リスク対応策 2020.02.01
RM 4 サイバーアタックが招いたD&O訴訟 D&O Litigation Caused by Cyber Attack
For those who prefer to read this column in English, the Japanese text is followed by a British English translation, so please scroll down to the bottom of the Japanese text.
2019年9月、日銀が402の金融機関を対象に実施した「サイバーセキュリティ確保に向けた取り組みに関する調査結果」を昨日公表した。2017年の前回調査より体制整備が進む一方で、サイバー攻撃に遭ったときの行動計画(コンティンジェンシープラン)に基づいて訓練を実施した金融機関が約半数にとどまるなど課題も浮き彫りになった。夏の東京五輪開催に合わせてサイバー攻撃は増加する見込みであり、日銀は「今年の東京五輪でも、日本の金融機関が巻き込まれる可能性が高くなっているので、コンティンジェンシープランに基づく訓練の実施を優先的な課題として各金融機関に対応してほしい」と要請した。
1.フェデックス(FedEx)コーポレーション
いまでは、ほとんどの航空会社・運送会社で、そのビジネスモデルの根幹としているものが、「ハブ・アンド・スポークシステム」である。自転車等の車輪で、タイヤと接する金属部である「リム」から車軸に向かって、多くの「スポーク」が中心部に向かっている。この中心部を「ハブ」というが、この形状を運送事業に取り入れたモデルで、「中心拠点(ハブ)に貨物を集約させ、拠点(スポーク)毎に仕分けて運搬する輸送方式」のことをいう。
1971年、米国南部アーカンソー州で、フレッド・スミス(Frederick Wallace “Fred” Smith)によって、フェデラルエクスプレスコーポレーション(Federal Express Corporation)、「FedEx」が創業された。有名な逸話であるが、「創業者フレッド・スミスが、米国エール大学の経済学のクラスで、このハブ・アンド・スポークシステムの原案をレポートとして提出したとき、教授からC(「優」「良」「可」のなかで、かろうじて合格の「可」相当)と評価された。しかし、このシステムこそが、米国のほぼ全域で『翌朝配達』を可能にした画期的なシステムであり、このレポートは、現在もフェデックスの本社に飾られている」と言われている、筆者を含め、経営コンサルタント志望者が必ず学ぶ好事例の1つである。
この従業員40万人を擁する、売上高580億ドル(6兆円3千億円)の世界最大級の総合航空貨物輸送会社、「フェデックス」(FedEx)コーポレーション、その会社および取締役・執行役員に対して、労働組合の年金基金から「会社責任」および「役員責任」に関する損害賠償請求訴訟が、昨年、2019年提起された。
米国、ロードアイランド州に拠点を置く、ロードアイランド労働者年金基金が、会社としての「フェデックス」(FedEx)コーポレーションおよびその「取締役、執行役員」に対して起こした集団訴訟は、2017年オランダを拠点とする運送会社、TNT Express(TNT)を48億ドルで買収したことに関連するものであった。
訴状によると、買収が終了した後、「フェデックス」(FedEx)は、自社の欧州事業とTNTとの統合を進めていたが、2017年6月「マル・ウエアによるサイバー攻撃」を受け、その際、TNTは対応の拙さでTNTのシステム全体にマル・ウエアを広げることになり、全システムがダウンした。
その際、投資家に対して、「サイバー攻撃からの速やかな回復とサイバー攻撃による影響を最小限に抑えることを保証した」が、「2018年11月30日の第2四半期には、非常に大きな損失が報告され、株価の大幅な低下を招き、投資利益を毀損した。それらの不法行為および不作為、ならびに株価の急激な低下の結果、原告およびその他の集団メンバーは、重大な損失および損害を被った」として、「2017年9月19日から2018年12月18日の期間に『フェデックス』(FedEx)の普通株式を購入した投資家を代表する集団訴訟(クラス・アクション)」が提起された。
2.新しい形の訴訟リスク
この、会社および取締役・執行役員への訴訟のトリガー(引き金:きっかけ)は、これまでに無いものであった。従来、会社役員への訴訟、いわゆる「D&O訴訟」といわれるものは、「株価が落ちて損失を被った、その責任は、それを招いた、またその事態を防げなかった、取締役、執行役員の不作為である」というものであったが、上記の訴訟は、「会社としてサイバー攻撃に如何に取り組んでいるか」を厳しく問うものとなっていて、それが「できていなかった」として、「会社」とその責任者である「取締役・執行役員」、それぞれへの訴訟となっていた点である。「サイバー攻撃」、「D&Oの責任」、これら2つのリスクが関連して提起された、新しい形の訴訟である。
3.家庭のサイバーリスク
いまや、インターネットを通じて世界は繋がっている。インターネットにアクセスできれば世界のどこの地点でもメールの送受信、WEBサイトの閲覧が可能な時代である。以前であれば、PC(パーソナル・コンピューター)を通じてしか、この「インターネットの世界」に触れることはできなかったが、いまや、個人が持つ携帯電話(スマートフォン)がサイバー空間とのアクセスの主役になってきたため、「サイバーリスク」に触れる機会は、格段に増えた。このため、「情報が漏洩していくリスク」、「情報が奪い取られるリスク」は急激に拡大している。しかも、このインターネットへのアクセスは、こちらが意図せずとも「やってくる時代」ともなっているのである。
以前、家庭でテレビを買えば、「取扱説明書」に従って、「アンテナ」や「電源コンセント」を適切に繋いでいくことでテレビを視聴できたが、いま新たにテレビを買って見ようとすると、まず「テレビから要求される」のが、「インターネット回線に繋げることができるかどうかの確認」である。すべてはインターネットとの接続を前提にしたシステムになってきている時代である。
ある日、テレビを見ていたら、急に画面が暗転して、「〇〇〇(中国のスマートフォンの製造メーカー名)との同期をしますか」というメッセージが現れたことがある。テレビは、インターネットとの接続だけでなく、携帯電話(スマートフォン)との接続ができ、スマートフォンがテレビを操作できる「リモコン」になる時代になった。近くにあったスマートフォンが、意図したものなのか、それともたまたま近くにあったためなのか分からないが、「テレビとの同期」を要求してきたのである。
