｢サイバーリスク｣に備えた契約書上の重要項目 事業継続を脅かす最上位の経営リスクが潜む

なお、不可抗力事由にサイバー攻撃を盛り込んでいても、その不可抗力を主張するためには、通常考えられる程度のセキュリティ対策を実施していたことが前提となります。契約書上で責任を制限すればセキュリティ対策はしなくていい、ということにはならない点は注意してください。

――特に注意してそうした法務対策をするべき業界はあるのでしょうか。

サイバー攻撃は、規模や業種を問わず直面しうるリスクになりつつあります。その意味ではすべての企業が対策するべきですが、特に注意が必要なのは、ITシステムやWebサイトの開発に携わるベンダーです。

これまで、システム開発の契約書では専ら「システムが動くか動かないか」が重視されていて、セキュリティ対策に関する重要性はあまり意識されてきませんでした。そのため、納品したITシステムやWebサイトがサイバー攻撃を受けた場合に、一次的に損害を被った発注者とベンダーとの間で、セキュリティ対策の役割や責任の分担をめぐる法的紛争に発展することが増えています。

ECサイトがサイバー攻撃を受けてエンドユーザーへの補償やシステムの再構築に費用がかかったとして、当該ECサイトの運営会社が、サイトを制作したベンダーに賠償請求をした裁判例があります。この裁判例では、発注者であるECサイトの運営会社側の請求が7割認容されています。今後、こうした紛争を避けるためにも、セキュリティ対策が発注元と受注側のどちらの役割・責任なのかは明記しておいたほうがいいでしょう。

意思表示が賠償額の減額につながった事例も

――契約の見直しには時間がかかることも考えられます。毎日のようにサイバー攻撃が行われている中で、即効性のある法務対策としてどのようなことが考えられますか。

発注者側とベンダー側の双方にあてはまることですが、メールやチャットでもかまわないので、「セキュリティ対策についてどうすべきか」という意思を示しておくことです。このやりとりを残しておくだけで、賠償額や紛争を抑制できる可能性が高まります。

先ほどのECサイトの裁判例では、ベンダーがサイバーセキュリティに関する対策を提案していたにもかかわらず、ECサイト側が提案された対策を放置していました。これがECサイト側の落ち度として考慮され、3割の過失相殺がなされて、ベンダー側は全額負担を免れています。

――法務部門への確認など、経営者がしておくべきことを教えてください。