経営にまつわる課題、先駆者の事例などを定期的に配信しております。
ぜひ、お気軽にご登録ください。
1 巧妙化・多様化するサイバー攻撃
企業をターゲットとしたサイバー攻撃に関する報道が続いています。令和4年2月には、大手自動車メーカーの仕入先企業がランサムウェアによるサイバー攻撃を受け、大手自動車メーカーの国内工場が稼働を一時停止する事態が大きく報道されました。
最近では、ランサムウェアによるサイバー攻撃に加え、「Emotet(エモティット)」と呼ばれるマルウェアへの感染を意図する攻撃メールに関する被害も相次いでおり、実在する取引先の氏名、メールアドレスを装い、正規のメールであると信じ込ませる内容となっていたり、業務上開封が必要と誤信される巧妙な文面になっているなど、その手法も巧妙化しています。
また、サポート期限が終わった古い基本ソフト(OS)を搭載したサーバーが狙われるケースや、新型コロナウイルスの感染拡大を契機として利用が広まっているオンラインでのファイル共有サービスを狙ったサイバー攻撃・情報漏えいについても被害が報道されています。
今回のコラムでは、サイバーセキュリティの基本的な考え方とサイバー攻撃を受けた場合のリスクについて、概要を解説いたします。
2 サイバーセキュリティとは?
はじめに、そもそも「サイバーセキュリティ」とは、具体的に何を保護することを求めるものなのか、確認をするところからはじめましょう。
サイバーセキュリティ基本法第2条では、サイバーセキュリティとは、以下の3つの措置が講じられ、その状態が適切に維持管理されていることをいうとされています。
ここでは、保護すべき客体として、①情報だけではなく、②情報システム及び③情報通信ネットワークも含まれている点に注意してください。
そして、会社法上、取締役は、内部統制システム構築義務の一環として、サイバーセキュリティ体制を構築する義務を負うと解されています。
このため、取締役会が決定した内部統制システムが、会社の規模や業務内容に照らし、業務の適正を確保するために不十分であった場合には、その体制の決定に関与した取締役は、善管注意義務違反に基づく任務懈怠責任を問われることになります。
また、内部統制システム自体は適切であったものの、その内部統制システムが実際には遵守されておらず、取締役がそれを知り、または注意すれば知ることができたにも関わらず、長期間放置しているような場合にも、善管注意義務違反に基づく任務懈怠責任を問われることになります。
3 サイバー攻撃を受けた場合のリスクと経済的損失
⑴ サイバー攻撃の主なリスク
次に、サイバー攻撃を受けた場合のリスクについて、見ていくことにしましよう。サイバー攻撃を受けると、企業には大きく以下の3つのリスクが生じます。
まず、サイバー攻撃を受け、機密情報や個人情報が漏えいした場合、被害者に対し損害賠償義務を負うことになります。特に、多くの個人情報が漏えいしてしまった場合には、多額の賠償義務を負うことになります。
また、サイバー攻撃を受け、社内で利用している情報システムが停止してしまったり、業務で利用している情報自体が破壊等されてしまった場合には、業務を継続することができず、復旧するまでの間、売上が立たない事態が生じることもあります。
さらに、サイバー攻撃を受け、情報漏えいや業務停止等が生じた事実が明らかになることで、企業のレピュテーション(信用)に重大な影響が生じます。その結果、「サイバーセキュリティの杜撰な会社」というレッテルを張られ、顧客離れや失注、取引の停止に繋がることもあります。
⑵ 調査のための費用
上記各リスクに伴う経済的損失に加え、不正アクセスなどのサイバー攻撃を受けた場合には、攻撃を受けたパソコンや端末、サーバーなどに残る電子的記録を保全・復元・解析することで、影響範囲や経路、原因を特定・調査する作業(デジタルフォレンジック)が必要となり、被害が深刻な場合、これらの調査・フォレンジック費用だけでも高額になる場合があります。
このように、ひとたびサイバー攻撃を受けると、情報が使えなくなったり、漏えいが生じたりすることに加え、企業には大きな経済的損失・負担が生じる可能性がある点に留意する必要があります。
4 サイバーセキュリティ対策は重要な経営課題
サイバー攻撃は、企業に対し、経営上の重大なリスクを生じさせるため、現在では、大企業だけではなく、中小企業においても、重要な経営課題として位置づけ、経営者がリーダーシップを取り、平時から全社的なセキュリティ対策を講じることが求められています。
別のコラム(※)でも紹介したとおり、中小企業における取組みを支援するため、経済産業省からは「サイバーセキュリティ経営ガイドラインVer2.0」が、独立行政法人情報処理推進機構(IPA)からは、「中小企業の情報セキュリティ対策ガイドライン(第3版)」がそれぞれ公表されるとともに、内閣サイバーセキュリティセンター(NISC)からは、より小規模の事業者に向けて「小さな中小企業とNPO向け情報セキュリティハンドブック 」も公表されています。
(※) 【弁護士解説】中小企業向け急増するサイバー攻撃への備え
また、NISCからは、被害の経験やそこから得た学びを共有するため、実際にサイバー攻撃の被害にあった企業の協力を得て作成した「サイバー攻撃を受けた組織における対応事例集」も公表されており、参考になります。
サイバー攻撃の増加傾向を受け、令和4年3月1日には、経済産業省、金融庁、総務省、厚生労働省、警察庁及びNISCの連名により「サイバーセキュリティ対策の強化について(注意喚起)」と題する書面が公表されました。同書面では、改めて、企業に対し、①リスク低減のための措置、②インシデントの早期検知、③インシデント発生時の適切な対処・回復の対策を取り、サイバー攻撃への対策強化に努めることが求められています。
その一方で、どれだけセキュリティ体制を構築しても、サイバー攻撃に関するリスクを完全に排除することはできず、経済的損失等を踏まえた有事への備えも必須です。
「サイバーセキュリティ経営ガイドライン Ver2.0」では、把握したサイバーリスクへの対応策の1つとしてサイバー保険の活用が挙げられており、保険を活用した損失発生の回避は、内部統制システムの1つである「損失の危険の管理に関する規程その他の体制」(会社法施行規則98条1項2号)整備としての意味を持ちます。
上記の公表資料等を参考にしつつ、前述したサイバー攻撃のリスクを踏まえ、自社のサイバーセキュリティ対策、さらには保険の活用を含めた有事の備えについて、見直し・検討を進めていただければと思います。
(このコラムの内容は、令和4年8月現在の法令等を前提にしております。)
(執筆)五常総合法律事務所
弁護士 持田 大輔
MKT-2022-522
「ここから変える。」メールマガジン
関連記事
パンフレットのご請求はこちら
保険商品についてのご相談はこちらから。
地域別に最寄りの担当をご紹介いたします。
- おすすめ記事
- 新着記事