Another FCA Cybersecurity Settlement Reinforces the Enforcement Trend

米国司法省（DOJ）の最近の発表は、虚偽請求法（FCA）に基づくサイバーセキュリティ執行への政府の重点が衰えていない事実を浮き彫りにしている。報道発表によれば、RTXコーポレーション（RTX）、レイセオン・カンパニー（レイセオン）、ナイトウィング・グループLLC、ナイトウィング・インテリジェンス・ソリューションズLLC（総称してナイトウィング）の4社は、レイセオンとその旧子会社が連邦契約におけるサイバーセキュリティ要件を遵守しなかったとする内部告発者（クイ・タム告発者）の訴訟に端を発するFCA問題の和解金として、840万米ドルを支払うことに合意した。

レイセオン和解

レイセオンの元技術部長であるブランソン・ケネス・ファウラー・シニアは、2021年8月に内部告発訴訟を提起した。レイセオンのような連邦防衛請負業者および下請け業者は、米国国立標準技術研究所特別刊行物800-171（NIST SP 800-171）に規定された特定のサイバーセキュリティ対策を実施することが義務付けられている。しかし本訴訟によれば、レイセオンは連邦契約関連業務においてこれらの要件を満たしていなかったとされる。申し立ての焦点は、レイセオンの内部ネットワークシステム「ダークウェブ」に集中している。同社は（a）特定の防衛契約業務に関連する保護情報の保存・送信・開発にダークウェブを使用していたが、同システムはNIST SP 800-171のサイバーセキュリティ要件を満たしていなかった、（b）この内部システムに必要なシステムセキュリティ計画を策定していなかった、とされている。

特に、レイセオンは2020年5月、自社の情報システムが連邦サイバーセキュリティ規制に準拠していないと判断した旨を特定の政府契約業者に通知し、その後代替システムを導入してダークウェブの使用を中止した。しかし和解内容によれば、レイセオンがダークウェブ上でこれらの義務付けられたセキュリティ要件を実施しなかったとされる事実は、ダークウェブ上で実施された連邦契約業務に関する全ての請求を虚偽のものとした。

被告らはこれらの申し立てを否認しているが、申し立てを解決するために840万米ドルを支払うことに合意した。告発者として、ファウラー氏は和解に関連して150万米ドル超を受け取る。

最後に、この告発訴訟の原因となった行為は2015年から2021年の間に発生しており、ナイトウィングが2024年にRTXのサイバーセキュリティ事業を買収する何年も前のことである。これは後継者責任の重大なリスクを示しており、デューデリジェンスの一環として対象企業のサイバーセキュリティコンプライアンスを評価することの重要性を強調している。

推奨事項

これらのリスクを踏まえ、防衛関連企業およびその他の連邦資金受給者（大学を含む）は、サイバーセキュリティコンプライアンスを強化し、虚偽請求防止法（FCA）リスクを低減するため、以下の措置を検討すべきである：

政府が課すすべてのサイバーセキュリティ基準を網羅し、その遵守状況を監視する。組織内のすべてのサイバーセキュリティ要件と対象システムを網羅したリストを確実に作成すること。これらの要件は、主要な政府契約だけでなく、下請け契約、助成金、その他の連邦プログラムからも発生する可能性がある。これには、組織の契約に関する継続的な知識だけでなく、脆弱性を特定・修正し、契約上のサイバーセキュリティ基準への準拠状況を評価するため、組織のサイバーセキュリティプログラムを継続的に監視・評価することも含まれる。この評価では、第三者との関係性も考慮すべきである。
サイバーセキュリティ問題に対処する堅牢かつ効果的なコンプライアンスプログラムを開発・維持する。多くの企業では、コンプライアンスプログラムと情報セキュリティ機能が十分に統合されていない。効果的なコンプライアンスプログラムはサイバーセキュリティ上の懸念に対処し、従業員がそのような懸念を報告するよう促すものである。懸念事項が特定された場合、迅速にエスカレーションし調査することが極めて重要である。
サイバーセキュリティ基準への不適合が確認された場合、組織は今後の対応策を検討すべきである。これには政府への事案開示の可否や政府調査官との協力の有無が含まれる。組織はこうした点において経験豊富な法律顧問と連携すべきである。潜在的な不適合の調査・対応戦略を事前に策定することは、プロセスに規律をもたらし、組織のアプローチを効率化できる。
合併・買収におけるサイバーセキュリティ要件への遵守のため、強固なデューデリジェンスを実施すること。本和解事例が示すように、買収対象企業に起因する責任が買収企業に課される場合がある。デューデリジェンスプロセスでは、契約（政府との契約か民間企業との契約かを問わない）におけるサイバーセキュリティ要件を特定し、遵守状況の確認を取得すべきである。取引完了前に当該レベルのデューデリジェンスが不可能な場合、問題の早期発見と是正を可能とするため、取引完了後速やかに当該評価を実施することが重要である。

