ブログ(トレンド&インサイト)

データ漏洩調査における免責と作業成果物の保護を最大化する2つのシンプルな方法

データ漏洩が発生した際のインシデントの調査資料は、民事裁判や政府の調査において必ずしも開示から免れません。そのような調査資料が開示されるかは、データ漏洩の被害を受けた企業、および民事訴訟または政府の規制調査の標的となった企業にとって、費用面、および広報面において深刻な影響をもたらす可能性があります。昨年1年間だけで、データ漏洩後の訴訟や調査は数十件に及びましたが、その結果明らかになったのは、組織の法務およびリスク管理の責任者が初期段階でどのような措置を取ったかが、最終的に大きな違いを生むということでした。

データ漏洩調査において、特権と作業成果物の保護を確立、維持するための最初のステップは、インシデントレスポンス計画の策定に法務/リスク管理責任者を関与させることです。法務およびリスク管理部門が、データ漏洩が発生する前に、データ漏洩インシデントレスポンス計画の作成および実施において主導的な役割を果たすことは、ベストプラクティスであると言えます。そうすることで、企業は、データ漏洩がもたらす法的(ならびに金銭的およびビジネス上の)副次的な影響を最小限に抑えるよう、最善の準備をすることができるようになります。特に、データ漏洩の調査で明らかになったことに関連する、弁護士と依頼者間の秘匿特権(attorney-client privilege)および 作業成果物の保護(work product protections)によって規定される保護を最大限にするために、特に注意して、最終的なステップを取ることには、大きな意味があります。

企業は(特定の事実や状況に応じて)後々特権の放棄を選択する可能性がありますが、重要なのは、常に権限を放棄するオプションを持つことであり、初期のタイミングで特権の確立に失敗しないことです。

企業が、根本的な調査文書の審査を公正を期して必要とするような訴訟において、調査の知見を用いて弁護を主張することを選択した場合、訴訟の結果として裁判所は、その特権が暗黙のうちに放棄されるとみなすことができることに注意してください。例えば、In re United Shore Fin.Servs.,LLC,No.17-2290,2018WL2283893,at*2(6th Cir.Jan.3,2018)およびその中に引用される事例を参照してください。それにもかかわらず、戦略的な理由で特権を放棄するかどうかに関係なく、最初にオプションを持たないままにしておくよりも、選択する立場をとる方が企業にとって良い方法でしょう。

次に、サイバー・セキュリティの専門家がデータ漏洩インシデントの調査、復旧にあたる場合、(a)社外弁護士、(b)調査員、および(c)自社/自組織の間で締結する3方向契約(MSA:マスター・サービス契約)の利用を検討しましょう。あるべき姿としては、攻撃を受けた際に迅速に必要なアクションを取ることができるように、データ漏洩が起きる前にこれらの契約書を整備しておくことが望ましいです。

理想的なマスターサービス契約書には、次のことを明確に記載します。

  • サイバー・セキュリティの専門家は、「法的アドバイスの取得を支援する目的で」、企業の利益のために社外弁護士に雇われます(これらの条件は、理想的には、データ漏洩インシデントに先立ち、サイバー・セキュリティの専門家が企業のデータ漏洩防止計画の一部としてペネトレーション・テストを実施する場合にも使用されます)。
  • サイバー・セキュリティ専門家の作業は、(サイバー・セキュリティ専門家がデータ漏洩インシデントの発生を受けて従事しているとき)「訴訟を想定して」実施されることになります。
  • サイバー・セキュリティ専門家は、社外弁護士の「指示の下で」作業し、その社外弁護士は、顧客、サードパーティ、規制当局、および報道機関を含む外部の当事者に対するすべてのステートメントについて最終決定権を持ちます。
  • 契約書には、企業内の連絡先が(最高情報責任者またはデータ・プライバシー担当役員ではなく)法務/リスク管理歴任者(ゼネラルカウンセル)であることを示す必要があります。
  • 業務範囲は、参照情報として契約書に組み込まれる詳細な作業指示書(SOW)を通して、契約書内にできる限り明確に記載されるべきです。必要に応じて、追加指示書を後で追加し、参照情報として契約書に組み込むことができます。
  • 契約書には、企業だけでなく、フォレンジック専門家と外部弁護士の両方が署名するべきです。

IT部門によって決定および締結される、従来のベンダー購買契約書を通じたサイバー・セキュリティ専門家の雇用は、おそらく、契約に関連するコミュニケーションに関する弁護士と依頼者間の秘匿特権保護を持たない可能性があります。また、弁護士の職務活動の成果物または専門家特権の証明によって規定される保護もないと考えられます。

データ漏洩発生後、標的とされた企業が被害の評価と封じ込めを行い、通知義務を履行し、コアビジネスの運用に軸足を戻すのに合わせて、事態は迅速に進むはずです。この時、正確で透明性の高い情報の流れが不可欠です。法務/リスク管理責任者が最も注意すべきことは、ビジネス・クリティカルで緊急性の高いコミュニケーションが、その後の訴訟で関係者の目にどのように見えるかということです。

データ漏洩が発生するかなり前の準備段階中に、特権(および作業成果物保護)を付加するステップをとり、データ漏洩後の調査の間中ずっと特権を維持することを心に留めておくことによって、法務/リスク管理責任者は、弁護士と依頼者間の秘匿特権および作業成果物の保護による保護を最大限に生かすことが可能となります。これにより、企業は、その戦略的目的の達成と、株主に最善の利益をもたらすという目的において、特権を放棄するかどうか、その場合いつ放棄するかを決定することができる状況に立場を置くことができるのです。

Cathleen Donohoeは、Pillsbury Winthrop Shaw Pittman LLPの弁護士です。

本ブログは、米FireEyeが公開した「Two Simple Ways to Maximize Privilege and Work Product Protections in Data Breach Investigations」(英語)の日本語抄訳版です。

日本語版:Reviewed by Saeko Hashimura