サイバー保険ガイドColumn

サイバー攻撃、情報漏洩のリスクに備えるための情報発信コラム

2024.9.27 セキュリティ対策

情シス任せはNG!情報セキュリティ対策が重要経営課題となる理由



昨今のサイバー攻撃の猛威は、企業にとって重大なリスクとなっています。 しかし優先順位が高い課題と理解していながら、セキュリティ対策を情報システム部やIT部門に丸投げのままではありませんでしょうか。
本記事では、情報セキュリティ対策がなぜ重要経営課題と言われているかを解説いたします。

情報セキュリティ対策が経営課題となるのはなぜ?

セキュリティインシデント発生時のリスクの種類

まず、もし自社にセキュリティインシデント(いわゆるサイバー事故)が起こった場合どのようなリスクがあり得るかを簡単におさらいしていきましょう。

1. 情報セキュリティリスク機密情報や個人情報が漏えい等するおそれ
2. システムリスク・事業継続リスクシステム・PC・サーバ等が停止し、業務に影響を及ぼすおそれ
3. サプライチェーンリスク・製品製造の過程で悪意ある機能が組み込まれるおそれ
・製品、情報などの一連の商流の中で、脆弱な組織が狙われるおそれ
4. リーガルリスク情報漏えいや業務停止等により、法執行や取引先・顧客に対する賠償問題となるおそれ
5. レピュテーションリスク企業のレピュテーション(評判)に影響を及ぼし、株価や取引関係に影響を及ぼすおそれ
これらのリスクのうち、「情報セキュリティリスク」「システムリスク・事業継続リスク」の規模が大きいほど「サプライチェーンリスク」への影響が高くなり、「リーガルリスク」や「レピュテーションリスク」へ影響を及ぼします。 このうち「4.リーガルリスク」について詳細を説明いたします。

インシデント時の企業のリーガルリスクとは

サイバー攻撃や内部過失により、情報漏えい事故や業務停止等に発展してしまった場合、取引先・顧客に対する賠償問題への発展や罰則が科されるおそれがあります。
対外対応としては大まかに3つにわかれており、以下のように考える必要があります。

インシデント時の対外対応

優先順位.1
法的拘束力のある義務【必須】
・法令に基づく義務
例:特定個人情報の漏えい等の報告義務、業法に基づく事故報告義務など
・契約・約款上の義務
例:NDA・委託契約等で報告する義務があるケース、上場会社の適時開示、プライバシーマーク付与事業者など
優先順位.2
ガイドライン等に基づく推奨事項
・推奨事項のため法的拘束力はない事項
例:警察への通報、不正アクセス等に関する届出、脆弱性発見時の届出など
優先順位.3
その他任意の対応
例:IPA・サイバーセキュリティ協議会への報告など
優先順位1の「法的拘束力のある義務」の筆頭は、個人情報保護法です。
個人情報保護法は3年ごとに見直しがされており、2022年4月の改正では以下にあたる個人データの漏えい等が発生し、下記のように個人の権利利益を害するおそれがあるときは、個人情報保護委員会への報告及び本人への通知が必要となっています。

【個人の権利利益を害するおそれがあるときに該当する事態】
1.要配慮個人情報が含まれる事態
2.財産的被害が生じるおそれがある事態
3.不正の目的をもって行われた漏えい等が発生した事態
4.1,000人を超える漏えい等が発生した事態


また、企業が個人情報保護委員会による命令に違反した場合は、1年以下の懲役または100万円以下の罰金の対象となり、法人の代表者や従業員などが業務に関して違反行為をした場合は、違反者のほか、法人に対しても1億円以下の罰金刑が科されます(同184条1項1号)。

サイバー事故時の経営者の法的責任は

サイバー攻撃における「被害者」とは

自社がサイバー攻撃に遭った場合、当然自社が被害者と考えがちですが、自社が情報漏洩を起こしてしまった場合は加害者となり得ます。
自社の情報の安全管理に過失があれば「責任あり」として、法的責任を負うことになってしまうのです。

【被害企業への損害賠償請求の種類】
1. 個人情報の漏えい → 被害者からの慰謝料請求(稀に集団訴訟へ発展)
2. 委託元や取引先のデータ等の漏えい → 委託元・取引先からの損害賠償請求
3. 製品・サービスの利用不能 → 利用者からの損害賠償請求(稀に集団訴訟へ発展)


特に、ランサムウェア等の被害に遭った場合、PCが乗っ取られてしまうことになり、そのPCを踏み台にして親会社や取引先・顧客へ被害を広げるおそれがあります。
実際に起きている大きなサイバー攻撃のニュースは、こういった「乗っ取り」から行われているケースが非常に多いことをご留意ください。

被害企業対する損害賠償請求

さて、自社がサイバー攻撃の被害に遭った場合、取締役役員は同じく被害者の立場でもありますが、被害企業が被った損害(損害賠償や会社が負担した復旧費用や事業停止により被った損害等)について、株主代表訴訟による役員個人に対する責任追及が発展してしまうことも考えられます。

株主代表訴訟とは株主が会社に代わって役員等を提訴する訴訟ですが、訴訟費用に必要なのは1万3,000円の印紙代のみのため、株主代表訴訟のハードルは決して高くはありません。
公開会社ではなくても、たった1株の株を持っているだけで、株主代表訴訟を起こすことも容易なため、自社株が分散してしまっているケースはご注意ください。

