〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階
東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)
東京メトロ 南北線:溜池山王駅 7番出口(地下直結)
東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分
東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)
事務所概要・アクセス
セミナー
セミナー
事務所概要・アクセス
事務所概要・アクセス
〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階
© Ushijima & Partners All rights reserved.
特集記事
Special Topics
<目次>
1. はじめに
2. サイバー攻撃が企業にもたらす損害の種類とその回復方法
3. 外部事業者への損害賠償請求を検討する際の留意点
(1) 契約上の義務違反の存在
(2) 損害及び相当因果関係の有無・範囲
(3) 損害額の制限など
4. 保険請求による被害回復を図る際の留意点
(1) 契約内容の把握
(2) 適切なエビデンスの確保
5. おわりに
1. はじめに
企業を取り巻くサイバー攻撃の脅威は、一層深刻化しています。ランサムウェア攻撃の被害報告件数は、新たな手口とされる「ノーウェアランサム」の登場もあり高水準で推移し続けており(2022年に230件、2023年に227件、2024年に222件。※1)、2024年から2025年の年末年始にかけては、金融機関を中心的な標的としたDDoS攻撃が相次ぎました(※2)。
企業がサイバー攻撃を受けた場合、調査・復旧にかかる費用や取引先や顧客への対応コストだけではなく、事業停止期間中の逸失利益など、多額の損害が発生することになります。例えば、ランサムウェア攻撃を受けた組織では、平均して1億7689万円の損害が発生するという調査結果が存在します(トレンドマイクロ株式会社・CIO Lounge「サイバー攻撃による法人組織の被害状況調査」(2023年11月1日))。加えて、ブランドイメージの毀損など、金銭的評価が難しい損害も生じ得るため、このような被害をいかに回復するかは、企業経営上きわめて重要な課題です。
そこで、本稿では、サイバー攻撃による損害を回復する際の主要な法的論点と、実務上の留意点について解説いたします。
※1 警察庁サイバー警察局「令和6年におけるサイバー空間をめぐる脅威の情勢等について」(2025年3月)
※2 IPA(独立行政法人情報処理推進機構)の公表による「情報セキュリティ10大脅威 2025」の組織編では、5年ぶりにDDoS攻撃がランク入りしています。
2. サイバー攻撃が企業にもたらす損害の種類とその回復方法
サイバー攻撃によって企業が被る損害は、大きく以下の3つに分けられます。
| ① 実費としての費用損害 ・ セキュリティベンダやフォレンジック会社、コールセンター事業者等に支払う外部委託費用 ・ 漏えいした個人データの本人やステークホルダーに対する通知・謝罪文の作成・発送の費用 ・ インシデント対応に従事した従業員の残業代や出張旅費 ・ 第三者から損害賠償請求を受けた場合の賠償金 等 ② 得られるはずであった逸失利益 ・ 攻撃によるシステムダウンや取引停止に伴う売上・利益の喪失 ・ サイバー攻撃を契機に取引先から契約解除等を受け、将来的に得られなくなった利益 ③ 金銭的評価が難しい損害(無形損害) ・ ブランドイメージや信用力の低下による潜在的な顧客獲得機会や株価の下落などの損失 |
これらの損害については、サイバー攻撃の攻撃者に対してその賠償等を求めることも考えられますが、近年は海外から攻撃が行われることも多く、攻撃者の特定などの観点から困難が伴うため、基本的には以下の2つの方法によって回復を図っていくことになります。
| ① 関係する外部事業者への損害賠償請求 ② 加入しているサイバー保険の保険金請求 |
3. 外部事業者への損害賠償請求を検討する際の留意点
