米国司法省(DOJ)の最近の発表は 、政府が偽請求法(FCA)の下でサイバーセキュリティの執行に重点を置いている事実が減速していないことを浮き彫りにしている。プレスリリースによると、RTX Corporation(RTX)、Raytheon Company(Raytheon)、Nightwing Group LLC、Nightwing Intelligence Solutions LLC(以下、Nightwing)の4社は、Raytheonとその元子会社が連邦契約におけるサイバーセキュリティ要件を遵守していなかったとするクワイ・タム・リレーターの訴えから生じたFCA問題を解決するため、840万米ドルを支払うことに合意した。
レイセオン和解
レイセオンの元エンジニアリング部長、ブランソン・ケネス・ファウラー・シニアは、2021年8月にクワイタム訴訟を起こした。レイセオンのような連邦の防衛請負業者や下請け業者は、米国標準技術局(National Institute of Standards and Technology)の特別刊行物800-171(NIST SP 800-171)に概説されている特定のサイバーセキュリティ管理を実施することが義務付けられている。しかし、この訴訟によると、レイセオンは連邦政府との契約に関連して、これらの要件を満たしていなかったとされている。申し立ての中心は、"DarkWeb "と呼ばれるレイセオンの社内ネットワーク・システムである。レイセオンは、(a) NIST SP 800-171のサイバーセキュリティ要件に準拠していないにもかかわらず、DarkWebを使用して、特定の防衛契約に関する業務に関連する保護情報を保存、送信、開発し、(b) この内部システムに必要なシステム・セキュリティ計画を策定しなかったと主張している。
注目すべきは、レイセオンは2020年5月、同社の情報システムが連邦政府のサイバーセキュリティ規制に準拠していないとの見解を特定の政府請負業者に通知し、その後、DarkWebの使用を中止して代替システムを導入したことだ。しかし和解案によると、RaytheonがDarkWebにこれらの義務付けられたセキュリティ要件を実装しなかったとされることで、DarkWebで実施された連邦政府との契約業務に関するすべての請求が虚偽となった。
被告側はこれらの申し立てを否定して いるが、申し立てを解決するために840万米ドルを支払うことに合意した。クワイ・タム(qui tam)原告であるファウラー氏は、和解に関連して150万米ドル以上を受け取ることになる。
最後に、クワイタム訴訟の原因となった行為は2015年から2021年の間に発生しており、これはナイトウィングが2024年にRTXのサイバーセキュリティ事業を買収する数年前のことである。これは、後継者責任の重大なリスクを示しており、デューデリジェンスの一環としてターゲットのサイバーセキュリティ・コンプライアンスを評価することの重要性を強調している。
推薦の言葉
このようなリスクを考慮すると、国防請負業者およびその他の連邦資金の受領者(大学を含む)は、サイバーセキュリティのコンプライアンスを強化し、FCAリスクを低減するために、以下のステップを検討すべきである:
- 政府が課すすべてのサイバーセキュリティ基準の目録を作成し、コンプライアンスを監視する。組織内のすべてのサイバーセキュリティ要件と対象システムの包括的なリストを作成する。これらの要件は、政府とのプライム契約だけでなく、下請け契約、補助金、またはその他の連邦政府プログラムからもたらされる場合もある。これには、組織の契約に関する継続的な知識だけでなく、組織のサイバーセキュリティプログラムを継続的に監視・評価して、脆弱性を特定してパッチを適用し、契約上のサイバーセキュリティ基準への準拠を評価することも含まれる。この評価では、第三者との関係も考慮する必要がある。
- サイバーセキュリティの問題に対処する強固で効果的なコンプライアンス・プログラムを策定し、維持する。多くの企業では、コンプライアンス・プログラムと情報セキュリティ機能が十分に統合されていない。効果的なコンプライアンス・プログラムは、サイバーセキュリティ上の懸念に対処し、従業員がそのような懸念を報告することを奨励する。懸念が確認された場合は、速やかにエスカレーションし、調査することが重要である。
- サイバーセキュリティ基準の不遵守が確認された場合、組織は次のステップの可能性を評価する必要がある。これには、問題を政府に開示するかどうか、政府の調査官に協力するかどうかが含まれる。この点に関して、組織は経験豊富な弁護士と協力すべきである。潜在的なコンプライアンス違反に対する調査・対応戦略を積極的に策定することで、プロセスに規律を与え、組織のアプローチを合理化することができる。
- M&Aにおけるサイバーセキュリティ要件遵守のための強固なデリジェンスを実施する。今回の和解が示すように、被買収企業に起因する責任は、場合によっては買収企業に課される可能性がある。デューデリジェンス・プロセスでは、契約(政府との契約であれ、民間事業者との契約であれ)におけるサイバーセキュリティ要件を特定し、遵守の検証を得るよう努めるべきである。そのレベルのデューデリジェンスが取引完了前に不可能な場合は、問題を速やかに特定し、是正できるように、取引完了後すぐにその評価を実施することが重要である。
サイバーセキュリティと偽請求法に関するご質問は、著者またはフォーリー&ラードナーの弁護士にお問い合わせください。
この記事の拡大版は2025年8月26日にLaw360に 掲載された。
