サプライチェーン攻撃と法的責任
サプライチェーン攻撃は、技術的な問題にとどまらず、さまざまな法的リスクを伴います。経営者として、これらのリスクを理解し、適切に備えることが重要です。
- 法的リスクの全体像
- サプライチェーン攻撃に関連する法的リスクには、契約上の責任、委託先への監督義務違反、個人情報保護法違反、取締役の善管注意義務違反などがあります。これらは相互に関連しており、一つのインシデントが複数の法的問題を引き起こす可能性があります。
- 本記事の位置づけ
- 本記事は一般的な情報提供を目的としており、法的助言ではありません。具体的な法的問題については、弁護士などの専門家にご相談ください。法令の解釈や適用は個別の状況によって異なります。
サプライチェーン攻撃の経営リスク全般については、サプライチェーン攻撃の経営リスク|影響・損失・被害額で解説しています。
契約上の責任
サプライチェーン攻撃が発生した場合、契約関係に基づく責任が問題となります。
委託契約における責任分界
- 委託先がインシデントを起こした場合の責任
- 業務を委託した先でセキュリティインシデントが発生した場合、委託元にも責任が生じる可能性があります。委託先の選定、監督、管理が適切であったかが問われます。「委託先がやったことだから知らない」という主張は通用しないことが多いです。
- 責任分界点の明確化の重要性
- 契約書において、セキュリティに関する責任分界点を明確にしておくことが重要です。「どこまでが委託先の責任か」「インシデント発生時の対応義務は誰にあるか」「損害賠償の範囲はどうなるか」などを明記します。
サービス契約における責任
- SaaS等のサービス契約での責任
- クラウドサービス(SaaS)を利用している場合、サービス提供者のセキュリティインシデントによって自社が影響を受ける可能性があります。利用規約やSLA(サービスレベルアグリーメント)で、セキュリティに関する責任範囲を確認しておきます。
- SLA違反の場合の対応
- サービス提供者がSLAで約束した可用性やセキュリティレベルを満たさなかった場合、返金や補償が発生することがあります。ただし、多くのクラウドサービスでは責任制限条項が設けられており、損害の全額を補償されることは少ないです。
損害賠償の範囲
- 直接損害と間接損害
- 契約上の損害賠償では、「直接損害」のみを対象とし、「間接損害」(逸失利益など)は除外されることが一般的です。ただし、この区分は明確でない場合もあり、争いになることがあります。
- 責任制限条項の有効性
- 多くの契約では、損害賠償額の上限を定める「責任制限条項」が設けられています。ただし、故意や重過失の場合は、責任制限条項が無効とされる可能性があります。
| 契約条項 | 確認ポイント | リスク |
|---|---|---|
| 責任分界 | セキュリティ対策の責任範囲 | 曖昧な場合、責任の押し付け合い |
| 損害賠償 | 上限額、対象範囲 | 上限が低いと損失をカバーできない |
| インシデント対応 | 通知義務、協力義務 | 対応の遅れによる被害拡大 |
| 監査権 | セキュリティ監査の実施権限 | 委託先の状況を確認できない |
契約におけるセキュリティ条項の詳細は、サプライチェーン攻撃対策の契約セキュリティ条項|SLA・責任分界・監査権で解説しています。
委託先への監督義務
法令上、委託先に対する監督義務が定められている場合があります。
個人情報保護法の監督義務
- 個人情報保護法第25条(委託先の監督)
- 個人情報取扱事業者は、個人データの取扱いを委託する場合、委託先に対して「必要かつ適切な監督」を行う義務があります。この義務に違反した場合、委託元も法的責任を問われる可能性があります。
- 監督義務の内容
- 個人情報保護委員会のガイドラインでは、監督義務の内容として、①適切な委託先の選定、②委託契約の締結、③委託先における個人データ取扱状況の把握、が挙げられています。
- 義務違反の場合のリスク
- 監督義務を怠り、委託先でインシデントが発生した場合、委託元も個人情報保護委員会から指導・勧告を受ける可能性があります。また、被害者から損害賠償を請求されるリスクもあります。
業法上の監督義務
- 金融業の監督義務
- 金融機関は、金融庁の監督指針により、外部委託先の管理について詳細な要件が定められています。委託先のセキュリティ管理状況を定期的に評価し、必要に応じて是正を求めることが求められます。
- 医療業の監督義務
- 医療機関は、医療情報システムの安全管理に関するガイドラインにより、外部委託先の管理が求められています。特に、電子カルテなど重要な医療情報を扱う委託先には、厳格な管理が必要です。
再委託先の管理
- 再委託先への監督義務の及ぶ範囲
- 委託先がさらに別の会社に業務を再委託している場合、再委託先の管理も問題となります。個人情報保護法では、再委託先についても委託元が監督義務を負うと解釈されています。契約で再委託の可否や条件を明確にし、再委託先の管理状況も確認することが重要です。
個人情報保護法の罰則
個人情報保護法は、2022年4月の改正で罰則が強化されました。
- 報告義務(個人情報保護委員会への報告)
