サイバー攻撃による漏えいは、それだけで当然に不可抗力になるわけではありません。契約、民法、個人情報保護法、委託先管理、証拠保全、初動対応をつないで、企業法務で確認すべき判断軸を整理します。
サイバー攻撃による漏えいは、それだけで当然に不可抗力になるわけではありません。
免責キーワードではなく、合理的管理と証拠で説明できるかを確認します。
サイバー攻撃による漏えいを考える出発点は、攻撃を受けた事実だけでは責任判断が終わらないという点です。契約上または社会通念上の予見可能性、業種・規模・保有データに応じた安全管理措置、漏えい原因、発覚後の対応、契約条項の設計を一体で見る必要があります。
次の一覧は、責任判断で最初に確認する5つの問いを示しています。各問いは、契約責任、規制対応、取締役の監督、紛争時の立証に直結するため重要です。左から順に確認することで、単なる「攻撃被害」の説明ではなく、どこまで管理できていたかを読み取れます。
サイバー攻撃一般ではなく、当該攻撃手法、攻撃経路、脆弱性、攻撃規模を当時どこまで想定できたかを確認します。
契約、法令、業界標準、取引慣行に照らし、アクセス制御、MFA、脆弱性管理、ログ、バックアップ、教育を整えていたかを見ます。
外部攻撃が直接原因なのか、既知脆弱性、退職者アカウント、委託先管理、設定不備など自社側の弱点が原因なのかを切り分けます。
封じ込め、証拠保全、本人通知、当局報告、取引先通知、復旧、再発防止を適切な時期と内容で実施したかを確認します。
不可抗力条項、責任制限、セキュリティ別紙、委託条項、損害賠償条項がサイバー事故をどのように扱うかを読みます。
不可抗力は、契約解釈、民法上の帰責性、個人情報保護法上の安全管理義務、委託先監督、取締役のリスク管理、インシデント対応、証拠保全、損害論を接続して検討する論点です。個別の結論は、契約書、システム構成、ログ、委託関係、当局対応状況、保険約款、業法規制によって変わります。
サイバー攻撃、漏えい等、不可抗力を分けて理解します。
用語を分けておくことは、報告義務、契約責任、損害範囲の判断を混同しないために重要です。次の比較表は、各用語が何を意味し、企業法務でどこを読むべきかを整理したものです。列は「意味」と「実務上の読み取り方」に分かれており、同じ事故でも複数の列が同時に問題になる点を確認できます。
| 用語 | 意味 | 実務上の読み取り方 |
|---|---|---|
| サイバー攻撃 | ネットワーク、サーバ、クラウド、端末、アカウント、API、委託先環境などへの不正または不適切なアクセスを含みます。 | 国家支援型の高度攻撃から、既知脆弱性の放置を突かれた侵入まで幅があるため、不可抗力性は一律ではありません。 |
| 漏えい | 個人データや機密情報が外部に流出することを指します。 | 外部送信ログ、攻撃者の声明、公開サイト掲載、通常業務では不要なアクセスなどから、おそれも含めて検討します。 |
| 滅失・毀損 | データ内容が失われること、意図しない変更や利用不能が生じることを指します。 | ランサムウェアで外部窃取の証拠がなくても、復元不能な暗号化があれば報告・通知の検討が必要になることがあります。 |
| 不可抗力 | 合理的支配を超え、予見・回避・克服が困難で、責任を負わせることが相当でない事由を指します。 | 日本法では語だけで自動免責にならず、契約文言と民法上の帰責性を併せて見ます。 |
サイバー攻撃の代表例には、ランサムウェア、フィッシング、ビジネスメール詐欺、パスワードリスト攻撃、VPN等の既知脆弱性悪用、ゼロデイ攻撃、SQLインジェクション、クラウド設定ミスを突いた閲覧、サプライチェーン攻撃、内部者不正、DDoS攻撃があります。外形的には同じ「攻撃」でも、予見可能性や回避可能性は大きく違います。