外部事業者に対する損害賠償請求を行うことが考えられるケースとしては、業務委託先である外部事業者がサイバー攻撃を受けたことで委託業務の履行や自社が顧客向けに提供しているサービスに不履行・遅延が発生した場合や、外部事業者に開発や運用・保守を委託した自社のシステム・ECサイトがサイバー攻撃を受けた場合などが考えられます。もっとも、請求が認められる上では、以下のような点について主張・立証する必要があります。
(1) 契約上の義務違反の存在
このような事案でまず大きな争点となるのが、外部事業者に契約上の義務、そして義務に対する違反が認められるか否かです。外部事業者との間で、セキュリティ対策に関してどのような合意をしていたかが重要なポイントとなります。
実務上の備えとしては、セキュリティ仕様や保守業務の具体的な内容を契約書に明記し、外部事業者と十分に協議した上で合意を得ることが望ましいといえます。特にシステムの開発業務を委託する場合においては、IPAが公表している「情報システム・モデル取引・契約書(第二版)」が具体的な条文例の参考になると考えられます。また、業務委託先に対して求めることが考えられるセキュリティ仕様に関しては、小坂光矢「業務委託先の情報セキュリティを確保するための実務上のポイント」(牛島総合法律事務所特集記事)もご参照ください。
なお、契約書そのものにおいて外部事業者の具体的な義務内容が記述されていない場合であっても、外部事業者には具体的なセキュリティ対策を講じる義務があったとして債務不履行責任を認めた裁判例も存在するため(※3)、外部事業者に対する責任追及を行う際に参考にすることが考えられます。
(2) 損害及び相当因果関係の有無・範囲
外部事業者の義務違反が認められた場合であっても、さらに当該義務違反と企業が被ったサイバー攻撃、及びサイバー攻撃に起因して発生した損害との相当因果関係が認められる必要があります。
① 攻撃との相当因果関係
サイバー攻撃が外部事業者による義務違反にかかわらず発生したものである場合、外部事業者に対してそのサイバー攻撃に関する責任を問うことはできません。サイバー攻撃が企業側のセキュリティ対策の不備に起因するものではないことを立証するため、ログの保全やフォレンジック調査などを通じて、サイバー攻撃により被害が発生するに至る事実関係や原因などの事実関係を明らかにしておくことが重要です。
② 損害との相当因果関係
企業が被った損害のうち、どの範囲までが外部事業者による賠償責任の対象になるかが問題となります。実費としての費用損害は通常損害として相当因果関係が認められる傾向にありますが、再発防止のために支出した費用などは相当因果関係が認められないことがあります(※4)。逸失利益については特別損害となるため、その発生に関する予見可能性についてどの程度具体的な立証を行うことができるかが重要なポイントとなります(※5)。
(3) 損害額の制限など
外部事業者との契約に責任制限条項が設けられている場合は、外部事業者の故意又は重過失の立証に成功しなければ、上限額を超える損害賠償を請求することはできないこととなります(※6)。
また、企業側にセキュリティ対策上の落ち度があるような場合、過失相殺によって認容額が減額される可能性があります(※7)。したがって、企業側においても、個人情報保護法についてのガイドライン(通則編)で示されている安全管理措置などの情報管理・セキュリティ対策を適切に講じておくことが重要です。
※3 東京地判平成26年1月23日(判例時報2221号71頁)や前橋地判令和5年2月17日(未確定)等。前者では、当時公表されていた経済産業省やIPAの文書に基づき、SQLインジェクション対策としてバインド機構やエスケープ処理を施す義務が外部ベンダに認められました。
| 義務を基礎づける具体的事実 | 被告が負う義務の内容 | |
| 被告が本件システムの製作を受注 | ⇒ | 当時の技術水準に適合したセキュリティ対策 を施したプログラムを提供する義務 |
| ▼ | ||
| 本件システムは顧客の個人情報を データベースに保存する設定であった | ⇒ | 個人情報漏えい防止のための必要なセキュリティ対策を講じたプログラムを提供する義務 |
| ▼ | ||
