Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ransomware legal

ransomware legal

医療ISAC共催 デジタル・フォレンジック研究会IDF「医療」分科会
(2021/12/16)
「医療機関向けランサムウェア対応検討ガイダンス」の解説

「ランサムウェアへのセキュリティ対応の法的側面」
https://digitalforensic.jp/2021/11/25/medi-18-1/

9e301e7ea0c63e925e0dd48ca180a280?s=128

Kohei Yoshimine

December 17, 2021
Tweet

More Decks by Kohei Yoshimine

Other Decks in Research

Transcript

  1. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 1 2020.11.18 医療ISAC デジタル・フォレンジック研究会「医療」分科会 共催 「医療機関向けランサムウェア対応検討ガイダンス」の解説 ランサムウェアへの セキュリティ対応の法的側面 田辺総合法律事務所 弁護士 吉 峯 耕 平
  2. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 2 1. セキュリティの基準 2. ランサムウェアへの法的対応
  3. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 3
  4. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 4 3省2ガイドラインと法律の関係 医療情報安全管理GL クラウド 個情法20条 独個法7条 個条例 事業者安全管理GL 個情法改正後は 直接関係なし 外部保存通知 e-文書法 e-文書法省令 医師法24条 その他の保存義務 媒体要件 場所要件
  5. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 5 2000 2010 2020 医療情報システム 安全管理GL 医療情報 受託管理GL ASP・SaaS 医療情報GL ASP・SaaS情報 セキュリティGL 1999 電子媒体通知 2005 2009 2008 2008 クラウド医療情報GL 2018 2002 外部保存通知 2004 e-文書法 2003 個人情報保護法 2020 2010 1.1版 2007第2版 2008第3版 2010第4.1版 2009第4版 2013第4.2版 2016第4.3版 2017第5版 2012 第2版 一層の整合性確保も検討 2021第5.1版 医療情報事業者GL
  6. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 6 ①組織体制整備 ②規程等の整備と運用 ③医療情報の取扱台帳の整備 ④安全管理対策の評価、見直し及び改善 ⑤情報や情報端末の外部持ち出しに関す る規則等の整備 ⑥リモートアクセス端末等の管理規程 ⑦事故又は違反への対処 組織安全管理対策(6.3) ①入退館管理 ②盗難、覗き見等の防止 ③機器・装置・情報媒体等の物理的保護措置 (盗難、紛失防止) 物理的安全対策(6.4) ア 従事者への安全管理措置 ①秘密保持契約 ②定期的な教育訓練 ③退職後の守秘義務 イ 委託業者への安全管理措置 ①秘密保持契約 ②作業者・作業内容・作業結果の確認 (医療情報システムにアクセスする場合) ③作業後の定期的なチェック(医療情報シス テムにアクセスしない場合) ④再委託の安全対策 人的安全対策(6.6) ①利用者の識別・認証 ②情報の区分管理とアクセス権限の管理 ③アクセスの記録 ④不正ソフトウェア対策 ⑤ネットワーク上からの不正アクセス ⑥医療等分野におけるIoT機器の利用 技術的安全対策(6.5) ・情報の破棄(6.7) ・情報システムの改造と保守(6.8) ・情報及び情報機器の持ち出し(6.9) ・災害、サイバー攻撃等の非常時の対応(6.10) ・外部と個人情報を含む医療情報を交換する場合の安全管理(6.11) その他 医療情報安全管理GLの項目
  7. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 7 事業者ガイドラインの目次概要 1. 本ガイドラインの基本方針 1.1. 本ガイドライン策定の経緯 1.2. 本ガイドラインの策定方針 1.3. 本ガイドラインの構成 2. 本ガイドラインの対象 2.1. 本ガイドラインが対象とする医療情報と事業者 2.2. 医療情報システム等の代表的な提供形態 3. 医療情報の安全管理に関する義務・責任 3.1. 法律関係 3.2. 医療情報システム等のライフサイクルにおける義務と責任 4. 対象事業者と医療機関等の合意形成 4.1. 医療機関等へ情報提供すべき項目 4.2. 医療機関等との役割分担の明確化 4.3. 医療情報システム等の安全管理に係る評価 4.4. 第三者認証等の取得に係る要件 5. 安全管理のためのリスクマネジメントプロセス 5.1. リスクマネジメントの実践 5.2. リスクアセスメント及びリスク対応の実施例 6. 制度上の要求事項
  8. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 8 プライバシーと個人情報保護法制 個人の権利利益 プライバシー権 名誉権その他の人格的利益 経済的利益 …… 個人情報保護法制 民間企業・私立大学 国立病院・国立大学 ナショナルセンター 公立病院 個人情報保護法 独立行政法人 個人情報保護法 個人情報保護条例 主体ごと 令和3年改正 で個情法に 一本化
  9. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 9 プライバシーは民法の世界 (不法行為による損害賠償) 第七百九条 故意又は過失によって他人 の権利又は法律上保護される利益を侵害 した者は、これによって生じた損害を賠 償する責任を負う。 • 基本的に明文のルールはこれだけ • 裁判所が柔軟に解釈する • 個人情報保護法制と比べて実質的
