ビジネスを加速させるワークスタイル(第15回)
似ているようで違う、法人向け光回線の選び方
弁護士が語る!経営者が知っておきたい法律の話(第107回)法律面から見たサプライチェーンのセキュリティ(前編)
公開日:2023.08.24
-
-
ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録(無料)してログインする必要があります。
2022年3月、小島プレス工業のサーバーがランサムウエアに感染し、これにより同社と取引をしていたトヨタ自動車の国内全工場が稼働を停止しました。小島プレス工業が公表したシステム停止事案調査報告書(第1報)では、「子会社が独自に特定外部企業との専用通信に利用していたリモート接続機器に脆弱性があり、そのことがきっかけとなり不正アクセスを受けました。攻撃者はそのリモート接続機器から子会社内のネットワークに侵入し、さらに当社内ネットワークへ侵入して」との説明があり、小島プレス工業の子会社が最初の攻撃対象であったと明らかにされています。
また、2022年10月に同じくランサムウエアによる被害を受けた大阪急性期・総合医療センターの事案も、調査委員会が作成した報告書では、侵入経路は患者給食業務受託事業者の給食センターを経由したサプライチェーン攻撃であったとされています。
このように、サプライチェーン(商品の企画・開発から調達、製造、在庫管理、物流、販売までの一連のプロセスおよび個の商流に関わる組織群)における情報セキュリティが問題となっています。IPA(独立行政法人情報処理推進機構)が公表している情報セキュリティ10大脅威2023でも、「組織」向け脅威の2位が「サプライチェーンの弱点を悪用した攻撃」です。なお、1位は「ランサムウェアによる被害」でした。
サプライチェーンでは、業務の効率化のために受発注システムを共同で利用している場合が多く、セキュリティ対策が弱い企業が狙われ、そこから取引先である大企業に侵入するといった手段が一般化しています。
これまで中小企業では、自社の事業はBtoBが主であるため消費者の個人情報は保有していない、狙われるような機密情報はないといった認識から、情報が流出するリスクと比べセキュリティ対策費用は割高であると考え、積極的に対応しないといった姿勢も散見されていました。
一方で、近時はサイバーインシデントにより、取引先などサプライチェーン全体に損害を与えるリスクが現実化しています。大企業が取引先を選ぶ際には、セキュリティ対策が適切にされている企業であるかという観点も重要になってきており、セキュリティ対策が不十分な場合は、取引先から外される可能性も出てきています。
今回、サプライチェーンにおける情報セキュリティの問題に関し、前編では法的リスクについて、後編では法的リスクを踏まえたインシデント発生の予防や、発生時の対応について説明します。なお、本記事は法的な観点からのアプローチが主であり、技術的な観点などについては、「最新セキュリティマネジメント」といった本サイトの記事を参考にしてください。
経営者個人がダメージを負う可能性も
企業やその経営者が損害賠償義務を負う主なリスクに関し、①企業と取引先、②企業と情報漏えいの被害者、③企業と経営者という観点から説明します。
例えば、自社がマルウエア(不正かつ有害な動作を行う目的で作成されたソフトウエア)に感染し、取引先企業の機密情報やサービス利用者の個人情報が漏えいするとともに、取引先もランサムウエアなどのマルウエアに感染するといった事案が想定されます。
まず、「①企業と取引先」についてです。サプライチェーンの観点からは、自社がマルウエアに感染し取引先にも侵入された場合、取引先での対応費用も損害賠償請求される可能性があります。取引先との間では秘密保持契約(NDA)が締結され、取引基本契約に秘密保持条項が定められていることが通常であり、自社のセキュリティ対策が不十分であったため取引先企業の機密情報が漏えいした場合には、これらの義務違反として損害賠償請求をされる可能性があります。
損害賠償額は個別具体的な事案により異なりますが、対応費用に関し、調査・復旧だけで数千万円以上にもなる場合が多く、これに営業損失なども追加されると莫大(ばくだい)な金額を請求されることも考えられます。例えば、新製品の開発情報が漏えいし、その結果として開発が中止されたような場合には賠償額が高額化する可能性が高いでしょう。なお、取引先との間では継続的な取引関係がある場合が多いので、裁判手続にはならず訴訟外の和解による解決が通常と考えられます。