次の判断の流れは、不可抗力を二層で確認するための順番を表しています。上から契約文言、次に民法上の帰責性、最後に残る義務を確認する点が重要です。分岐では、サイバー攻撃が明記されていても、通常の管理不備があれば結論が変わることを読み取れます。
サイバー攻撃、マルウェア、ランサムウェア、クラウド障害、第三者サービス停止が明記されているかを見ます。
既知脆弱性、認証管理、ログ、委託先監督、法令違反が除外されているかを見ます。
通常講ずべき対策を怠った部分は帰責性の争点になります。
攻撃態様と証拠次第で責任制限や免責を検討します。
債務不履行、危険負担、解除、不法行為を分けて確認します。
民法上の整理は、損害賠償責任だけでなく、対価支払、解除、第三者からの請求を分けるために重要です。次の比較表は、条文・論点ごとに、サイバー攻撃による漏えいで何が争点になるかをまとめています。行ごとに責任の種類が違うため、不可抗力の効果が同じように及ぶわけではない点を読み取れます。
| 論点 | 中心となる考え方 | 漏えい事案での確認点 |
|---|---|---|
| 民法415条 | 契約上の債務不履行について、責めに帰することができない事由があるかを見ます。 | 第三者攻撃は一要素にすぎず、契約上期待された安全管理措置を講じていたかが問われます。 |
| 民法536条 | 双方に帰責性がない履行不能で、反対給付を拒めるかを見ます。 | 損害賠償が否定される場合でも、サービス停止期間の対価、SLA、日割り減額は別に検討します。 |
| 民法541条・542条・543条 | 催告解除、無催告解除、債権者に帰責性がある場合の制限を見ます。 | 不可抗力に近い事故でも、契約目的が達成できない長期停止なら解除やデータ移行が問題になります。 |
| 民法709条・715条 | 契約外の第三者や被害者からの過失・使用者責任を見ます。 | 直接の加害者が攻撃者でも、合理的な安全管理措置を怠った企業自身の過失が争点になります。 |
契約実務では、不可抗力発生時に履行期限を延長するのか、履行義務を一時停止するのか、対価を日割り減額するのか、一定期間継続した場合に解除できるのか、SLAクレジットや違約金をどう処理するのかを明記する必要があります。データ保護、通知、協力、復旧、証拠保全の義務が存続するかも重要です。
契約上の不可抗力とは別に、規制上の義務を確認します。
個人情報保護法上の対応は、契約上の免責とは切り分ける必要があります。次の比較表は、報告対象になり得る場面と期限の目安を整理しています。件数や期限だけでなく、不正目的のおそれや本人への二次被害リスクを同時に読むことが重要です。
| 項目 | 主な内容 | 実務上の読み取り方 |
|---|---|---|
| 報告対象の典型 | 要配慮個人情報、財産的被害のおそれ、不正目的のおそれ、1,000人超の漏えい等が中心です。 | 不正アクセスやランサムウェアでは、外部流出が未確定でも「おそれ」の評価が必要になります。 |
| 速報 | 発覚日から3〜5日以内を目安に速やかに報告する整理が示されています。 | 全容が不明でも、判明事実、未判明事項、今後の調査予定、拡大防止措置を整理します。 |
| 確報 | 原則30日以内、不正な目的で行われたおそれがある場合は60日以内が基本です。 | フォレンジック結果、本人件数、データ項目、原因、再発防止策を期限管理します。 |
| 本人通知 | 事態の概要、個人データの項目、原因などを分かりやすく伝えます。 | 本人が取るべき行動、問い合わせ先、悪用のおそれを具体的に説明します。 |
次の一覧は、本人通知文で整理する情報を示しています。本人の権利利益を守るために必要な情報を過不足なく伝えることが重要です。各項目から、企業の弁解ではなく、本人が何を確認し、どの行動を取ればよいかを読み取れる構成にします。
何が起き、いつ発覚し、現在どこまで調査が進んでいるかを、事実と未確認事項に分けて示します。
概要氏名、連絡先、認証情報、決済情報、健康情報、本人確認書類など、項目ごとに説明します。
