重要インフラのサイバー攻撃に係る行動計画、改訂により経営層の責任が明確に

2022年6月17日、政府のサイバーセキュリティ戦略本部にて、『重要インフラ事業者のサイバーセキュリティ―対策に係る行動計画』^※の改訂が決定されました。改訂は5年ぶりとなります。本行動計画の中では、重要インフラ分野として「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス（地方公共団体を含む）」、「医療」、「水道」、「物流」、「化学」、「クレジット」及び「石油」の14分野を特定しています。

本行動計画は、重要インフラを官民が連携し重点的に防護していくための基本的な枠組みとして、政府と重要インフラ事業者等の共通の行動計画として策定され、推進されているものです。
重要インフラを取り巻く脅威は年々高度化・巧妙化しており、その一方で、重要インフラ分野ごとにシステムの利用形態が異なることから、各組織における脅威の差異が拡大しています。このことから、改訂前の行動計画（『重要インフラの情報セキュリティ対策に係る第4次行動計画』）を基本としつつ、重要インフラ分野全体として脅威・環境の変化に対応できるよう重要インフラ防護の強化を図っています。

その上で、今回の改訂では重要インフラ事業者に対し、経営層が組織の内部統制システムを構築する際には適切なサイバーセキュリティを講じる義務が含まれることが明記されました。
また経営層への責任として、構築したサイバーセキュリティ体制が適切でなかったために情報が漏えい、改ざん又は滅失若しくは毀損され、会社に損害が生じた場合には経営層が組織に対する損害賠償責任を問われる得るとされています。なお、サイバーセキュリティ体制自体は適切であっても、運用がされておらず、かつ経営層がそれを知りながら放置している場合も同様の責任を問われます。さらに、個人情報の漏えい等によって第三者が損害を被った場合についても経営層・監査役は第三者に対して損害賠償責任を負う場合があることが記されています。

2017年の行動計画では経営陣への対策実施への期待にとどまっていたのが、今回の改訂では義務とされたことで、経営層へのサイバーセキュリティへの関与と対策実施の必要性がより高まっています。昨年発生した、米国で最大規模のパイプラインであるコロニアル・パイプラインがランサムウェア攻撃によって一時的に操業停止したことは記憶に新しく、サイバー攻撃を仕掛ける犯罪組織が重要インフラを狙うことの脅威は浮き彫りとなっています。また、日本でも徳島県つるぎ町立半田病院がランサムウェア被害に逢い、電子カルテにアクセスできなくなる事態に陥っています。

従来からセキュリティ対策と業務効率の向上は相反するものとされ、従業員が自ら積極的にセキュリティ対策およびその為のシステム導入に関与するのは難しいと思われます。しかし、経営層はサイバーセキュリティ体制の強化を企業として果たすべき責任と認識し、自社の預かる情報資産を漏えいさせないこと、また社会へ大きな影響を与える業務を不足の事態により停止させないことを必須の課題として認識するべきでしょう。そのためには、自社の事業の規模や特性をよく認識した上で、トップダウンで体制構築を推し進めることが必要となります。

重要インフラ分野以外についても同様のことが言えます。例えば前述の14分野には「製造業」が入っていませんが、今年3月に起きた小島プレス工業へのランサムウェア被害が取引先であるトヨタ自動車を巻き込みサプライチェーン全体に大きな影響を与えたことは記憶に新しく、セキュリティがすべての企業が例外なく取り組むべき経営課題であることは明らかでしょう。経営層のリーダーシップが問われています。

弊社のDRM/IRMソリューション『DataClasys』は、ファイルを暗号化し利用権限を設定することで機密情報の漏えいを防止します。クレジットカード情報や重要機密情報の漏えい対策として有効な手段となりますので、ご興味のある方は是非ご相談ください。