サイバーリスク：何パーセントが制裁を科されたのか？

身代金の支払いを決定したら

GDPR（EU一般データ保護規則）が適用される場合、データ侵害が判明してから72時間以内に監督当局への通知が必要となることは以前のニュースレターで触れた。^*1

米国では企業がランサムウェア攻撃被害に遭い、それに応じて身代金の支払いを決定した場合には、24時間以内にCISA（国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティ庁）への通知を要求する、サイバーインシデント報告法案^*2が上院議会へ提出され、その動向に注目が集まっている。
州政府や地方自治体、50人以上の従業員を抱える企業や非営利団体が対象とされており、この通知をもし行わなかった場合には司法省による措置が講じられ、政府機関との取引を禁止される可能性もあるとする罰則規定も設けられている。

GDPRにおいては、求められた期間内にデータ侵害に遭ったことを報告しなかったとして、オランダのデータ保護監督当局APが大手旅行予約サイトに475,000ユーロ（およそ6,000万円）の制裁を科したことは記憶に新しい。^*3　
もし通知そのものが行われなければ、これ以上の影響を伴う制裁を科される可能性もあるだろう。

業務委託先との契約には

サイバー攻撃の被害が発生した場合、影響範囲の調査や確認、中断している業務の復旧および代替策の実行、また復旧対応やその計画、そしてこれらのための調達といったことが同時進行で行われていく。ランサムウェア被害に遭った場合には、身代金要求に応じるかどうかの検討や攻撃者側との交渉なども付け加わる。
それらに加えて、関連法規制に準じた監督当局への通知を、定められた期限迄に行う必要もある。

GDPRに関連した監督当局への通知であれば、被害状況や影響を受ける可能性のあるデータ主体の性質といった情報に加えて、個人データをどのように取り扱っていたのかといった状況なども伝えていくことになる。
ただし、通知に際して求められる項目は各国の監督当局ごとに微妙に異なっているため、通知を行おうとしている監督当局のフォームやガイダンスを確認しながら進めていかなくてはならない。

そして、通知のための情報を整理していく中で、多くの場合発生するのが業務委託先などとの契約条件を確認する作業だ。個人データを業務委託先などと共有しながら業務を行っている場合もあるし、データ処理を委託している場合も多い。業務委託先に一任していたので知らぬ存ぜぬということでは許されず、通知の中で自らの責任のもと説明していく必要がある。
場合によっては、その業務委託先に対しても監督当局への通知を行うよう求められることもある。ただし、これまでの経験においては、業務委託先との資本関係の有無など両社の関係性によっても対応が異なってきたため、本稿では言及しないこととする。

求められる具体的な情報

データ処理契約に求められる要件は、GDPRの条文でも述べられている。しかし、その要件を契約書へ記載すれば良いという単純なものではない。要件がどのように満たされ、契約対象は個人データ処理に必要なセキュリティレベルをどのように実現しているのか、その実装に関しても具体的な情報を含めていく必要がある。法律の用語を連ねていけば良いというものではない。

データ処理に際しての業務委託元と業務委託先、すなわちデータ管理者およびデータ処理者との間の契約については、GDPRの発行体である欧州データ保護委員会（EDPB）よりガイドライン ^*4 が提供されている。このガイドラインは今年7月に更新が行われているので、そこから具体的な方法についていくつか紹介したい。

まず、処理契約に限った話ではなく、データ処理全般に対しても求められていることであるが「処理活動の記録」を残すこと。
また、処理活動の記録に加えてデータ保護監査の報告書などによって、処理者が技術的対応および組織的対応の実施を証明できるようにしておくこと。
そして、データの管理者と処理者の双方が、データ保護のための規則を遵守していることを確認すること。
このデータ保護のための規則については、GDPRの要件を単に言い換えるだけでなく、処理の実行方法に関する具体的な情報を含めていく必要がある。

また、監督当局への通知で期限が定められているのと同様に、処理者と管理者との間においても個人データの侵害を通知する期限を設定することを推奨している。その事実が判明した際に通知するタイミングについて、双方での意見の不一致がしばし発生しているためである。