- 一定の要件を満たす個人データの漏洩等が発生した場合、個人情報保護委員会への報告が義務付けられています。報告対象となるのは、①要配慮個人情報の漏洩、②財産的被害が生じるおそれがある漏洩、③不正アクセス等による漏洩、④1,000人を超える漏洩、です。
- 本人通知義務
- 報告義務が発生するケースでは、原則として本人への通知も義務付けられています。本人が被害を防止するために必要な措置を講じられるよう、速やかに通知することが求められます。
- 罰則規定
- 2022年4月施行の改正法で、罰則が大幅に引き上げられました。個人情報保護委員会の命令に違反した場合、法人に対して最大1億円の罰金が科される可能性があります。また、虚偽報告や検査拒否にも罰則があります。
| 違反行為 | 罰則(法人) | 罰則(個人) |
|---|---|---|
| 委員会命令違反 | 1億円以下の罰金 | 1年以下の懲役または100万円以下の罰金 |
| 虚偽報告・検査拒否 | 50万円以下の罰金 | 50万円以下の罰金 |
| 不正利用目的での提供 | 1億円以下の罰金 | 1年以下の懲役または50万円以下の罰金 |
取締役の善管注意義務
経営者(取締役)は、会社に対して善管注意義務を負っています。サイバーセキュリティ対策を怠った場合、この義務違反を問われる可能性があります。
- 善管注意義務とは
- 取締役は、会社法上、「善良な管理者の注意をもって」職務を行う義務を負っています。これは、その地位にある者として通常期待される程度の注意を払う義務であり、セキュリティ対策についても同様に求められます。
- サイバーセキュリティ対策を怠った場合の責任
- 適切なセキュリティ対策を講じず、会社に損害を与えた場合、取締役は損害賠償責任を負う可能性があります。具体的には、リスクの認識不足、対策への投資不足、体制整備の怠り、監督の不行き届きなどが問題となりえます。
- 経営判断の原則(ビジネスジャッジメントルール)
- 取締役の判断が結果として誤っていたとしても、判断の過程が合理的であれば責任を問われないという原則があります。セキュリティ対策においても、①十分な情報に基づいて判断していること、②利益相反がないこと、③著しく不合理な判断でないこと、が満たされていれば、一定の保護を受けられます。
- 株主代表訴訟のリスク
- 取締役の義務違反により会社に損害が生じた場合、株主が会社に代わって取締役に損害賠償を請求する「株主代表訴訟」を提起する可能性があります。重大なセキュリティインシデントが発生した場合、このリスクは現実的なものとなります。
経営者は、サイバーセキュリティリスクを経営リスクの一つとして認識し、適切な対策を講じる責任があります。対策を怠った結果、会社に損害を与えた場合、善管注意義務違反として責任を問われる可能性があります。
— 出典:経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」
訴訟・紛争への備え
サプライチェーン攻撃が発生した場合、訴訟や紛争に発展する可能性があります。事前の備えが重要です。
- 証拠保全の重要性
- 訴訟になった場合、何が起きたかを証明するための証拠が必要です。ログの保存、フォレンジック調査結果の保管、対応記録の文書化など、証拠となりうる情報を適切に保全します。
- フォレンジック対応
- インシデント発生時には、専門のフォレンジック会社に調査を依頼することが一般的です。フォレンジック調査結果は、訴訟の際の重要な証拠となります。証拠能力を維持するため、適切な手順で調査を行うことが重要です。
- 弁護士への早期相談
- インシデント発生時には、早期に弁護士(できればサイバーセキュリティに詳しい弁護士)に相談することが重要です。法的リスクの評価、対応方針の助言、監督官庁への報告支援などを受けられます。
- サイバー保険の活用
- サイバー保険は、インシデント対応費用、損害賠償、フォレンジック費用、弁護士費用などをカバーする保険です。訴訟リスクへの備えとして、サイバー保険への加入を検討することも有効です。
グローバルな法規制
海外事業を展開する企業は、グローバルな法規制にも注意が必要です。
- GDPR(EU一般データ保護規則)
- EUのGDPRは、EU域内の個人データを取り扱う場合に適用される厳格な規制です。データ侵害が発生した場合、72時間以内に監督当局への通知が求められます。違反した場合の制裁金は、最大で年間売上高の4%または2,000万ユーロのいずれか高い方となり、非常に高額です。
- 米国の規制(SEC規則、州法等)
- 米国では、SEC(証券取引委員会)が上場企業に対してサイバーセキュリティのリスク開示を求める規則を強化しています。また、カリフォルニア州消費者プライバシー法(CCPA)など、州レベルの規制も存在します。
- 中国サイバーセキュリティ法
- 中国で事業を行う場合、中国サイバーセキュリティ法やデータセキュリティ法の規制を受けます。データのローカライゼーション(国内保存)要件や、重要インフラ事業者への追加規制などがあります。
| 法規制 | 適用範囲 | 主な要件 |
|---|---|---|
| GDPR(EU) | EU域内の個人データ | 72時間以内の報告、高額制裁金 |
| SEC規則(米国) | 米国上場企業 | サイバーリスクの開示 |
