CISO はセキュリティインシデントやサイバー攻撃において、陣頭指揮をとったり、施策の責任を負う立場にある。役員として経営に対する一定の権限、発言力を持つが、対応を間違えると裁判の被告になることもある。
CISSP 他の資格を持つ弁護士、ステファン・レイノルズ氏とニック・メルケル氏は、「Uber の情報漏洩隠蔽」「SolarWinds へのウェルズ通知(註)」「Equifax のインサイダー取引」の事例をもとに、企業がかかえるサイバー犯罪がらみの訴訟リスクに関するセミナーを行った。
(註)ウェルズ通知:SEC(米国証券取引委員会)が個人または企業に対して法的措置を検討していることを通知するもので、SEC が捜査を完了し法的措置を取る必要があると判断した場合実施される
セミナーは 2023 年 Blackhat USA 2023 で行われたが、現在もケーススタディとして重要な情報となる。
● 原告:アメリカ合衆国 - 被告:Joseph Sullivan(Uber CSO)
2020年、Uber の CISO ジョセフ・サリバン氏が司法妨害と重罪隠蔽の罪で起訴された。2016 年から 2017 年にかけて発生した情報漏洩事件について、被害の隠蔽工作が行われたというものだ。
司法妨害は、係争中の裁判において、被告はそれを知っていて、故意に妨害または不正行為を行うことで成立する。重罪の隠蔽は状況に依存する(レイノルズ氏)。だが、米国でも、児童虐待のような例以外で、犯罪や違法行為を見逃す、見て見ぬふりをするだけで罰せられることはない。積極的な隠蔽や偽装、犯罪補助が必要となる。
Uber は、サイバー攻撃の事実を認識しながらそれを公表せず、バグバウンティプログラムで処理しようとした。サイバー攻撃事案では、SEC や監督省庁への報告義務がある。陪審員は、これらの点などを重大として、サリバン氏を有罪とした。裁判では、Uber従業員、サリバン氏の部下だけでなく、攻撃を行ったハッカーが証言台に立ち証言を行った。バグバウンティプログラムの賞金と引き換えに、攻撃やデータの秘匿など特別な NDA を交わしたとされる。
