【令和7年度版】中小企業におけるセキュリティ脅威への対策強化　～経営者がサイバーセキュリティ対策に関与することの必要性～

前回（https://cybersecurity-taisaku.metro.tokyo.lg.jp/basics/04/）は、独立行政法人情報処理推進機構（IPA）の「サイバーセキュリティ10大脅威」の中から「不注意による情報漏えい等の被害」について解説しました。

今回は、サイバーセキュリティ対策を怠ることで「企業が被る不利益」と、「経営者が負う責任」について解説いたします。この情報はIPAが発行している「中小企業の情報セキュリティ対策ガイドライン 第3.1版」に基づいています。※1
このガイドラインの「第１部 経営者編」の冒頭には、「企業が被る不利益」と「経営者が負う責任」を経営者が認識し、対策を自らの責任で考えなければならないと記されています。

１．企業が被る不利益

ITの普及とともに、現代の企業が直面するリスクや不利益は、かつて予想されなかったような新たな問題が発生しています。代表的な例では、自社や他社の機密情報(営業上の機密)や個人情報の漏えいなどが挙げられ、これにより高額な賠償請求や金銭的損失を被る事態に陥ることがあります。

さらに、近年ではこうした事故による影響も多岐にわたり、金銭的損失だけでなく企業の信用やブランド価値が大きく傷つくケースも増加しています。
こうした事故による不利益は、完全に排除することは技術的にも金銭的にも困難と言えますが、適切なサイバーセキュリティ対策を行うことで、「経営上受容できる範囲まで最小化する」ことは可能です。

そのためにはまず、サイバーセキュリティへの理解を深め、対策が不十分なために引き起こす事故と、それにより企業が被る主な不利益を知ることが重要です。

企業が被る主な不利益としては、次の４点が挙げられます。
　（１）金銭の損失
　（２）顧客の喪失
　（３）事業の停止
　（４）従業員への影響

いずれも企業に与える影響は金銭的な面、社会的信用の面でも大きく、事業の存続が困難になることがあります。自社で起きかねない情報セキュリティ上の事故とは何か、どの業務にそのような心配があるか、自社の経営において最も懸念される事態は何かなどを具体的に思い描くことが、経営者が情報セキュリティ対策を認識する第一歩です。

（１）金銭の損失

取引先などから預かった機密情報や個人情報を万一漏えいさせてしまった場合は、損害賠償請求を受けるなど、大きな経済的損失を受けることがあります。こうした事故はメディアでも比較的大きく取り上げられるため、企業における損失の代表ともいえます。

一方、こうした損害賠償などによる損失だけでなく、インターネットバンキングに関連した不正送金やクレジットカードの不正利用などで直接的な損失を被る企業の数も増えています。

（２）顧客の喪失

重要な情報に関する事故を起こした企業には必ず管理責任が問われます。中には企業の管理能力を疑問視され社会的評価が失墜することもあります。このため事故の発覚直後には顧客離れによる大きな業績ダメージを受けることになります。

また、大手メーカーのサプライチェーンに位置する企業の場合は、これまで継続してきた受注が停止に追い込まれることにもなりかねません。

事例1：業務委託先企業がランサムウェアに感染し、約150万件の個人情報が流出（2024年5月）※2
全国の自治体や企業から印刷・情報処理業務を受託していた業務委託先企業がランサムウェア攻撃を受け、委託元から預かった個人情報が流出した事例です。VPN機器の脆弱性を悪用して不正に同社のネットワークに侵入され、サーバーやPCを暗号化された事例ですが、調査の過程で同社では業務効率化のために適切に削除されるべきデータが残存していたことが判明しており、発注者からの信頼を損ねる要因となっています。

（３）事業の停止

業務システムが利用できなくなると、生産活動や営業活動が停滞してしまいます。

例えば、受発注業務ができない、メールが利用できず顧客からの問い合わせメールに応答できない等です。対象システムが中核となる事業を支えている場合、事業そのものの停止や取引先への影響も余儀なくされます。最悪のケースでは企業の存続にも影響が出てしまいます。

