TMI総合法律事務所 田山 翔様 インタビュー

資格取得の背景・動機

Q 弁護士として情報処理安全確保支援士資格を取得しようと思ったきっかけは何ですか？

私は弁護士の前は検事をしていました。
当時、検察庁は、捜査におけるデジタルフォレンジックの重要性や、高度なIT技術に関係する事件対応力を高めるという趣旨で、検事に対し、情報技術関係の資格取得を推奨していました。
実際にそういった資格を取る検事は非常に少なかったのですが、私はもともとの興味もあったので、検事在職中にITパスポート試験や情報セキュリティマネジメント試験に合格しました。
その後、弁護士に転職をするにあたり、IT関係、特にサイバーセキュリティを業務分野の一つにしようと考え、そのスキルアップの一つとして、情報処理安全確保支援士資格も取得しました。

Q 弁護士に転職されて、どのような点にやりがいを感じていますか。

検察官は基本的に刑事事件を担当する職務であり、事件が発生し、警察が容疑者を逮捕した後に、起訴するかどうかを判断する段階で初めて事案に関わります。検察官の元に届く時点では、社会的にはすでに被害が発生し、加害者も特定されているなど、事件は大きく進んでいることが多いのが実情です。もちろん適切に処罰し、治安を維持するという重要な役割がありますが、関われるのは“事後対応”が中心です。
一方で、私は「もっと早い段階」、つまり被害が生じる前に予防したり、被害が発生した直後の初期対応で被害を最小限に抑えたり、あるいは相手方がいる場合には交渉によって双方にとってより良い形で解決を図るなど、事件が終わる前の段階から社会に貢献できる仕事をしたいと思うようになりました。これが弁護士へ転身した理由の一つです。
そうした視点で見ると、サイバーセキュリティの分野は、予防、初期対応、回復といった“前向きな支援”が求められる領域であり、まさに自分が取り組みたいと考えていた部分と重なります。もともとIT分野への関心も強かったことから、この領域に携わりたいという思いが生まれ、資格取得にもつながりました。

企業法務に関する質問

Q 企業法務の業務を進める中で、情報セキュリティ上の課題を感じるのは、どんな場面でしょうか？

ランサムウェアをはじめとして、多くの情報セキュリティ案件に携わらせていただきましたが、特に感じたのは実際にサイバーインシデントが発生した際に、暗号化されたり、窃取されたデータの中身が何だったのかについてわからないという問題の多さでした。
例えば、会社としては上場もしているような大きな企業であっても、社内のデータマッピングやオンプレ環境でのバックアップといった、有事の際に被害を正確に把握し、システムの復旧と対策を速やかに行うための平時の準備まで十分にできていない会社が珍しくありません。
普段からインシデント対策を意識して情報セキュリティを管理するという考え方や方法について、より企業の皆さんに知って実践していただきたいと感じました。

Q どのような体制が理想的でしょうか？

理想を言えば、弁護士が企業の法務部に常駐し、IT部門と日常的にやり取りしながら体制をつくることが望ましいと思います。しかし、現実にはそれが難しい企業も多いでしょう。
そのため、法務、ビジネス部門、IT担当、営業、総務などが連携し、日々のデータ管理を組織として適切に行うことが重要だと感じています。
データ管理は、ビジネスに直結し、常に更新される営業データなどを扱うため、基本動作の徹底が欠かせません。
たとえば「書類の整理整頓」「使ったものを元に戻す」「紛失に気づいたらすぐ報告する」といった当たり前のことを、データの世界でも同じように実行することが大切です。
そのうえで、日常のルールづくりや管理は社内のIT担当者が行い、有事の際には外部の弁護士が支援する、といった役割分担が適切だと思います。まずは、関係部門それぞれが自分の領域で適切に対応できる体制をつくることが、企業にとって望ましい姿ではないかと考えています。

