中小企業の情報セキュリティ対策ガイドライン第4.0版を読むと、第1部「経営者編」の冒頭には、まず「情報セキュリティ対策を怠ることで企業が被る不利益」、次に「経営者が負う責任」、その後に「経営者は何をやらなければならないのか」が並んでいます。つまりIPAは、対策を単なるIT設定の話ではなく、経営上の損失と責任の問題として理解することから始める構成にしています。
第2回では、このうち「企業が被る不利益」と「経営者が負う責任」を整理します。社長が最初に見るべきなのは、「事故が起きたら何が失われるのか」「そのとき誰が説明し、誰が責任を負うのか」です。ここを曖昧にしたままでは、対策は担当者任せになり、必要な予算や判断も後回しになりがちです。
この記事でわかること
- 情報セキュリティ対策を怠った場合の4つの不利益
- 経営者が負う法的責任と関係者・社会に対する責任
- 中小企業の社長がこの段階で決めるべきこと
なぜ「被害」と「責任」から読むべきなのか
IPAは、第1部で最初に「企業が被る主な不利益」を4点に要約し、経営者が自社で起きかねない事故、どの業務に心配があるか、自社の経営で最も懸念される事態は何かを具体的に思い描くことが、情報セキュリティ対策を認識する第一歩だと説明しています。被害を具体化することが、経営者のリスク認識の基礎になる、という考え方です。
情報セキュリティ対策を怠ることで企業が被る4つの不利益
1. 金銭の損失
IPAガイドラインでは、機密情報や個人情報を漏えいさせた場合、取引先や顧客から損害賠償請求を受けるなど、大きな経済的損失につながると説明しています。加えて、インターネットバンキングに関連した不正送金や、クレジットカードの不正利用といった直接的な金銭被害も増えているとしています。
ガイドライン中の事例では、ECサイトへの不正アクセスにより、クレジットカードの不正利用自体は防げたものの、調査や対策のために機能制限や営業上のマイナスが生じたケースが紹介されています。中小企業では、被害額そのものだけでなく、対応に割かれる時間と人手も大きな損失になります。
2. 顧客の喪失
IPAガイドラインでは、重要な情報に関する事故が起きると、その原因が何であれ、事故を起こした企業の管理責任が問われ、社会的評価が低下すると説明しています。同じ製品やサービスを提供する他社があるなら、事故を起こしていない企業へ顧客が流れるのは自然であり、発覚直後には大きなダメージを受けるとしています。さらに、サプライチェーンの中にいる企業では、継続してきた受注が停止に追い込まれる可能性もあるとされています。
事例として、顧客情報入りのパソコンを紛失し、顧客への報告後に信用を失ったケースも掲載されています。ここで重要なのは、事故そのものだけでなく、「この会社に任せて大丈夫か」という評価が落ちることです。中小企業にとっては、金銭被害以上にこの信用低下が重い場合があります。
3. 事業の停止
IPAガイドラインでは、デジタル活用が進む中で情報システムに事故が起きて使えなくなると、生産活動の遅れや営業機会の損失で業務が停滞すると説明しています。さらに、その情報システムが中核事業を支えている場合は、事業そのものの停止や取引先への影響、ひいては企業の存続にまで影響が及ぶとしています。
掲載事例では、VPN機器経由でランサムウェアに感染し、基幹システムは5日後に再稼働できた一方、各社内システムの利用再開に41日、リモートアクセスの利用再開に4か月を要し、原因調査・復旧・再発防止に2.5億円超、45人月を要したケースが紹介されています。バックアップ訓練をしていても、それでも大きな影響が出ることが示されています。
4. 従業員への影響
IPAガイドラインでは、情報セキュリティ対策の不備を悪用した内部不正が起こりやすい職場環境は、従業員のモラル低下を招く要因になると説明しています。さらに、事故が起きた際に従業員だけを罰して管理職が責任を取らないような対応は、従業員の働く意欲を失わせるおそれがあるとしています。情報漏えいなどによる企業イメージの悪化を嫌って転職する従業員が現れることや、従業員の個人情報が適切に保護されなければ訴訟につながる可能性にも触れています。
