近年、サプライチェーンを構成する組織は、脆弱性をついたサイバー攻撃によって脅かされています。
このサイバー攻撃の対象になるのは大企業だけではありません。
近頃では、セキュリティ対策が甘ければ中小企業も狙われています。

そのような事態を受けて自社や取引先がサイバー攻撃を受けた際の損害賠償やその調査費用の負担に関して契約書に盛り込むケースが増えています。

このような契約書の整備は、有効なサイバー防衛の一つです。
そこで今回は契約書のサイバー防衛に関して解説し、免責事項や賠償上限などについても紹介します。

近年のサイバー攻撃の被害状況

近年、サイバー攻撃は活発化し、フィッシング攻撃が急増しています。
ログイン情報などを手に入れ、不正アクセスを行い、ランサムウェアの設置を行うなど手口が巧妙化しています。
サイバー攻撃の標的は、以前の個人から企業に移行してきていますが、その傾向は最近でも変わっていません。

もちろん情報漏えいすべてがサイバー攻撃で起きたわけではなく、「紛失や置き忘れ」や「誤操作」が半数を占めています。
ただし、一度サイバー攻撃が発生してしまうと、被害者の数が膨大な数になる傾向にあり、それに伴い被害額も高額になってしまいます。

また、サイバー攻撃の被害を受けてしまうと情報の漏えいだけでは済まず、事業が止まってしまい、それによる売上機会の損失、ブランドイメージの低下、株価の下落などかなりのダメージを受けてしまいます。

損害賠償の事例と損害額の今後

2021年8月に未だかつてない規模のサイバー攻撃による資産流失事故として、暗号資産のサービス(仮想通貨)のサービスを手がけるポリ・ネットワークは、ハッカーによるサイバー攻撃を受けて600億円に上る暗号資産が不正流失しています。

また、2021年1月〜4月には恋活・婚活マッチングアプリ「Omiai」にて不正アクセスが発生し会員情報171万件が漏えいしています。

このようなサイバー攻撃はニュースなどで大々的に報道されていますが、多様な側面から詳しくみてみましょう。

賠償被害の大きさ

サイバー攻撃による2019年の企業の被害額は平均で1億4,800万円に上るとされています。
一方、度々報道される情報漏えい事故は、JNSA(日本ネットワークセキュリティ協会)の調査「2018年情報セキュリティインシデントに関する調査報告書」によると、情報漏えい事故が443件発生し、被害額が2,684億5,743万円で漏えいしてしまった人数が561万3,797人です。
1件当たりの平均補償額は6億3,767万円で1人当たりの平均補償額は2万9,768円です。

出典：2018年 情報セキュリティインシデントに関する調査報告書

情報漏えい1人あたりの損害賠償額

漏えいしてしまった個人情報の、1人あたりの損害賠償額は2万9,768円です。
これは、損害賠償額を漏えい人数で割った平均値です。

よくテレビなどのニュースでは、被害者1人あたり図書券500円が謝罪として発送されたなどとよく報道されています。

しかし、漏えいした個人情報の機密性により金額は異なり、明らかにしたくない個人的な情報や預貯金の不正引き出しにつながりかねないもののケースでは、1人あたり数万円という金額になることも決して珍しくはありません。

サプライチェーン全体の備えに課題

現代の企業の活動は自社だけでは完結せず、原材料や部品の調達から製造・在庫管理・流通・販売など、製品やサービスが一般消費者に届くまでの間に多種多様な企業が関わっています。
この関係を「サプライチェーン」と呼びますが、近年、このサプライチェーンの脆弱性を狙った「サプライチェーン攻撃」が新たなリスクとして浮上しています。

背景には大企業やグローバル企業のセキュリティ対策が堅牢化したことがあります。
サイバー攻撃者はそのような万全なセキュリティを突破するよりも、セキュリティ対策の甘いチェーンの別の企業に侵入し、そこを足がかりに大企業に攻撃を仕掛けるようになったのです。

サプライチェーン攻撃のパターン

近年のサプライチェーンの各企業は情報ネットワークでつながっています。
そのためサプライチェーンの中に情報セキュリティ対策が不十分な企業があると、その企業からのメールや納品物にコンピューターウイルスが混入していたり、不正アクセスを許してチェーンの情報が流失するリスクが発生します。

自社のセキュリティホールが原因となり、チェーン内の他の企業に損害を生じさせた場合、信用を失うのはもちろん、取引の打ち切りや損害賠償請求につながることもありますので、サイバー攻撃への対策に取り組む必要があります。

対策は何から始めればいいのか？

サイバー攻撃への対策は以下のようなものがあります。
詳しく見ていきましょう

データの一元管理

ここのパソコンにデータが格納されていると、そのパソコンを持ち出して紛失すれば情報が漏れてしまいます。
現代はモバイルをビジネスに活用できる時代なので、データを一元管理できるように、クラウド化やデータレス端末導入への移行が進んでいくでしょう。

人間の能力を補うシステム

従来はIDやパスワードを用いてのアクセス制限や管理が一般的でした。
しかし、パスワードの定期的な変更は携わるメンバーの負担になりますし、なりすましや流失の危険と隣り合わせです。

アクセス制限に関しては、指紋や目の光彩を利用した生体認証の方が確実で、メンバーの負担も減ります。

メールの誤送信に対しても、文面や添付ファイルのチェックを自動的に行う仕組みや内容を暗号化した方が確実です。

契約見直しが急増

2022年3月に発生した、愛知県豊田市の部品メーカー小島プレス工業がサイバー攻撃を受けその影響でトヨタ自動車の国内全工場が稼働停止した以降、契約書の見直しを求める企業が急増しています。

サイバー攻撃が原因で取引先に損害を与えた際の賠償額の上限を定めたり、取引先がサイバー攻撃を受けた際の報告義務を課すものが増えています。

上記のサイバー攻撃の発生に伴い、他社にもリスク意識が高まったものとみられます。

免責や賠償上限を明記

サイバー攻撃を受け被害が出た際の、責任範囲を明確に決めておくことも重要です。
データの漏えいに関しては、損害額を決めるのが非常に困難なため、事前に契約書で損害賠償額の上限を決めておくことが考えられます。

また、事前に万全なセキュリティ対策をとっていたにも関わらず被害を受けてしまった場合には免責されるなどの条項を盛り込んでもよいでしょう。

取引先に対し、サイバー攻撃を受けた場合は速やかに通知するよう定めるのも重要です。
初期段階で事態を把握できれば被害は最小限に食い止められます。

また、サイバー保険の加入を義務付けるなど、必要な防衛策を条件に盛り込むことも有効です

まとめ

自社で万全なセキュリティ対策を施していたとしても、サプライチェーンの他の企業の情報セキュリティが甘ければサイバー攻撃の被害にあってしまいます。

そのため、サプライチェーンを構成する各社で互いにセキュリティレベルをチェックし、脆弱な部分があれば改善を促すといったことや取引時にはセキュリティレベルをお互いに確認し契約書に持ち込むなどの取り組みが大切です。

そのようにして締結した契約書ですが、「書類を保管するスペースがない」「書類をどこに保管してあるのか分からない」「閲覧問い合わせが面倒」など契約書管理のお悩みごとはございませんでしょうか？

そのような場合は、SRIの「BUNTANリーガル」にお任せください。
締結された契約書の情報をWEBシステムの「BUNTAN」にデータベース化し、契約情報の検索や期限管理はもちろん、契約書原本の保管から廃棄までのライフサイクルやPDFなどの電子データまで一元管理いたします。

契約書の保管方法にお悩みの企業様はぜひ一度SRIにご相談ください。