ランサムウェア被害を受けた場合の法務対応上の留意点
第3回・完 取引先対応上の留意点
八雲法律事務所
弁護士 山 岡 裕 明
弁護士 千 葉 哲 也
弁護士 柏 原 陽 平
ランサムウェア(身代金要求型ウイルス)が猛威を振るっている。情報システムが停止に追い込まれたり、個人データや機密データが人質に取られたりした際、法務としてどのような対応をとるべきか。
本連載では、個人情報保護法対応、対外公表、取引先対応をそれぞれテーマにランサムウェア攻撃を受けた場合の法務対応上の留意点を3回にわたって紹介する。
第3回・完 取引先対応上の留意点
第1回で紹介したとおり、ランサムウェア攻撃では事業基盤たる情報システムを暗号化されると事業継続の中断が引き起こされる結果、取引先との関係ではサービスや納品の履行が遅滞することとなる。
データ窃取型のランサムウェア攻撃においては、取引先から受領したデータも窃取されることとなる。
そのため、ランサムウェア攻撃を受けると、取引先との関係において以下のような対応が必要となる。
1 契約上の責任
ランサムウェア攻撃によりサービスの停止や納品の履行が遅滞することとなる場合、履行遅滞に基づく契約責任が問題となる。
たとえば、SaaSサービスなどの継続的なサービス契約の場合は、その利用約款に基づいてサービス停止期間中の利用料金の一部返還や翌月分の利用料金との相殺を検討することとなる。この検討にあたっては、利用約款の中に損害賠償額を制限する条項や、サイバー攻撃を受けた場合の免責を定めた条項が規定されているかどうかの確認が必要となる。
この記事はプレミアム向け有料記事です
続きはログインしてご覧ください
(やまおか・ひろあき)
八雲法律事務所 弁護士(日本・カリフォルニア州) 情報処理安全確保支援士
University of California, Berkeley, School of Information修了(Master of Information and Cybersecurity(修士))。内閣サイバーセキュリティセンター(NISC) タスクフォース構成員(2019〜20、21〜22)。「サイバー安全保障分野での対応能力の向上に向けた有識者会議」構成員(2024)。
(ちば・てつや)
八雲法律事務所 弁護士 情報処理安全確保支援士
一橋大学法学部卒業、中央大学法科大学院修了。税務大学校非常勤講師(商法演習)(2021~2022)。関連論考として「サイバーリスク関連情報開示の実務ポイント」旬刊経理情報(2023)52頁。
(かしはら・ようへい)
八雲法律事務所 弁護士 情報処理安全確保支援士
関西学院大学法学部卒業、中央大学法科大学院修了。総合商社を経て現職。税務大学校非常勤講師(商法演習)(2023年~)。関連論考として「サプライチェーンにおけるサイバーセキュリティ体制構築上の法的留意点」旬刊経理情報No.1668(2023)49頁。
八雲法律事務所 https://www.ykm-law.jp/
サイバーセキュリティ法務に特化した法律事務所。八雲Security & Consulting株式会社とともに企業のサイバーセキュリティ体制構築支援やサイバー攻撃を受けた際のインシデントレスポンス支援を専門とする。主な編著として『実務解説 サイバーセキュリティ法』(中央経済社、2023)および『法律事務所のサイバーセキュリティQ&A』(中央経済社、2024)。
[8月29日開催]山岡裕明先生ご登壇
トムソン・ロイター×商事法務「ビジネス・ロー・スクール」共催 無料セミナー
「サイバーセキュリティの基本とサイバーリスクDDの実務」
https://www.westlawjapan.com/e