変われば変わるほど…司法省の最新サイバー和解が示す、継続する虚偽請求法リスク

政権交代に伴い米国司法省（DOJ）の執行優先順位は変化したものの、虚偽請求防止法（FCA）に基づくサイバーセキュリティ執行は依然として活発である。これは、ヘルスネット・フェデラル・サービスとその親会社セントネーン・コーポレーションが、サイバーセキュリティ違反を主張するFCA問題の解決に向け1,100万米ドル超の支払いに合意したとDOJが最近発表したことから読み取れる。

ヘルスネット和解

司法省によれば、ヘルスネットは国防総省と契約を結び、国防衛生庁のTRICARE医療給付プログラムを運営していた。同社は政府契約の一環として特定のサイバーセキュリティ対策を満たさず、政府への年次報告書においてそれらの要件への準拠を虚偽の認証で報告したとされる。 政府は、同社が既知の脆弱性に対するスキャンを適時に実施せず、ネットワーク及びシステム上のセキュリティ上の欠陥を修正しなかったと主張している。さらに政府によれば、ヘルスネットは、自社のネットワーク及びシステム上のサイバーセキュリティリスクに関する第三者セキュリティ監査機関及び自社監査部門からの報告を無視したとされる。これらのリスクは、とりわけ資産管理、ファイアウォール、パッチ管理、パスワードポリシーに関連していた。 政府は、こうした不履行の結果、たとえデータや保護対象医療情報の漏洩や侵害が実際に発生していなかったとしても、同社が契約に基づき請求した償還金は虚偽のものであると主張した。

今回の和解は、サイバーセキュリティ上の不備を理由に政府請負業者に対して司法省がこれまで行ってきた措置を基盤としている。フォリーは、ジョージア工科大学に対する司法省の虚偽請求防止法（FCA）訴訟（係争中）を含む、これらの過去の措置についてこちらおよび こちらで報じている。

ヘルスネット和解事例は、トランプ政権下の司法省がサイバーセキュリティ法執行、特に虚偽請求防止法（FCA）に基づく取り組みに注力し続けていることを示している。これは、政権が主張する不正・浪費・濫用の根絶方針を踏まえれば驚くべきことではない。さらに、この方針は2025年2月にワシントンD.C.で開催された全国告発者会議において、複数の司法省関係者が繰り返し強調したテーマでもあった。

また、連邦契約が軍関連である場合（ヘルスネット和解事例のように）、現政権は特に調査と起訴に力を入れる傾向がある。実際、ヘルスネット和解が告発者訴訟（qui tam suit）に起因していない点は注目に値する。これは政府が独自に調査を開始したことを意味する。最後に、サイバーセキュリティが常に超党派的な課題であるという事実は変わらない。

推薦の言葉

ヘルスネット和解および新政権のサイバーセキュリティ執行への関心を踏まえ、連邦資金の受給企業およびその他の機関（大学を含む）は、サイバーセキュリティコンプライアンスを強化し、虚偽請求防止法（FCA）リスクを低減するため、以下の措置を検討すべきである：

1. 政府が課すすべてのサイバーセキュリティ基準の遵守状況を整理し、監視する。これには、組織の契約に関する継続的な知識だけでなく、組織のサイバーセキュリティプログラムを継続的に監視・評価し、脆弱性を特定・修正するとともに、契約上のサイバーセキュリティ基準への遵守状況を評価することも含まれる。
2. サイバーセキュリティ問題に対処する堅牢かつ効果的なコンプライアンスプログラムを開発・維持する。多くの企業では、コンプライアンスプログラムと情報セキュリティ機能が十分に統合されていない。効果的なコンプライアンスプログラムはサイバーセキュリティ上の懸念に対処し、従業員がそのような懸念を報告するよう促すものである。懸念事項が特定された場合、迅速にエスカレーションし調査することが極めて重要である。FCA（連邦詐欺防止法）の告発者制度により、従業員などが米国政府に代わって訴訟を提起できるため、従業員の懸念に効果的に対応することが極めて重要である。
3. サイバーセキュリティ基準の不遵守が確認された場合、組織は次のステップの可能性を評価する必要がある。これには、問題を政府に開示するかどうか、政府の調査官に協力するかどうかが含まれる。この点に関して、組織は経験豊富な弁護士と協力すべきである。潜在的なコンプライアンス違反に対する調査・対応戦略を積極的に策定することで、プロセスに規律を与え、組織のアプローチを合理化することができる。