本人保護現時点で確認された悪用の有無、パスワード変更、不審メールへの注意、明細確認などを案内します。
二次被害封じ込め、調査、再発防止、問い合わせ窓口を示し、追加事実が判明した場合の更新方針も伝えます。
説明責任暗号化は重要な防御策ですが、暗号化していたから必ず報告不要とはいえません。方式、鍵管理、パスワード強度、媒体管理、ログ、攻撃者のアクセス可能性、復号可能性、鍵の漏えい有無を技術的に評価します。
外部性、予見可能性、回避可能性、因果関係、事後対応を組み合わせます。
不可抗力評価では、どれか一つの事情だけで結論を出さず、複数の評価軸を組み合わせることが重要です。次の一覧は、不可抗力の説明を弱める事情と支える事情を対比しています。左右を比較すると、攻撃の高度さだけでなく、自社の管理記録と初動が判断に影響することを読み取れます。
外部者の攻撃でも、退職者アカウントの放置、初期パスワード、MFA未導入、公開サーバの既知脆弱性が侵入口であれば評価は弱くなります。
サイバー攻撃一般は予見可能です。当該攻撃手法や脆弱性が当時の合理的企業にとってどこまで予見できたかを確認します。
パッチ管理、MFA、EDR、ログ監視、最小権限、バックアップ分離、復旧訓練で損害拡大を防げたかを見ます。
攻撃自体による損害なのか、バックアップ不備、BCP未整備、通知遅延による損害拡大なのかを切り分けます。
封じ込め、証拠保全、当局・警察・JPCERT/CC等との連携、本人通知、復旧、再発防止の相当性を確認します。
次の重要ポイントは、不可抗力や無過失を支えるために必要な証拠の考え方をまとめたものです。証拠がなければ、実際には相当な対策をしていても後日説明できないため重要です。ここから、平時の記録と有事の保全を同時に整える必要性を読み取れます。
ログ、パッチ履歴、アカウント棚卸記録、バックアップ設定、復旧訓練記録、委託先評価、教育記録、取締役会資料、フォレンジック報告書、当局報告書、本人通知文を残しておくことが重要です。
ログ不足により持ち出しの有無が不明な場合、その不明性自体が管理不備として評価されることがあります。攻撃者が侵入したことは確認できるがデータ持ち出しの痕跡がない場合でも、漏えいのおそれ、損害範囲、説明責任を慎重に整理します。
既知脆弱性、フィッシング、ランサムウェア、ゼロデイ、委託先、DDoSを比べます。
攻撃類型ごとの違いを把握することは、不可抗力の主張がどの程度成り立つかを初期評価するために重要です。次の比較表は、各類型で問われる管理ポイントを並べています。行ごとに、不可抗力を弱める典型事情と、説明材料になり得る事情を読み取れます。
| 類型 | 不可抗力の説明を弱める事情 | 説明材料になり得る事情 |
|---|---|---|
| 既知脆弱性の放置 | 注意喚起後も長期間パッチ未適用で、代替措置もない場合です。 | 資産管理、緊急パッチ手順、補完的遮断、適用記録がある場合です。 |
| フィッシング | MFA未導入、異常ログイン検知なし、過剰権限、教育不足がある場合です。 | MFA、条件付きアクセス、教育、監視、速やかな無効化がある場合です。 |
| ランサムウェア | バックアップ同時暗号化、ネットワーク分離なし、外部送信調査不足がある場合です。 | 分離バックアップ、EDR、ログ監視、復旧訓練、身代金判断の記録がある場合です。 |
| ゼロデイ攻撃 | パッチ公表後の遅延、横展開を許す過剰権限、異常ログの見逃しがある場合です。 | 公表前で防止困難、緩和策を迅速実施、侵入後の拡大を抑制した場合です。 |
| クラウド・SaaS・委託先 | 選定評価なし、事故通知条項なし、ログ提供を受けられない場合です。 | 契約、監査、第三者認証、再委託管理、事故時協力の仕組みがある場合です。 |
| DDoS攻撃 | リスクが明白なサービスでDDoS対策や冗長化がない場合です。 | 攻撃規模が極端に大きく、CDN、WAF、ISP連携、BCPを実施していた場合です。 |