これが、テレビであるから、「自宅のテレビのチャンネル権が乗っ取られた」と、笑いごとで済まされる程度のリスクであるが、いまや、「モノのインターネット:IOT(Internet of Things)」の時代と言われ、様々な「モノ(物)」がインターネットに接続され、情報交換することにより相互に制御する仕組みになってきつつある。
その一つ、クルマは、「自動運転」のため確実にIOTの世界を志向して進化し続けている。将来、「クルマメーカーがクルマをつくる時代」から、「米国の巨大IT企業、GAFAがクルマをつくる時代が到来すること」が、現実感を帯びて語られるようになってきている。もし、「クルマが乗っ取られたら」と考えると空恐ろしくなった。このところ、高年齢者による自動車事故のことが大きな話題になってきたが、その比では無いことが起きる可能性を秘めているからである。
4.企業のサイバー対策は
このように、時代は我々の想像を遥かに超えたスピードで「IOTの世界」へと向かっているが、この急激なリスクの変化に対して、どれほどの日本企業が本格的に対応しているのか、ロンドンで、欧米企業のサイバーリスクへの真剣な対応状況を聞けば聞くほど、その彼我の対応の差に驚いている。
サイバー攻撃を大まかに分類すると、以下のような代表的な手法を、単独で、もしくは組み合わせて、プログラムの脆弱性を突いてくるものであるが、最近、このサイバー攻撃の手法に新たな手法が続々と加わり、高度化、巧妙化してきている。
マル・ウエア(malware: malicious software)悪意のあるソフトウェア)を感染させる
ランサム・ウェア(コンピュータ・ウィルスの一種で、感染したコンピュータ等に保存されているファイルを暗号化して、「復元するための暗号鍵を提供する、その見返りとして金銭を要求する」、身代金要求型ウイルス)。ワーム(自己増殖を繰り返しコンピュータの破壊をする)、スパイウェア(個人情報等を収集するプログラム)。ボット(外部から操れるプログラム)等、コンピュータ等を悪意のあるプログラムに感染させるウイルス。DoS/DDoS攻撃
Dos攻撃とは、大量のデータや不正なデータを送りつけて相手方のシステムを正常に稼働できない状態にする攻撃。DDoS攻撃とは、複数箇所から同時にDoS攻撃をおこなう。Webサイト改ざん
企業のホームページ、WEBサイトの中を変更されてしまう攻撃のこと。
今回のまとめ
「南海トラフ大地震」や「首都圏直下大地震」等を題材にした番組が、テレビでも多く報道されようになり、地震リスク発生への理解は進んできていると感じているが、地震リスクを遥かに超える規模で起きる可能性がある「サイバーリスク」への対応は、ほとんど進んでいないと感じる。その理由の一つには、日本で損害保険会社が用意できる「サイバー保険のキャパシティ(引受補償額)」がリスクの実態的な大きさに追い付いていないレベルであることが挙げられる。「それでは保険の意味はあまりない」と判断する企業も多いと聞く。だからこそ、キャプティブを設立して、海外の再保険会社から、多くのキャパシティ(引受補償額)を集めることが重要ではないだろうか。
地震保険は、地震リスクによって損害を受ける「財物」や、地震によって「事業収益」が低下した際への備えであるため、事業活動の規模が大きければ大きいほど、その受ける「損害」は大きいものである。しかし、サイバーリスクは、事業の規模には関係なく、非常に大きな損害を受ける可能性がある。地震によって損害を受ける財物が少なくても、また事業収益が小さくても、「ランサム・ウエア(身代金要求型ウイルス)」の攻撃を受けた場合に「受ける損害」は、企業の事業活動の規模を超え、遥かに大きくなる可能性を有しているリスクだからである。
ただ、一方、地震保険と同様、「何時その被害を受けるか分からないリスク」でもある。そのため、「サイバー保険の手配の話」となると、「何時受けるか分からないサイバー攻撃に対して、そんな保険料を払うのか」という議論が必ず起きると聞く。その意味でも、「サイバー攻撃対策への保険プログラムの構築」には、「キャプティブの設立こそ、企業に大きなメリットを与えるリスクマネジメント対応策」と言えるのではないだろうか。
執筆・翻訳者:羽谷 信一郎
English Translation
Risk Management 4 – D&O Litigation Caused by Cyber Attack
In September 2019, the Bank of Japan released yesterday the results of a survey of 402 financial institutions on their efforts to ensure cybersecurity.While systems have been improved since the previous survey in 2017, training is based on contingency plans of action in the event of a cyber attack (contingency plans) The report also highlighted challenges, with only about half of the financial institutions that did so. As the number of cyber attacks is expected to increase in conjunction with the Tokyo Olympics, the Bank of Japan (BOJ) has asked financial institutions to make the implementation of contingency plan-based training a priority, as the likelihood of Japanese financial institutions being involved in this year’s Tokyo Olympics has increased.
1. FedEx Corporation (FedEx)
