｢サイバーリスク｣に備えた契約書上の重要項目 事業継続を脅かす最上位の経営リスクが潜む

取引先と契約書を交わす際、ある項目に注意すれば、サイバー攻撃に起因する賠償額をかなり抑えられる可能性が高まる（写真： freeangle / PIXTA）

「この2年ほどで、ゲームチェンジが起きたといえるほどサイバー攻撃の脅威は増大した」と警鐘を鳴らすのは、サイバーセキュリティに詳しい八雲法律事務所 代表弁護士の山岡裕明氏。

今や、1度被害を受けると損害賠償を取引先から請求されたり、契約を解除されるなど、事業継続が危ぶまれるおそれも十分にあるという。こうした事態に備えてどのような法務対策をとるべきか、山岡氏に聞いた。

今や事業継続を脅かすほどの経営リスク

――サイバー攻撃が激化しています。企業におけるサイバーリスクはどう変化していますか。

【グラフで見る】ランサムウェア被害の7割以上が「VPN機器」からの侵入

サイバーリスクというと、従来は個人情報漏洩が問題でしたが、2020年頃から本格化したランサムウェア攻撃がゲームチェンジを起こしました。ランサムウェアが狙うファイルサーバーには、個人情報だけでなく、財務情報や技術情報、取引先と機密保持契約を締結したうえで受領した計画書や設計図など機密性が高いものも含まれるからです。

ランサムウェア攻撃は、「身代金を支払わなければ機密データをすべて公開する」という脅迫を行います。機密データが公開されれば、取引先から損害賠償請求を受けたり、取引停止や契約解除をされたりする事態に発展しかねません。

しかもランサムウェア攻撃では、ドキュメントファイルだけでなく電子ファイル全体が暗号化されるリスクがあります。パソコンのOSやアプリケーション、基幹系や情報系、制御系などのシステムはすべて電子ファイルで構成されていますので、DX化でビジネスの基盤となったITインフラ全体が止まり、事業継続が脅かされます。この点でいえば、もはやサイバー攻撃は最上位の経営リスクといえるのです。

｢経営者の認識の甘さ｣が対策不足に直結している

――山岡さんはサイバーセキュリティに特化した企業支援をされていますが、経営者はサイバーリスクの増大に気づいているのでしょうか。

サイバーリスクについての認識については、残念ながら、まだ過渡期だと思います。企業の役員研修で「サイバーリスクといえば何が思い浮かびますか？」と聞くと、「個人情報の漏洩」という回答が多数を占めます。

おそらく、約10年前に大手企業が数千万件の個人情報漏洩事件を起こした印象が強いのでしょう。サイバーリスクが個人情報の漏洩に留まるならば事業継続に直接影響するわけではありません。その意味で、現状サイバーリスクは過小評価されています。サイバー攻撃で企業が傾くかもしれないという認識はまだ十分に浸透していない状況だと思います。