そのほかには、監査を実施する際のコストについて話し合うことを推奨しており、相手方に不利な影響を与える不均衡または過剰なコストを課すことに注意しなくてはならないとしている。
これら以外にも参考となる情報が多く盛り込まれているため、ご参考いただきたい。

監督当局からの要求

最後に、GDPRに関連したデータ侵害通知が行われた後に、通知を行なった企業がどのようなことを監督当局から要求されたのか、その実態を追ってみたい。

今年7月に英国のデータ保護監督当局ICOが公開した年次報告書 ^*5 によると、2020-2021年度でICOに報告された通知件数は9,532件とのことである。これはGDPRが施行された最初の年度である2018-2019年の13,840件より3割減っており、本報告書では新型コロナウイルスによる影響で報告が減少していると述べている。

新型コロナウイルスがどのように影響したのかその詳細については述べられていないが、業務の形態が変化したことによって報告が行われていなかったり、そもそも被害に気付けていないといったことがあるのではないかと推察される。実際この一年あまりの間に見てきたサイバー攻撃被害においても、自社の異変に在宅勤務で気付くことができず、外部からの指摘で自社の被害に気付いたという企業をいくつも見てきた。

では、通知を行なった9,532件は、その後どのような対応を監督当局から迫られているのだろうか？

意外と思われる方もおられるかもしれないが、なんと71.4%のケースでは追加のアクションを求められることも無く対応が終了している。
実際、サイバー攻撃を受けたものの被害が認められなかったケースや、深刻な影響が生じないと判断されたケースでは、監督当局への通知後に監督当局より通知を受理した旨を知らせる連絡があるものの、特段の追加報告が無いようであればこのケースは終了すると告げられる。もちろん、のちに何らかの事情により被害が確認された場合には、監督当局への通知があらためて必要であるためこの限りではない。

単に法律の話というわけではない

21.6%のケースでは、追加の調査実施を監督当局が要求している。つまり、5件に1件は通知の内容が不十分もしくは不明瞭、または何らかの理由で追加の調査が必要な状況であるということだ。
GDPRは法律の話ではあるものの、技術的な状況についても逐一把握して通知していかなくてはならないため、双方への知見が対応には求められることは確かだ。

また、3.9%のケースでは、企業や組織などの通知を行なった主体が講じるべき追加措置について、監督当局からアドバイスを提供されている。
ここで意外だと思われる方もおられるかもしれない。監督当局は企業や組織に制裁を科すことが目的ではなく、被害最小化のために共に歩んでいく姿勢を示している。そのため、第一報の通知に対する返答では、アドバイスが必要であれば尋ねて欲しいといったことも告げられる。例えば英国であれば、ICOだけでなくNCSC（国家サイバーセキュリティセンター）などのサイバーセキュリティに関連した省庁でも窓口を設けて企業や組織の被害最小化を支援している。

そして、多くの方が最も関心をお持ちであること。実際、どれだけの割合で是正勧告や制裁が科されたのかということだろう。
これは0.1%のケースで、是正勧告や制裁が科されている。
（ただし、ここまでで述べてきた以外にも少数のいくつかの対応事例があるため、ここまで出てきた数字を足しただけでは100%にならないことをお断りしておく。）

この数字を多いと思われるか、少ないと思われるかはそれぞれの環境や立場などにもよるだろう。英航空会社での個人データ侵害^*3などのように、大規模な被害が生じたケースは報道で取り上げられることも多いため、更に多くの企業が制裁を科されていると考えておられた方もおられるのではないかと思う。

サイバー攻撃の被害に遭った上に制裁まで科されてしまわぬよう、技術的対応および組織的対応の実施と、迅速かつ適切な対応が取れるよう平時からの備えが必要である。

^*1 https://www.willistowerswatson.com/ja-JP/Insights/2021/03/crb-nl-march-adachi

^*2 https://ico.org.uk/media/action-weve-taken/decision-notices/2021/2620369/ic-113334-v5p7.pdf

^*3 https://www.willistowerswatson.com/ja-JP/Insights/2021/04/crb-nl-april-adachi

^*4 https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf

^*5 https://ico.org.uk/media/about-the-ico/documents/2620166/hc-354-information-commissioners-ara-2020-21.pdf