Today, most airlines and transportation companies use a “hub-and-spoke system” as the basis of their business model. A bicycle wheel has many spokes that go from the rim, which is the metal part of the wheel in contact with the tire, towards the center of the axle. The central part of the wheel is called the hub, and this is a model that incorporates this shape into the transportation business, and refers to a transportation system that concentrates cargo at a central hub and sorts and transports it to each spoke.
The Federal Express Corporation, or “FedEx”, was founded in 1971 by Frederick Wallace “Fred” Smith in Arkansas, in the southern United States. It is a famous anecdote: “When Fred Smith, the founder, turned in a report to his economics class at Yale University on a draft of this hub-and-spoke system, the professor gave it a C (the equivalent of a passing grade of “good,” “excellent,” and “passable”). But this is the breakthrough system that made ‘next morning delivery’ possible in almost all areas of the United States, one of the best examples that aspiring management consultants, including the author, must learn from, “This report is still on display at FedEx’s headquarters.”
Last year 2019, a “corporate liability” and “officer’s liability” damages lawsuit was filed by a union pension fund against “FedEx” (FedEx) Corporation, one of the world’s largest integrated air cargo carriers with $58 billion (£6.3 trillion) in revenue, with 400,000 employees, and its directors and executive officers.
The class action lawsuit filed by the Rhode Island Workers Pension Fund, based in Rhode Island, USA, against “FedEx” (FedEx) Corporation as a “company” and its “directors and executive officers” was related to the 2017 acquisition of Netherlands-based transportation company TNT Express (TNT) for $4.8 billion.
According to the complaint, after the acquisition closed, “FedEx” (FedEx) was in the process of integrating its European operations with TNT, but in June 2017 it suffered a “malware cyber-attack,” in which TNT’s poor response led to the spread of malware throughout TNT’s systems, taking down the entire system, according to the complaint.
At that time, it assured investors that it would “recover quickly from the cyber-attack and minimize the impact of the cyber-attack,” but “in the second quarter of November 30, 2018, very large losses were reported, causing a significant decline in the share price and damaging investment returns. As a result of those unlawful acts and omissions, and the sharp decline in the stock price, Plaintiffs and other class members suffered material losses and damages,” as “a class representing investors who purchased shares of ‘FedEx’ (FedEx) common stock between September 19, 2017 and December 18, 2018. A “class action” was filed.