次に「②企業と情報漏えいの被害者」についてです。マルウエアに感染した企業は自社が被害者という側面もある一方、情報漏えいしてしまった個人との関係では、情報の安全管理に過失があったとして、加害者になる場合も多いでしょう。このため、企業は当該個人に対して損害賠償として慰謝料等を支払う必要があります。
最後に「③企業と経営者」に関してです。自社のセキュリティ対策が不十分である場合、経営者を含む役員等は、善管注意義務(民法644条)に違反したとして、自社や取引先から責任を追及される可能性があります(会社法423条1項、429条)。なお、経済産業省とIPAが2023年3月に公表した「サイバーセキュリティ経営ガイドラインVer.3.0」では、サイバー攻撃から企業を守る観点で経営者が認識する必要のある「3原則」として、以下の事項が示されています。
1.経営者のリーダーシップが重要
2.サプライチェーン全体にわたる対策への目配り
3.社内外関係者との積極的なコミュニケーション
こうしたポイントを認識して、自社の情報セキュリティ対策について日頃から意識し、行動していないと、セキュリティインシデントが発生した場合、経営者自身も責任を追及されるリスクが増大します。中小企業でもサプライチェーンの一翼を担う以上、早急に対策を講じる必要があります。
執筆=渡邊 涼介
光和総合法律事務所 弁護士
2007年弁護士登録。元総務省総合通信基盤局専門職。2023年4月から「プライバシー・サイバーセキュリティと企業法務」を法律のひろば(ぎょうせい)で連載。主な著作として、『データ利活用とプライバシー・個人情報保護〔第2版〕』(青林書院、2023)がある。
【TP】
審査 24-S706
「法・制度対応」人気記事ランキング
連載バックナンバー
弁護士が語る!経営者が知っておきたい法律の話
- 第122回 「代表取締役」と「社長」の違い知っていますか? 2024.11.21
- 第121回 カスハラ対策に真剣に取り組もう 2024.10.22
- 第120回 個人情報保護法、2025年改正に備えよう 2024.09.24
- 第119回 10月施行予定の改正景表法、「確約手続」に注意 2024.08.22
- 第118回 改正障害者差別解消法の注意点 2024.07.25
- 第117回 インフレによるコストアップへの適切な対応とは(後編) 2024.06.24
- 第116回 インフレによるコストアップへの適切な対応とは(前編) 2024.05.28
- 第115回 人手不足を補う外国人雇用の留意点 2024.04.18
- 第114回 災害時における中小企業の労働法対応(後編) 2024.03.21
- 第113回 災害時における中小企業の労働法対応(前編) 2024.02.29
- 第112回 2024年施行の商標法・意匠法改正に備える 2024.01.30
- 第111回 2023年不正競争防止法改正、来年の施行に備える 2023.12.21
- 第110回 フリーランス新法で発注事業者が注意すべきこと(後編) 2023.11.27
- 第109回 フリーランス新法で発注事業者が注意すべきこと(前編) 2023.10.27
- 第108回 法律面から見たサプライチェーンのセキュリティ(後編) 2023.09.26
- 第107回 法律面から見たサプライチェーンのセキュリティ(前編) 2023.08.24
- 第106回 ステルスマーケティングの規制が開始 2023.07.27
- 第105回 企業における自転車通勤導入の進め方と注意点 2023.06.26
- 第104回 2023年6月1日施行 「改正消費者契約法」の注意点 2023.05.30
- 第103回 ネット上の迷惑動画投稿による被害対策 2023.04.27
- 第102回 2023年4月、賃金のデジタル払いが可能に 2023.03.20
- 第101回 企業規模に関係なく注意すべき「人権尊重」 2023.02.17
- 第100回 創業後、経営者が注意すべき法務関連のポイント 2023.01.23
- 第99回 事業承継時、廃業時の経営者保証ガイドライン 2022.12.19
- 第98回 10月1日施行の改正職業安定法、求人企業の注意点 2022.11.21
- 第97回 2023年、不動産相続に影響する法改正続々施行③ 2022.10.21
- 第96回 2023年、不動産相続に影響する法改正続々施行② 2022.09.21
- 第95回 2023年、不動産相続に影響する改正法続々施行① 2022.08.22
