(イメージ:写真AC)

ランサムウェアの支払いを行うことを決定した組織に対し、政府機関への通知を要求する法案が9月の最終週に米上院議会で提出された。サイバー攻撃被害に伴う一段と厳しい要件が求められる中、企業や組織はどのように対応し、どのような実情があるのだろうか。

身代金の支払いを決定したら

GDPR(EU一般データ保護規則)が適用される場合、データ侵害が判明してから72時間以内に監督当局への通知が必要となることは以前のニュースレターで触れた。*1

米国では企業がランサムウェア攻撃被害に遭い、それに応じて身代金の支払いを決定した場合には、24時間以内にCISA(国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティ庁)への通知を要求する、サイバーインシデント報告法案*2が上院議会へ提出され、その動向に注目が集まっている。州政府や地方自治体、50人以上の従業員を抱える企業や非営利団体が対象とされており、この通知をもし行わなかった場合には司法省による措置が講じられ、政府機関との取引を禁止される可能性もあるとする罰則規定も設けられている。

GDPRにおいては、求められた期間内にデータ侵害に遭ったことを報告しなかったとして、オランダのデータ保護監督当局APが大手旅行予約サイトに475,000ユーロ(およそ6,000万円)の制裁を科したことは記憶に新しい。*3 もし通知そのものが行われなければ、これ以上の影響を伴う制裁を科される可能性もあるだろう。

業務委託先との契約には

サイバー攻撃の被害が発生した場合、影響範囲の調査や確認、中断している業務の復旧および代替策の実行、また復旧対応やその計画、そしてこれらのための調達といったことが同時進行で行われていく。ランサムウェア被害に遭った場合には、身代金要求に応じるかどうかの検討や攻撃者側との交渉なども付け加わる。
それらに加えて、関連法規制に準じた監督当局への通知を、定められた期限迄に行う必要もある。

GDPRに関連した監督当局への通知であれば、被害状況や影響を受ける可能性のあるデータ主体の性質といった情報に加えて、個人データをどのように取り扱っていたのかといった状況なども伝えていくことになる。

ただし、通知に際して求められる項目は各国の監督当局ごとに微妙に異なっているため、通知を行おうとしている監督当局のフォームやガイダンスを確認しながら進めていかなくてはならない。

そして、通知のための情報を整理していく中で、多くの場合発生するのが業務委託先などとの契約条件を確認する作業だ。個人データを業務委託先などと共有しながら業務を行っている場合もあるし、データ処理を委託している場合も多い。業務委託先に一任していたので知らぬ存ぜぬということでは許されず、通知の中で自らの責任のもと説明していく必要がある。

場合によっては、その業務委託先に対しても監督当局への通知を行うよう求められることもある。ただし、これまでの経験においては、業務委託先との資本関係の有無など両社の関係性によっても対応が異なってきたため、本稿では言及しないこととする。

求められる具体的な情報

データ処理契約に求められる要件は、GDPRの条文でも述べられている。しかし、その要件を契約書へ記載すれば良いという単純なものではない。要件がどのように満たされ、契約対象は個人データ処理に必要なセキュリティレベルをどのように実現しているのか、その実装に関しても具体的な情報を含めていく必要がある。法律の用語を連ねていけば良いというものではない。

データ処理に際しての業務委託元と業務委託先、すなわちデータ管理者およびデータ処理者との間の契約については、GDPRの発行体である欧州データ保護委員会(EDPB)よりガイドライン *4 が提供されている。このガイドラインは今年7月に更新が行われているので、そこから具体的な方法についていくつか紹介したい。

まず、処理契約に限った話ではなく、データ処理全般に対しても求められていることであるが「処理活動の記録」を残すこと。

また、処理活動の記録に加えてデータ保護監査の報告書などによって、処理者が技術的対応および組織的対応の実施を証明できるようにしておくこと。

そして、データの管理者と処理者の双方が、データ保護のための規則を遵守していることを確認すること。

このデータ保護のための規則については、GDPRの要件を単に言い換えるだけでなく、処理の実行方法に関する具体的な情報を含めていく必要がある。

また、監督当局への通知で期限が定められているのと同様に、処理者と管理者との間においても個人データの侵害を通知する期限を設定することを推奨している。その事実が判明した際に通知するタイミングについて、双方での意見の不一致がしばしば発生しているためである。

そのほかには、監査を実施する際のコストについて話し合うことを推奨しており、相手方に不利な影響を与える不均衡または過剰なコストを課すことに注意しなくてはならないとしている。これら以外にも参考となる情報が多く盛り込まれているため、ご参考いただきたい。