2. A new form of litigation risk
This trigger for lawsuits against the company and its directors and executive officers has never been seen before. Traditionally, lawsuits against corporate officers, so-called “D&O lawsuits,” have been based on the claim that the company suffered a loss due to a decline in share price, and that the responsibility for that loss was the negligence of the directors and executive officers who caused the loss and failed to prevent the loss. The lawsuit was strictly about “whether the company and its directors and executive officers,” who were responsible for the company’s failure to do so, and the company’s failure to do so, respectively. This is a new type of lawsuit that was brought in connection with “cyber attack” and “D&O liability” and these two risks.
3. Cyber risk in the home
Nowadays, the world is connected to each other through the Internet. It is now possible to send and receive emails and view websites anywhere in the world if you have access to the Internet. In the past, we used to be able to access the Internet only through a personal computer, but now, mobile phones (smartphones) have become the primary means of access to cyberspace, and the opportunities to be exposed to cyber risks have increased dramatically. . As a result, the “risk of information leakage” and “risk of information theft” are rapidly increasing. Moreover, this access to the Internet is now coming to us without our intentions.
In the past, if you bought a television set at home, you were able to view it by following the instruction manual and connecting the antenna and the power outlet properly. It is a time when everything is becoming a system that is supposed to be connected to the Internet. We live in an age where everything is becoming a system that is supposed to be connected to the Internet.
One day when I was watching TV, the screen suddenly went dark and a message appeared on the screen, “Do you want to synchronize with 00 (the name of the Chinese smartphone manufacturer)? We have entered an era in which TVs can be connected not only to the Internet, but also to mobile phones (smartphones), and the smartphone has become a “remote control” that can control the TV. I don’t know if this was intentional or just because the smartphone happened to be nearby, but it demanded to be “in sync with the TV”.
As this is a TV, it is a risk that we can laugh off the fact that the channel rights of the TV at home have been hijacked, but we are now in the era of the Internet of Things (IOT), in which various “things” are connected to the Internet to provide information and services. It is becoming a system of mutual control through exchange.
One of them is the car, which continues to evolve toward the world of IOT for the sake of “automatic driving”. In the future, people are beginning to talk with a sense of reality about the coming of an era in which “car manufacturers will make cars” to “an era in which GAFA, a giant American IT company, will make cars. It’s scary to think “what if my car is hijacked”. This is because there is a possibility of something much more serious than the recent car accidents caused by older people.
4. Corporate cyber measures are
As you can see, we are moving into the “IOT world” at a far greater speed than we ever imagined. However, the more I hear about how many Japanese companies are responding in earnest to this rapid change in risk, and the more I hear about the seriousness with which Western companies are responding to cyber risk in London, the more I amazed at the difference between their responses and ours.
Cyber attacks can be broadly categorized as follows, either alone or in combination, to exploit program vulnerabilities.However, recently, new methods have been added to this cyber-attack methodology, and they are becoming more sophisticated and adept.
Malware (malicious software): infecting people with malicious software. Ransomware (a type of computer virus that encrypts files stored on an infected computer or other device and “provides an encryption key to restore them, and demands money in return”; a ransom demand type virus).Worms (repeated self-replication and computer destruction) and spyware (programs that collect personal information). Bots (programs that can be controlled from outside) and other viruses that infect computers and other devices with malicious programs. DoS/DDoS attack: a Dos attack is an attack in which a large amount of data or illegal data is sent to the other party to prevent their system from operating properly.Website Defacement: an attack that changes the inside of a company’s website or web site.
Summary of this issue
There have been many TV programs on the Nankai Trough and the Tokyo metropolitan area, and I feel that our understanding of earthquake risk is improving. However, little progress has been made in dealing with cyber risks, which can occur on a scale far greater than earthquake risk. One of the reasons for this is that the cyber insurance capacity of non-life insurance companies in Japan has not been able to keep up with the actual size of the risk. I’ve heard many companies decide that this is not much of an insurance policy. This is why it is important to establish a captive and collect as much capacity as possible from overseas reinsurers.
Earthquake insurance covers “property” damaged by earthquake risk and “business profits” reduced by earthquakes, so the larger the business activity, the greater the “damage” it suffers. However, cyber risk can be very damaging, regardless of the size of the business. Even if the amount of property damaged by an earthquake is small or the business revenue is small, the damage caused by a ransomware attack is likely to be far greater than the scale of the company’s business activities.
At the same time, however, it is also a risk that, like earthquake insurance, we do not know when we will be affected. Therefore, when it comes to arranging cyber insurance, the debate about whether or not to pay such a premium for cyber attacks is always raised. In that sense, the establishment of a captive is the risk management response that will give companies a great deal of benefit when it comes to “building an insurance program against cyber attacks”.
Author/translator: Shinichiro Hatani