サイバーセキュリティおよび虚偽請求法に関するご質問がございましたら、執筆者または担当のFoley & Lardner弁護士までお問い合わせください。

本記事の拡大版は、2025年8月26日付Law360 に掲載されました。

免責事項

本ブログは、Foley & Lardner LLP（以下「Foley」または「当事務所」）が情報提供のみを目的として公開するものです。当事務所が特定のクライアントを代表して法的見解を示すものではなく、また具体的な法的助言を提供する意図もありません。本記事に記載された見解は、必ずしもFoley & Lardner LLP、そのパートナー、またはクライアントの見解を反映するものではありません。したがって、資格を有する弁護士の助言を求めることなく、本情報に基づいて行動しないでください。本ブログは弁護士とクライアントの関係を構築する意図はなく、その受領もそのような関係を構成するものではありません。本ウェブサイトを通じた電子メール、ブログ投稿その他の方法によるFoleyとの通信は、いかなる法律問題についても弁護士とクライアントの関係を構築するものではありません。したがって、本ブログを通じてFoleyに送信されるいかなる通信または資料も、電子メール、ブログ投稿その他の方法によるかを問わず、機密情報または専有情報として扱われることはありません。本ブログ上の情報は「現状有姿」で公開されており、完全性、正確性、最新性が保証されるものではありません。Foleyは、本サイトの運営または内容に関して、明示的または黙示的ないかなる種類の表明または保証も行いません。フォリーは、明示的か黙示的かを問わず、法令・法律・商慣習その他に基づく一切の保証・条件・表明（商品性、特定目的適合性、権原、非侵害に関する黙示的保証を含む）を明示的に否認します。フォリー及びそのパートナー、役員、従業員、代理人、関連会社は、いかなる法的理論（契約、不法行為、過失その他）に基づく場合においても、本サイトの作成・使用・依存に起因または関連して生じた、直接的・間接的・特別・付随的・懲罰的・結果的損害（請求・損失・損害を含む）について、お客様または第三者に対し一切の責任を負いません。（契約、不法行為、過失その他）に基づき、本サイト（情報その他のコンテンツを含む）または第三者のウェブサイト、もしくはそれらを通じてアクセスされた情報、リソース、資料の作成、使用、または依存に起因または関連して生じた、直接的、間接的、特別、付随的、懲罰的または結果的な請求、損失、損害について、お客様またはその他いかなる者に対しても一切の責任を負いません。一部の法域では、本ブログの内容は弁護士広告とみなされる場合があります。該当する場合、過去の実績が同様の結果を保証するものではないことにご留意ください。写真は演出目的のみであり、モデルが含まれる場合があります。肖像は必ずしも現在のクライアント、パートナーシップ、または従業員の地位を示すものではありません。

[email protected]

タンパ 813.225.4161

暗いスーツに赤いネクタイの男性が、明るくモダンなオフィス環境でカメラに向かって微笑んでいる。シカゴのトップ弁護士たちのプロ意識を映し出している。

[email protected]

ミルウォーキー 414.297.4987

青のスーツにネクタイの男性が、明るくモダンな企業法務事務所でカメラに向かって微笑んでいる。一流法律事務所の専門的な雰囲気を反映している。

[email protected]

タンパ 813.225.5424

FCAのサイバーセキュリティ和解が執行傾向を再確認

レイセオン和解

推奨事項

著者

ジョセフ・W・スワンソン

マシュー・D・クルーガー

ジェイソン メータ

関連インサイト

データセンター：業界を変革するAIと半導体の役割

企業役員のための「暗号資産」に関する10のよくある質問

OCCが暗号資産に友好的な解釈書を追加発行：リスクのない元本暗号資産取引の許容性

ジェイソンメータ