- 第94回 時間外・休日・深夜――割増賃金を正しく理解する【後編】 2022.07.25
- 第93回 時間外・休日・深夜――割増賃金を正しく理解する【前編】 2022.06.27
- 第92回 2022年に施行される労務関連改正をチェック 2022.05.30
- 第91回 要確認!改正高年齢者雇用安定法の注意点 2022.04.25
- 第90回 2022年6月施行、改正公益通報者保護法に備える 2022.03.28
- 第89回 3月で経過措置期間は終了!原料原産地表示に要注意 2022.02.24
- 第88回 退去の際、後悔しない原状回復のポイント 2022.01.24
- 第87回 非上場企業でも開催できる、バーチャル株主総会 2021.12.20
- 第86回 22年4月改正個人情報保護法施行、留意点を解説 2021.11.22
- 第85回 新卒・中途採用、面接官がやってはいけないこと 2021.10.29
- 第84回 事業承継時の所在不明株主対策、5年が1年に短縮 2021.09.28
- 第83回 「営業秘密」認定の変遷と転職者による混入リスク 2021.08.27
- 第82回 男性の育児参加を後押しする改正育児介護休業法 2021.07.30
- 第81回 社員の副業・兼業、改正ガイドラインのポイント解説 2021.06.25
- 第80回 従業員のコロナ感染と労災、企業の安全配慮義務 2021.05.28
- 第79回 マスク非着用者に対する対処法と企業の感染予防対策 2021.04.30
- 第78回 リモハラって?何に気を付けるべきか。 2021.03.30
- 第77回 気を引き締めて注意、取引先の廃業、倒産に備える 2021.02.02
- 第76回 チェックすべき2021年施行の法律改正(後編) 2021.01.05
- 第75回 チェックすべき2021年施行の改正法令(前編) 2020.12.01
- 第74回 速報!同一労働同一賃金の最新裁判例をチェック 2020.11.09
- 第73回 個人情報保護法改正の知っておくべきポイント 2020.10.12
- 第72回 テレワーク時代、契約書に“ハンコ”は必要か 2020.09.14
- 第71回 セクハラ防止強化の法改正、対応すること総まとめ 2020.08.17
- 第70回 新型コロナの影響で債務が履行できない場合の責任 2020.07.13
- 第69回 事業承継時、経営者保証が解除しやすくなる 2020.06.08
- 第68回 経営リスク拡大、未払い残業代の予防と対応 2020.05.18
- 第67回 慌ててテレワークを導入、法律対応が必須 2020.04.13
- 第66回 施行直前 派遣労働者の同一労働同一賃金の実務 2020.03.23
- 第65回 改正民法施行迫る!契約書を見直すポイント(後編) 2020.02.10
- 第64回 改正民法施行迫る!契約書を見直すポイント(前編) 2020.01.20
- 第63回 20年4月民事執行法改正。債権回収の実効性が向上 2019.12.16
- 第62回 相次ぐ台風や大雨、利用不能でも賃料は支払う? 2019.11.18
- 第61回 2020年法改正!派遣社員を活用するなら対応は必須 2019.10.21
- 第60回 すべての会社に求められる反社会的勢力対策 2019.09.30
- 第59回 パワハラ防止法が成立!企業に求められる対応とは? 2019.08.26
- 第58回 2020年、改正民法施行で「保証」が変わる! 2019.07.22
- 第57回 働き方改革対応に必須、労働者代表を正しく選ぼう 2019.06.19
- 第56回 施行迫る民法改正、売買契約への影響を確認 2019.05.22
- 第55回 絶対確認、年5日以上、有給休暇を取得させよう 2019.04.15
- 第54回 事業承継トラブルを回避する遺言の残し方とは 2019.03.25
- 第53回 社員のSNSで会社が炎上!どう防ぐ 2019.02.25
- 第52回 日本版司法取引から身を守るためのポイントとは? 2019.01.28
- 第51回 2022年4月から成年年齢が18歳になることの影響は? 2018.12.26
- 第50回 社員の副業・兼業、どう認める?どう規制する? 2018.11.26
- 第49回 トラブルなく防犯カメラを運用するには? 2018.10.29
- 第48回 割賦販売法改正による加盟店の新しい義務とは? 2018.06.28
