読売新聞に「サイバー防御、「匿名」で強化…インフラ2千社」という記事がでています。
現在、情報共有システムとして、大きなものは、わが国では、J-CSIP(サイバー情報共有イニシアティブ )、CTAPP(標的型攻撃に関する情報共有枠組みのパイロットプロジェクト)があります。あと、セプターカウンシル関係では、標的型攻撃に関する情報共有体制(C4TAP)というのもあります。
この記事では、NISCに「バーチャル情報連携センター(仮称)」を設置するということが明らかにされています。あと、「サイバー攻撃を受けた際に、企業が情報提供をためらわないよう企業名を伏せて報告してもよい仕組みを導入する。」ということで、情報共有に関する種々の問題点をクリアしようという態度が見受けられるということがいえます。
法的な理屈としては、情報共有を妨げる種々の論点があります。法令等遵守のリスク、共有者間の情報遵守の仕組み、インセンティブの設計などが大きな論点といえるでしょう。
法令等遵守のリスク
その中でも、一番大きなものとしては、法令等遵守のリスクなのですが、これに関連するものとして、(1)個人情報保護法・企業秘密等との関係(2)秘密保持契約との衝突について(3)適時開示との関係について(4)情報公開法との関係についてなどの問題があります。
(1)個人情報保護法・企業秘密等との関係
これは、標的型攻撃によって、各企業における個人情報や企業秘密等が流出してしまった場合、かかる情報が流出したりということを第三者である情報収集機関に対して提出すること自体、法的な問題を惹起するのではないかという問題になります。
(2)秘密保持契約(NDA)との衝突について
標的型攻撃によって情報が流出した場合に、その情報が第三者との関係で、守秘義務契約が締結されている対象の情報であった際にその情報を被害にあった企業が、情報共有のために第三者に開示をする場合、また、被害企業が、被害の特定、証拠の保全などのために専門的な業者などに特定の作業を依頼した場合、これらの場合には、情報共有という考え方と秘密保持の義務とが、衝突してしまいます。
秘密保持契約とは、取引等を行う場合に、取引当事者間で行われる営業秘密・個人情報などの業務に関して知り得た秘密を第三者に対して開示しないとする契約です。かかる契約に違反する場合、秘密保持を求めたものは、損害賠償を求めえます。では、このような秘密保持契約が結ばれている場合において、上述のような具体例の場合に、秘密保持契約違反となるのかということになります。
(3)適時開示との関係において
上場会社において、株式の公正な取引と円滑な流通を実現するためには、時々刻々と変化する会社の情報を頻繁に頻繁に開示する必要があります。そのために各金融商品取引所は、各取引所独自の適時開始制度を設けています。これらの規定との関係で、サイバーに関する攻撃情報補については非開示を保障する必要があります。
(4)情報公開法との関係について
制度において情報収集機関、情報分析機関などを考えるとき、かかる機関は、情報公開法において、情報公開手続の対象になるものと考えられます。もし、提供された情報が情報公開の対象となるときには、このような制度は、功をなさなくなる可能性があるものと考えられます。このような情報公開法との関係についてもかんがえないといけないことになるのです。
なお、独占禁止法の関係もあり得るのですが、多分、市場画定の問題もあり、具体的な問題はおきないと考えます。
共有者間の情報遵守の仕組み
これは、情報が機微になればなるほど、誰が情報を取得し、それを誰の間で共有していいのか、というのをきちんと考えないといけないということになります。クリアランス制度の問題があり、自民党では、この導入を提案(デジタル・ニッポン2017)しており、私も賛成ではありますが、運用として困難なところもあります。
インセンティブの設計
このような情報共有システムは、「情報」が、「実効的に」流通しうるものとして制度設計されなければならない、ということになります。そのための仕組みとして、義務づけ、免責制度などをどう組み合わせるか、ということになります。
なお、アメリカでは、サイバーセキュリティ情報共有法(以下CISA)が制定されていることでもあり、それらも検討する必要があります。