米国司法省(DOJ)の 最近の発表は 、虚偽請求防止法(FCA)に基づくサイバーセキュリティ要件の執行が継続的なリスクであることを改めて強調している 。 報道発表によれば、防衛請負業者MORSECORP Inc.(MORSE)は、同社が米国防総省(DOD)の特定のサイバーセキュリティ要件を遵守しなかったとする告発者訴訟(qui tam relator’s suit)に端を発するFCA問題の解決に向け、460万米ドルの支払いに合意した。これは司法省によるサイバーセキュリティ執行に関連する最新の和解事例であり、Foleyが以前報じたテーマである。
モース・セトルメント
内部告発者ケビン・ベリッチ(MORSE社セキュリティ責任者)は、2023年1月にMORSE社及びそのCEOを相手取り虚偽請求防止法(FCA)に基づく訴状を提出した。 MORSEはソフトウェア開発企業であり、米国陸軍および空軍と契約および下請契約を結んでいた。連邦規制では、MORSEが締結したような国防総省(DOD)契約には、米国国立標準技術研究所特別刊行物800-171(NIST SP 800-171)に規定されたサイバーセキュリティ対策の実施が義務付けられている。 しかしベリッチ氏は、MORSEがNIST SP 800-171対策の継続的な未実施を目撃したと主張している。具体的には、多要素認証の不使用、非準拠のメール及びビデオ通話ホスティングサービスの利用、従業員の個人端末を用いたMORSEシステムへのアクセス及び管理対象非機密情報(CUI)の送信などが含まれる。
FCA(不正行為防止法)に基づき、告発者(qui tam)による訴状は封印された状態で提出され、司法省(DOJ)と共有されるが、被告側には開示されない。これにより司法省が事案を調査できるようになっている。2年以上にわたる調査を経て、2025年3月、司法省はMORSE社およびベリッチ氏との間で460万米ドルの和解を発表した。発表によれば、MORSE社は以下の事実を認めた:
- 必要なセキュリティ要件を満たしていることを確認せずに、メールホスティングにサードパーティベンダーを利用しました。
- 対象となる情報システムについて、NIST SP 800-171の全制御を実装できなかった、またはシステムセキュリティ計画を維持できなかった。
- 国防総省(DOD)に対し、NIST SP 800-171 実装に関する自己評価スコア104を提出し、外部監査でMORSEが要求されるセキュリティ対策の78%を実装しておらず、実際のスコアが-142であると通知された後も、同スコアを報告し続けた。
特に、この和解はCUI(機密指定されていない情報)やその他の保護対象情報の漏洩や侵害があったことを示唆するものではなく、むしろ本件は、そのような漏洩や侵害が発生する可能性があったという前提に基づいていたようだ。 発生する可能性が 発生する可能性があったという前提に基づいていたようだ。
MORSE和解事例は、サイバーセキュリティ対策の優先順位付けを怠った場合のリスクを浮き彫りにしている。特に、MORSE訴訟を提起したセキュリティ責任者といった内部関係者によるFCA告発訴訟 の可能性を考慮すればなおさらである。本事例はまた、司法省がサイバーセキュリティ執行に継続的に注力していることを示しており、これには2021年の司法省サイバー詐欺対策イニシアチブが含まれ、現在のトランプ政権下でも全速力で推進されているようだ。
推薦の言葉
このようなリスクを考慮すると、国防請負業者およびその他の連邦資金の受領者(大学を含む)は、サイバーセキュリティのコンプライアンスを強化し、FCAリスクを低減するために、以下のステップを検討すべきである:
- 政府が課すすべてのサイバーセキュリティ基準を網羅し、その遵守状況を監視する。最初のステップとして、組織内のすべてのサイバーセキュリティ要件と対象システムを包括的にリスト化することが必要である。これらの要件は、主要な政府契約だけでなく、下請契約、助成金、その他の連邦プログラムからも生じる可能性がある。 これには、組織の契約に関する継続的な把握だけでなく、脆弱性を特定・修正し、契約上のサイバーセキュリティ基準への準拠状況を評価するため、組織のサイバーセキュリティプログラムを継続的に監視・評価することも含まれる。この評価では、ベンダーやサービスプロバイダーなどの第三者との関係性も考慮すべきである。
- サイバーセキュリティ問題に対処する堅牢かつ効果的なコンプライアンスプログラムを開発・維持する。多くの企業では、コンプライアンスプログラムと情報セキュリティ機能が十分に統合されていない。効果的なコンプライアンスプログラムはサイバーセキュリティ上の懸念に対処し、従業員がそのような懸念を報告するよう促すものである。懸念事項が特定された場合、迅速にエスカレーションし調査することが極めて重要である。MORSE和解事例が示すように、従業員の懸念に効果的に対応することが極めて重要である。
- サイバーセキュリティ基準の不遵守が確認された場合、組織は次のステップの可能性を評価する必要がある。これには、問題を政府に開示するかどうか、政府の調査官に協力するかどうかが含まれる。この点に関して、組織は経験豊富な弁護士と協力すべきである。潜在的なコンプライアンス違反に対する調査・対応戦略を積極的に策定することで、プロセスに規律を与え、組織のアプローチを合理化することができる。
