司法省、サイバーセキュリティコンプライアンス詐欺容疑で元幹部を刑事事件で起訴

最近の起訴状は、連邦契約におけるサイバーセキュリティコンプライアンスへの米国司法省（DOJ）の重点的取り組みと、民事上の虚偽請求法（Foleyの過去の報道はこちらおよび こちら）を超えた執行強化により個人を刑事訴追するDOJの姿勢を浮き彫りにしている。 2025年12月10日、DOJはコロンビア特別区連邦大陪審が、バージニア州に拠点を置く政府請負企業元上級管理職ダニエル・ヒルマーを、重大な政府詐欺、電信詐欺、連邦監査妨害の罪で起訴したと発表した。司法省は、ヒルマーが自社クラウドプラットフォーム（複数の連邦機関が利用）が義務付けられたサイバーセキュリティ基準に準拠していると虚偽表示し、重大なセキュリティ欠陥を隠蔽することで監督を妨害したと主張している。この行為は、ヒルマーがアクセンチュアに在籍し同社のクラウドサービス製品を管理していた時期に発生したものとみられる。

ヒルマー起訴状

起訴状によれば、ヒルマーは、米国陸軍、国務省、退役軍人省を含む少なくとも6つの連邦機関およびその他の政府顧客が利用するアクセンチュアのクラウドベースプラットフォームについて、監査プロセスを妨害し、必要なサイバーセキュリティ対策や保護措置に関して連邦機関を欺くことで、米国を詐欺する複数年にわたる計画に加担したとされる。具体的には、司法省はヒルマーが以下の行為を行ったと主張している：

• プラットフォームがFedRAMP High基準および国防総省影響レベル4・5のセキュリティ管理要件を満たしていると虚偽の表示を行った。これは、システムに必須のアクセス制御、ログ記録、監視その他の重要機能が欠如していること、ならびにコンプライアンス達成のためのリソースが不足していることについて繰り返し警告されていたにもかかわらず行われたものである。
• 2020年および2021年に実施された必須監査において、重大な欠陥を隠蔽し、テストやデモンストレーション中にシステムの真の状態を隠すよう他者に指示することで、第三者評価者への影響力行使および妨害を図った。
• 米国陸軍に対し虚偽かつ誤解を招く説明を行い、国防総省の暫定認可のためのプラットフォームを後援させるよう誘導した。
• 有利な政府契約とシステム認可を獲得・維持するため、重大な虚偽情報を含むと知りながら資料を提出、または他者に提出させた。これらの政府契約は「プラットフォームが実際に提供していなかったレベルのセキュリティを要求していた」。

ヒルマーは、電信詐欺罪2件（各々最高20年の刑）、重大な政府詐欺罪1件（最高10年の刑）、および連邦監査妨害罪2件（各々最高5年の刑）で起訴されている。

執行の現状

ヒルマー事件は、司法省がサイバーセキュリティ要件の執行に引き続き重点を置いていることを示す顕著な事例である。ただし、この事件は政府契約における必須セキュリティ管理措置の不遵守行為を追及するために、妨害罪を伴う従来の詐欺関連法規を適用した点でも注目に値する。

本件はまた、実際のデータ侵害が発生していなくても司法省が起訴する可能性があることを示している。司法省の理論によれば、政府が依拠した場合、要求されるセキュリティ対策に関する重要な虚偽表示は、結果としてデータ侵害が生じなくても、重大な罰則を伴う刑事訴追を支持するのに十分である。

この調査は、監察総監および軍の捜査部門が関与する、調整された複数機関による取り組みを反映している。このような連携は、捜査能力、専門知識、管轄範囲を拡大し、請負業者に対する監視を強化するとともに、企業と個人の双方の説明責任に対するリスクを高める結果をもたらす。

政府契約業者およびその他の連邦資金受給者に対する勧告

ヒルマー事件は、連邦政府契約におけるサイバーセキュリティコンプライアンス違反を司法省がどれほど深刻に捉えているかを示している。以下の対策により、組織の技術的・コンプライアンス・ガバナンス管理を強化し、企業と個人経営陣双方の法的責任リスクを低減できる。  

• コンプライアンスへのトップダウンのコミットメントを確立する。サイバーセキュリティコンプライアンスは上級管理職が主導し、組織の重要な価値として扱うべきである。経営陣は内部統制のパフォーマンス、不備、是正の進捗状況、残存する脆弱性について、定期的かつ体系的な報告を受ける必要がある。ガバナンスプロトコルは、問題が隠蔽されることなく迅速にエスカレートされ、善意で懸念を提起した従業員が報復から保護されることを保証すべきである。
• 契約上のサイバーセキュリティ義務を監視する。すべての契約上のサイバーセキュリティ基準と、それらが対象とするシステムに関する最新のインベントリを開発・維持する。責任ある担当者がこれらの要件を理解し、パフォーマンスを継続的に監視し、不備が発見された場合に是正措置を実施することを確認する。効果的なコンプライアンスプログラムには、通常、コンプライアンス／法務部門と情報セキュリティ／IT担当者の緊密な連携が必要である。
• 堅牢な内部統制を維持する。連邦機関に認証書類、監査対応書類、認可申請書類を提出する前に、厳格な内部レビューを実施するか、独立した第三者による検証を取得し、これらの書類が正確かつ完全であり、裏付けとなる文書によって支持されていることを確認する。
• 不正確な情報を速やかに修正する。政府への申告書、報告書、提出書類に不備や不正確な点が見つかった場合は、直ちに記録を修正する。適切な場合には自主的な開示を検討する。不正確な点が判明した際に迅速な是正措置を講じることで、民事・刑事上の責任リスクを軽減できるほか、規制当局に対し、組織がコンプライアンス上の懸念事項に誠実に対処している姿勢を示すことができる。
• 対象を絞った教育と啓発。政府契約に適用されるサイバーセキュリティ基準、ならびに連邦機関・監査人・評価者との適切かつ透明性のある関わり方について、役職に応じた研修を実施する。研修では、監査における意図的な虚偽報告や妨害行為が、刑事責任を含む個人および企業への重大な結果を招きうることを徹底させる。