中小企業におけるセキュリティ脅威への対策強化　〜経営者がサイバーセキュリティ対策に関与することの必要性〜

前回は、独立行政法人情報処理推進機構（IPA）の「サイバーセキュリティ10大脅威」の中から「不注意による情報漏えい等の被害」について解説しました。

今回は、サイバーセキュリティ対策を怠ることで「企業が被る不利益」と、「経営者が負う責任」について解説いたします。この情報はIPAが発行している「中小企業の情報セキュリティ対策ガイドライン 第3.1版」に基づいています。このガイドラインの「第１部 経営者編」の冒頭には、「企業が被る不利益」と「経営者が負う責任」を経営者が認識し、対策を自らの責任で考えなければならないと記されています。

１．企業が被る不利益

インターネットの普及とともに、現代の企業が直面するリスクや不利益は、かつて予想されなかったような新たな問題が発生しています。代表的な例では、自社や他社の機密情報(営業上の機密)や個人情報の漏えいなどが挙げられ、これにより高額な賠償請求や金銭的損失を被る事態に陥ることがあります。

さらに、近年ではこうした事故による影響も多岐にわたり、金銭的損失だけでなく企業の信用やブランド価値が大きく傷つくケースも増加しています。

こうした事故による不利益は、完全に排除することは技術的にも金銭的にも困難と言えますが、適切なサイバーセキュリティ対策を行うことで、「経営上受容できる範囲まで最小化する」ことは可能です。

そのためにはまず、サイバーセキュリティへの理解を深め、対策が不十分なために引き起こす事故と、それにより企業が被る主な不利益を知ることが重要です。

被る不利益としては、次の４点が挙げられます。
（１）金銭的損失
（２）顧客の喪失
（３）事業の停止
（４）従業員への影響

いずれも企業に与える影響は金銭的な面、社会的信用の面でも大きく、事業の存続が困難になることがあります。それでは、これらの４点について事例を交えて解説していきます。

（１）金銭的損失

取引先などから預かった機密情報や個人情報を万一漏えいさせてしまった場合は、損害賠償請求を受けるなど、大きな経済的損失を受けることがあります。こうした事故はメディアでも比較的大きく取り上げられるため、企業における損失の代表ともいえます。

一方、こうした損害賠償などによる損失だけでなく、インターネットバンキングに関連した不正送金やクレジットカードの不正利用などで直接的な損失を被る企業の数も増えています。

事例１：九州電力系で変圧器の製造・販売などを手がけるキューヘンが約10万4000件の個人情報が社外に漏洩した可能性があると発表(2024年6月5日)

不正アクセスによって個人情報のデータが暗号化されたことを3日に確認した。ランサムウエア（身代金要求型ウイルス）による攻撃とみている。
引用元：日本経済新聞社
https://www.nikkei.com/article/DGXZQOJC054CG0V00C24A6000000/


事例２：メールやショートメッセージサービス（SMS）、メッセージツール等を用いたフィッシングと推察される手口により、インターネットバンキング利用者のＩＤ・パスワード等を盗み、預金を不正に送金する事案が多発

令和５年11月末における被害件数は5,147件、被害額は約80.1億円となり、いずれも過去最多を更新
引用元：金融庁
https://www.fsa.go.jp/ordinary/internet-bank_2.html


事例１は、不正アクセスにより、ランサムウエア（身代金要求型ウイルス）の攻撃を許してしまった事例で、人的ミスによる情報漏えいの典型的なケースです。

事例２は、メールやSMSなどに添付されたURLを開いた結果、ユーザIDやパスワードの情報を盗まれて使用された例です。以前はメールやSMSの文章が不自然なものが多かったため、偽物と判別が容易でしたが、最近の生成AI等の台頭で本物と見分けがつかないような文章が送られてくる事が多く、こういった事案が増加しています。

