｢サイバーリスク｣に備えた契約書上の重要項目 事業継続を脅かす最上位の経営リスクが潜む

サイバーリスクを過小評価している企業は、セキュリティへの投資について消極的です。十分に人材を確保していなかったり、予算を充てていなかったり。それでは防げるものも防げません。事業継続を脅かすほどのリスクなのに、経営者の認識が十分ではないことに起因して、適切な体制・予算が整えられていない企業が、規模や業種を問わずまだ多い印象です。

例えば、警察庁の公表データによると、ランサムウェア被害の7割以上がVPN機器からの侵入です。

これを見ると、ランサムウェア攻撃の対策としてはVPN機器の対策、具体的に言えば脆弱性の管理と他要素認証の導入が極めて重要になります。実は、これらは追加コストをかけずに比較的容易に導入できます。それにもかかわらず、ランサムウェア攻撃による被害が後を絶ちません。やはり、サイバーリスク対策が後回しになっているのでしょう。

ちなみに、ほとんどのランサムウェア攻撃は金銭目的だと推察されます。そして、費用対効果を高めるべく特定の攻撃手法を使い回して効率化を図っているといえます。VPN機器からの被害が7割と攻撃傾向に明確な特徴があるのは、攻撃手法が使い回されていることの証左だと考えます。

不履行や履行遅延の賠償額を抑える契約書の書き方

――物理的・技術的なセキュリティ対策は重要ですが、100％の防御策は難しそうですね。取引先から損害賠償請求を受ける可能性も考えると、どのような法務対策が必要でしょうか。

通常、取引先と交わす契約書には「不可抗力条項」が盛り込まれています。自然災害や戦争などの要因で不履行や履行遅延が生じた場合は責任を負わないという内容です。

不可抗力条項は契約上の「重大な例外」で、適用範囲が限定されることが多いので、そもそも明記がなければ、サイバーリスクに起因する損害は不可抗力であったから、当社に責任はないという主張は排斥される可能性が高いでしょう。

そのため、サイバー攻撃を不可抗力事由として明記しておくことは重要です。しかし、現状では明記されている契約書は多くありません。

同じく重要なのは、サイバー攻撃に起因する不履行や履行遅延の賠償額について、「購入額を上限」もしくは「1カ月分の利用料」というように上限を定めておくことです。

上記の2点は自社がサイバー攻撃を受ける場合に備えた規定ですが、取引先がサイバー攻撃を受けることで自社に損害が及ぶことも想定されます。

例えば、サプライチェーンがサイバー攻撃を受ける場合です。そのため、契約書上、取引先に対して、セキュリティ体制の整備を求めたり、有事の際の報告義務を課すことも有用です。その他の具体的な法務対策については、弊所から2023年12月に出版した『実務解説 サイバーセキュリティ法』もご参照ください。