このセミナーのタイトルは「グローバル経営とサイバー危機対応」というもので、いずれもグローバルに活動する、監査法人・コンサルファーム・法律事務所の共催で、経団連が後援していた。登壇したのは3共催団体と、日本の大手企業の人。いずれも日本人だが、活動拠点は米国・欧州にしている人もいて、現地からオンライン参加しているパネリストもいた。
実際にグローバル企業で事案の端緒にあたる役割の人、クライアントから事案を持ちかけられたり、事前相談を受ける立場の人が集った会合である。法律、フォレンジック、レピュテーション管理と企業実務の専門家が、あるシナリオを巡って議論するという趣向は興味深いものだ。事前案内によると、
・サイバー攻撃対応は、被害状況の正確な情報が入らない中、複雑な対応を迫られる。
・ハッカーとの交渉、当局への報告、ステークホルダーへの対応を同時並行に。
・グローバル企業では、各国の法制度や民意(個人情報の軽重)、言語の違いも課題。
にどう対処すべきかを議論するとある。
用意されたシナリオは、
・東証一部上場のBtoB型企業、海外売り上げが50%
・海外子会社から暴露型ランサム攻撃を受けたが、実際の被害状況は不明。
・ただ顧客からのデータなど事業継続に関わるものも漏洩した可能性がある。
・東京本社にハッカーから連絡、年間売り上げの0.5%ほどの身代金を要求。
・支払期限は3日、従わなければデータを暴露するとのこと。
というもの。単なる個人情報漏洩では、たとえばGDPRの制裁金がいくらか身代金がいくらかを図って、無視するか身代金を払って口をつぐむかを、経営者は判断するかもしれない。そこで「事業継続に関するデータ」が対象になっているのは、いい設定である。
事業継続こそが重要 - Cyber NINJA、只今参上 (hatenablog.com)
簡単なパネリストの自己紹介の後、司会者がシナリオを説明して、パネリストの意見を聞いた。一番気になるのは身代金支払いそのものが犯罪になってしまわないかだが、それは通常はないとのこと。一般に、身代金支払いそのものに対する罪状はない。しかし特定の制裁を受けている国(例:北朝鮮)に渡ると知って支払うと、それは罪に問われることはあるという。
<続く>