同事務所の取扱案件のなかでも対応実績が高いのは、サイバーセキュリティに関する法的・技術的なサポートだ。例えば、ランサムウエア(身代金要求型ウイルス)によるデータ破壊は、売上高の損失や、最悪の場合は事業停止といった事態を招きかねない。ゆえにセキュリティ対策構築もインシデント対応も、経営層がリーダーシップを取り、組織全体で対応していく必要がある。山岡弁護士とメンバーは、そうした状況に置かれた経営層に、日々伴走している。これまでに関与した案件の例を、山岡弁護士にうかがった。
「ある日本企業の海外法人がサイバー攻撃を受けた際、私たちがインシデント対応の司令塔的な役割を担ったことがあります。経営層を中心に、法務、総務、IR、広報、情報システム(情シス)部門など全社各部門の責任者50名以上が参加するオンライン会議で、海外法人の状況や、技術的・法的問題と対応策などを、英語から日本語に翻訳しつつ、情シス以外の部門の方にもわかりやすく伝えるといった役目を担いました。グローバルなセキュリティベンダーや海外の法律事務所と、技術用語を交え、協働して進めるなどのプロセスも。経営層に近い位置で司令塔となり、全社一丸となって危機から脱する取り組みの最前線に立てたことは、プレッシャーは大きかったものの、挑戦しがいのある案件でした」
インシデント対応については「技術的な分野での対応とコンサルティング要素が強く、法律の知見が必要な場面は、むしろ限られる」と山岡弁護士。当該案件は、同事務所だからこそ対応できた一例と言える。入所2年目の70期代の弁護士は、こうした分野での仕事の醍醐味を、次のように語る。
「“先例がない”分野の案件が多いことが、八雲の魅力です。例えばシステム開発が絡む法律的な問題が発生した場合、“設計図をもとに一からつくる”点で、比較的似ていると言われる建築分野などの判例や議論を調べながら解決策を探ります。その思考過程や、技術的知見のある所内の仲間との議論も有意義です。また、RISSの資格を持っているとはいえ、クライアントサイドのエンジニアやインシデント対応時の調査にあたるフォレンジックベンダーなどと議論するためには、やはりさらなる勉強が不可欠。徹底的に技術的な内容について、必死で調べながら、現場の技術者と議論して、自分の考えをぶつけていく――それも私にとっては面白く、やりがいのある作業です」
近年増加傾向にあり、同事務所もよく取り扱う分野に、システム紛争対応がある。
「サイバー攻撃を受けた企業のインシデント対応を乗り越えた後、セキュリティの不備について、その企業のシステムを管理していた外部ITベンダーと紛争に発展するというケースが増えています。従来のシステム紛争は、“期待どおりにシステムが稼働しない点”にフォーカスされることが多かったのに対して、サイバーセキュリティにおいては、開発・保守管理していた“システムのセキュリティが十分であったか否か”にフォーカスされる。インシデント対応後に、億円単位に上る復旧費用の支払いなどを巡り、“企業とITベンダー、どちらが負担すべきか”で紛争となるわけです。自社独自でセキュリティを行っている企業は多くなく、ほとんどは外部ITベンダーに任せている。そこで、“外部ITベンダーに求償請求を”という流れになる。インシデント対応が技術に寄った仕事であるとすれば、サイバーセキュリティでのシステム紛争は、“技術×法律”であり、まさに当事務所の専門性が存分に生かせるエキサイティングな分野です。DXが普及すればこういった紛争が増えていくと予想しますし、私たちの活躍の場は一層広がっていくと思っています」(山岡弁護士)
とはいえ、外部ITベンダーだけに対峙しているわけではない。そもそも同事務所は、システム紛争対応において、ベンダー側でも多数の代理人経験がある。
「セキュリティについては、発注側と受注側との間で、責任の分担が明確でないことが多くあります。また、セキュリティに関する契約実務もいまだ定着していません。今後、サイバーセキュリティに関するシステム紛争が増えることで、受注側である外部ITベンダーは、セキュリティに対する意識が高まるであろうし、発注側としても、セキュリティを外部ITベンダーに丸投げするのではなく、積極的に取り組むようになると期待しています。実際には、裁判になってもほとんどが和解で終わっているものの、裁判を通じて責任の所在を明らかにすることで、受注側の外部ITベンダーと発注側との双方のセキュリティマインドが向上し、より安全なDX社会になる、私たちはそんな期待も持って、システム紛争に取り組んでいます」