役員個人の法的責任の可能性

なお、情報の安全管理体制(内部統制システム)の構築義務違反など、取締役役員としての過失があった場合、役員個人が「責任あり」として、法的責任を負う可能性もでてきます。(会社法423・429条)

法的責任とリスクに囲まれている取締役役員

取締役には「善管注意義務」「忠実義務」があり、「善良なる管理者の注意義務」と「会社の利益になるように努める義務」があります。
ビジネスに関する法律は会社法から始まり、金融商品取引法、独占禁止法、不正競争防止法、景品表示法、労働基準法、特許法、製造物責任法、消費者契約法、環境基本法などがあり、業界ごとにも、食品衛生法、医薬品医療機器法、銀行法、保険業法など、いわゆる業法という法律が存在します。

これらの法的義務に違反した場合、会社自体に「違法企業」のレッテルを貼られた上、取締役個人に経営判断のミスや監督責任等により刑事的には刑事罰を科され、民事的には損害賠償等の負担の可能性が出てきてしまうのです。

役員を守る保険「D&O保険」に加入することで、経営にかかわる賠償・訴訟リスクから役員の個人資産を守ることができます。
もしD&O保険に加入していない場合は、ぜひ下記サイトをご参照ください。
役員を守る保険「D&O保険ガイド」

会社法とサイバーセキュリティ

取締役は、法律上の義務として「善良な管理者の注意をもってその職務を執行する義務を負う(会社法330条、民法644条)」と定められています。
また、取締役はその職務の一環として、内部統制システムの基本方針を取締役会で決定し、内部統制システムを構築する義務を負っています(会社法362条4項6号)。

内部統制システムと情報セキュリティマネジメント

経済産業省のガイドライン「サイバーセキュリティ経営ガイドライン Ver 3.0」によると、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」が公開されています。

サイバーセキュリティ経営ガイドライン「経営者が認識すべき3原則」
(1) 経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
(2) サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
(3) 平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要

つまり、サイバー事故に遭ってしまった場合、失うものが非常に多く、事業を傾かせてしまうこともあり得るため、経営者の皆様がサイバーセキュリティが重要課題であることを再度認識していただき、リーダーシップをもってセキュリティ対策を進めることが重要とされています。

経営者はどこまで決定する必要があるか

サイバーセキュリティ対策を含む内部統制の体制の在り方は、具体的に法令で定められているわけではありません。
各会社が営む事業の規模や特性等に応じて、その必要性、効果、実施コスト等を勘案して、各会社にて決定する必要があります。
具体内容については経営者が決める必要はなく、経営陣にてリスク管理体制を整えていただき、リスクの把握・予算・対応部門等を定め、PDCAで改善されていくスキームを決定していただくことが重要です。

経済産業省では、ガイドライン「サイバーセキュリティ経営ガイドライン Ver 3.0」を発行しているため、このガイドラインに沿って推し進めていただくことをお勧めいたします。
経済産業省・IPA「サイバーセキュリティ経営ガイドライン Ver 3.0」(2023年3月にver3.0公開)

まとめ

本記事では、企業のセキュリティ周りのリーガルリスクを中心に企業の法的責任もご紹介しました。
経営者の皆様にとって、サイバー攻撃や内部過失などによる情報漏洩や業務停止などのリスクもさながら、法的リスクも非常に重要であることをお伝えしました。

下記記事では、サイバー事故時の被害額も説明しているため、ご興味がありましたらお読みください。
▼サイバー攻撃の企業への被害額は?億単位もありえる被害額|2024年最新版を公開

残念ながら、どの企業もサイバー攻撃を受ける可能性がり、サイバー攻撃のリスクをゼロにすることはできません。
しかしサイバー保険に加入しておくことで万が一の際に生じる損害や多大な労力から自社を守ることが可能です。

今、サイバー保険への加入を悩んでいるのであれば、ぜひこの機会に検討してみてはいかがでしょうか。

サイバー保険を選ぶ際は、大手保険会社の中で比較、検討することをおすすめします。
当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手メガ損保5社の保険料を無料で一括見積もり・比較いたします。

【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社

ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。

引用:
https://www.soumu.go.jp/main_content/000923554.pdf
https://security-portal.nisc.go.jp/cybersecuritymonth/2024/seminar/pdf/02_tsuta_2024.pdf
サイバー保険を選ぶ際は、
大手保険会社の中で比較、
検討することをおすすめします。
当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手メガ損保5社の保険料を無料で一括見積もり・比較いたします。
取り扱いのある保険会社
  • 東京海上日動火災保険株式会社
  • 三井住友海上火災保険株式会社
  • 損害保険ジャパン株式会社
  • あいおいニッセイ同和損害保険株式会社
  • AIG損害保険株式会社

関連タグ

関連記事
ACCSS RANKING アクセスランキング
PICK UP ピックアップ
CATEGORY カテゴリ

運営会社について

ファーストプレイスは、
サイバー保険を扱うプロフェッショナルです

当社は2001年の創業以来、法人向けに企業の経営をサポートする保険のご提案を数多く行っております。
貴社の状況に合わせ、サイバー保険のご提案が可能です。まずはお問い合わせください。

運営会社について

pagetopへ