2023年12月4日　13:30～14:30に開催されたセミナーをコラム化した記事です。アーカイブセミナー本編では、本コラムでは記載していない「質問回答＆パネルディスカッション」も収録していますので、是非お申し込みください。

「サイバーセキュリティ対応の企業実務」出版記念シリーズセミナー
サイバーインシデントと損害賠償責任・対応費用

＜セミナー概要＞
サイバーインシデント発生時に発生し得る損害や費用について、費目ごとに具体的に説明します。
セミナー前半に執筆者による解説を行い、後半は皆様からお申し込み時に頂いた質問をもとにパネルディスカッションをいたします。

＜無料＞

１．サイバーインシデント発生により生じる損害の種類

まず初めに、サイバーインシデント発生によって生じ得る損害を、大きく3つに分類いたします。

1. 費用損害
   • サイバーインシデントが発生した場合、当該企業において様々な費用が発生することが想定されます。これらの費用がそのまま当該企業の損害、すなわち費用損害となります。
2. 賠償損害
   • サイバーインシデントが発生したことによって、当該企業ではない第三者に損害が発生した場合、その第三者がサイバーインシデントを発生させた当該企業に対して損害賠償請求をすることがあります。そのような損害賠償請求によって当該企業に生じる損害を賠償損害といいます。
3. 利益損害（逸失利益）
   • サイバーインシデントが発生した場合、当該企業において、例えば事業継続が一時的にできなくなり、本来得られるはずだった利益を得られなくなってしまった場合の損害を、利益損害（逸失利益）といいます。

２．費用損害とは

費用損害は、様々な費目が考えられますが、以下代表的なものについて説明します。

（１）初動対応費用

サイバーインシデント発生時に必要となる初動対応には、初期調査、被害拡大防止措置、証拠保全、(最低限の）業務復旧措置などが考えられますが、これらの活動に伴い、当該企業の従業員の残業代に加えて、アルバイトや外部セキュリティエンジニアなどの人件費が発生します。

この初動対応費用は、従業員の超過勤務手当単価やアルバイトや外部セキュリティエンジニアの単価に稼働時間を乗じて合計することで、おおよその見積額を出すことができます。

（２）弁護士費用

サイバーインシデントの発生は多くの企業にとって未経験の事態であることから、企業の担当者は何をすべきかが分からず、途方に暮れてしまう方も多いでしょう。

個人情報保護法上の義務内容、契約違反責任のリスク、インシデント発生時の通知・公表方法など、様々な疑問が生じます。そのような疑問を解決するには、サイバーインシデント対応に特化した弁護士事務所を頼る必要があり、弁護士費用が発生します。

弁護士費用は、基本的にタイムチャージによって算出されます。当該弁護士の単価かける稼働時間でおおよその弁護士費用を見積ることができます。

（３）デジタル・フォレンジック調査費用

サイバーインシデント発生時には、①個人情報保護法上の義務である個人情報保護委員会への報告に必要な情報を収集するため、②サイバーインシデントの原因を把握して、再発防止策を策定するため、③サイバーインシデントの影響範囲を明らかにして、取引先に対する説明責任を果たすためという三つの目的のために、デジタル・フォレンジック調査が必要となります。

デジタル・フォレンジック調査費用ですが、調査対象となるサーバーや端末の数に単価を掛けた金額で見積りを出すベンダーが多いと思います。

（４）ダークウェブ調査費用

企業が保有する個人情報や機密情報が漏えいした場合、それらがダークウェブ上で取引されることもあります。ダークウェブ調査を実施して、そのような取引が行われていることを確認できた場合は、そのことを前提とした対策を講じることが可能となります。ダークウェブ調査費用も損害に該当します。

（５）各種外注費用（コールセンター、メール・郵送 etc.）

サイバーインシデント発生後、本人通知や公表を行うと、影響を受けた方々から多くの問い合わせの電話が寄せられる可能性があります。社内だけで対応するには人手が足りず、通常業務に支障をきたす恐れもあります。