ランサムウェアでは、暗号化被害、情報漏えい、業務停止、金銭要求、制裁・反社会的勢力リスク、保険、顧客対応、従業員対応が同時に問題になります。支払いを検討する場合でも、復号や非公開が保証されない点、再攻撃リスク、取締役会判断、保険約款を踏まえて慎重に記録します。
不可抗力条項だけでなく、セキュリティ別紙、通知、責任制限を整えます。
契約では、サイバー攻撃を不可抗力に含めるかだけでなく、通常の管理不備まで免責しない設計が重要です。次の判断の流れは、条項設計で確認する順番を表しています。上から定義、要件、除外、残る義務、費用・解除を確認すると、免責と協力義務を分けて読めます。
マルウェア、ランサムウェア、不正アクセス、DDoS、脆弱性悪用、サプライチェーン攻撃を含めます。
支配外性、予見困難性、回避困難性、合理的安全管理措置の実施を条件にします。
既知脆弱性未対応、認証管理不備、バックアップ・ログ不備、委託先管理不備、契約上の義務違反を除外します。
通知、拡大防止、証拠保全、法令報告、本人通知、復旧支援、秘密保持、データ返還・削除は当然には消えません。
次の比較表は、セキュリティ別紙とインシデント通知条項に入れる項目を整理しています。契約本文だけでは抽象的になりやすいため、列ごとに「平時の水準」と「事故時に得る情報」を分けて読むことが重要です。
| 契約項目 | 平時に定める内容 | 事故時に必要な内容 |
|---|---|---|
| セキュリティ別紙 | 情報資産分類、アクセス制御、MFA、暗号化、ログ保存、脆弱性管理、EDR、バックアップ、再委託条件を定めます。 | どの義務が守られていたか、どの義務違反が原因かを検証します。 |
| 通知条項 | 漏えい、おそれ、不正アクセス、認証情報漏えい、委託先事故などを通知対象にします。 | 発覚後24時間以内または遅滞なく第1報、重大更新時の続報、正式通知を管理します。 |
| 調査協力 | ログ保持期間、提供形式、フォレンジック協力、再委託先からの情報取得を定めます。 | 本人通知、当局報告、取引先説明に必要な情報を確保します。 |
| 責任制限 | 通常損害の上限、秘密保持違反・個人情報義務違反の上限除外または別上限を定めます。 | 通知費用、調査費用、コールセンター費用、監督官庁対応費用、補償の分担を協議します。 |
24時間、72時間、3〜5日、30日・60日の節目で進めます。
初動の時系列を決めておくことは、証拠を失わず、期限内に報告し、取引先へ矛盾なく説明するために重要です。次の時系列は、法務部門が確認すべき行動を発覚直後から確報まで並べています。上から順に、封じ込め、報告準備、速報、確報へ進む流れを読み取れます。
システム隔離、アカウント停止、通信遮断を暫定実施し、証拠保全方針を決めます。取締役、監査役、CISO、法務責任者へ報告します。
攻撃経路、影響範囲、漏えいのおそれを暫定評価し、PPC速報、重要取引先の一次連絡、本人通知・公表の要否を検討します。
報告対象事態であれば速報を行い、取引先、委託元、委託先、保険会社への正式通知、暫定再発防止、追加ログ取得を進めます。
確報を提出し、本人通知・公表を完了または更新します。原因分析、経営報告、監査対応、損害賠償や継続可否の協議を行います。
次の一覧は、法務部門が最初に確認すべき10項目を整理しています。項目ごとに、報告期限、契約通知、証拠保全、保険、経営判断につながるため重要です。番号順に確認すると、技術情報が断片的な段階でも判断漏れを減らせます。
| 確認項目 | 内容 |
|---|---|
| 1〜2 | 発覚日時・発覚経路、影響システム・データ・拠点・委託先を確認します。 |
| 3〜4 | 個人データ、要配慮個人情報、決済情報、営業秘密、機密情報、外部流出またはおそれを確認します。 |
