カプコンの情報漏洩に学ぶ危機管理と弁護士の役割
2020年11月に発生したカプコンの情報漏洩は、オーダーメイド型のランサムウェアによるものであり、最大39万件の個人情報流出が行われた可能性のあるものでした。
インシデントは、もちろん起きない方が良く、起こさないような体制を整えることがまず重要なものではあるのですが、そうはいっても、どのような体制を敷いても、発生確率を完全にゼロにすることは不可能です。
万が一、こうしたインシデントが発生してしまった場合、その直後から、どのような対策・調査等を行い、どのタイミングで、どのように発表していくべきなのでしょうか。
そこで、本記事では、「マルウェアによる個人情報漏洩発生というインシデント」に対する危機管理という側面から、カプコンの情報漏洩事件を、同社の対応からあるべき危機管理体制を学ぶため、時系列で解説します。
※弁護士は、自身が弁護士として実際に関与した案件について、弁護士法上の高度な守秘義務を負っております。本記事は、当事務所が関与していない過去の事件について、あくまで一般公開されている情報を元に、弁護士としての見解を述べるものです。
この記事の目次
インシデントの発覚と初期対応
インシデントの発生が確認されたのは、2020年11月2日。
この時点では、社内システムへの接続障害が確認され、システムの遮断と、被害状況の把握の着手が行われました。
そして同日、障害の原因が、ランサムウェアの攻撃によるネットワーク上の機器に対するファイルの暗号化であることが判明。
被害を受けた端末において、「Ragnar Locker」を名乗る集団からの脅迫メッセージが発見されました。
この時点でカプコンは、大阪府警察への通報と、外部企業への復旧支援の要請を行っています。
インシデント発生時、システムの復旧を急ぐべき事は、企業の事業継続のために当然必要です。ただ、ランサムウェアによる攻撃が確認されたのであれば、それはいわゆる不正アクセスであり、不正アクセス禁止法により禁止されている行為である可能性が非常に高いものといえます。
個人情報を含む機密情報の漏洩が確認される前段階、侵入経路が特定される前段階で、速やかに警察に対する通報を行うことが重要です。
情報漏洩発覚前の危機管理広報
そして発生の翌々日である11月4日、カプコンは最初のプレスリリースとして、「不正アクセスによるシステム障害発生に関するお知らせ」を公表します。
本障害に関し、第三者からの不正アクセスが行われたことを確認しており、同日より社内ネットワークの稼働を部分的に見合わせております。関係各位には、多大なるご迷惑をおかけすることになり、深くお詫び申しあげます。また、現時点では顧客情報等の漏洩は確認されておりません。
不正アクセスによるシステム障害発生に関するお知らせ
この時点ではあくまで「不正アクセス」による「システム障害発生」であり、情報漏洩はまだ発覚していません。
情報漏洩発覚後のプレスリリース
漏洩可能性のある個人情報の件数等
情報漏洩が発覚したのは、11月12日。
9件の個人情報および一部の企業情報の流出が確認されました。
翌日、カプコンは大手セキュリティ専門企業へ原因究明調査を打診し、11月16日、情報の流出が確認された旨のプレスリリースを公表します。
この時点では、
- 流出を確認した情報
- 流出の可能性がある情報
を区別し、また、それぞれについて、
- 個人情報(お客様・お取引先等)
- 個人情報(社員およびご関係者)
- 企業情報(売上情報、取引先情報、営業資料、開発資料等)
を区別し、大まかな件数を掲載しています。
この時点で「最大約35万件の顧客個人情報について、漏洩の可能性がある」という旨が公開されました。
クレジットカード情報の漏洩の有無や対応等
また、それと同時に
なお、当社はネット販売等における決済は全て外部委託しておりますので、クレジットカード情報を保有しておらず、クレジットカード情報の流出はございません。
不正アクセスによる情報流出に関するお知らせとお詫び
と、クレジットカード情報の流出の有無について言及し、さらに 、
- 個人情報の流出が確認された方々およびその可能性がある方々への対応
- 発覚と対応の経緯
- 今後の対応
といった情報を公開しています。
外部弁護士等の指導・アドバイス等
そしてプレスリリースの中では、
大手ソフトウェア企業、大手セキュリティ専門ベンダ、サイバーセキュリティに造詣の深い外部弁護士に状況を報告し、指導・アドバイスを得る体制といたしました。情報の流出が確認された方、関係先にはご連絡を開始させていただくともに、その他窃取された可能性のある情報につき、引き続き調査を継続します。
不正アクセスによる情報流出に関するお知らせとお詫び
といった旨も表明されています。
また、「個人情報に関するお問い合わせ先」「カプコン情報流出専用お問い合わせ窓口」として、「ゲームユーザー問合わせ窓口」「総合問合わせ窓口」が、共にフリーダイヤルで用意されました。
そして、少なくとも一部の情報の漏洩が発覚した時点から、情報漏洩があった旨のプレスリリースを公表するまでに4日かかっています。
これは、上記のようなある程度詳細な情報の検証や、今後の対応等に関する意思決定を行うためにどうしても必要な期間であったと考えられます。