  10. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 10 医療・医学研究分野全体での位置づけ ナショナルセンター 国立病院・大学病院 民間病院 民間診療所 公立病院 プライバシー・不法行為 個人情報保護法制 医療介護 ガイダンス 企業 権利利益の保護 研究倫理指針 3省2GL 個情法 個条例 独個法
  11. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 11 令和3年改正(三法統合)の後 ナショナルセンター 国立病院・大学病院 民間病院 民間診療所 公立病院 プライバシー・不法行為 個人情報保護法制 医療介護 ガイダンス 企業 権利利益の保護 研究倫理指針 3省2GL 個人情報保護法
  12. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 12 個人情報保護法のルールとセキュリティ基準 プライバシーのルール 取得のルール 利用目的のルール 第三者提供のルール 開示・訂正のルール セキュリティのルール 安全管理措置 個人情報 個人データ 個人情報 保有個人データ 個人データ 個人情報 保有個人情報 保有個人情報 保有個人情報 保有個人情報 基準 適切かつ必要な措置
  13. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 13 セキュリティ関係の条文 個人情報保護法 (安全管理措置) 第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は き損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じ なければならない。 (従業者の監督) 第二十一条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに 当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する 必要かつ適切な監督を行わなければならない。 (委託先の監督) 第二十二条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託 する場合は、その取扱いを委託された個人データの安全管理が図られるよう、 委託を受けた者に対する必要かつ適切な監督を行わなければならない。 独立行政法人個人情報保護法 (安全確保の措置) 第七条 独立行政法人等は、保有個人情報の漏えい、滅失又は毀損の防止その他 の保有個人情報の適切な管理のために必要な措置を講じなければならない。
  14. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 14 事業者GL図3 善管注意義務と守秘義務 • 安全管理義務・民事責任は診療契約・委託契 約上の善管注意義務と守秘義務に由来する
  15. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 15 3つの「責任」 Accountability Responsibility Liability 安全管理義務 事後的な責任 (民事責任) 義務違反 いわゆる説明責任
  16. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 16 安全管理義務と民事責任 医療機関等 対象事業者 委託契約等 安全管理措置 20条 従業員の監督(21条) 委託先の監督(22条) 安全管理措置 ① 適切な委託先の選定 ② 委託契約の締結 ③ 委託先における個人 データ取扱状況の把握 • 安全管理義務も民事責任も、重複する • 責任分界とは、委託元の単独分担と委託元・ 受託先重複分担の境界である
  17. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 17 責任分界(点)の概念・イメージ P H A B C Hの管理責任(義務) の範囲 Aの管理責任(義務)の範囲 H A B C P 医療機関等 患者 対象事業者 対象事業者 対象事業者
  18. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 18 安全管理義務の内実 ―― ISMSの国際規格 ISO/IEC 27017 JIS Q 27017 ISO/IEC 27799 ISO/IEC 27000 JIS Q 27000 ISO/IEC 27001 JIS Q 27001 ISO/IEC 27002 JIS Q 27002 概要と定義 ISO27000シリーズの概要を示し、 用語を定義している。 管理策の実践 リスク対応の中の管理策の選定・実施・管 理について詳細な規範を示している。特定 分野についての規格として、クラウドサー ビスについてのISO/IEC27017、27018、 健康情報についてISO/IEC27799がある。 要求事項 ISMSを実施するプロセスの全体 像を示している。 クラウドサービス 健康情報 ISO/IEC 27018 クラウドサービス(個人情報)
  19. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 19 情報セキュリティマネジメントのサイクル ①基本方針の策定 情報セキュリティリスクに対する基本方針を定める。 ②リスクアセスメント 組織の保有する資産(情報)をリストアップして、リスクを特定する。リスクの 大きさ(影響の程度×発生可能性)を分析し、受容可能かどうかを決定する(リ スク評価)。 リスク特定→リスク分析→リスク評価のプロセスを、リスクアセスメントと呼ぶ。 ③リスク対応 リスクへの対応(Risk Treatment)を決定する。一般的には、①管理策 (Control)の適用、②リスク受容、③リスク回避、④リスク移転の選択肢があ るとされる。管理策は、ISO/IEC 27001附属書Aに、管理目的と対応してリスト アップされている。 ④継続的改善 情報セキュリティ体制は、PDCAサイクル等によって、継続的に改善することを 要する。そのために、マネジメントレビューや監査も必要となる。
  20. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 20 対象事業者の説明義務 医療機関等と事業者(元請・下請)において、 契約がルールとなるのが原則 個情法も適切な契約を通じた委託者の監 督を求めている 合意形成が極めて重要 医療機関等は情報セキュリティの専門性を有 さないため、事業者の情報提供・協力が必須
