(1) アサヒビールやアスクルに対してのサイバー攻撃により大きな影響がでていることは、皆さまもご存じのことと思います。当事務所でもアスクルを利用させていただいてたので、いろいろと困っているところだったりします。

 

(2) このようなサイバー攻撃を受けた企業の損害は甚大です。取引先との関係でも債務不履行などの責任が生じるおそれがあります。そのような事態を事前に予防するために、契約条項を整備しておくべきと言われます。

具体的には、不可抗力条項や免責条項に「サイバー攻撃」を列挙しておくということになります。例えば、「当社は、天災地変、火災、…サイバー攻撃その他の不可抗力により、利用者が本サービスを利用することができなくなった場合でも、これにより利用者に生じた損害について、一切の責任を負わないものとする」といった条項例でしょうか。一般的な不可抗力条項にサイバー攻撃が挙げられていないことも多いようですので、なければ追加することも考えるべきでしょう。（なお、賠償制限条項が設けられることも多くありますが、ここでは省略します。）

ただ、これで万全というわけにはいきません。天変地変などと並べての「不可抗力」ですから、相当の注意をすれば防止できるサイバー攻撃に起因する損害については、免責が認められない可能性が高い、とも言われます（八雲法律事務所 『実務解説サイバーセキュリティ法』75頁（中央経済社、2023年））。

 

(3) 結局のところ、企業の規模などに応じた適切なセキュリティ対策が施されていなければならないということなりそうです。とはいえ、中小企業では、サイバーセキュリティに関わる人手と予算はなかなかとれないのが実情だと思います。まずは、少しずつサイバーセキュリティに対する意識を高めていくことが必要でしょう。

サイバーセキュリティ以前の問題なのかもしれませんが、独立行政法人情報処理推進機構（IPA）では、中小企業向けに「情報セキュリティ5か条」なるものを示しています（https://www.ipa.go.jp/security/security-action/onestar/）。「OSやソフトウェアは常に最新の状態にしよう！」、「ウイルス対策ソフトを導入しよう！」といったかなり基本的な内容ではあるのですが、なかなか実践できていないのが実情ではないでしょうか。日経新聞によれば、なお国内企業のPCの約1割がウィンドウズ10のままということです（日経新聞「Windows10サポート終了　企業PCなお1割が利用、高まる攻撃リスク」（2025年10月14日電子版）（https://www.nikkei.com/nkd/company/article/?DisplayType=1&ng=DGXZQOUC10AY40Q5A011C2000000&scode=2502&ba=1，2025年11月8日最終閲覧））。まずは、ここから始めないといけないようです。私自身も肝に銘じておきたいと思います。