifaxに対する制裁は6年前の2017年に発生した事故に関連して行われている。情報バリアに関して虚偽と誤解を招く情報開示をしたとして、SECは2018年まで遡って金融サービスのVirtuを2023年9月に告発している。
残念ながら世界標準になりつつある告発や制裁
個人情報漏洩事故の報告が義務化されたことで、国内でも個人情報保護委員会への報告件数は過去最高を記録した。また、上場企業とその子会社による個人情報漏洩の報告件数も過去最高を記録している。政治の分野では政治資金規正法の効力が議論になっているが、世界各地の動向を踏まえると、サイバーセキュリティの分野では欧米を中心とした圧力から、法規制をさらに強化せざるを得なくなる可能性は十分に考えられる。
サイバー犯罪においては、サイバー攻撃や内部不正を受けた側が被害者であることに変わりはない。ランサムウェアの被害者が身代金をサイバー犯罪者に支払う行為を取り締まるべきかどうかの議論も依然続いている。
議論の余地は多分にあるものの、サイバー犯罪被害者への告発や制裁は、残念ながら世界標準になりつつある。利害関係者への影響を踏まえて、過失や不備があればそれはサイバー犯罪被害者の責任ということになる。企業には、利害関係者に説明可能な対策を行い、事故発生時には利害関係者が判断や意思決定を可能にする透明性を確保することが求められる。
連載:「あの」インシデントから紐解く企業セキュリティの本質
過去記事はこちら>>