- 第47回 「遺留分減殺請求制度の改正」が事業承継の後押しに 2018.05.31
- 第46回 2020年、改正民法施行!今から万全の備えを 2018.04.27
- 第45回 事業承継の間口を広げる「経営者保証ガイドライン」 2018.03.30
- 第44回 「障害者雇用促進法」が改正され、対象範囲が拡大 2018.02.23
- 第43回 参入しやすいECサイトこそ法律面では慎重に! 2018.01.26
- 第42回 育児休業が最長2年に!押さえるべきポイントは? 2017.12.22
- 第41回 取引でトラブル!クレーム書面の効果的な送り方 2017.11.24
- 第40回 元従業員が転職先で自社の資料を使うのは違法!? 2017.10.27
- 第39回 自社掲載記事の無断利用に注意!著作権を理解しよう 2017.09.29
- 第38回 「出張でマイルゲット!自分で使っちゃえ」は横領? 2017.08.25
- 第37回 休憩時間中の電話番は労働?拘束時間の基準を知る 2017.07.28
- 第36回 「契約社員」を採用する際に気を付けたいこと 2017.06.30
- 第35回 120年ぶりの民法改正で何がどう変わるのか? 2017.05.26
- 第34回 アルバイトの人材確保に「有給休暇」を利用しよう 2017.04.28
- 第33回 アルバイトにボーナスは必要?採用前に知るべきこと 2017.03.31
- 第32回 自社サイトのコンテンツが流用された時の対処法 2017.02.20
- 第31回 来る「民法改正」のために企業が取るべき対策 2017.01.23
- 第30回 ネットでの風評被害対策を整理する 2016.12.19
- 第29回 ブラック企業と呼ばれないための3つのポイント 2016.11.21
- 第28回 「36協定」見直しで残業規制は強化されるか? 2016.10.24
- 第27回 なぜだまされる?中小企業を狙った詐欺・悪徳商法 2016.09.26
- 第26回 まさかの課徴金も!知っておくべき「広告」のルール 2016.08.15
- 第25回 もしもの時のために……「事業継承」は計画的に 2016.07.25
- 第24回 どの会社でも起こり得る「支配権争い」を防ぐ方法 2016.06.20
- 第23回 あなたの会社は大丈夫?いじめで経営危機を招かない! 2016.05.23
- 第22回 大卒より大変?高卒の新卒採用で失敗しない方法 2016.04.25
- 第21回 これだけは知っておきたい!外国人雇用の注意点 2016.03.28
- 第20回 ここまでは自分でできる!弁護士に頼らない債権回収 2016.02.29
- 第19回 そのアイデア、知的財産権を使って武器にしましょう 2016.01.27
- 第18回 目指せ戦う下請け!言いなりにならない理論武装 2015.12.21
- 第17回 「ひな形」の契約書を使い続ける企業は成長できない 2015.11.02
- 第16回 良い弁護士の選び方、ダメな弁護士の見抜き方 2015.10.22
- 第15回 裁判沙汰になる前に!紛争予防のための弁護士活用術 2015.10.19
- 第14回 税務調査がやってきた…でも怖がる必要はありません 2015.10.08
- 第13回 明日は我が身…個人情報を流出させないための第一歩 2015.10.05
- 第12回 定年の延長か廃止か?高齢社員の雇用を考える 2015.09.16
- 第11回 登録して終わりじゃない!知的財産の上手な使い方 2015.09.14
- 第10回 サービス残業が会社を潰す?本当は怖い残業代の話 2015.09.09
- 第9回 御社はマタハラをしていないと言い切れますか? 2015.09.07
- 第8回 育てた社員がライバルに!?競業のリスクを防ぐ方法 2015.08.26
- 第7回 絶対に失敗できない“伝家の宝刀”懲戒解雇のやり方 2015.08.24
- 第6回 「会社でうつ病になりました」と言われないために 2015.08.12
- 第5回 派遣社員の採用前に知っておきたい5つのポイント 2015.08.10
- 第4回 インターネットによる風評被害を防げ! 2015.07.23
- 第3回 御社は大丈夫?ブラック企業と呼ばれないために 2015.07.21
- 第2回 「営業秘密」を不当に持ち出されてしまう前に 2015.07.15
- 第1回 悪質なクレーマーから会社を守るために必要なこと 2015.07.13
オンラインセミナー動画