個人情報漏洩と危機管理
「システム障害」に関する第一報と異なり、「最大35万件の顧客個人情報が漏洩した可能性がある」という第二報は、複数のメディアに取り上げられます。
カプコンは、第三者からのオーダーメイド型ランサムウェアによる不正アクセス攻撃を受け、同社グループが保有する個人情報が流出した。11月16日時点で流出の可能性がある情報は、客・取引先を含めて最大約35万件にのぼるという。営業資料や開発資料なども流出した可能性がある。
カプコン、不正アクセスで最大35万件の個人情報流出 「ゲームプレーには支障なし」 – BCN+R
ただ、プレスリリース時に「発覚と対応の経緯」「今後の対応」といった情報も公開されていたため、上記記事も、「今後は、警察当局との連携を図るほか、外部専門家によるシステムセキュリティに関するアドバイザリー組織を新設し、再発防止に努めていく姿勢。同社ゲームをプレーするためのインターネット接続や同社ホームページなどへのアクセスにより、ユーザーや社外に被害が拡大することはないとしている。さらに、個人情報が流出した可能性があるユーザーについては、心当たりのない郵便物が届く可能性や、不審な連絡が入る可能性があるため、注意するよう呼び掛けている。」といった文章で締めくくられています。
個人情報漏洩が発覚した後のプレスリリースでは、上記のように、「発覚と対応の経緯」「今後の対応」等も含めた、ある程度まとまった情報を開示することが重要であると言えるでしょう。
そして、個人情報漏洩が発覚した時点で、
- 大手ソフトウェア企業
- 大手セキュリティ専門ベンダ
- サイバーセキュリティに造詣の深い外部弁護士
といった外部の専門家によるチームを組成し、情報流出が確認された顧客等への連絡、危機管理広報などを、原因究明等の純粋なIT的対策と並行して進めることが重要であると言えます。
また、上場企業の場合、この危機管理広報の一環として、株主等に対する説明も必要です。
採用応募者の情報の漏洩可能性
また、公開されたプレスリリース「流出の可能性がある情報」「個人情報(お客様・お取引先等)最大約35万件」の中に、「採用応募者情報(約12万5千件)」という項目があることについて、カプコンが自社の採用サイトで破棄を行う旨を記載していたこととの関係で、SNS等で疑問の声が上がりました。
応募者情報についてカプコンは自社の採用サイトで「採用選考の結果、採用に至らなかった方、採用を辞退された方の応募書類などは選考後、当社において責任をもって破棄致します」と記載していた。本来破棄されるはずの個人情報が破棄されていなかったことについて、Twitter上では同社の対応を疑問視する声が上がっている。カプコンは「応募者の履歴書などをデータ化し、一定期間保管していた」と説明。「データ化についての言及がなく、表現が不足していたため誤解が生じた。おわびする」と陳謝した。保管理由については「応募者によっては複数回応募される方もいる。過去の応募履歴をスムーズに確認するためだった」と釈明した。応募者のデータを一律保管していたのかなどについては「現時点では不明」としている。
カプコン、不採用者の応募書類を破棄せず 採用ページには「責任を持って破棄」と記載も、サイバー攻撃で情報流出の可能性 – ITmedia NEWS
こうした疑問の声が上がってしまうことについて、カプコンが事前に予測していたかは不明ですが、「本来存在していない(と思われてもある程度仕方がない)情報」が社内に存在し、それが漏洩した可能性があるのであれば、事前にその問題についても検討を行った上でプレスリリースを出せた方がベターであると思われます。
弁護士を含むセキュリティ監督委員会の発足
3回目のプレスリリースの公表
さらにカプコンは、12月21日、外部専門家によるシステムセキュリティに関するアドバイザリー組織として、「セキュリティ監督委員会」の発足に向けた準備会を開催。
翌年2021年1月12日、「不正アクセスによる情報流出に関するお知らせとお詫び【第3報】」という、3回目のプレスリリースを公表し、
新たに16,406人の流出が確認され、本事案発生からの累計は16,415人となりました。また、流出した可能性のあるお客様・お取引先等社外の方の個人情報は、最大約39万人(前回から約4万人増)であることが判明いたしました。
と、調査の進行に伴い更新された情報が掲載されています。さらに、クレジットカード情報が漏洩していないことに加え、
当社ゲームをプレイいただくためのインターネット接続やダウンロードでのご購入につきましては、もともと今回攻撃を受けたシステムを用いておらず、外部委託あるいは外部サーバを別途利用しており、現在も同様です。このため、当社ゲームをプレイいただくためのインターネット接続やダウンロードでのご購入につきましては、今回の当社システムに対するサイバー攻撃と関わりがなく、お客様に被害が及ぶことはございません。
不正アクセスによる情報流出に関するお知らせとお詫び【第3報】 | 株式会社カプコン
という記載も行われています。
採用応募者の個人情報漏洩の可能性について
また、この際に、「新たに流出の可能性を確認した情報」として、上述の「採用応募者約5万8千人」の個人情報、具体的には「氏名・住所・電話番号・メールアドレス等のうち1つ以上」の漏洩可能性が公表されました。