| 中国サイバーセキュリティ法 | 中国での事業 | データローカライゼーション |
関連する攻撃手法
法的問題につながる可能性のある攻撃手法を紹介します。
- サプライチェーン攻撃
- 取引先や委託先を経由した攻撃です。委託先の監督義務との関連で法的問題が生じます。詳細はサプライチェーン攻撃とはをご覧ください。
- 情報漏洩
- 機密情報や個人情報の外部流出です。個人情報保護法違反、契約違反が問題となります。詳細は情報漏洩をご覧ください。
- 不正アクセス
- 認証を突破してシステムに侵入する攻撃です。不正アクセス禁止法の被害者となる場合と、管理不備を問われる場合があります。詳細は不正アクセスをご覧ください。
- ランサムウェア
- データを暗号化して身代金を要求する攻撃です。事業停止による契約不履行が問題となります。詳細はランサムウェアをご覧ください。
- フィッシング詐欺
- 偽のメールやWebサイトで認証情報を窃取する攻撃です。従業員教育の不備が監督義務違反となる可能性があります。詳細はフィッシングをご覧ください。
- ビジネスメール詐欺(BEC)
- 取引先や経営者を装った詐欺メールです。内部統制の不備が問題となる場合があります。詳細はビジネスメール詐欺(BEC)をご覧ください。
- 内部不正(インサイダー脅威)
- 従業員や委託先従業員による不正行為です。雇用契約、委託契約上の責任が問題となります。詳細は内部不正(インサイダー脅威)をご覧ください。
よくある質問
- Q: 取引先が原因のインシデントでも自社に責任がありますか?
- A: 状況によっては、自社にも責任が生じる可能性があります。特に、個人情報の取扱いを委託している場合、個人情報保護法上の監督義務があり、委託先でインシデントが発生した場合でも委託元の責任が問われる可能性があります。また、契約上の責任分界によっても、責任の所在は異なります。平時から委託先の管理を適切に行い、契約で責任範囲を明確にしておくことが重要です。
- Q: 取締役が個人として賠償責任を負うことはありますか?
- A: 可能性はあります。取締役が善管注意義務に違反し、会社に損害を与えた場合、株主代表訴訟によって個人として損害賠償責任を問われる可能性があります。ただし、経営判断の原則により、判断過程が合理的であれば保護される余地があります。また、役員賠償責任保険(D&O保険)に加入することで、個人としてのリスクを軽減することもできます。
- Q: サイバー保険で法的費用はカバーできますか?
- A: 多くのサイバー保険では、弁護士費用、訴訟費用、和解金などをカバーしています。ただし、保険の種類や契約内容によって、カバー範囲は異なります。また、故意や重過失による損害は対象外となることが一般的です。保険加入時に、法的費用のカバー範囲を確認しておくことが重要です。
- Q: 海外子会社のインシデントにも日本の法律が適用されますか?
- A: 海外子会社は別法人であるため、原則として現地の法律が適用されます。ただし、日本の親会社が海外子会社から個人データを受領している場合など、日本の個人情報保護法が適用される場面もあります。また、GDPRのように域外適用がある法律もあり、グローバルな法規制への対応が必要です。海外子会社を含めたセキュリティガバナンスを構築することが重要です。
まとめ
サプライチェーン攻撃に関する法務ポイントについて、整理します。
- 契約上の責任は、責任分界点を明確にし、セキュリティ条項を適切に定めることで管理する
- 委託先への監督義務は、個人情報保護法や業法で定められており、違反すると法的責任を問われる
- 個人情報保護法は2022年改正で罰則が強化され、最大1億円の罰金が科される可能性がある
- 取締役の善管注意義務として、適切なセキュリティ対策を講じる責任がある
- 訴訟への備えとして、証拠保全、弁護士との関係構築、サイバー保険が重要である
- グローバルな法規制にも注意し、GDPRなど海外の規制にも対応する
本記事は一般的な情報提供であり、法的助言ではありません。具体的な法的問題については、弁護士などの専門家にご相談ください。
次に、M&Aにおけるリスクについて、M&Aで見落とすサプライチェーン攻撃リスク|DD・子会社統合で詳しく解説しています。
経営者向けの他のトピックは、サプライチェーン攻撃と経営|リスク・ガバナンス・投資判断からご覧いただけます。サプライチェーン攻撃の全体像は、サプライチェーン攻撃とは|仕組み・事例・対策を初心者にもわかりやすく解説で解説しています。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
役職・立場別に探す
業種別に探す
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、法的助言ではありません。
- 具体的な法的問題については、弁護士などの専門家にご相談ください。
- 法令の解釈や適用は個別の状況によって異なります。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 記載内容は作成時点の情報であり、法令は改正される可能性があります。
更新履歴
- 初稿公開
