近年、サプライチェーンを構成する組織は、脆弱性を突いたサイバー攻撃によって脅かされています。このサイバー攻撃の対象は大企業だけでなく、セキュリティ対策が甘ければ中小企業も狙われる状況にあります。こうした事態を受け、自社や取引先がサイバー攻撃を受けた際の損害賠償やその調査費用の負担について契約書に盛り込むケースが増えています。このような契約書の整備は有効なサイバー防衛の一つです。今回は契約書のサイバー防衛について解説し、免責事項や賠償上限についても紹介します。
近年のサイバー攻撃の被害状況
近年、サイバー攻撃は活発化し、フィッシング攻撃が急増しています。ログイン情報などを取得し不正アクセスを行い、ランサムウェアを設置するなど手口が巧妙化しています。サイバー攻撃の標的は個人から企業へと移行してきており、その傾向は変わっていません。もちろん情報漏えいのすべてがサイバー攻撃によるものではなく、「紛失や置き忘れ」や「誤操作」が半数を占めます。ただし、一度サイバー攻撃が発生すると被害者数が膨大になる傾向があり、それに伴い被害額も高額になります。また、サイバー攻撃の被害は情報漏えいだけにとどまらず、事業停止による売上機会の損失、ブランドイメージの低下、株価下落など大きなダメージにつながります。
損害賠償の事例と損害額の今後
2021年8月、かつてない規模のサイバー攻撃による資産流出事故として、暗号資産サービスを手がけるPoly Networkがハッカーによる攻撃を受け、600億円に上る暗号資産が不正流出しました。また、2021年1月〜4月には恋活・婚活マッチングアプリ「Omiai」で不正アクセスが発生し、会員情報171万件が漏えいしています。
賠償被害の大きさ
サイバー攻撃による2019年の企業の被害額は平均で1億4,800万円に上るとされています。JNSA(日本ネットワークセキュリティ協会)の調査によると、情報漏えい事故が443件発生し、被害総額は2,684億5,743万円、漏えい人数は561万3,797人に上りました。1件当たりの平均補償額は6億3,767万円、1人当たりの平均補償額は2万9,768円です。
情報漏えい1人あたりの損害賠償額
漏えいした個人情報1人あたりの損害賠償額は、損害賠償額を漏えい人数で割った平均で2万9,768円です。テレビなどのニュースでは被害者1人あたり図書券500円が謝罪として発送されたと報道されることもありますが、漏えいした個人情報の機密性により金額は異なり、明らかにしたくない個人情報や預貯金の不正引き出しにつながりかねないケースでは1人あたり数万円になることも珍しくありません。
サプライチェーン全体の備えに課題
現代の企業活動は自社だけでは完結せず、原材料や部品の調達から製造・在庫管理・流通・販売まで、製品やサービスが消費者に届くまでの間に多種多様な企業が関わっています。この関係を「サプライチェーン」と呼びますが、近年、このサプライチェーンの脆弱性を狙った「サプライチェーン攻撃」が新たなリスクとして浮上しています。大企業やグローバル企業のセキュリティ対策が堅牢化したことを背景に、攻撃者はセキュリティ対策の甘い別の企業に侵入し、そこを足がかりに大企業への攻撃を仕掛けるようになっています。
サプライチェーン攻撃のパターン
近年のサプライチェーンの各企業は情報ネットワークでつながっています。そのため、情報セキュリティ対策が不十分な企業がチェーン内にあると、そこからのメールや納品物にコンピューターウイルスが混入したり、不正アクセスを許してチェーン全体の情報が流出したりするリスクが発生します。自社のセキュリティホールが原因でチェーン内の他企業に損害を生じさせた場合、信用を失うだけでなく、取引の打ち切りや損害賠償請求につながることもあるため、サイバー攻撃への対策に取り組む必要があります。
対策は何から始めればいいのか?
データが特定のパソコンに格納されている場合、そのパソコンの持ち出しや紛失により情報が漏れてしまいます。データを一元管理できるよう、クラウド化やデータレス端末導入への移行が進むと考えられます。従来はIDやパスワードによるアクセス制限が一般的でしたが、定期的な変更はメンバーの負担になるうえ、なりすましや流出のリスクとも隣り合わせです。アクセス制限には、指紋や虹彩を利用した生体認証の方が確実で、メンバーの負担も軽減できます。メールの誤送信対策としても、文面や添付ファイルを自動チェックする仕組みや内容の暗号化が有効です。
契約見直しが急増
2022年3月に発生した、愛知県豊田市の部品メーカー小島プレス工業がサイバー攻撃を受け、その影響でトヨタ自動車の国内全工場が稼働停止した事案以降、契約書の見直しを求める企業が急増しています。サイバー攻撃が原因で取引先に損害を与えた際の賠償額の上限を定めたり、取引先がサイバー攻撃を受けた際の報告義務を課したりする契約が増えており、他社にもリスク意識が高まったとみられます。
免責や賠償上限を明記
サイバー攻撃を受け被害が出た際の責任範囲を明確に決めておくことも重要です。データ漏えいに関しては損害額の算定が非常に困難なため、事前に契約書で損害賠償額の上限を定めておくことが考えられます。また、事前に万全なセキュリティ対策を取っていたにもかかわらず被害を受けた場合は免責されるといった条項を盛り込んでもよいでしょう。取引先に対しては、サイバー攻撃を受けた場合に速やかに通知するよう定めることも重要です。初期段階で事態を把握できれば被害を最小限に抑えられます。サイバー保険の加入を義務付けるなど、必要な防衛策を条件に盛り込むことも有効です。
まとめ
自社で万全なセキュリティ対策を施していても、サプライチェーンの他企業の情報セキュリティが甘ければサイバー攻撃の被害を受けてしまいます。そのため、サプライチェーンを構成する各社が互いにセキュリティレベルをチェックし、脆弱な部分があれば改善を促す、取引時にはセキュリティレベルを確認して契約書に盛り込むといった取り組みが大切です。「書類を保管するスペースがない」「書類をどこに保管してあるか分からない」「閲覧の問い合わせ対応が面倒」など契約書管理のお悩みがございましたら、当社の契約書管理サービス「BUNTANリーガル」にお任せください。締結された契約書の情報をWEBシステム「BUNTAN」にデータベース化し、契約情報の検索や期限管理はもちろん、契約書原本の保管から廃棄までのライフサイクルやPDFなどの電子データまで一元管理いたします。契約書の保管方法にお悩みの企業様は、ぜひ一度当社にご相談ください。
文書管理のお悩みは、お気軽にご相談ください