社長が見落としやすいのは、セキュリティ事故が「ITの問題」で終わらず、組織の雰囲気、定着率、現場の納得感にまで影響することです。
経営者が負う2つの責任
1. 経営者などに問われる法的責任
IPAガイドラインでは、取締役は民法・会社法により、取締役としてベストを尽くして経営に当たる義務(善管注意義務)を負い、その任務を怠ったときは会社に対して損害賠償責任を負うと説明しています。そのうえで、セキュリティ対策についてベストを尽くさなかった結果、サイバー攻撃による情報漏えいや製品・サービス供給停止などで企業や第三者に損害が生じた場合、善管注意義務違反や任務懈怠に基づく損害賠償責任を問われるとしています。
さらにIPAガイドラインは、法律によっては違反が発生した場合に、経営者や取締役、担当者に刑罰が科されることもあると説明しています。例として、個人情報保護法やマイナンバー法では、行為者だけでなく事業者にも罰則が科されるケースがあること、個人情報保護委員会による立入検査を受ける責任があること、会社法の第三者責任や民法の不法行為責任が認められると経営者が個人として損害賠償責任を負う場合もあることを挙げています。
2. 関係者や社会に対する責任
IPAガイドラインでは、適切に管理することを前提に預かった情報を漏えいした場合、法的責任に加えて、その情報の提供者や顧客などの関係者に対する責任も生じると説明しています。また、情報漏えい事故は営業機会の喪失、売上高の減少、企業イメージの低下などをもたらすため、会社役員が会社法上の責任を問われ、株主代表訴訟を提起されることもあり得るとしています。さらに、取引先との信頼関係の喪失や、業界全体のイメージダウンにもつながるとしています。
つまり、社長が守るべき相手は、会社そのものだけではありません。顧客、取引先、従業員、株主に対して、事故を防ぎ、万一の際には説明責任を果たすことが求められます。
中小企業の社長がこの回で押さえるべきポイント
この回の要点は3つです。
1つ目は、情報セキュリティ事故の被害は「漏えい」だけではなく、お金・顧客・操業・従業員に広がること。
2つ目は、責任は担当者だけの問題ではなく、経営者自身の法的責任や説明責任にも及ぶこと。
3つ目は、自社で最も困る事故を具体的に想定することが、対策の出発点になることです。
社長が今日決めるべき3つ
まず決めたいのは、自社で最も困る事故は何かです。顧客情報の漏えいなのか、受発注停止なのか、社内システム停止なのかで、優先する対策は変わります。IPAも、自社で起きかねない事故や最も懸念される事態を具体的に思い描くことが第一歩だとしています。
次に、誰が責任者で、誰に報告するかを決めます。IPAは、経営者が明確な方針を示し、担当者を任命し、指示する必要があると説明しています。兼務でも構いませんが、曖昧なままにはしないことが重要です。
最後に、STEP1とSTEP2に進む前提を整えることです。被害と責任を理解したら、次は「3原則」「重要7項目の取組」、そして情報セキュリティ6か条、自社診断、基本方針の作成へ進む流れになります。第1部で危機感を持ち、第2部で行動に落とす、という順番です。
まとめ
中小企業の情報セキュリティ対策ガイドライン第4.0版の第1部は、最初に「会社は何を失うのか」と「社長は何を負うのか」を示しています。これは、対策を担当者任せの作業にしないためです。お金、顧客、事業継続、従業員という4つの不利益を理解し、法的責任と関係者への責任を自分事として捉えることが、社長にとっての出発点になります。
次回は、第1部の続きとして、IPAが示す「認識すべき3原則」と「実行すべき重要7項目の取組」を取り上げます。社長が何を主導し、担当者に何を指示すべきかを整理します。
※本記事はIPAガイドラインの解説であり、個別案件に対する法的助言ではありません。法的判断が必要な場合は、弁護士等の専門家に確認してください。
