デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線
日本でも、情報セキュリティ責任者(CISO)の仕事が重視されてきており、内部昇進だけでなく、社外からの招聘もかなり行われています(デジタルと物理のリスクを両方見るという意味でセキュリティ責任者(CSO)と呼ぶ会社もあります)。この職種が注目を集めているとは言っても、企業ごとに業務内容や権限、さらには責任範囲も千差万別であり、そもそも企業ごとにリスクの質や大きさも異なります。ですから、個別のリスクの取り扱い方について、どのようにCISOの責任を判断するべきか、ひいては職業上のリスクと認識すべきかについても、まちまちなのは道理です。とは言え、一般的にCISOが負うべきリスクとその境界線はどの辺りなのでしょうか? 反対に、どこから企業のリスクとなるのでしょうか?
CISOが負う個人的リスクの最大値はどれくらいか?
セキュリティ事故に遭うか遭わないかというより、いつ巻き込まれるかわからないという時代ですが、今年5月に歴史上はじめて、米国上場企業の経営幹部(CSO)がデータ侵害の取り扱いに関連して法令に抵触した廉(かど)で、連邦法に基づき刑事訴追され、裁判で有罪となりました。
ことはちょうど3年前に明るみに出ました。2020年8月27日のことです。1990年代の米国で第一世代のサイバー検察官として頭角を現し、その後サイバーセキュリティ業界の「ロックスター」として民間に華麗な転身を遂げたジョー・サリバン氏(Facebook社、Uber社、Cloudflare社のCISOを歴任)に対して召喚状が出されたのです。
2016年、Uber社の個人情報流出事件の取り扱い方に違法性が認められるとして、カリフォルニア州北地区連邦地方裁判所から、刑事事件の容疑者とされたのです。当時、同氏はUber社のCISOでしたが、かつて勤務していた古巣のFBIの同じ事務所の後輩が、司法妨害(合衆国法典第18編第1505条違反)、および、犯罪隠匿(合衆国法律集第 18 編第 4 条違反)の嫌疑で宣誓供述をしています。それぞれ最大禁固5年(および罰金25万ドル)、および禁固3年(および罰金25万ドル)の重罪です(つまり、二つ合わせて最大8年の禁固刑に相当)。
個人に対する量刑としては極めて重いと言えますが、データ侵害から組織を守るこの職業に固有の法的リスクとしては、今のところこれを上回る数字はありませんので、差し当たっては、現時点の最大リスクと見做せるでしょう。
何が起きたのか?
トラビス・カラニック氏が創業したUber社は、驚異的な成長を遂げる一方、スキャンダルや騒動といった話題も振りまいていた会社でしたが、デジタル技術と乗客およびドライバーの安全を確保すべく、2015年にサリバン氏を新設の経営幹部のポジション(CSO)に招聘しました。サリバン氏は、さっそく入社前の2014年にUber社で起きたハッキング事件に関する米国公正取引委員会(FTC)の調査に協力をする一方、セキュリティ強化にも取り組んでいます。
彼は、2014年の事件の事実関係をワシントンのFTCで開かれた調査委員会で供述しましたが、そのわずか10日後に、同事件と同様の手口による膨大な個人情報への不正アクセスが再びあったことを知ることになります。本件(同社ドライバー60万人の運転免許証情報や利用者やドライバー57百万人の個人情報への不正アクセス)処理に関連して、セキュリティチームにかん口令を敷き、社内報告を怠り(CEOを除く)、FTCやFBIに事実を隠蔽したこと、ハッカーに口止め料として10万ドルを払うに当たって同社のバグバウンティ制度(システムのバグを報告してくれた善良なハッカーに報奨金を支払う制度)を不正利用した(CEOとセキュリティチームの顧問弁護士を除く)こと、総じてFTCによるUber社のセキュリティ慣行調査を妨害したことなどが、訴状に書かれています。
耳目を集めた本裁判では、同氏が無罪を主張しましたが、2022年10月、陪審員は、いずれの嫌疑も有罪と認定しました。最終的に裁判所は、本年5月に保護観察期間3年、罰金5万ドルを言い渡し、結審しました。米国の保護観察制度は、日本の少年事件に関する用語とは異なり、刑罰の言い渡しを一定期間留保しつつ、行動制限と監視を課し、心理的な圧迫を与えつつ更生を図るものです。
ただ、真相は闇のままです。2017年、創業者CEOのカラニック氏がUber社を退任し、後任となった新CEOが2016年の事件を知り、セキュリティチームの顧問弁護士とサリバン氏を解雇したのですが、それ以来サリバン氏は本件について口を閉ざしています。また、2018年1月にロイターが特報として公開した調査記事によれば、FTCへの情報開示差し止め指示は同社法務部門によるものであること、セキュリティチームが同業他社へハッキングをしたといった証言、2016年の情報漏えいは未然に防ぐことができていたことなど、驚くことに、訴状とは全く異なる「事実」の数々が書かれているのです。裁判所の判断において、ただちに量刑が言い渡されなかった背景には、こうした事実認定の問題もあったのかも知れないと推測されかねない特異な報道です。
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方