89 - [´・ω・`] powered.by.rdp.sh 2022/10/15(土) 19:24:46.70 ID:TrQVuJ5D0
とりとり
契約書も「サイバー防衛」 免責や賠償上限定め紛争予防: 日本経済新聞
https://www.nikkei.com/article/DGXZQOUC227RQ0S2A920C2000000/
自社や取引先がサイバー攻撃を受けた際の損害賠償や調査費用の負担について、事前に取引の契約書に盛り込む例が増えている。サイバー攻撃の脅威は拡大しており、サプライチェーンを通じて深刻な被害に発展する恐れもある。被害を巡る負担や責任を巡る企業間のトラブルが起これば、思わぬ二次被害になりかねない。具体的なリスクを想定した契約整備は、有効なサイバー防衛策のひとつともいえる。
契約書の免責事項にサイバー攻撃を明記するなど事前にリスクを考慮する必要がある
契約見直しが急増
「取引先との契約書にサイバー攻撃を考慮した条項を盛り込みたい」。企業のサイバー対策に詳しい山岡裕明弁護士には3月ごろから、契約書の見直しを求める企業の相談が急増している。サイバー攻撃が原因で取引先に損害を及ぼした際の賠償上限を定めたり、取引先がサイバー攻撃を受けた場合に備えて報告義務を課すものが多いという。
相談が増えたのは、部品メーカーの小島プレス工業(愛知県豊田市)がサイバー攻撃を受け、その影響で同社の納入先であるトヨタ自動車の国内全工場が稼働停止した問題が起きたタイミングと重なるという。山岡弁護士は「関連性は分からないが、他の企業にもリスク意識が高まったのではないか」と話す。
警察庁によると2021年中のサイバー犯罪の検挙件数は、過去最多の1万2209件。企業が被害に遭う例も多い。22年1〜6月期に企業などがランサムウエア(身代金要求型ウイルス)の被害にあったと同庁に報告したのは114件で、調査を始めた20年7〜12月期の5倍を超えた。
損害の高額化も進む。米IBMの調査では、サイバー攻撃などによるデータ侵害で企業に発生する損失額は、22年で1件あたり平均435万ドル(約6億4千万円)と過去最高になった。
自社への直接攻撃だけでなく、サプライチェーンや取引先を経由して被害が広がるのが最近の特徴だ。NTTデータ経営研究所が3月にまとめた調査では、17%の企業が「取引先などへの攻撃の影響が自社に及んだ経験がある」とした。
取引網全体の備えに課題
一方で、サプライチェーン全体でセキュリティー対策に歩調を合わせる動きは遅れがちだ。問題の発生後、企業間で賠償責任や損害の負担などを巡るトラブルに発展することもある。
NTTデータ経営研究所の調査でも、取引先等に対し推奨セキュリティー設定の実施を要求している企業は全体の8%にとどまった。問題が発生した際の調査や損害賠償などについて取り決めなどがあると答えたのは21%だった。
サイバーセキュリティー関連の法務に詳しい工藤靖弁護士は「サイバー攻撃が起きた際に発生しうる問題への対応を事前に合意しておけば、円滑な対応が可能となる」と指摘する。
実際に契約書で重視しておくべき点は何か。山岡弁護士は「取引先がサイバー攻撃を受けた場合と自社が攻撃された場合の、両方のリスクを想定して条項を盛り込むとよい」と話す。
自社への攻撃に関する対応でまず考えられるのが、契約書の「不可抗力条項」の発動条件にサイバー攻撃も明記しておくことだ。
不可抗力条項は当事者にはどうしようもない事象の発生により製品の納入やサービス提供などができなくなったり遅れたりした場合に、賠償責任を負わないことを定める。一般的には天災や戦争などへの備えが多いが、山岡弁護士は「サイバー攻撃も不可抗力の事態として示せば免責される可能性が上がる」とする。
IT(情報技術)関連の法務に詳しい弁護士は「今年に入り、中小の専門商社から不可抗力条項にサイバー攻撃を加える契約見直しの相談を受けた」と話す。
免責や賠償上限など明記
サイバー攻撃で被害が出た場合の、責任範囲を明確にしておくことも有効だ。データ漏洩などに関しては損害額の算定が難しいため、事前に契約書で損害賠償の上限を定めておくことが考えられる。さらに、事前に十分なセキュリティー対策を講じていたにもかかわらず被害を受けた場合は、免責されるなどの条項を盛り込む手段もある。
取引先に対し、自社ビジネスへの影響の可能性があるサイバー攻撃が確認された場合には、速やかに通知するよう義務を定めることも重要になる。すぐに事態発生を把握できれば、被害拡大を防ぐための迅速な措置をとることもできる。
サイバー攻撃の原因や被害状況を調査する際の費用負担について、誰が負担するかや負担割合を決めるための基準を明示しておくこともトラブル予防につながる。専門業者による大規模なフォレンジック調査などを行うと、調査費用が高額になることがあるためだ。
損害の一部をカバーするサイバー保険への加入を取引先に求めたり、ソフトウエアの導入など推奨のセキュリティー体制を定めたりすることも考えられる。工藤弁護士は「取引先の選定段階で、必要な防衛策を条件に盛り込むことも有効だ」と話す。
ただあまり過度な対策を要求することは、取引先に負担を強制しているとして下請法の問題になる恐れもある。取引先と協調しつつ、サプライチェーン全体でのサイバー防衛力を高める取り組みが重要になる。
(渋谷江里子)
サイバー保険、日本は普及遅れ
サイバー攻撃の損害の一部をカバーできる「サイバー保険」に注目が集まっている。ただ欧米と比べ日本企業の導入は遅れている。
日本損害保険協会の2020年の調査によると、日本企業のサイバー保険加入率は約8%。企業の加入率が約5割といわれる米国などとの格差が大きい。
損害保険ジャパンの担当者は「日本は情報漏洩に特化した保険が多く、全般的なサイバー保険が目立ち始めたのは2015年ごろからだった」と話す。一方で欧米では1990年代後半からサイバー保険が普及し、15年ごろには主要商品として定着。「企業の契約条件にサイバー保険加入が含まれることも珍しくない」(大井哲也弁護士)という。
保険関係者は「最近は中小企業向けに年間20万円前後の保険料負担で済む商品もある」と指摘。日本企業の導入拡大を促す。ただサイバー攻撃と通常の詐欺を合わせた「ビジネスメール詐欺」への対応が難しいなど、サイバー攻撃の多様化を受けた課題もある。企業は自社の状況に合った保険商品の吟味が重要になる。