｢サイバーリスク｣に備えた契約書上の重要項目 事業継続を脅かす最上位の経営リスクが潜む

ちなみに、ほとんどのランサムウェア攻撃は金銭目的だと推察されます。そして、費用対効果を高めるべく特定の攻撃手法を使い回して効率化を図っているといえます。VPN機器からの被害が7割と攻撃傾向に明確な特徴があるのは、攻撃手法が使い回されていることの証左だと考えます。

不履行や履行遅延の賠償額を抑える契約書の書き方

――物理的・技術的なセキュリティ対策は重要ですが、100％の防御策は難しそうですね。取引先から損害賠償請求を受ける可能性も考えると、どのような法務対策が必要でしょうか。

山岡裕明（やまおか ひろあき）  八雲法律事務所 代表弁護士 第一東京弁護士会 所属 University of California, Berkeley, School of Information修了（Master of Information and Cybersecurity(修士)）。内閣サイバーセキュリティセンター（NISC） タスクフォース構成員（2019～2020年、2021～2022）、総務省・経産省・警察庁・ NISC「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」検討委員（2022～2023）。主な著書として「実務解説 サイバーセキュリティ法」

通常、取引先と交わす契約書には「不可抗力条項」が盛り込まれています。自然災害や戦争などの要因で不履行や履行遅延が生じた場合は責任を負わないという内容です。

不可抗力条項は契約上の「重大な例外」で、適用範囲が限定されることが多いので、そもそも明記がなければ、サイバーリスクに起因する損害は不可抗力であったから、当社に責任はないという主張は排斥される可能性が高いでしょう。

そのため、サイバー攻撃を不可抗力事由として明記しておくことは重要です。しかし、現状では明記されている契約書は多くありません。

同じく重要なのは、サイバー攻撃に起因する不履行や履行遅延の賠償額について、「購入額を上限」もしくは「1カ月分の利用料」というように上限を定めておくことです。

上記の2点は自社がサイバー攻撃を受ける場合に備えた規定ですが、取引先がサイバー攻撃を受けることで自社に損害が及ぶことも想定されます。

例えば、サプライチェーンがサイバー攻撃を受ける場合です。そのため、契約書上、取引先に対して、セキュリティ体制の整備を求めたり、有事の際の報告義務を課すことも有用です。その他の具体的な法務対策については、弊所から2023年12月に出版した『実務解説 サイバーセキュリティ法』もご参照ください。

なお、不可抗力事由にサイバー攻撃を盛り込んでいても、その不可抗力を主張するためには、通常考えられる程度のセキュリティ対策を実施していたことが前提となります。契約書上で責任を制限すればセキュリティ対策はしなくていい、ということにはならない点は注意してください。

――特に注意してそうした法務対策をするべき業界はあるのでしょうか。

サイバー攻撃は、規模や業種を問わず直面しうるリスクになりつつあります。その意味ではすべての企業が対策するべきですが、特に注意が必要なのは、ITシステムやWebサイトの開発に携わるベンダーです。

これまで、システム開発の契約書では専ら「システムが動くか動かないか」が重視されていて、セキュリティ対策に関する重要性はあまり意識されてきませんでした。そのため、納品したITシステムやWebサイトがサイバー攻撃を受けた場合に、一次的に損害を被った発注者とベンダーとの間で、セキュリティ対策の役割や責任の分担をめぐる法的紛争に発展することが増えています。