経済産業省より「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」という文章が公表されました、この文章が公表された経緯と、企業側にどのような影響があるかを整理した。
【概要】
通常、被害を受けた企業や組織は守秘義務契約(NDA)を結んだ上で、攻撃の全容調査や被害の拡大防止に向けた調査が行われる。多くの場合、被害を受けた組織は広報を通じて被害事実が公表されるが、レピュテーションリスクなどの問題から、特定の攻撃技術情報は公開されないことが多い。さらに、専門組織による調査結果もNDAの影響を受けて、専門家グループ内での情報共有が制限される場合がある。これにより、大規模な攻撃キャンペーンの全体像の解明が妨げられることが指摘された。
【検討会の結論】
被害内容や対応情報と攻撃技術情報は別々に扱うべきであるとの結論が出された。攻撃技術情報に関しては、被害組織の情報を非特定化して、専門家同士で共有できるような仕組みの構築が重要であるとされた。これを実現するために、守秘義務契約(NDA)に特定の例外項目を設けることが提案された。
これらの検討結果を踏まえ、以下のようなモデル条文が作成された。
【秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文】
1、 被害を受けた組織の情報を非公開としつつ、攻撃技術情報が専門家組織間で共有されることを可能とする条文。
2、情報の共有に際しては、被害組織に迷惑がかからないようにする事を行う条文。
3、情報共有によって何らかの損害が生じた場合は、それについて免責を可能にする条文。
このようにして、サイバーセキュリティ分野における情報共有の促進と、攻撃対策の迅速化に向けた新たな枠組みの提案がなされた。
今後、フォレンジック等を行っている専門組織からこのような条文を含むNDAを受け取る機会が増えると考えられる。特に免責に関する条文についてはNDAを結び際に検討が必要になると思われる。