｢サイバーリスク｣に備えた契約書上の重要項目 事業継続を脅かす最上位の経営リスクが潜む

経営者は、サイバーリスクの実態と深刻さを正確に認識したうえで、担当部門に対して積極的にコミュニケーションを取ることが重要だと思います。現状ではサイバーリスクが過小評価されているためか、担当部署に丸投げ状態の企業も少なくないでしょう。

例えば、「最近のランサムウェア攻撃はVPN経由が多いと聞いたが、当社のVPNのセキュリティはどうなっているか？」、「重要な取引先との契約においてサイバーリスクに関する賠償制限条項は入っているか？」と積極的にコミュニケーションを取ることで、担当部署も意欲的にアクションを起こすようになります。

もう1つ、経営者がするべきなのが、サイバーリスク版のBCP（事業継続計画）策定です。BCPは、リスクが顕在化した場合の被害を最小限に抑えつつ早期に事業を復旧するための計画です。2011年の東日本大震災で注目を集め、昨今ではコロナ禍でもその重要性が再認識されました。

サイバーリスクも、事業継続を脅かすリスクと位置づけて、同様にBCPを用意しておく必要性は高いと考えます。万が一サイバー被害を受けた際には、情報システム部門、セキュリティ部門、法務、広報、総務・経営企画などあらゆる部門が動かなくてはなりませんから、少なくとも、有事の際のリーダーを誰にするか、指揮系統をどうするかは平時から決めておくべきでしょう。

高橋秀和：ライター