このところ、様々なシステム障害のニュースが目立つようになってきました。
システム開発会社やHP制作会社、SaaSベンダーなどのIT事業者は、実は様々な特有のリスクに囲まれて活動しています。本記事では、IT事業者で発生した事故の事例をもとに、IT事業者に起こりうるリスクとサイバー保険について解説します。
システム障害が年々増加しているIT業界
情報セキュリティ対策の強化に取り組んでいるIPA(独立行政法人 情報処理推進機構)では「報道された情報システム障害の件数」を調査しており、その件数は下記グラフのように年々高まっていると発表しています。
独立行政法人 情報処理推進機構「情報システムの障害状況2019年後半データ」より引用
障害の内訳は、急速に拡大したキャッシュレス決済やクラウドサービスをはじめとする共同利用型システムの障害発生など、近年の技術動向を反映した障害が増加傾向にあるとしています。
IT事業者のリスク要因
IT事業者が年々リスクが高まっている背景には、以下のような要因があります。IT事業者のリスク要因
| 外部要因 | 多様化するサイバー攻撃 |
| 複雑化するシステム | |
| 取引先ベンダーに内在するリスク | |
| システム開発紛争の増加 | |
| 短納期・低コストなど | |
| 内部要因 | 人材・技術者不足 |
| 品質管理の軽視 | |
| 不十分な作業規則や管理体制 | |
| プロビジョニング(ネットワークやシステム等のリソースを予測し準備しておくこと)が不十分 | |
| 多重下請けなどによる生産性の低下 | |
| デバイスの盗難・紛失 | |
| 従業員による内部不正 | |
| その他 | 瑕疵担保責任を巡るトラブル |
IT事業者のリスク要因は上記のように、外部要因だけには留まりません。
管理体制の不十分さ、見通しの甘さ、納期優先思考による品質の軽視など、プロジェクトや事業全体へ影響してしまう要因が考えられます。
また、瑕疵担保責任といって請負契約に基づいて納品したシステム等に重大な不具合があり、仕様をを満たしていない(目的が達成されない)とみなされる場合、発注者は「システムに瑕疵がある」として支払いの解除や損害賠償を求めることができる法律があるのをご存知でしょうか。(「瑕疵」は2020年4月1日から施行された改正民法では「契約不適合」と呼ばれる)
近年、システム開発のトラブル紛争が増加していると言われており、訴訟に至ることも少なくありません。
もちろんこれは重大な瑕疵がある場合のみのことで、軽微なバグや不具合であり速やかに修正がされるのであれば、訴訟に発展することはありませんが、ベンダー(受託者)はシステムに瑕疵があった場合はシステムを修補し損害賠償を支払う義務を負うことになるため、契約時に仕様内容や保証期間の明確化を慎重に行う必要があります。
このように、IT事業者のリスクは様々な要因がありますが、特にシステム障害が増加している背景を探ってみます。
システム障害の発生要因
システム障害の発生にはさまざまな要因が考えられますが、一般的には以下のようなものが挙げられます。中でも、下記のようにシステム障害が起こる割合は保守・運用フェーズで71%という調査結果も出ています。
重要インフラシステムにおける障害の実態と分析
| 件数 | 割合(1%) | 割合2(%) | |
|---|---|---|---|
| 開発 | 18 | 21% | 29% |
| 再構築 | 7 | 8% | |
| 保守 | 26 | 31% | 71% |
| 運用 | 34 | 40% |
保守・運用に関しては障害が起こりにくいイメージがありますが、システムの複雑化や大規模化が進むことにより、保守や運用におけるオペレーションやチェック項目も複雑になり、ヒューマンエラーが起こりやすくなっているようです。
システム障害は、サイバー攻撃だけでなくヒューマンエラーが要因とされるものもあるため、体制を強化すると共にリスクはゼロにできない前提で対策を行う必要があります。
IT事業者で発生した業務過誤の事例
中規模のIT事業者で発生した業務過誤の事例には、以下のようなものがあります。※システムやプログラムの瑕疵だけでなく、人的ミスなどによる業務過誤の事例も含まれています。