資格取得による変化

Q 資格取得後、クライアントからの信頼や業務の幅に変化はありましたか？

私は、資格取得からまだ間もないですが、クライアントの立場に立って考えると、「サイバーセキュリティ業務をやっている。」といわれるだけでなく、「情報処理安全確保支援士という資格をもって業務をやっている。」と説明を受けることで、より高い専門性を感じていただき、安心感につながっていると実感しています。
実際に、私の経験として、それまでほかの弁護士等との相談の中でIT関係の技術的な説明に苦労されていたという依頼者に対し、有資格者である旨を説明したところ、「理解してもらえるという安心感から話しやすくなった。」と言われ、評価と信頼を得られた場面がありました。

サイバー犯罪・刑事事件対応

Q サイバー犯罪に関する相談や訴訟案件、事件や調査を担当した経験はありますか？

前職が検事であることから、弁護士になってからもサイバー犯罪、IT技術に関係する刑事事件及び調査対応のご相談を受けることは多数あります。

Q その際、資格の知識はどのように役立ちましたか？

情報処理安全確保支援士としての知識が、依頼者からIT関係の説明を聞く際に直接生かせる場面は多くあり、それによって依頼者も基礎的な用語説明等を省略して本当に議論したいことに注力できるといったメリットがあるため、役に立っていると思います。
特に調査案件では、フォレンジック専門業者や現場の技術者と弁護士が協働する場面が多くあります。その際、私がリーダーシップを担うのは、弁護士という肩書きや登録セキスペという資格そのものだけが理由ではありません。
技術と法律の両面を理解し、双方の視点をつなぎながら事態を整理し、解決に向けて全体を前に進められるだけのスキルと経験があるため、自然とその役割を任されるようになります。

個人情報保護・プライバシー対応

Q 個人情報保護法やプライバシー対応において、セキュリティ知識がどのように役立っていますか？

平時のビジネスにおける個人情報保護法に基づく取扱いや、有事の際の個人情報保護委員会への報告を含めた個人情報保護法に則った対応を弁護士としてサポートする際、サイバーセキュリティに関する知識は大いに役立っています。
具体的には、平時からの情報管理体制として留意すべきこと、現に流行しているサイバー攻撃の傾向と対策、非常時の対応に関する法的規制と現実的な再発防止策構築といった点で、少なくとも国内の対応についてはトータルサポートできていると思います。

Q アフターフォローは何かされていますか？

非常時対応としては、まず個人情報保護案件における最優先事項として、60日以内に個人情報保護委員会（PPC）へ報告するなどの手続きを適切に進めることが大きな業務になります。初動対応は、法的要件が明確であるため、迅速かつ確実に実行します。
一方で、その後のアフターフォローについては、60日以内の報告・通知といった法令上の義務からは外れ、案件ごとに必要な対応が変わります。そのため、場面や状況、そしてクライアントのご要望に応じて、最適な対応内容を個別に設計・実施しています。

今後の展望

Q 情報セキュリティの専門性を今後どのように活かし、どんな分野に挑戦したいですか。

今後、社会において情報セキュリティの重要性が低下するということはなく、新たなセキュリティ技術と新たなサイバー攻撃手法とが生まれ続けると考えています。
そのような中で、企業が自社の保有する情報資産を守るために、また一度被害にあったとしてもそれを速やかに立て直してビジネスを継続するためには、サイバーセキュリティ技術だけでなく、これを保護・規制する法制度についての知識も不可欠です。
既に現在も様々な法整備によって企業が遵守すべき制度（個人情報保護法の報告制度等）や、利活用によって企業にも利用者にも恩恵のある制度（JC-STAR制度等）は多数存在しており、こういった法的知識を含めた情報セキュリティの専門性を兼ね備えた弁護士の価値はまだまだ高まっていくと思います。
弊所は、連携しているフォレンジック業者であるTMIP&Sがあるという強みも生かし、企業のスタートアップからのパートナーとして法的・技術的双方の側面からトータルサポートできるサービスの展開ができると思っており、そのようなサービスにかかわっていければと思います。
加えて、私自身の検事出身という職歴も生かし、不測の事態における警察対応、調査対応、サイバー犯罪に対する能動的な予防や防御といった観点でも企業のサポートをしていければと思っています。