“願い”と化す「情報漏えいの事実は確認されておりません」 問われる「サイバー攻撃を受けました」発表の質

辻氏：最近ではサプライチェーンが関係するので、一つ被害が発生するだけで、多くの企業に影響が出る。僕はどちらかというと、この状況下でリリースの質が変化する懸念を抱いています。他がこの程度の内容なら、うちもそれで、みたいな。同じようなことはリスト型攻撃が流行ったころに特定の業界で起きていました。

　他よりも劣ることは避けたいけど、突出する必要もないという考えで、さっきの70点で合格やったら70点でええやん、と。

北條氏：経営者は横並びを意識してしまいますからね。それに対して、対策費用をどこまで使うか。むしろかけなくてもいいんじゃないか、というような考えが増えてしまうとより大きな問題になりますね。

辻氏：増えるでしょうね。しかも、それをダメだと説得する材料がない。経営者自身の立場が脅かされないと、やっぱお金を払わないかもしれない。別に改善命令が出されるわけでもない。別に規制も働かない。

　この手の話はいつもこういうところに帰着してしまう。いつも思うんですけど……結局、攻撃者がもうかり続ける。攻撃者パラダイスですよ。これ（苦笑）

北條氏：それ、記事に書かれちゃいますけど、いいのですか？（笑）

●誰が見張りを見張るのか？　法律のこれからに感じる課題

北條氏：日本に特徴的で、海外と大きく違うと考えられているのは憲法にある「通信の秘密」だと思うんですよね。このインターネットが発展した現代においては、攻撃者を特定するためにログを取ることや、そのログを分析したり、提出したり、共有したりすることとかは、通信の秘密がネックになってきている場面もあると思います。

　この点、能動的サイバー防御に関連して、東京大学の宍戸常寿先生が語っていましたが、通信の秘密にも制限があって、例外もあるんだと述べています。その例外をどこまで広げるか、そのためのガバナンスを確保する必要があることは、今後、議論になるでしょうね。

　ログについては、取る、取らないの判断に加えて、取ったログをいつまで保存しておくのかという課題もあります。ログを持つこと自体、特定の個人と紐づくこともあるため、適切な安全管理措置を講じなければならず、これをマイナスと捉える側面もあるので、できるだけ取得したくない、取得するとしても早く消したいという考えがある。

　日本の法律でログについての保存期間を規定したものはないんですよね。自社が管理している業務やサービスに対して、必要がないのであればログを保存しないという選択も取れることになってしまいます。