レポート/資料

サイバーインシデント発生時の法的責任と予防のポイント【RMFOCUS 第94号】

RM NAVI会員(登録無料)のみ全文閲覧できます

[このレポートを書いた専門家]

寺門 峻佑 氏(左)、芥川 詩門 氏(中)、中山 翔太 氏(右)
会社名
TMI総合法律事務所
執筆者名
パートナー弁護士 寺門 峻佑 氏(左) Shunsuke Terakado
アソシエイト弁護士 芥川 詩門 氏(中) Shimon Akutagawa
アソシエイト弁護士 中山 翔太 氏(右) Shota Nakayama

2025.7.1

要旨

本稿では、まず、サイバーインシデントが発生した際に企業がどのような法的責任を負うのか、また、有事対応としてどのような法的対応が必要となるのかについて、一般的なBtoBビジネスまたはBtoCビジネスを展開する企業の立場を「自社」として想定しつつ、適宜、それらの企業の業務委託先やITベンダー企業(以下、「委託先等」)の視点も交えながら整理する。その上で、有事に備えて平時から対策できることについて、法的な観点から具体的な契約上のポイントも含めて説明する。

2025年1月30日、独立行政法人情報処理推進機構(IPA)は、「情報セキュリティ10大脅威 2025」1)を公表し、その結果は1位がランサム攻撃による被害、2位がサプライチェーンや委託先を狙った攻撃となった。ランサム攻撃とは、PCやサーバーへのランサムウェアと呼ばれるウイルスの感染後、PCやサーバーのロックやデータの窃取、暗号化等を行い、これらを取引材料とした様々な脅迫により、企業に金銭を要求するものである2)。サプライチェーンや委託先を狙った攻撃とは、調達から販売までのサプライチェーンや業務委託等の委託先の中でセキュリティ対策の甘い組織を狙った攻撃であり、直接の攻撃対象者ではない自社のデータやシステムが被害に遭うケースも増加している。

直近3年間のサイバー攻撃による累計被害額は1社あたり平均約1億7,100万円、特にランサム攻撃による被害の累計被害額は平均約2億2,000万円との調査結果もあり、しかもその平均額は年々増加傾向にある3)。また、サイバー攻撃からの復旧に要した時間については平均で6.1日であり、特にランサム攻撃の場合、復旧に要した時間は、平均で10.2日との調査結果も公表されている4)。サイバー攻撃による被害は、直接的な経済的損失もさることながら、これにとどまらず、通常業務の遂行や取引先との取引、顧客からの信頼に大きな影響を及ぼすリスクが懸念される。企業としては、サイバー攻撃を防ぐ方法を検討するのみならず、「もしも」が起きてしまった際にいかにして自社の損害を最小限に抑えるか、その体制整備もまた重要な課題となっている。

1.法的責任の整理

まず、サイバーインシデントが発生した場合に、企業が負いうる法的責任の概要について、民法、会社法および個人情報保護法の観点から、次頁の図1を前提に、簡単に整理する。

(1) 民法

自社または委託先等にサイバーインシデントが発生した結果、自社の顧客等の個人データや取引先の秘密情報などの保有データが漏えい等した場合には、当該顧客や取引先などか ら民事上の損害賠償請求がなされる可能性がある。

また、仮に、自社または委託先等に当該サイバーインシデントが発生した原因が、委託先の開発したシステムや、SaaSサービスにおけるセキュリティ上の脆弱性等にある場合であっても、顧客や取引先などに対する損害賠償責任については、まず自社が負うことになる。そのうえで、自社としては、委託先等に対して、求償請求として、民事上の損害賠償責任を追及することになる。

上記に関して、委託先等の立場では、委託先等が提供するシステム、IoT製品、クラウドサービス等が多数の利用企業にとって業務プロセスの要となりうるものであり、インシデントがその製品やサービスにおけるセキュリティ上の脆弱性に起因する場合には、その多数の利用企業(上記図1の「自社」・「自社以外の利用企業」)から、同時多発的に損害賠償請求を受ける事態に陥る可能性もある。

この民事上の損害賠償責任は、具体的には、債務不履行責任と不法行為責任が考えられる。

【図1】企業が負いうる法的責任の概要(筆者作成)
【図1】企業が負いうる法的責任の概要(筆者作成)

ア)債務不履行責任

債務不履行に基づく損害賠償請求は、以下の要件に該当する事実を請求者(債権者)が立証した場合に認められる。

法律要件
サイバーインシデント発生時のポイント
①債務不履行

被請求者(債務者)が「債務の本旨に従った履行」をしなかったことをいう。「債務の本旨」とは、債務者が負う債務の本質的な内容をいい、基本的には契約の解釈によって定まる。実務上は、契約において、秘密保持義務や情報管理義務等が規定され、契約相手方の情報の適切管理が義務付けられていることが多く、自社がサイバーインシデントにより情報漏えい等を発生させた場合には、当該義務違反により、契約相手方に対する債務不履行を構成することが多い。なお、被請求者(債務者)から過失がなかったことを立証すれば責任を免れることも可能だが、実務上、その立証は困難を伴う傾向にある。

他方、委託先等を原因とするサイバーインシデントの場合、委託先等が自社に対する債務不履行責任を負うかは、自社との契約上の秘密保持義務等の規定のほか、当該契約において委託先等が提供すべき役務等にセキュリティ対策を実施する義務が含まれるかに左右される。契約実務上は、セキュリティ対策の実施義務は具体的に明記されていないケースも多い。もっとも、裁判例では、セキュリティに関する具体的な合意はされていなかった事案において「当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供することが黙示的に合意されていた」ことを認定したもの(東京地判平成26年1月23日判例時報2221号71頁)もある。

いずれにしても、事前に契約書等においてサイバーインシデント発生を見越した各種条項を盛り込んでおくことが望ましく、その詳細は3.で述べる。

②損害の発生

請求者(債権者)に現実に損害が生じたことをいう。例えば、自社の顧客等の個人データや取引先の秘密情報などの保有データが漏えい・滅失・毀損等した場合には、これにより顧客等に発生した実害が損害となる。

他方、委託先等を原因とするインシデント事案の場合、上記に加え、例えば、これにより自社が委託先等のサービス等を利用できなくなったこと自体も損害になりうる。また、その場合において、自社が自らのビジネスを遂行できなくなったことによる利益の喪失等について損害になる場合もありうる。いずれにしても、契約内容や事案の内容・性質等の様々な事情により、結論は異なりうる。

③因果関係

発生した損害が債務不履行により生じたものであることをいう。例えば、以下の場合には因果関係が否定され、損害賠償は認められない。

  1. 債務不履行の事実にかかわらず損害が発生していたといえる場合
  2. 被害者や第三者の通常は予想できない行動等により当該損害が発生した場合
  3. 通常は当該債務不履行の事実によりその損害が発生するという関係性が認められない場合

サイバーインシデントの場面では、通常業務の停止に伴う営業損失や取引の逸失利益、サイバーインシデントの対応に従事した従業員の残業代などについて、因果関係が認められるかどうかが問題となることが多い。

ここまでお読みいただきありがとうございます。
以下のボタンをクリックしていただくとPDFにて全文をお読みいただけます(無料の会員登録が必要です)。

会員登録で レポートを全て見る