  21. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 21 対象事業者の説明義務 医療機関等は、上記①~③(※)のために適切に情報を取得する必要 がある。しかし、医療機関等は医療の専門機関であって、セキュリ ティについての専門性は乏しいことが十分に想定される。これに対し、 対象事業者は、医療機関等に対し専門的な医療情報システム等を提供 する事業者であり、セキュリティに関する専門的な知識・経験・人材 を擁しているべきである。 このような専門性の格差に鑑みて、対象事業者は、医療機関等に対し、 委託契約又は信義則に基づく付随義務として、医療機関等が患者に対 する安全管理義務を履行するために必要な情報を適時適切に提供する 義務(以下、「説明義務」という。)を負う 。 ※①適切な委託先の選定、②委託契約の締結、③委託先における個人 データ取扱状況の把握 行政機関のガイドラインにおいて委任契約または信義則に基づ く説明義務の存在を明記したもので、かなり踏み込んだ記載
  22. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 22 東京高判H25.9.26(IBM・スルガ控訴審) 控訴人は,前記各契約に基づき,本件システム開発を担うベンダとして,被 控訴人に対し,本件システム開発過程において,適宜得られた情報を集約・ 分析して,ベンダとして通常求められる専門的知見を用いてシステム構築を 進め,ユーザーである被控訴人に必要な説明を行い,その了解を得ながら, 適宜必要とされる修正,調整等を行いつつ,本件システム完成に向けた作業 を行うこと(プロジェクト・マネジメント)を適切に行うべき義務を負うも のというべきである。 また,前記義務の具体的な内容は,契約文言等から一義的に定まるもので はなく,システム開発の遂行過程における状況に応じて変化しつつ定まるも のといえる。すなわち,システム開発は必ずしも当初の想定どおり進むとは 限らず,当初の想定とは異なる要因が生じる等の状況の変化が明らかとなり, 想定していた開発費用,開発スコープ,開発期間等について相当程度の修正 を要すること,更にはその修正内容がユーザーの開発目的等に照らして許容 限度を超える事態が生じることもあるから,ベンダとしては,そのような局 面に応じて,ユーザーのシステム開発に伴うメリット,リスク等を考慮し, 適時適切に,開発状況の分析,開発計画の変更の要否とその内容,更には開 発計画の中止の要否とその影響等についても説明することが求められ,その ような説明義務を負うものというべきである。
  23. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 23 1.セキュリティの基準 2. ランサムウェアへの法的対応 参考文献 髙橋郁夫弁護士「パイプライン攻撃事件の法的論点(支払うべきか、支払わざ るべきか、それが問題だ) -Colonial Pipeline事件」 https://itresearchart.biz/?p=3023 櫻井駿弁護士「相次ぐランサム事件」 https://www.jlf.or.jp/wp-content/uploads/2021/11/itsympo2021siryou3.pdf
  24. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 24 ランサムウェアと安全管理義務 事前対応 事後対応 Responsibility Liability ベンダー 医療機関 契 不 診療契約 委託契約等 契 不 不 攻撃者 不 不 • 侵入防御 • バックアップ • データ消失・漏洩の損害 • 対応費用 • 身代金支払い
  25. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 25 ジレンマ 被害者の私益 サイバー攻撃 抑止の公益 身代金の支払いで事業が復活 できるなら安いものでは? 復元できるかわからない…… 「カモ」として攻撃される 身代金の支払いは犯罪者を 儲けさせる ランサムが儲かると、さら に犯罪が増えてしまう
  26. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 26 To Pay or Not to Pay? 半田病院のシステム障害 https://www.asahi.com/articles/ ASPCV6VMCPCVPTLC00L.html • 「支払ってはいけない」のは 大原則 • 攻撃を受けた後の事後対応は どちらにしても地獄 • 今、担当者として考えるべき は「払えるか」ではなく、 バックアップ等の事前対応 • 万が一事後対応にあたること になったら、専門家(セキュリ ティ、弁護士)の意見が必須
  27. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 27 身代金支払いの結果 https://www.proofpoint.com/jp/blog/threat-insight/is-it-right-to-pay-the-ransom
  28. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 28 大原則:身代金の支払いは推奨されない ランサムウェアに感染した場合、金銭を支払っても ファイルが元通りにならない場合も多くあるため、か かる要求に応じることは推奨されません。 https://www.jc3.or.jp/threats/topics/article-375.html ランサムウエアに感染した場合、攻撃者が要求してき た身代金を支払っても、データやシステムの制限が解 除される保証はありません。身代金は支払わず、次の 流れを参考に、各ケースに応じてシステムの復旧を行 うことをおすすめします。 https://www.jpcert.or.jp/magazine/security/nomore-ransom.html#4 攻撃者に対しては、一般的に次の理由から身代金を支 払うべきではないとされている。 政府機関等の方針で、 支払ってはならないと指針が示されている場合もある。 • 身代金が攻撃者の資本源(収入源)となってしまう。 • 攻撃者が同種の犯罪を続けるモチベーションになり得る。 • データが公開されない保証は無く、更に金銭を要求される 可能性もある。 https://www.ipa.go.jp/files/000084974.pdf
