はじめに
著者は、Eディスカバリを通して、米国の集団訴訟による賠償や米国政府当局に課せられた罰金により、何十億、何百億円もの支払いに直面した日本企業を見てきました。そして、問題の本質が日本企業のコンプライアンス、ひいてはコーポレート・ガバナンスに起因するという結論に至りました。そして、類似した構造を抱える問題が、今度はすべての企業が関係するサイバーセキュリティを舞台に起きていると認識しています。Eディスカバリで培った知見を共有することで、サイバーセキュリティを防衛だけではなく、企業価値向上の観点からも見てゆきます。
そもそもEディスカバリとは
米国民事訴訟の手続きには、Discoveryという証拠開示制度があります。これは審理の前に当事者同士が訴訟に関連する資料を収集し、開示する制度です。そして、証拠の対象としてメールなどの電子データを含めた開示手続をEディスカバリといいます。新聞などでは、賠償金額や制裁金額ばかりが取り上げられますが、実際にはその過程のEディスカバリのコストも莫大です。自動車部品メーカーによるカルテルの摘発に端を発し、近年までに何十社もの自動車関連企業が訴訟や制裁の対象となりました。Eディスカバリが米国の制度であるが故に、日本の法学部を出て、司法試験に合格し、弁護士活動や法律事務所で実務を経験してもEディスカバリに関して学ぶことはありません。そのため、何年にも渡った自動車産業界を揺るがしたこの問題において、当初からきちんと対応している企業は稀でした。
昨今では、日本でもリニエンシー制度が話題に上りますが、そもそも米国では1993年にリニエンシー制度が導入されました。他社に先んじてカルテルを米国司法省(DOJ)などに通報し、リニエンシーが認められれば、減免措置を受けることができる制度です。この制度により、第一通報者となりリニエンシーが認められた企業は、米国当局の調査に協力することで、カルテルに参加した他社が芋づる式に見つかります。
日本の自動車関連企業の経営陣と接していた中で、ゆっくりではあるが、自動車関連企業への米国による政府調査、そしてリニエンシー制度について日本企業が理解してきていることが伝わりました。しかしながら、実際に十分なEディスカバリ対応を取った企業は多くはありませんでした。当時は日本語で得られる情報が今と比べて極端に少なかったことなども関係していたと思われますが、どこかで自分の会社だけは大丈夫であろう、という意識があったのかもしれません。あるいは、対応しようにも適切な人材がおらず、どこから手をつけてよいのかわからなく、結局対応ができないうちに調査対象となってしまったケースも多くありました。上記で述べたように、罰金だけで百億円以上の支払いを余儀なくされた企業が複数あります。実際には、多くの企業が政府調査の後に集団訴訟で訴えられ、多額の賠償を支払いました。そして政府調査や訴訟に対応するためのEディスカバリ費用も莫大でした。
これら一連の政府調査や集団訴訟がどれだけ株価や企業価値を毀損させたか、改めて考えを及ばせる必要があります。
次なる舞台はサイバーセキュリティ、すべての企業が対象に
上記でEディスカバリの例を挙げましたが、そこには日本企業と米国企業のコンプライアンス、そしてコーポレートガバナンスにおける考え方の違いがあります。アメリカでは、そもそも起業時からしっかりと外部の弁護士を入れコンプライアンスを整える企業が少なくなく、また投資ラウンドを見ていても、「シードラウンド」を経て、「シリーズA」や「シリーズB」あたりになると、投資家サイドからコンプライアンスやコーポレートガバナンスに対して注文がつくことも珍しくありません。それに対して日本では上場企業ですらこのあたりの体制が整っていない企業が多くあります。つまり、米国ほど間接部門に費用を掛けない。ここまで見ると、日本の自動車関連企業が、突然目の前に現れた米国の反トラスト関連の問題に迅速に対応できなかったことも、理解ができます。
さて、ここからが本題です。日本ではコインチェックがハッキングを受け、580億円相当の仮想通貨ネムが盗まれたことが大きく取り上げられました。被害は仮想通貨取引所だけではありません。9月には、トヨタ紡織の欧州子会社において、ビジネスメール詐欺(BEC)により約40億円に及ぶともいわれる金銭をだまし取られたとの報道がありました。つまり、一般企業も攻撃の対象になっているというに他なりません。
また、今この記事を書いている10月30日現在は、ハッキングを受けたヨハネスブルク市とハッカーの間での身代金要求の行方が注目されています。このような行政機関や地方自治体を対象とした被害は、アメリカを例に取るだけで、ペンシルバニア州ワシントン、フロリダ州スチュアート、カリフォルニア州インペリアル郡、ユタ州ガーフィールド郡、ニューヨーク州オールバニー、テキサス州アマリロ、テキサス州デル・リオ、ジョージア州ジャクソン郡、マサチューセッツ州レミンスターなど、枚挙にいとまがありません。その他にも、教育機関のシステムや空港などの交通網に対する攻撃もあり、ほぼ毎日のようにランサムウェアの新種が現れては猛威を奮っています。
話を日本に戻します。コインチェック事件の発端は、社員複数人に送られたメール内のリンクを開いたことによる、マルウェア感染といわれています。トヨタ紡織の欧州子会社のケースに関しては、外部からの虚偽の指示により、経理担当者が送金関連の情報を操作したと言われています。リンクのクリックも、外部への送金も、すべての企業で毎日のように行われています。そして、それは情報システム部門とは関係のない従業員により行われています。
今すぐウィーケスト・リンク(Weakest Link)の強化を
鎖の強度は、その環の一番弱い所で決まります。サイバーセキュリティも同じです。どんなに社内のITインフラに投資しても、ハッカーは巧妙なソーシャルエンジニアリングを駆使して組織の弱い部分に攻撃を仕掛けます。そして、サイバーセキュリティにおいては、その弱い部分こそが、企業を支えている一人一人の従業員です。つまり、全社員のセキュリティアウェアネスを向上させることこそが、急務です。
日本はハッカーの試験場と言われており、もっとも有名なランサムウェア、WannaCryも世界で猛威を振るう前に日本でテストされたと言われています。この記事を読まれている企業の経営陣の皆様は、日本がそのような環境に置かれていることを既に認識していると思います。しかしながら、認識するだけでは不十分です。それは、冒頭で挙げた日本企業の米国カルテルのケースからもお分かり頂けると思います。これまでのセキュアなITインフラに加え、すべての従業員のセキュリティアウェアネスを向上させて下さい。従業員のセキュリティアウェアネスの向上のためにリソースを割いている企業は日本ではまだ多くありません。積極的に取り組むことで自社をサイバー攻撃から守り実害を出さないだけではなく、同時にIRで外部にアピールすることで企業価値を向上させるチャンスです。
今後ますます高度化・巧妙化するサイバー攻撃から企業をいかに守るか、情報システム部門だけの問題ではなく、皆様の経営判断が問われています。
