I.なぜサイバーセキュリティにおいて法務対応が必要か?
デジタル化が急速に進展する中で、企業がサイバー攻撃を受けた場合、企業の事業に支障が生じるのみならず、個人情報・機密情報の漏えい、取引先などへの伝播、ひいては社会全体のインフラへの影響が生じる場合もあり、企業価値の毀損に直結する重要なリスクとなっています。
一方、EUのGDPR、日本の個人情報保護法などのデータ保護規制は、個人情報保護の観点から企業にセキュリティ態勢の構築を義務付けています。近年、欧米・中国などの海外諸国では、サイバーセキュリティ対応を独自に法的に義務付ける法規制も導入されています。
以上のような状況において、企業は、「サイバー攻撃の被害者」といった受動的な立場にあるにとどまらず、サイバーセキュリティ対応に関して各国法令の要請をふまえた積極的な対応が求められます。企業の経営陣においては、善管注意義務や内部統制システム整備義務の一環として、サイバーセキュリティ対応が求められる可能性もあります。
その意味で、平時の態勢整備からインシデント発生時の危機管理対応までサイバーセキュリティの様々な局面で、法務対応策を検討していく必要があります。
例えば、組織的な管理のためにはどのような社内規程を導入すべきか、委託先・サプライチェーンの管理のためにはどのような契約条項を導入するかが問題となり、サイバーセキュリティの対応状況に関してどのように情報開示すべきかが問題となります。このような平時における対応に加え、サイバーインシデント発生時(有事)にいかなる対応すべきかについては、株主代表訴訟の提訴、取引先・顧客との訴訟やこれらに対する補償、当局対応や情報開示のあり方など、その対応いかんで企業価値に重大な影響を与える可能性があるため、法的観点からの対応が不可欠です。
II.「サイバーセキュリティ法務」の確立に向けて
当職は、2019年度の第一東京弁護士会民事介入暴力対策委員会のマネロン・サイバー小部会のサイバーセキュリティ担当の副部会長として、日本セキュリティオペレーション事業者協議会(ISOG-J)のセキュリティ専門家の方々と協働しながら、「サイバーセキュリティ法務」のあり方に関する実務研究の責任者を務めさせていただく機会をいただきました。
その成果物である「サイバーセキュリティ法務」(商事法務 2021年)は、サイバーセキュリティに関する法的観点からの実務対応を「サイバーセキュリティ法務」と位置づけ、具体的な対応の必要性とその対応のあり方を平時・有事という枠組みで解説しています。また海外における最新の規制動向や業態ごとの事情についても紹介しています。
今後も、サイバーセキュリティ法務の実務の進展に向けて、力を尽くしてまいりたいと思います。
<関連業務・研究分野>
Comments