脅威インテリジェンスサービスの利用とコンプライアンス(2)からの続きです。
4サイバーセキュリティを目的とした盗難データと脆弱性の購入がテーマになります。
ダークマーケットで、漏洩したデータが取引されていたり、また、脆弱性が売買されていたりします。それらを購入する場合の法的なリスクについて検討しています。
シナリオ1:盗まれたデータの購入
この点を検討するのに際して、以下の3点から検討することとしています。具体的には
・購入者がデータの正当な所有者であるかどうか:盗まれたデータは、データ所有者またはデータ所有者の認定エージェントによって購入されていますか?
・販売されているデータの種類:盗まれたデータは、連邦法によって転送または所有が禁止されている情報の種類(たとえば、盗まれたクレジットカード情報や企業秘密)ですか?
・売り手の身元:売り手は、連邦法によりデータ所有者がビジネスを取引することを禁止している人ですか?
です。
(1)データの保有権限
ダークマーケットで売買されているデータについては、自分(購入者)がそもそも保有することかできないデータが含まれていることが一般です。
そのようなデータを購入したとしても、それ自体としては、刑事訴追を受けることはありませんが、違法な方法でデータを使用する意図があるのではないか、という嫌疑を受けた場合には、そのようなリスクが出てくることになります。
許可や権限なしに他人の盗まれた情報を購入すると、購入者の動機を決定するための調査精査を促す購入者の意図に関する質問を引き起こす可能性があります。このリスクを管理するには、購入したデータに所有する権利を持たない情報の場合、購入者は速やかにそれを隔離し、さらにアクセス、レビュー、または使用しないでください。その後、購入者は直ちに法執行機関に連絡し、データを提供するか、データを所有していると判断できる範囲で実際のデータ所有者に通知する必要があります。これらの手順を踏むことで、刑事訴追に必要とされる意図を欠いていることを立証するのに役立ちます。
(2)データの性質
たとえば、パスワード、口座番号、およびその他の個人を特定できる情報などのダークマーケットで販売される傾向のある盗まれたデータのタイプに関連する連邦刑法の多くは、さらに別の犯罪の意図がある場合にのみ適用されます。たとえば、情報を詐取する目的で使用する場合です。このため、犯罪の動機を欠く盗まれたデータの購入者は、これらの法律の下で起訴される可能性は低い。
ただし、その人の許可なしに他人の盗まれたデータを故意に購入することは法的リスクをもたらす可能性があります。特に企業秘密が関係している場合、購入者の動機に関する質問を提起し、法執行機関と正当なデータ所有者から精査される可能性がはるかに高くなります。
販売者が購入者に属さない資料を作成しないようにすることは、別として、他者に属する盗まれたデータを意図せずに購入した場合に調査および起訴されるリスクを軽減する最良の手段は、そのような外部データに迅速に連絡し、法執行機関および/または正当なデータ所有者に引き渡すことです。そうすることにより、購入者が意図せずにそのようなデータを所有することが犯罪行為と誤解されたり、民事責任を発生させたりというリスクを最小限に抑えることができます。
(3)売り手の性質
米国では、国際緊急経済力法(IEEPA)2339B条の下で、米国政府によって指定された特定の個人または団体から盗まれたデータを購入することを禁じています。過去数年間で、米国政府はサイバー関連の違法行為を含む国家安全保障上の理由で、イラン、北朝鮮、ロシアの個人および団体を制裁する執行命令を発行しています。
また、同法は、民事責任をも定めており、米国財務省の外国資産管理局(OFAC)が、米国の経済および貿易制裁制度の民事執行を担当しています。 IEEPAの民事執行は「厳格責任」に基づいて課せられる場合があります。つまり、たとえ当事者が貿易または経済制裁の対象である個人または団体との取引に関与していることを知らなかったという場合でも、不正な取引規制により、民事罰が科せられる場合があります。
このようなリスクを抑えるには、
OFACは、経済的または貿易制裁の禁止の対象となる個人、地域、または国と取引するリスクを軽減するために、企業にリスクベースのコンプライアンスプログラムを実装することを推奨します。一般市民を支援するために、OFACは、リスクベースの制裁コンプライアンスプログラムの5つの必須コンポーネントのフレームワークを組織に提供することを意図して、そのウェブサイトで、ドキュメント「OFACコンプライアンスコミットメントのフレームワーク」を公開しました。
取引が行われている外国の当事者が経済的および貿易的制裁の対象となるかどうかをチェックする手段を含む合理的なコンプライアンスプログラム(または「エンゲージメントルール」)を実施することは、刑事責任を回避する賢明な方法ですし、IEEPAおよび民事責任の可能性も軽減する可能性があります。 OFACは、米国の対象となる特別指定国民およびブロックされた人物を特定するのに役立つツールも提供します。
一般の方は、OFAC Hotlineフリーダイヤル1(800)540-6322またはローカル(202)622-2490に電話するか、ofac_feedback @ treasury.govに電子メールを送信して、OFACに直接連絡できます。
さらに、特定のライセンスのリクエストは、OFACのWebサイトwww.treasury.gov/ofacからオンラインで送信できます。保留中のライセンスリクエストに関するお問い合わせは、(202)622-2480。