ご相談
最近、ランサムウェア等に起因するシステム障害による影響が大きな話題となっている。
仮に当社の受発注システムが、外部攻撃によりストップした場合、当社はどのような責任を負うことになるのか。
結論
受発注システムがストップしたことで商品納入等ができなくなったのであれば、取引先に対して損害賠償責任を負うことになります。
また、システム障害に伴い個人情報が漏洩した場合は個人情報保護法に基づく措置を講じる責任が発生します。
以下の【解説】では、①取引先・顧客に対する民事責任、②取引関係にない第三者に対する民事責任、③行政機関・監督官庁に対する責任、④刑事責任に分けて解説します。
解説
①取引先・顧客に対する民事上の責任
受注していたにもかかわらず、納期までに商品を納入できなかった場合、顧客に対して損害賠償責任を負うことになります。単に商品代金を返還すれば終わりではなく、逸失利益をどのように補償するのかが大きな争点になり得ます。
一方、例えば、仕入先が商品の受領を要請しているにもかかわらず、当社が受領できなかった場合、商品保管料等の損害賠償責任を負う可能性が生じます。
さらに、運送業者に対して、特定日の運送を委託していたのであれば、運送料相当額の損害賠償責任を負うことも考えられます。
いずれにせよ、取引先・顧客に対しては何らかの迷惑をかける以上、損害賠償責任を負担する可能性は高いと考えるべきです。
②取引関係にない第三者に対する民事上の責任
取引関係がないのであれば契約違反の問題は生じないため、損害賠償責任も発生しないのが原則です。
しかし、例えば、お客様アンケート等で取得していた個人情報につき、システム障害に起因して漏洩した場合、そのお客様とは契約関係はないものの、プライバシー侵害に基づく損害賠償責任を負う場面も想定されます。
③行政機関・監督官庁に対する責任
個人情報が流出した疑いがある場合、個人情報保護法に基づき、個人情報保護委員会への報告を行う必要があります。また、流出した疑いのある対象への通知も必要となります。
なお、許認可事業である場合、監督官庁への報告も併せて行う場合もあり得ます。
④刑事責任
外部から攻撃を受けたという点では被害者であること、故意に情報漏洩を発生させたわけではないことから、刑事責任を問われることは原則ありません。
しかし、個人情報保護法に基づく報告義務等を怠った場合、最終的には刑事責任を科される可能性はあります。
<参考>システム障害が発生した場合の対応
(1)初動対応
社内外の連絡体制を即時に立ち上げ、外部専門家(インシデント対応、法務、保険、広報)を束ねて動かします。
被害端末の隔離、ログの保全、再感染防止策を実施します。
影響範囲や対象データ、時刻の軸で事実を積み上げ、日次で更新します。
(2)広報・顧客対応
「何が、どの範囲で、どの期間止まっているか」「どの注文に影響が及ぶか」「いつ、どこで最新情報を見られるか」を、繰り返し案内します。
個人情報に関係する場合、対象者への通知を進めます。
(3)サプライチェーン連携
取引先と復旧計画や役割分担をあらためて確認します。
(4)身代金(ランサム)への姿勢
支払いが被害の縮小につながる保証はありません。支払い先が制裁対象に該当するおそれがある場合、法令上の問題が発生します。
実施判断は、法務・捜査機関・保険会社とともに検討し、経営会議の議事録に残します。
(5)平時の備え
経営者の関与、復旧訓練、代替手段の手配、委託先の見直しを、計画→訓練→改善のサイクルで回します。なお、経産省などが公表している次のような資料が参考になります。
|
|
弁護士 湯原伸一