| 経済産業省の注意喚起やIPAの文書で DBからの情報漏えいを防止するための具体的対策(バインド機構、エスケープ処理) が明確に示されていた | ⇒ | SQLインジェクション対策 (バインド機構又はまたはエスケープ処理) を実装する義務 |
後者では、提案依頼書・提案書・要件定義書・基本設計書等にファイアウォールによる通信制限の記載があったため、外部ベンダは適切なファイアウォール設定義務を負っていたと認定されています。
| 義務を基礎づける具体的事実 | 被告が負う義務の内容 | |
| 提案依頼書、提案書、要件定義書及び基本設計書に、外部ファイアウォール及び内部ファイアウォールにより通信制限を行うと記載されている | ⇘ | |
| 設計方針及び基本設計書に、データセンター内理論接続図及び通信制限イメージにおいて、DMZネットワークと個人情報保護ネットワークとをつなぐ通信経路が存在しない | ⇒ | DMZネットワークと個人情報保護ネットワークとの間の通信経路を遮断するため、本件システムの提供に当たり、その外部ファイアウォール及び内部ファイアウォールを適切に設定して通信制限を行う債務 |
| 被告は、経験豊富な専門家を多数擁する技術的セキュリティ対策チームによる総合的なセキュリティソリューションを提供することを可能とする技術力を有していた | ⇗ |
※4 前橋地判令和5年2月17日(未確定)では、不正アクセスによる侵入を許した情報教育ネットワーク(「X・ENET」)等の再構築費用の一部については、再発防止を主眼とする機能の追加・増強のための支出であって、X・ENETを不正アクセス前の状態に戻すために必要な支出とはいえないとして相当因果関係が否定されました。
| 損害の項目 | 請求金額 | 認容の有無 | 認容額 |
| デジタルフォレンジック対応業務委託料 | 918万円 | ○ | 918万円 |
| インシデント対応支援コンサルティング業務委託料 | 540万円 | ○ | 540万円 |
| 保護者・教職員宛通知のための郵送料 | 370万766円 | ○ | 370万766円 |
| 職員時間外勤務手当分等 | 455万8066円 | ○ | 455万8066円 |
| 第三者委員会委員報酬等 | 112万8560円 | ○ | 112万8560円 |
| 各種外部ネットワーク調査業務(Web調査)委託料 | 1107万円 | ○ | 1107万円 |
| X・ENET校務系端末復旧作業業務委託料 | 3242万5380円 | ○ | 3242万5380円 |
| X・ENET学習系端末復旧作業業務委託料 | 4349万8080円 | ○ | 4349万8080円 |
| 連絡手段確保のためのノートPCリース代 | 248万6484円 | ○ | 248万6484円 |
| X・ENET再構築に関する情報セキュリティ支援業務委託料 | 213万8400円 | × | 0円 |
| X・ENET再構築業務委託料 | 3913万9200円 | △ (機能追加・増強を除く分) | 1653万4886円 |
| X市立X高校校内ネットワーク再構築業務委託料 | 194万1602円 | × | 0円 |
| 学校評価システム共有フォルダ利用型構築作業業務委託料 | 24万3000円 | × | 0円 |
| 指導者用タブレットPC周辺機器購入費用 | 424万2499円 | × | 0円 |
| DNSサーバ移行費用 | 6万2640円 | × | 0円 |
| 弁護士費用 | 1612万3313円 | △ (上記○の10%) | 1229万8222円 |
| 合計 | 1億7735万6440円 | 1億4298万0444円 |
※5 東京地判平成26年1月23日(判例時報2221号71頁)では、ECサイトのクレジットカード決済機能が約4か月停止したことによる売上損失につき、民訴法248条を適用して、請求金額(6041万4833円)の約6.7%である400万円について相当因果関係が認められました。
| 損害の項目 | 請求金額 | 認容の有無 | 認容額 |
| 契約に基づく既払代金額 | 2074万1175円 | △ (システム切替後の保守サービス・サーバ利用料相当額) | 27万5625円 |
