「日本経済新聞」の版間の差分
ナビゲーションに移動
検索に移動
→(仕事に効くスキル) 供給網へのサイバー攻撃、法的備えは? 費用負担契約書に明記を 八雲法律事務所弁護士 山岡裕明氏(2023年5月17日)
>貴洋のホルマリン漬 |
>貴洋のホルマリン漬 |
||
| 875行目: | 875行目: | ||
「サイバー攻撃の中でも企業... | 「サイバー攻撃の中でも企業... | ||
(以下有料会員限定) | (以下有料会員限定) | ||
=== 供給網へのサイバー攻撃の備え 山岡裕明弁護士に聞く(2023年5月21日) === | |||
<div class="toccolours mw-collapsible mw-collapsed"> | |||
{{Archive|https://www.nikkei.com/article/DGXZQODB097GS0Z00C23A5000000/|https://archive.md/lcj7c|'''供給網へのサイバー攻撃の備え 山岡裕明弁護士に聞く'''}} | |||
<div class="mw-collapsible-content"><poem> | |||
山岡裕明弁護士 | |||
やまおか・ひろあき 2010年に弁護士登録、18年に八雲法律事務所を設立。21年カリフォルニア大学バークレー校情報大学院修了。内閣サイバーセキュリティセンタータスクフォース構成員などを務める。 | |||
サプライチェーン(供給網)上の弱点を突くサイバー攻撃が相次いでいる。自社の対策を強化するだけではリスクに対処しきれず、取引先を巻き込んでどう対応すべきか苦慮する企業も多い。攻撃を未然に防ぐとともに、攻撃に遭った場合でも被害を最小限に抑えるための備えは何か。企業のサイバー対策に詳しい八雲法律事務所の山岡裕明弁護士に聞いた。 | |||
――企業を狙ったサイバー攻撃が急増しています。 | |||
「サイバー攻撃の中でも企業の脅威になっているのがランサムウエア(身代金要求型ウイルス)だ。警察庁によると、企業などからの報告数は2022年1〜6月期に114件と、調査を始めた20年7〜12月期の5倍となった。近年、取引先やサプライチェーンへの攻撃を経由して被害が広がるケースが目立つ」 | |||
「大企業は自社のセキュリティー対策が十分でも、取引先やサプライチェーン上にいる中小企業の対策は十分ではない場合も多い。22年3月、自動車部品メーカーの小島プレス工業がサイバー攻撃を受け、トヨタ自動車の国内全工場の稼働が停止した。サプライチェーン上の弱点を突いたサイバー攻撃の脅威が意識されるようになってきている」 | |||
契約書に費用負担の明記を | |||
――法的にはどのような対策がとれるでしょうか。 | |||
「セキュリティー対策の強化でサイバー攻撃を100%防ぐことは難しい。万が一、被害にあってしまった場合に備えてその後の対応などについて事前に契約書で取り決めておく必要がある。問題の発生後、企業間で賠償責任や損害の負担などを巡るトラブルに発展すれば、サイバー攻撃自体への対応が遅れてしまい思わぬ2次被害に発展してしまう可能性もあるためだ」 | |||
「サイバー攻撃のリスクに対応した契約書はこれまであまり考えられてこなかった。自社の契約がどうなっているか見直す必要があるだろう」 | |||
――具体的にはどのような条項を盛り込めば良いでしょうか。 | |||
「取引先がサイバー攻撃を受けた場合と自社が攻撃された場合の両方のリスクを想定した条項だ。取引先が攻撃に遭うことを想定した場合は、契約書にサイバー攻撃が確認された際に速やかに通知するよう義務を定めたり、被害状況や原因の調査に関して誰が費用負担するか明示したりすることなどが考えられる」 | |||
「自社が攻撃を受けた場合は契約書の『不可抗力条項』の発動条件にサイバー攻撃も明記しておくことが重要だ。不可抗力条項は当事者にはどうしようもない事象の発生により製品の納入やサービス提供などができなくなったり遅れたりした場合に、賠償責任を負わないことを定める。一般に天災や戦争などへの備えが多いが、サイバー攻撃も不可抗力の事態として示せば免責される可能性が上がる」 | |||
「自社が攻撃を受けた場合に備えた対策として、支払う賠償額に上限をつけることも有効だ。ランサムウエアで事業継続が中断されると賠償額が高額となるケースもあるからだ。特に海外企業との取引の場合、こうしたコストが高額化する可能性も高く、交渉も難航することが予想される。海外企業との取引こそ、こうした条項を盛り込むことが重要だ」 | |||
OS定期更新も有効な対策 | |||
――取引先にセキュリティー対策の義務付けなどを求めることは可能ですか。 | |||
「可能だが、過度な対策の要求は独禁法や下請法上の問題に発展する可能性もある。ソフトの導入などセキュリティー対策を強化することは取引先にとって大きなコスト負担になる場合が多い。たとえば取引先にセキュリティー対策を要請したにもかかわらず、上昇したコストを考慮せず取引価格を一方的に決定することは問題になりうる」 | |||
「既に一定の対策を講じているにもかかわらず、指定のセキュリティー対策ソフトの購入を強制するのも問題だ。独禁法・下請法上の論点については、22年に公正取引委員会が経済産業省と連名でガイドラインを示した」 | |||
「法的リスクがあるから要請はできないと諦めるのは問題だ。サプライチェーン上のリスクを低くするためには取引先の協力は不可欠だ。重要なのは、一方的に要求を突きつけるのではなく、きちんと協議をして、現実的な対策を一緒に考えていくことだ」 | |||
「コストはハードルになるが、比較的抑えられる対策もある。OS(基本ソフト)やソフトウエアの定期更新やVPN(仮想私設網)への2段階認証の実装などだ。大企業からすると当たり前でも、中小企業ではそこまで手が回らず、セキュリティーの穴となって攻撃される場合もある。適宜情報を提供することも有効な手段だ」 | |||
(聞き手は渋谷江里子) | |||
</poem></div></div> | |||
全文は{{Archive|https://ensaimada.xyz/test/read.cgi/43044/1661439305/610|https://archive.md/CBr3d|こちら}}で開示されたものを掲載している。内容は5月17日のものとほぼ同様。 | |||
== 山岡裕明の掲載(日経XTECH) == | == 山岡裕明の掲載(日経XTECH) == | ||