CSIRT運用の高度化と実践に関する講演は2部構成で、前半はオリック東京法律事務所・外国法共同事業 訴訟部代表パートナー弁護士の高取芳宏氏が、ヨーロッパや米国での法規制を踏まえたグローバルな情報セキュリティ対策について、法律視点からの注意点を説明した。
高取氏は、ヨーロッパのGDPR、アメリカのUS「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」を説明し、続けて、アメリカの民事訴訟には「Discovery」と呼ばれる、いわば「証拠開示」の手続があることに触れた。
Discoveryでは例えば、「専門業者に依頼して実施した脆弱性診断テストで、脆弱性を指摘する報告書が提出され、セキュリティ担当者間で『うちのセキュリティは脆弱だね』といったコミュニケーションが残された場合、こうした内部的なコミュニケーションも証拠として開示の対象となる可能性が高い」(高取氏)という。こうなってしまうと、グローバル展開をしている企業では、訴訟の際に不利な証言や証拠まで開示しなくてはならなくなってしまう。
ただし、全情報の開示の原則には例外がある。それが「Attorney-Client Privilege」だ。「弁護士依頼者秘匿特権」で、弁護士と依頼者の間のコミュニケーションについては、内容を秘匿することが認められるというものだ。
弁護士依頼者秘匿特権では、弁護士と依頼者との間で「法的助言の一環として」なされたかどうかがポイントとなる。高取氏は、例えば社内のセキュリティ担当者間や外部のセキュリティ関連事業者などとのやりとりが弁護士依頼者秘匿特権の対象となるようにするには、「外部の弁護士によるリスクやコンプライアンスについての法的助言の一環としてサイバーセキュリティ監査・評価を指揮することが得策」とアドバイスした。
Copyright © ITmedia, Inc. All Rights Reserved.