  29. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 29 経済産業省 被害範囲の特定と、被害拡大の防止のためのネットワーク遮 断等を実施する。 (独)情報処理推進機構(IPA)、(一社)JPCERTコーディ ネーションセンター(JPCERT/CC)へ相談する。 犯行グループへの対峙。 • 一般論としては、ランサムウェア攻撃を助長しないようにする ためにも、金銭の支払いは厳に慎むべきものである。 • 金銭の支払いに応じてしまった場合、制裁対象(米国財務省外 国資産管理室(OFAC)等)になる可能性がある。 • 支払いに応じた場合、犯行グループから「支払ってくれる国・ 業界・企業」として更なる攻撃の対象になりかねず、支払いに 応じる組織が存在する限り、攻撃は止まらない。 • 支払いに応じたとしても、データが復元される、又はデータが 公開されないという保証はない。 https://www.meti.go.jp/press/2020/12/20201218008/20201218008-2.pdf
  30. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 30 善管注意義務 経営判断原則 ※諸説あり ①判断の前提事実の認識に不注意な誤りがあっ たか ②判断の(推論)過程・内容が著しく不合理で あったか ③社内手続、専門家の意見聴取 経営陣の裁量を広く認める考えだが 法令違反行為には基本的に適用されない
  31. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 31 蛇の目ミシン事件 ……上記金員の交付を正当化すべき合理的な根拠がなかったことが明らか である。被上告人らは,Aから保有するB社株の譲渡先は暴力団の関連会 社であることを示唆されたことから,暴力団関係者がB社の経営等に干渉 してくることにより,会社の信用が毀損され,会社そのものが崩壊してし まうことを恐れたというのであるが,証券取引所に上場され,自由に取引 されている株式について,暴力団関係者等会社にとって好ましくないと判 断される者がこれを取得して株主となることを阻止することはできないの であるから,会社経営者としては,そのような株主から,株主の地位を濫 用した不当な要求がされた場合には,法令に従った適切な対応をすべき義 務を有するものというべきである。前記事実関係によれば,本件において, 被上告人らは,Aの言動に対して,警察に届け出るなどの適切な対応をす ることが期待できないような状況にあったということはできないから,A の理不尽な要求に従って約300億円という巨額の金員をI社に交付するこ とを提案し又はこれに同意した被上告人らの行為について,やむを得な かったものとして過失を否定することは,できないというべきである。 最判平成18年4月10日民集第60巻4号1273頁
  32. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 32 暴力団規制条例(例:東京都) (事業者の契約時における措置) 第十八条 事業者は、その行う事業に係る契約が暴力団の 活動を助長し、又は暴力団の運営に資することとな る疑いがあると認める場合には、当該事業に係る契 約の相手方、代理又は媒介をする者その他の関係者 が暴力団関係者でないことを確認するよう努めるも のとする。 暴力団=暴力団対策法2条2号の暴力団(都条例2条2号) 暴対法2条2号、1号(暴力的不法行為等)、別表2号(刑法) 刑法37章、249条(恐喝) ※ただし、暴対条例には当たらないという落合弁護士の見解もある https://xtech.nikkei.com/it/atcl/column/14/346926/112500716/
  33. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 33 アメリカ法の規制 制裁関連者のランサムウェアに対する身代金支払いは米国 の国家安全保障上の利益を脅かす 悪意のあるサイバー活動の結果として要求されるランサムウェアの身 代金支払いを進めることは、制裁関連者の犯罪者や敵に利益を与え、 違法な目的を進めることを可能にします。…… このような支払いは、悪意のある攻撃者を勢いづかせ、儲けさせるだ けでなく、追加の攻撃を継続させ、促進することになります。さらに、 企業がデータへのアクセスを取り戻したり、それ以上の攻撃を受けな い保証は何もありません。 これらの理由から、米国政府はサイバー身代金や恐喝の支払いを、強 く排斥します。 OFACの特別指定国民・凍結者リスト(SDNリスト) にランサムウェアのグループ等が指定され、制裁対象 になっている https://home.treasury.gov/system/files/126/ofac_ransomware_advisory.pdf
  34. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 34 個人情報保護法(令和2年改正)の報告義務 https://www.meti.go.jp/shingikai/sankoshin/shomu_ryutsu/bio/kojin_iden/life_science/pdf/001_03_02.pdf
  35. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 35 厚生労働省への報告(医療情報安全管理GL) https://www.mhlw.go.jp/content/10808000/000730541.pdf 医政局研究開発振興課医療情報技術推進室
  36. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 36 検討において考慮しなければならない要素 • 暗号化されたデータの重要性 • 身代金の金額 • 支払後の復元・非漏洩の信頼性 (復元不能や追加脅迫の可能性) • 支払いによらない復元の可能性、 手間、時間、コスト • 専門家の意見(当局も?)
  37. 田辺総合法律事務所 T A N A B E & P A