（２）顧客の喪失

重要な情報に関する事故を起こした企業には必ず管理責任が問われます。中には企業の管理能力を疑問視され社会的評価が失墜することもあります。このため事故の発覚直後には顧客離れによる大きな業績ダメージを受けることになります。

また、大手メーカーのサプライチェーンに位置する企業の場合は、これまで継続してきた受注が停止に追い込まれることにもなりかねません。

（３）事業の停止

業務システムが利用できなくなると、生産活動や営業活動が停滞してしまいます。

例えば、受発注業務ができない、メールが利用できず顧客からの問い合わせメールに応答できない等です。対象システムが中核となる事業を支えている場合、事業そのものの停止や取引先への影響も余儀なくされます。最悪のケースでは企業の存続にも影響が出てしまいます。

（４）従業員への影響

サイバーセキュリティ対策が不十分な職場環境は、従業員のモラル低下を招く大きな原因となります。

例えば、「サイバーセキュリティルールがあるにもかかわらず、その規定が徹底されていない」場合、従業員は「これくらいは問題ないはず」とルールを軽視した態度を取りがちです。

その結果、重大なセキュリティ事故が発生するリスクが高まります。そして事故が起きた際に、問題を引き起こした従業員のみを罰し、サイバーセキュリティルールを管理できなかった上司や管理職が責任を取らないような対応は、従業員の働く意欲を著しく損なう可能性があり、転職を検討するケースも出てくるでしょう。

さらに、従業員の個人情報が適切に保護されなければ、従業員から訴訟を起こされることも考えられます。ある経営者は、「個別の損害より、職場環境が暗くなったことが最も困った」と述べています。

このように、サイバーセキュリティ対策の怠りが、企業に対しての多大な損失を生むことをご理解いただけたかと思います。

次に、これらの損失以外に、経営者として負わなければならない責任について解説いたします。

２．経営者が負う責任

経営者がサイバーセキュリティ対策を的確に指揮しなかったことに起因する業績の悪化や、企業イメージの失墜などの責任は言うまでもありませんが、それ以外にも経営者が負うべき責任として「法的責任」と「社会的責任」が挙げられます。

（１）経営者などに問われる法的責任

企業の経営者や取締役には、民法･会社法により「取締役にふさわしくベストを尽くして経営に当たる義務（善管注意義務）」を負い、「その任務を怠ったときは、 株式会社に対し、これによって生じた損害を賠償する責任を負う。（任務懈怠（けたい））」と規定されています。

サイバーセキュリティについても、経営者や取締役としてベストを尽くさなかった結果、 情報漏えいや製品・サービス供給の停止などの他企業や第三者に損害が生じた場合、善管注意義務違反や任務懈怠に基づく損害賠償責任を問われます。

また、法律によっては違反等が発生した場合に、経営者や取締役、担当者に対して刑罰が科せられることもあります。
特に個人情報保護法やマイナンバー法に関する違反の場合は行為者だけでなく事業者にも罰則が科せられるケースがあります。

（２）経営者などに問われる社会的責任

関係者や社会から適切に管理する条件でお預かりした情報を漏えいしてしまった場合に問われるのは、法的責任に加え、その情報の提供者や顧客などの関係者に対する責任もあります。

また、情報漏えい事故は、営業機会の喪失、売上高の減少、企業のイメージダウンなど、自社に損失をもたらすため、会社役員が会社法上の責任（会社に対する損害賠償責任）を問われ株主代表訴訟を提起されることもあり得ます。

さらには、取引先との信頼関係の喪失、業界全体のイメージダウンにもなってしまいます。

したがって、サイバーセキュリティ対策は、顧客・取引先・従業員・株主などに対する経営者としての責任を果たすためにも重要です。

このようにサイバーセキュリティ対策は、企業の存続と発展に欠かせない重要な要素です。経営者自身がサイバーセキュリティの重要性を理解し、積極的に関与することで企業のリスクを最小限に抑えることができるとお判りいただけたかと思います。

次回は、具体的なセキュリティ対策について解説いたします。お楽しみに！