｢サイバーリスク｣に備えた契約書上の重要項目 事業継続を脅かす最上位の経営リスクが潜む

ECサイトがサイバー攻撃を受けてエンドユーザーへの補償やシステムの再構築に費用がかかったとして、当該ECサイトの運営会社が、サイトを制作したベンダーに賠償請求をした裁判例があります。この裁判例では、発注者であるECサイトの運営会社側の請求が7割認容されています。今後、こうした紛争を避けるためにも、セキュリティ対策が発注元と受注側のどちらの役割・責任なのかは明記しておいたほうがいいでしょう。

意思表示が賠償額の減額につながった事例も

――契約の見直しには時間がかかることも考えられます。毎日のようにサイバー攻撃が行われている中で、即効性のある法務対策としてどのようなことが考えられますか。

発注者側とベンダー側の双方にあてはまることですが、メールやチャットでもかまわないので、「セキュリティ対策についてどうすべきか」という意思を示しておくことです。このやりとりを残しておくだけで、賠償額や紛争を抑制できる可能性が高まります。

先ほどのECサイトの裁判例では、ベンダーがサイバーセキュリティに関する対策を提案していたにもかかわらず、ECサイト側が提案された対策を放置していました。これがECサイト側の落ち度として考慮され、3割の過失相殺がなされて、ベンダー側は全額負担を免れています。

――法務部門への確認など、経営者がしておくべきことを教えてください。

経営者は、サイバーリスクの実態と深刻さを正確に認識したうえで、担当部門に対して積極的にコミュニケーションを取ることが重要だと思います。現状ではサイバーリスクが過小評価されているためか、担当部署に丸投げ状態の企業も少なくないでしょう。

例えば、「最近のランサムウェア攻撃はVPN経由が多いと聞いたが、当社のVPNのセキュリティはどうなっているか？」、「重要な取引先との契約においてサイバーリスクに関する賠償制限条項は入っているか？」と積極的にコミュニケーションを取ることで、担当部署も意欲的にアクションを起こすようになります。

もう1つ、経営者がするべきなのが、サイバーリスク版のBCP（事業継続計画）策定です。BCPは、リスクが顕在化した場合の被害を最小限に抑えつつ早期に事業を復旧するための計画です。2011年の東日本大震災で注目を集め、昨今ではコロナ禍でもその重要性が再認識されました。

サイバーリスクも、事業継続を脅かすリスクと位置づけて、同様にBCPを用意しておく必要性は高いと考えます。万が一サイバー被害を受けた際には、情報システム部門、セキュリティ部門、法務、広報、総務・経営企画などあらゆる部門が動かなくてはなりませんから、少なくとも、有事の際のリーダーを誰にするか、指揮系統をどうするかは平時から決めておくべきでしょう。

著者フォローすると、高橋秀和さんの最新記事をメールでお知らせします。