| クオカード及び包装代 | 1674万6700円 | △ (実際に郵送した分) | 1636万2342円 |
| お詫びの郵送代 | 124万6459円 | ○ | 124万6459円 |
| お詫び郵送に係る資材費及び作業費 | 86万7196円 | ○ | 86万7196円 |
| 告知郵送代 | 8万1440円 | ○ | 8万1440円 |
| 告知の封筒代 | 1万500円 | ○ | 1万500円 |
| お詫びのメール配信の外注費 | 6万6843円 | ○ | 6万6843円 |
| お詫び及びクオカードの書留郵便代 | 2660円 | ○ | 2660円 |
| 顧客向けコールセンター費用 | 486万6843円 | ○ | 486万6843円 |
| コールセンターへの交通費 | 5800円 | ○ | 5800円 |
| 顧客からのメール対応のための深夜帰宅タクシー代 | 6万5760円 | ○ | 6万5760円 |
| 外部ベンダの調査費用 | 393万7500円 | ○ | 393万7500円 |
| システム仮移行に用いたデータセンター使用料 | 42万円 | ○ | 42万円 |
| 本社での事故対策会議に出席するための交通費 | 4万8100円 | △ (証拠上認められる分) | 4万7600円 |
| 転職・求人ウェブサイトの応募フォーム変更対応費用 | 6万3000円 | ○ | 6万3000円 |
| 売上げ損失 | 6041万4833円 | △ (民訴法248条) | 400万円 |
| 合計 | 1億913万5528円 | 3231万9568円 |
※6 東京地判平成26年1月23日及び前橋地判令和5年2月17日(未確定)では、いずれも外部事業者の重過失が認められています。
※7 東京地判平成26年1月23日(判例時報2221号71頁)では、原告企業が外部事業者からクレジットカード情報の非保持化(注:本件当時は法律上の義務ではありませんでした。)を提案されていたにもかかわらず、未対応のまま放置したことが漏えいの一因とされ、3割の過失相殺が行われました。
4. 保険請求による被害回復を図る際の留意点
サイバー保険を活用して被害回復を図る場合、あらかじめ契約内容を十分に理解しておくこと、またサイバー攻撃を受けた際には適切なエビデンスを確保しておくことが重要です。
(1) 契約内容の把握
近年のサイバー保険には、第三者への賠償金だけでなく、フォレンジック調査費用や事業中断に伴う逸失利益など、企業が直接被る損害を補償範囲に含む商品も登場しています。もっとも、補償の範囲や限度額、免責事由(被保険者の重過失や法令違反、予見可能な既知の脆弱性の放置など)は保険会社ごとに大きく異なります。そのため、サイバー保険を選択する際には、セキュリティリスクの分析結果も踏まえた自社にとって必要な補償額なども念頭に置きながら、各種条件・約款をよく精査して商品の選択等を行う必要があります。
(2) 適切なエビデンスの確保
保険金を請求する際には、サイバー攻撃の内容・発生時期・被害金額などを裏付ける客観的資料を提出することが求められます。支出した費用の明細書のみならず、サーバやネットワークのログを保存しておくことや、フォレンジック調査報告書などを準備しておくことが重要となります。企業側において適切な情報管理体制が整備されていたかについても審査される可能性があるため、保全したログやフォレンジック調査を通じて、サイバー攻撃の原因を明らかにしておくことは、保険金による被害回復を図る上で重要です。
5. おわりに
金銭的な費用損害や逸失利益とは異なり、信用力やブランドイメージの低下といった無形損害については、損害賠償請求や保険請求といった手段を通じて回復することは困難です。そのため、平時からインシデント対応体制を含む情報管理のための組織的体制を整備しておくこと、また有事の際には適切かつ速やかにインシデント対応を実施して、信頼に足る再発防止策を策定することなどを通じて、対外的な信頼の回復を図っていくことが求められます。なお、ランサムウェア攻撃を受けた際の実務対応については、小坂光矢「ランサムウェア攻撃を受けた際の実務対応」(牛島総合法律事務所特集記事)もご参照ください。
関連記事
以上