この点については、
応募者情報を巡っては、同社へのサイバー攻撃に関連して、選考後も情報を破棄せずに保管していたことが11月に発覚。採用サイトの「個人情報の取り扱いについて」では当初、「選考後、当社において責任をもって破棄致します」と記載していた。その後、20年12月に「再応募を受け付けている関係から、以前のご応募をスムーズに確認するなどの利用目的のため、応募資料データについては、いただきました紙媒体をデータ化したものを一定期間保管させていただくことがある」という文言を追加した。同社によると、「応募者の個人情報は現在も社内システムに保管しており、不正アクセス前と運用はほとんど変わっていない。
カプコン、1.6万人の個人情報流出を確認 新たに5.8万人分流出の可能性も明らかに 20年11月のサイバー攻撃で – ITmedia NEWS
という報道がなされています。
調査結果を踏まえた危機管理広報
4回目のプレスリリースの公表
その後、カプコンは、1月18日に第1回セキュリティ監督委員会を開催、2月25日に第2回セキュリティ監督委員会を開催、3月26日に第3回セキュリティ監督委員会を開催と、月1回のペースでキュリティ監督委員会を開催し、また、3月31日、大手セキュリティ専門企業より調査報告書を、大手ソフトウェア企業より報告書を受領します。
そしてこれらを受け、4月13日、「不正アクセスに関する調査結果のご報告【第4報】」という4回目のプレスリリースを公表します。
この中で、詳細な「対応の経緯」、「被害の原因および影響範囲」、「再発防止に向けたセキュリティ強化策」にて、上記報告書などを受けていると思われる詳細な技術的解説を行い、また、組織的対策として、サイバーセキュリティおよび個人情報保護法制の専門家である弁護士1名を含むセキュリティ監督委員会を発足したことなどを挙げています。
身代金に関する報道と対応
なお、その間である3月1日、上述のサイバー犯罪集団「Ragnar Locker」が、カプコンに対し、約11億5000万円の身代金を要求したとの報道がなされました。
サイバー犯罪集団「Ragnar Locker」が自らのウェブサイトで企業から盗んだデータだと主張するファイルを公開し、身代金としてビットコイン1100万ドル(約11億5000万円)を要求したが、カプコン側は現時点で支払いを拒否している。
カプコンは11.5億円支払い拒否!ランサムウェア被害でも身代金は払うべきでない理由 | テレワーク時代のセキュリティ対策 | ダイヤモンド・オンライン
これを受けてか、上記の4回目のプレスリリースにおいて、身代金についても、
身代金額に関する認知について
不正アクセスに関する調査結果のご報告【第4報】 | 株式会社カプコン
ランサムウェアに感染した機器上には攻撃者からのメッセージファイルが残置されており、攻撃者との交渉に向けたコンタクトを要求されたことは事実ですが、同ファイルには身代金額の記載はありませんでした。既報の通り、当社は警察とも相談の上、攻撃者との交渉をしないことといたしましたので、実際には、一切コンタクトも図っていないことから(2020年11月16日発表のプレスリリース参照)、当社では金額を確知しておりません。
との声明を公表しています。上述の報道などで「11億5000万円」という具体的な金額が出てしまったことへの対応だと思われます。
関連サイト等でのリリース
さらにカプコンは、同日、自社のコーポレートサイト以外のサイトである、「CAPCOM:シャドルー格闘家研究所」(ストリートファイター5関連サイト)や、「CAPCOM ONLINE GAMES」においても、
【続報】グループシステムの障害に関するお知らせ
お知らせ詳細 | Capcom Online Games(カプコンオンラインゲームズ)
平素より『カプコンオンラインゲームズ(COG)』をご利用くださいまして、誠にありがとうございます。2020年11月2日未明からの弊社グループシステムへの第三者からの不正アクセスによるシステム障害について、最新情報を公開いたしました。詳細につきましてはこちらをご確認ください。
といったページを公開しています。
今回の情報漏洩は、早期段階で発覚していたとおり、「外部委託あるいは外部サーバを別途利用」するもので、「ゲームをプレイいただくためのインターネット接続やダウンロードでのご購入につきましては、今回の当社システムに対するサイバー攻撃と関わりがなく、お客様に被害が及ぶことは」ないと発覚していた訳ですが、
調査結果を報告するタイミングで、ユーザーに不安等を与えないため、改めて各サイト内でその旨のリリースを公表したものと考えられます。
まとめ
このように、大規模な個人情報漏洩が発生してしまったケースでは、
- インシデント発生時の速やかな警察への通報
- 「サイバーセキュリティに造詣の深い外部弁護士」などに状況を報告し、指導・アドバイスを得る体制の整備
- 上記チームによる危機管理広報
そして、ある程度情報が出揃ってきた段階では、
- 弁護士を含むセキュリティ監督委員会の組成
といった危機管理を速やか・組織的に行うことが重要であると言えます。