ランサムウェアへの感染被害により生じる取引先への契約責任と不可抗力条項の定め方

IT・情報セキュリティ

 ランサムウェアによるサイバー攻撃で被害を受けた場合、取引先との関係においてどのような契約責任が発生しますか。また、その契約責任を軽減させるための方法はありますか。

 昨今のランサムウェアによるサイバー攻撃には、①感染端末内のデータの暗号化と②データの窃取という2種類の被害が引き起こされる点に特徴があります。
 取引先との契約関係でいえば、①の被害については事業継続性が損なわれる結果、商品やサービスを提供する義務に係る履行遅滞や履行不能の問題が生じ得ます。②の被害については取引先から受領したデータが窃取される結果、機密保持義務違反の問題が生じ得ます。
 いずれも債務不履行の問題が生じ得るため、契約書に不可抗力条項を設け、かつ不可抗力事由の中に「サイバー攻撃」を加えておくことが有用です。

解説

目次

  1. ランサムウェア攻撃の特徴
  2. ランサムウェアによる被害を受けた場合に生じ得る契約責任
    1. 感染端末内のデータの暗号化
    2. データの窃取
  3. 契約上の対応
    1. 不可抗力条項
    2. 不可抗力条項の限界

ランサムウェア攻撃の特徴

 ランサムウェアと呼ばれるマルウェアによるサイバー攻撃が増加傾向にあります。ランサムウェアに感染すると、端末内のデータが暗号化されて利用できなくなり、復号(復旧)の対価として身代金(ランサム)が要求されます。
 昨今では、データの暗号化に加えて、データを窃取したうえで、そのデータを公開しないことの対価として身代金の要求を行うケースも見られます。
 データの復旧、および窃取したデータを公開しないことと引き換えに身代金が要求される点で「二重の脅迫」とも呼ばれています 1

 「サイバー攻撃により情報を窃取したハッカーから金員の支払いを要求された場合の米国法上の留意点」では、ランサムウェアの支払いに係る海外の動向を紹介しました。本稿では、取引先との契約関係において、ランサムウェアによるサイバー攻撃を受けた場合に生じ得る契約責任およびその対応策としての不可抗力条項について紹介します。

ランサムウェアによる被害を受けた場合に生じ得る契約責任

 上記1のとおり、昨今のランサムウェアによるサイバー攻撃は、その特徴として、以下の2種類の被害を引き起こします。

  1. 感染端末内のデータの暗号化
  2. データの窃取

感染端末内のデータの暗号化

 ①の被害の結果、販売管理システムや財務会計システムなどの基幹システムに障害が発生すると、事業継続性が大きく損なわれることになります。代表的な事例として、2021年5月に報道された米国の石油パイプラインの最大手Colonial Pipeline Company(以下「コロニアル社」という)に対するランサムウェア攻撃をあげることができます。コロニアル社では、ハッカー集団からランサムウェア「Darkside」による攻撃を受けたことが2021年5月7日に発覚しました。この攻撃は、まさにデータの暗号化と窃取という二重の脅迫型とされており、身代金として75ビットコイン(当時の価値で$4.3 million)の要求がなされました。コロニアル社は米国東海岸の燃料消費の半分近くのシェアを占める社会的インフラを担う企業であるところ、このサイバー攻撃を受けてからすべてのパイプラインが再稼働するまでにおよそ約1週間掛かったとされており、ランサムウェアが引き起こす被害の深刻さが浮き彫りになりました。
 こうした被害が発生した場合、商品やサービスを提供する義務に係る履行遅滞や履行不能を伴うため、取引先との関係において、債務不履行責任の問題が生じ得ます

データの窃取

 データ窃取による被害においては、企業のファイルサーバから大量のデータが窃取されることとなりますが、当該ファイルサーバに取引先から受領したファイルデータが保存されていた場合には、当該データの流出を伴うことになります。取引先から技術情報や顧客情報などのデータを受領する場合、機密保持契約(以下「NDA」といいます)を締結することが一般的であるため、ランサムウェア攻撃によりデータが流出した場合には機密保持義務違反の問題が生じ得ます

契約上の対応

不可抗力条項

 2のような契約上の責任が問題となる場合に備えて、各契約書に以下のような不可抗力条項を加えることが考えられます。

 本契約の不履行又は履行遅延が生じた場合、かかる不履行または遅延が当事者の合理的な管理が及ばない要因により生じた場合においては、当事者は責任を負わないものとする。かかる要因には、天災、戦争、サイバー攻撃、内乱、反乱、革命、テロ、大規模火災、ストライキ、ロックアウト、法令の制定・改廃その他のあらゆる不可抗力の事態を含むが、これに限定されるものではない。

 不可抗力条項自体は一般的な規定ですが、その不可抗力事由として「サイバー攻撃」を明記しているケースはそれほど多くないというのが実務上の印象です。
 不可抗力条項は、契約の拘束力に対する重大な例外であるため、不可抗力事由への該当性が当事者間において重要な争点となります。
 そのため、サイバー攻撃を不可抗力事由に明記していないと、仮にサイバー攻撃以外の不可抗力事象を例示列挙した不可抗力条項が存在し、かつ、実際に生じたサイバー攻撃が万全のセキュリティをもってしても防ぎ難い高度なレベルのものであったとしても、不可抗力該当性を争うことは事実上困難となります。

不可抗力条項の限界

 3-1のとおり、不可抗力条項は契約の拘束力に対する重大な例外であるため、その適用範囲は限定的に解釈される可能性があります。
 すなわち、「不可抗力」該当性判断に際して、「『外部的障害』について、契約時(または契約後)において、通常要求される注意義務(結果回避義務)を尽くしており、『外部的障害』が生じていることについて予見可能性がないことが前提となる」との見解 2 が存在します。

 本稿の文脈でいえば、被害企業において不可抗力を主張するためには、前提としてランサムウェアによるサイバー攻撃の対策として通常要求されるセキュリティ対策を実施していることが必要となります。換言すれば、十分なセキュリティ対策を実施してない場合には、契約書にサイバー攻撃を明示した不可抗力条項を加えていても、その該当性が否定される可能性がある点に留意が必要です。


  1. 独立行政法人情報処理推進機構(IPA) セキュリティセンター「【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について」(2020年8月20日最終更新) ↩︎

  2. 渡邉雅之「福島第一原発事故で議論高まる『不可抗力』の定義と適用」(ビジネス法務2011年8月号)22頁以下 ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する