| 5〜6 | 業務停止、納期遅延、SLA違反、関連契約の通知義務、不可抗力条項、責任制限、解除条項を確認します。 |
| 7〜8 | PPC、業法当局、海外当局への報告要否、本人通知、取引先通知、公表の要否を確認します。 |
| 9〜10 | 保険契約上の通知期限、事前承認要件、証拠保全、調査報告書の管理方針を確認します。 |
証拠保全では、攻撃発覚前後のログ、認証ログ、VPNログ、クラウド監査ログ、EDR・SIEM・IDS・WAFのアラート、脆弱性管理台帳、パッチ履歴、アカウント棚卸記録、バックアップ設定、教育記録、取締役会資料、当局報告書を優先して保全します。
経営監督、主張立証、損害評価をつなげて整理します。
経営陣の関与を確認することは、事故後の説明責任と紛争対応に直結します。次の一覧は、経営者・取締役・監査役が答えられるべき問いを整理しています。各項目から、技術部門だけでなく、取締役会や経営会議の監督記録が重要になることを読み取れます。
個人データ、営業秘密、決済情報、医療情報、研究開発情報がどこにあるかを把握します。
サイバーリスクを取締役会または経営会議で定期報告し、事業規模とリスクに見合う投資を確認します。
CISO、CSIRT、法務、広報、内部監査、監査役、外部専門家の役割を明確にします。
委託先・サプライチェーンのリスク、事故時の情報取得、再委託先管理を確認します。
サイバー保険、BCP、バックアップ、代替業務手順、重大事故時の判断者を確認します。
次の比較表は、紛争で企業側と被害者・取引先側が主張しやすい事項を対比しています。左右を比べることで、平時の管理記録、事故時の通知、ログの有無が争点化しやすいことを読み取れます。
| 企業側の主張材料 | 被害者・取引先側の主張材料 |
|---|---|
| 契約上要求されたセキュリティ義務を満たし、業界標準に照らして合理的な措置を講じていました。 | 既知脆弱性、MFA、暗号化、ログ管理、アクセス制御など基本対策が不足していたと主張されます。 |
| 攻撃は当時合理的に予見・回避困難で、発覚後は封じ込め、調査、報告、通知、復旧を速やかに行いました。 | 通知遅延、調査不足、ログ不足、公表内容の矛盾により二次被害が拡大したと主張されます。 |
| 漏えい範囲や損害範囲は限定的であり、責任制限条項や不可抗力条項が適用されます。 | 情報保護義務、秘密保持義務、個人情報保護義務には不可抗力条項が及ばないと主張されます。 |
個人情報漏えいの損害評価では、漏えいした情報の性質、本人識別性、センシティブ性、悪用可能性、流通範囲、企業対応、二次被害の有無が影響します。すべての事案で同一の慰謝料額になるわけではありません。
平時、契約レビュー時、発生時の3段階で備えます。
チェックリストを段階ごとに分けることは、事故前の準備と事故後の説明をつなげるために重要です。次の比較表は、平時、契約レビュー時、発生時に分けて確認事項を整理しています。列ごとに、どの段階で何を整えるべきかを読み取れます。
| 段階 | 主な確認事項 | 読み取り方 |
|---|---|---|
| 平時 | 重要情報資産の棚卸、個人データ・営業秘密・決済情報の分類、管理責任者、規程、取締役会報告、MFA、EDR、ログ監視、バックアップ、委託先評価、訓練、保険確認を行います。 | 不可抗力や無過失の主張は、平時の管理記録から始まります。 |
| 契約レビュー時 | 不可抗力条項、管理不備の除外、情報保護義務の存続、通知期限、法令報告協力、ログ提供、監査、責任制限、再委託、データ返還・削除を確認します。 | 免責だけでなく、事故時に必要な情報と協力を得られるかを見ます。 |
| 発生時 | 事実確認、証拠保全、緊急対策本部、個人データ該当性、報告対象判定、契約通知、保険通知、取締役会報告、本人通知、公表、復旧計画を確認します。 | 初動の遅れや記録不足が、後の責任論と信頼に影響します。 |
