DXの発展と共に巧妙化するサイバー攻撃。サイバー攻撃が判明した際、企業側に求められる対応とは?
弁護士が、企業側が追われる対応と、システムベンダーが負う責任について解説します。
<メディア関係者の方>取材等に関するお問い合わせはこちら
DX推進に伴い進化するサイバー攻撃
DXとは、デジタルトランスフォーメーション(Digital Transformation)の略であり、企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること、と定義されます。(経済産業省 デジタルトランスフォーメーションを推進するためのガイドライン(DX 推進ガイドライン)Ver. 1.0)
経済産業省は、2025年までに多くの日本企業がデジタル化に取り組まない限り、2025年~2030年にかけて年間12兆円もの経済的損失を被ることになると明示しています(「DXレポート~ITシステム『2025年の崖』の克服とDXの本格的な展開~」)。
これに対する危機感から、経済産業省は、2018年12月にDX推進ガイドラインを発表し、DXを推進するにあたり経営者が押さえるべき事項を明確にしています。
しかし、DXの進化と同じくして、サイバー攻撃も多様化し、革新していくこととなります。クラウド環境はサイバー攻撃者にとっても便利な環境であり、AIは脆弱性の発見をより容易にします。
サイバー攻撃の現状
2020年1月以降、サイバー攻撃による被害は増大し、被害内容も巧妙化しています。経済産業省のサイバーセキュリティ課は、サイバー攻撃により企業情報が流失した可能性のある事例が続いている状況を重く受けとめ、産業界へセキュリティ対策の徹底と強化の注意喚起を行っています。
経営者の一層の関与が必要になるため、経済産業省商務情報政策局サイバーセキュリティ課は、2020年12月18日「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」を掲示し、最近の攻撃の特徴と目的を明らかにし、企業が対応する際に注意すべき点を整理することで、サイバーセキュリティの取り組みの一層の強化を促しています。
DX推進に伴うトラブル及び企業の責任
ビジネスの現場にIT技術の導入が進むほど、企業が保有する顧客の個人情報や重要な技術情報などに対してサイバー攻撃がなされるリスクも増加します。
サイバー攻撃が判明した場合、企業はすぐにサーバーなどを停止する必要があり、原因究明のための調査の開始、警察署への報告やプレスリリース、クレーム対応のためのカスタマーセンターを設置など、多くの対応に追われます。
個人情報が漏洩した場合、企業は顧客に対して個人情報の安全管理義務違反として民事責任を負い、役員も内部統制構築義務違反として会社の損害に対して役員責任を負う可能性があります。なお、システム構築を行ったベンダー側に問題があった場合には、ベンダー側にも損害賠償責任が生じます。
2018年度の個人情報漏洩インシデントの分析結果によれば、1件あたりの平均想定損賠賠償額は6億3767万円、1人当たりの平均想定損害賠償額は2万9768円であるとの結果が示されています(JNSA 2018年 情報セキュリティインシデントに関する調査報告)。
信用を失うことによる損失も含め、情報漏洩などによる企業の経済的損害は莫大です。
企業の経営者が行うべき対策
DXの推進に伴うサイバーインシデントトラブルに備えるため、企業の経営者は、企業戦略として、ITに対する投資やセキュリティに対する投資などをどの程度行うかについて判断する必要があります。
経済産業省は、ITに関するシステムやサービスなどを供給する企業やITの利活用が不可欠である大企業及び中小企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するため、「サイバーセキュリティ経営ガイドラインVer2.0」を策定しています。
当該ガイドラインには、サイバー攻撃から企業を守る観点で、「経営者が認識すべき3原則」(①経営者のリーダーシップが重要 ②自社以外(ビジネスパートナーなど)にも配慮 ③平時からのコミュニケーション・情報共有)と、経営者が情報セキュリティ対策の責任者となる担当幹部(CISOなど)に指示すべき「10の重要事項」(①サイバーセキュリティ対応方針策定、②リスク管理体制の構築、③資源(予算、人材など)の確保、④リスクの把握と対応計画策定、⑤保護対策(防御・検知・分析)の実施、⑥PDCAの実施、⑦緊急対応体制の整備、⑧復旧体制の整備、⑨サプライチェーンセキュリティ対策、⑩情報共有活動への参加)が示されています。
まとめ
企業の経営者は、企業戦略として、DXに対する投資のみならず、セキュリティに対する投資などをどの程度行うかについて判断する必要があります。
インシデントが生じた際のリスクの重大性を理解し、情報収集を怠らず、サイバーセキュリティ対策の徹底と強化をしていくことが大切であるといえます。