また、本人通知など、社内システムでは対応できない作業が発生する場合もあります。そのような場合には、DM業者やメール配送業者への外注が必要となります。

外注費用の見積りについては、社内リソースで対応できる部分と対応できない部分を区別し、外注が必要となる作業内容を決定して、外注先候補から見積りを取得することになります。

（６）人件費

サイバーインシデントが発生した場合の対応を行うために人件費が発生しますが、全ての人件費が損害として認められるわけではありません。

人件費のうち、既存の従業員についての基本給は通常支払うべきものであるため、サイバーインシデントが発生したことを理由として増加した費用とは言えず、損害に該当しません。

他方で、サイバーインシデント対応のために特に必要となった、既存の従業員に対しての超過勤務手当の支払いや、臨時雇用した従業員に対する給与の支払いは、まさにサイバーインシデントによって増加した費用であることから、損害に該当すると言えます。

３．賠償損害が発生する場合

企業に賠償損害が発生する場合をその原因で分類して、以下順に検討します。

（１）取引先の機密情報を流出させてしまった場合（漏洩自体が契約違反になる場合）

取引先との契約において、NDA（秘密保持契約）で定められた機密情報を漏洩させてしまった場合、漏えい自体が契約違反として、損害賠償責任を負うことになります。

その賠償損害がどの程度になるかについては、当該機密情報が漏えいしたことにより取引先がどの程度の損害を被るかによりますが、平時からデータの棚卸しをしておくことにより、データが漏えいした場合にどの程度の賠償損害が発生し得るかの予測を立てることが可能となります。

（２）業務システムが稼働しなくなることによって業務が停止した場合

データ漏洩自体が契約違反とはならない場合でも、サイバーインシデントによって契約違反を招くケースも考えられます。例えば、サイバーインシデントが原因で自社の業務システムが停止し、納品物の遅延やサービスの提供停止が発生した場合、相手方との契約に基づく債務の不履行となり、契約違反となる可能性があります。

納期遅延やサービスの提供停止により、取引先が損害を被った場合は、損害賠償請求の対象となるだけでなく、契約書に違約金条項が定められている場合は、違約金の支払い義務が発生することになります。

（３）クレジットカード情報が漏えいした場合

賠償損害としては、特殊な情報が漏えいしてしまったことによる賠償損害の発生を考える必要があります。

その1つがクレジットカード情報の漏えいです。

当該企業がクレジットカードの加盟店である場合、当該企業におけるクレジットカード情報の漏洩は、通常、クレジットカード会社ないしは決済代行会社との間の契約に違反することになります。

その場合、賠償損害として大きいのは、クレジットカード再発行費用ですが、漏洩件数に応じて、1件あたり1,000円～2,000円の費用をクレジットカード会社に支払う必要があります。漏洩件数が大規模な場合、当該企業にとって大きな負担となります。

（４）個人情報が漏えいした場合

個人情報が漏えいした場合ですが、裁判例によると、1件あたり数千円から数万円程度の賠償責任が発生する可能性があり、漏洩件数に応じて賠償損害額が膨らむことになります。

４．サイバーインシデント発生時の利益損害（逸失利益）

利益損害（逸失利益）の典型的な例としては、サイバーインシデントにより当該企業のECサイトが停止したことによる売上減少額です。

また当該企業が、金融業など法律上の許認可を受けなければ営むことができない業態である場合、サイバーインシデントの発生によって監督官庁から営業許可の停止処分を受けると、事業停止による利益損害が発生します。

事業中断以外の例としては、営業秘密の漏洩による競争優位性の喪失による利益損害の発生も考えられますが、その損害額の立証は難しい面があります。

５．さいごに

今回は、「サイバー攻撃発生時の損害賠償責任と対応費用について」というテーマで解説してきました。セミナー後半の「質問回答＆パネルディスカッション」をご覧になりたい方は、アーカイブ配信にお申し込みください。