一般情報として、個別判断に踏み込みすぎない形で整理します。
一般的には、自動的には不可抗力にならないとされています。攻撃の態様、予見可能性、回避可能性、企業の安全管理措置、契約条項、委託先管理、発覚後対応、証拠により判断されます。具体的な見通しは、契約書やログを整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、個人データが暗号化され復元できなくなった場合、毀損または滅失として問題になる可能性があります。外部流出の証拠がない場合でも、漏えいのおそれ、毀損、本人への影響で結論が変わります。具体的には、バックアップ、通信ログ、攻撃者の声明、対象データを確認する必要があります。
一般的には、当然には免れないとされています。個人情報保護法上は委託先監督が問題になり、契約上も責任分担、再委託管理、事故通知、法令報告協力が問題になります。個別の責任範囲は契約内容と監督状況によって変わるため、専門家へ相談する必要があります。
一般的には、十分とはいえない場合があります。サイバー攻撃、ランサムウェア、クラウド障害、サプライチェーン攻撃をどこまで含めるか、通常の管理不備を除外するか、通知・協力・法令対応義務を残すかを明記する必要があります。
一般的には、一概にはいえません。暗号化の方式、鍵管理、攻撃者が復号可能か、漏えいした情報の性質、本人へのリスクによって判断が変わります。単なるパスワード設定だけでは足りない場面もあるため、技術評価と法的評価を分けて確認する必要があります。
一般的には、保険加入だけで不可抗力とは評価されません。保険は費用や損害を補填する制度であり、法的な不可抗力性や過失の有無を直接決めるものではありません。保険約款上の通知期限、免責事由、事前承認要件も別途確認する必要があります。
一般的には、不要にはなりません。契約上の不可抗力と、個人情報保護法上の報告・本人通知義務は別です。報告対象事態に該当する可能性がある場合は、不可抗力を主張するかどうかにかかわらず、法令に沿って対応する必要があります。
一般的には、ゼロデイ攻撃は不可抗力性を支える事情になり得ます。ただし、侵入後の横展開、権限管理、ログ監視、バックアップ、復旧、通知の不備があれば、損害拡大部分について責任が問題になる可能性があります。
一般的には、契約上の通知期限を最優先で確認します。契約に明記がない場合でも、相手方のデータ、業務、顧客、規制対応に影響する可能性があるときは、速やかな一次通知、続報、確報に分ける対応が考えられます。
一般的には、技術封じ込めは情報システム・CSIRT、法的判断は法務・プライバシー担当・外部弁護士、経営判断は経営陣が担う横断体制が必要です。広報、営業、カスタマーサポート、内部監査、監査役、保険担当、委託先も含めて連携します。
免責ではなく、総合的なリスク管理として捉えます。
サイバー攻撃は不可抗力になり得ますが、それは高度で予見・回避困難な攻撃であり、企業が合理的な安全管理措置を尽くしていた場合に限られます。不可抗力は損害賠償責任を当然に全免除する万能概念ではなく、履行停止、対価支払、解除、責任制限、通知義務、データ保護義務、復旧義務は別々に検討されます。
個人情報保護法上の漏えい等報告・本人通知は、不可抗力条項によって消えません。委託先・クラウド・SaaS・サプライチェーンを介した漏えいでは、外部で起きたという説明だけでは足りず、選定、契約、監督、再委託、事故時協力の体制が問われます。
次の重要ポイントは、このページの結論を6つにまとめたものです。各項目は、事故前の準備、事故時の対応、事故後の紛争対応をつなげるために重要です。上から順に読むと、不可抗力を主張するより前に、説明できる管理を作る必要があることを読み取れます。
合理的対策、契約設計、規制対応、委託先管理、経営監督、証拠保全を平時から積み上げることが、サイバー攻撃による漏えいへの最も強い備えになります。