事例2：旅行情報サイトが不正アクセスされ、最大10万4,000人分の個人情報が社外に漏洩した可能性があると発表(2025年3月) ※3
不正アクセスによって会員の氏名、性別、生年月日、住所、電話番号、メールアドレス、暗号化されたパスワードなどが漏えいした可能性のある事例です。外部攻撃による情報漏えいは件数が膨大になる傾向があるだけでなく、業務が停止するケースも珍しくありません。また、一部の会員には旅行情報サイトに登録した個人情報が記載された不審なメールが届いており、被害が拡大すれば会員から損害賠償を受ける可能性もあります。

（４）従業員への影響

サイバーセキュリティ対策が不十分な職場環境は、従業員のモラル低下を招く大きな原因となります。

例えば、「サイバーセキュリティルールがあるにもかかわらず、その規定が徹底されていない」場合、従業員は「これくらいは問題ないはず」とルールを軽視した態度を取りがちです。

その結果、重大なセキュリティ事故が発生するリスクが高まります。そして事故が起きた際に、問題を引き起こした従業員のみを罰し、サイバーセキュリティルールを管理できなかった上司や管理職が責任を取らないような対応は、従業員の働く意欲を著しく損なう可能性があり、転職を検討するケースも出てくるでしょう。

さらに、従業員の個人情報が適切に保護されなければ、従業員から訴訟を起こされることも考えられます。ある経営者は、「個別の損害より、職場環境が暗くなったことが最も困った」と述べています。


このように、サイバーセキュリティ対策の怠りが、企業に対しての多大な損失を生むことをご理解いただけたかと思います。

次に、これらの損失以外に、経営者として負わなければならない責任について解説いたします。

２．経営者が負う責任

経営者がサイバーセキュリティ対策を的確に指揮しなかったことに起因する業績の悪化や、企業イメージの失墜などの責任は言うまでもありませんが、それ以外にも経営者が負うべき責任として「法的責任」と「社会的責任」が挙げられます。

（１）経営者などに問われる法的責任

企業の経営者や取締役には、民法･会社法により「取締役にふさわしく社会通念上当然要求されるレベルの注意を払って経営にあたる義務（善管注意義務）」を負い、「その任務を怠ったとき（任務懈怠（けたい）は、 株式会社に対し、これによって生じた損害を賠償する責任を負う。」と規定されています。

サイバーセキュリティについても、経営者や取締役としてベストを尽くさなかった結果、 情報漏えいや製品・サービス供給の停止などの他企業や第三者に損害が生じた場合、善管注意義務違反や任務懈怠に基づく損害賠償責任を問われます。

また、法律によっては違反等が発生した場合に、経営者や取締役、担当者に対して刑罰が科せられることもあります。
特に個人情報保護法やマイナンバー法に関する違反の場合は行為者だけでなく事業者にも罰則が科せられるケースがあります。
※3：末尾のリンク先に主な法律と処罰例を掲載（P.8～11）

（２）経営者などに問われる社会的責任

関係者や社会から適切に管理する条件でお預かりした情報を漏えいしてしまった場合に問われるのは、法的責任に加え、その情報の提供者や顧客などの関係者に対する責任もあります。

また、情報漏えい事故は、営業機会の喪失、売上高の減少、企業のイメージダウンなど、自社に損失をもたらすため、会社役員が会社法上の責任（会社に対する損害賠償責任）を問われ株主代表訴訟を提起されることもあり得ます。

さらには、取引先との信頼関係の喪失、業界全体のイメージダウンにもなってしまいます。

したがって、サイバーセキュリティ対策は、顧客・取引先・従業員・株主などに対する経営者としての責任を果たすためにも重要です。

このようにサイバーセキュリティ対策は、企業の存続と発展に欠かせない重要な要素です。経営者自身がサイバーセキュリティの重要性を理解し、積極的に関与することで企業のリスクを最小限に抑えることができるとお判りいただけたかと思います。

次回は、具体的なセキュリティ対策について解説いたします。


※本記事は令和6年度中小企業サイバーセキュリティ対策事業で制作された記事を最新情報等で更新したものです。


※1・4出典：独立行政法人情報処理推進機構（IPA）
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055520.pdf

※2・3出典：wiz LanScope
https://www.lanscope.jp/blogs/it_asset_management_emcloud_blog/20240308_19721/