    R T N E R S 37 田辺総合法律事務所 T A N A B E & P A R T N E R S 弁護士 吉峯 耕平 平成17年第一東京弁護士会登録(修習58期)東京大学経済 学部出身。会社法、金商法を中心とする企業法務全般、訴 訟等の紛争解決業務。独禁法、下請法。刑事事件。医事法。 証券訴訟における損害算定、デリバティブの時価算定が争 点となる事案等、経済学的知見や統計分析の訴訟への応用 を得意とする。 第一東京弁護士会総合法律研究所IT法部会 部会長。 著書等 「従業員が逮捕された場合には企業はどう対応すべきか」 (Lexis企業法務2007.7) 「下請法コンプライアンス体制とその盲点」 (BLJ2011.8 ) 「企業法務紛争における経済分析」 (BLJ 2013.10) 『病院・診療所経営の法律相談』(青林書院) 「「消費税特別措置法」について企業が知っておくべきこ と(前編・後編)」(企業実務2013.9,10) 「デジタル・フォレンジックの原理・実際と証拠評価のあ り方」(季刊刑事弁護第77号) 「企業法務のFirst Aid Kit 問題発生時の初動対応」(レク シスネクシスジャパン) 『全国版 法律事務所ガイド2014 Vol.2』(商事法務) 「株式取得価格決定におけるマーケットモデルを用いた回 帰分析の具体的な方法論-レックス事件を題材に-」(商 事法務2071号) 『デジタル証拠の法律実務Q&A』(日本加除出版) 「デジタル証拠で訴訟に負けないために」(BLJ2016.2) 「応招義務と「正当な事由」の判断基準の類型的検討」 (日本医師会雑誌 第145巻第8号・共著) 「実践!ヘルステック法務 医療・ヘルスケアアプリの類 型と法規制」(BLJ2018.1) 連絡先 yoshimine@tanabe-partners.com http://tanabe-partners.com/ 田辺総合法律事務所 〒100-0005 千代田区丸の内3-4-2 新日石ビル10階 TEL:03-3214-3811 FAX:03-3214-3810