システム開発
開発・納品した物流システムの瑕疵により、配送業務に混乱をきたしたとして、損害相当分の損害賠償請求を受けた。情報システム管理
サーバーのハードウェアのサポート終了期間までにリプレイスを終えることができなかったため、やむなくサーバーを数日間停止した。その結果、顧客から業務停止について損害賠償請求された。ソフトウェア開発
在庫管理システムのカスタマイズ作業中、在庫データを消去してしまった。データの復元費用につき損害賠償請求された。ASP、Saa
オンラインストレージで生じた内部のアップデートミスにより、3時間ほど顧客のデータが誰でも閲覧できる状況になってしまった。一部の顧客より、損害相当分の損害賠償請求を受けた。情報処理サービス
顧客のデータ保守管理業務中、誤って保管中の「販売実績データ」4年分を消去してしまい、損害賠償請求を受けた。HP制作会社
ECサイトの保守・管理業務を受託したが、プログラムの瑕疵により買物客の個人情報が閲覧できる状態となってしまった。 一部の顧客より、損害相当分の損害賠償請求を受けた。また、ECサイトを復旧する間の停止期間にかかる休業損害分等も請求された。瑕疵担保責任の損害賠償も補償するサイバー保険
IT事業の業務範囲では、自社またはクライアントに対し、以下のようなリスクが想定されます。これらをサイバー保険で補償できることはご存知でしょうか。
例えば・・
・クライアントの顧客システムから顧客情報を漏えいしてしまった。
・エンドユーザーのシステムやサーバを停止してしまった。
・納品した業務システムに不具合がありデータを破損、消去してしまった。
・納品した予約システムに脆弱性がありサイバー攻撃を受けてしまった。
・従業員が顧客データを持ち出して不正利用してしまった。
このようなケースでも、サイバー保険に加入していれば下記のような補償がされます。
■事故対応にかかる費用
事故原因調査・復旧費用
事故の再発防止策定費用
システムの復旧作業費用
ユーザーへのお詫び費用
コールセンターの設置費用
弁護士・コンサルティング会社への相談費用
コンピュータシステムの停止による利益損害費用
イメージ回復に伴う広告宣伝費
■損害賠償責任に伴う費用
損害賠償費用
訴訟対応費用
※補償範囲は保険会社やプランによって異なるため、詳しい内容は弊社までお問い合わせください。
※開発の遅れに関しては、遅れた原因が「サイバー攻撃を受けた結果の遅れ」等であれば対象になるケースがありますが、単なる納期遅れは通常のサイバー保険では補償の対象外となりますのでご注意ください。
なお、2022年4月に改正個人情報保護法が施工され一定数以上の個人情報の漏えいが発生した場合は、個人情報保護委員会への報告や、漏えいの対象となった被害者本人への通知が義務化されました。
報告にあたっては被害範囲の特定や原因の調査が必要となり、調査費用としてサーバー1台あたり20〜100万円程度が必要なため、調査だけで数千万と莫大な費用となるケースもあります。
IT事業者では上記のような補償を備えることにより、事故やトラブル紛争が発生した場合の事後対策が可能となります。
予想される被害額が大きい場合はサイバー保険をご検討ください。
当サイトの運営会社ファーストプレイスでは、IT事業者向けのサイバー保険を含み、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱うメガ損保大手5社の保険料を無料で一括見積もり・比較いたします。
【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社
ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。
まとめ
本記事ではIT事業者で発生した事故の事例や、起こりうるリスクについて解説してきました。システム障害の要因はサイバー攻撃だけでなく、ヒューマンエラーにより発生してしまう場合もあります。事故を完全に防ぐことはできないため対策は行った上で、もしものときに備えてサイバー保険に加入しておくことをおすすめします。
