サイバー攻撃による業務停止リスクを想定した契約書改定のポイント
免責条項はどう変わる?目次
急増するサイバー攻撃被害
近年、ランサムウェアを中心としたサイバー攻撃が急激に増加しています。
たとえば、ランサムウェアによって事業活動に不可欠なデータが暗号化されてしまった場合には、その復旧に成功するまでの間、事業が停止することとなります。
その場合、取引相手との関係では、納期を守れない等の債務不履行に陥ることとなり、賠償責任の問題が生じます。
本稿では、このようなリスクに備えるための契約書改定のポイントについてご説明いたします。
免責条項に「サイバー攻撃」を明記しておく必要性
債務不履行に陥った場合であっても、それについて債務者に帰責事由がない場合には、賠償責任を負うことはありません。
ですが、実際上は、機器やシステムになんらかの脆弱性があったがためにサイバー攻撃の被害にあったというケースが多く、無過失を主張することは必ずしも容易ではありません。
また、契約書上、「天災地変、戦争……など」といった一定の不可抗力的事象に関して免責条項が設けられていることがありますが、当該条項において「サイバー攻撃」が例として明記されている例はほとんどありません。
サイバー攻撃が、天災地変や戦争に匹敵するような不可抗力的事象であるといえるのか否かについてはどちらの考え方もあり得るところであり、有事が生じた際にはこの点が争われるものと想定されます。
したがって、これらの問題を回避するためには免責条項において、不可抗力的事象の例として「サイバー攻撃」を明記しておくことが望ましいといえます。
免責条項の限界
留意点①:重過失がある場合も免責が認められるのか
免責条項が重大な過失がある場合にも免責を認めるような内容である場合には、衡平性の観点から、その内容が限定的に解釈されたり、あるいは、条項自体が無効と解釈されたりしてしまう可能性があります。
免責条項が無効と解釈されるリスクを回避するためには、以下の条項例のように、重過失がある場合を対象外とした規定にしておくことが考えられます。
(条項例)甲及び乙は、天災地変、戦争・暴動・内乱、火災、労働争議、輸送機関の事故、感染症の流行、公権力による規制、通信回線の障害、サイバー攻撃(情報の窃取・漏出、情報の改変、情報ないしその可用性の喪失を伴うものを含むが、これらに限られない。)、当事者の支配の及ばないその他の緊急事態に起因して相手方に生じさせた損害については、責任を負わないものとする。ただし、故意または重大な過失により生じた損害については、この限りでない。
留意点②:消費者取引の場合
消費者を相手とする取引の場合には、いっそう注意が必要です。
消費者契約法第8条1項では、以下のような条項は無効となると定めているからです。
- 事業者の消費者に対する債務不履行・不法行為に基づく損害賠償責任を全面的に免責する条項
- 事業者の消費者に対する債務不履行・不法行為に基づく損害賠償責任について、事業者にその責任の限度を決定する権限を付与する条項
- 事業者側の故意・重過失による責任を一部免除・制限(上限の設定等)する条項
- 事業者側の故意・重過失による責任の限度を決定する権限を事業者に付与する条項
具体的にどのような条項が無効となるのか等については、経済産業省が策定した「電子商取引及び情報財取引等に関する準則」の「Ⅰ‐2‐5 契約中の個別条項の有効性」の箇所にて詳細な説明がなされており、とても参考になります。
留意点③:重過失が肯定されないために必要な取り組み
以上のとおり、消費者取引の場合であっても、そうでない場合であっても、免責条項に「サイバー攻撃」と明記するだけではじゅうぶんでなく、重過失が認められてしまうことのないような取り組みを実施しておく必要があります。
サイバー攻撃に備えた取り組みについては、「サイバーセキュリティ経営ガイドライン」(経済産業省)や「中小企業の情報セキュリティ対策ガイドライン」(独立行政法人情報処理推進機構 IPA)などが参考になります。
ただし、重過失が認められないために具体的にどこまでの取り組みを行っておく必要があるのかについては、まだ裁判例が集積されていないため明らかではありません。
私見ですが、重過失が認められることを防ぐためのみならず、サイバー攻撃の被害にあうことを予防するためにも、少なくとも、以下のような取り組みを行っておくことが有益であろうと考えております。
- OSやソフトウェアを常に最新の状態にしておくこと
- パスワードの強化・管理を徹底すること
- クラウドサービス上に保存した情報の共有設定(公開範囲の設定)を誤っていないかをしっかりと確認すること
- 不審なメールを開かないようにすること
- 上記①~④が実行されるよう、社内体制(従業員への周知徹底や、チェック体制等)を整備すること
- 一定頻度で定期的にIPAホームページにて、最近のセキュリティ脅威のトレンドや注意事項をチェックし、上記①~⑤のみでは対応が不足していると判断した場合は、適宜、従業員に注意事項を周知すること
契約書を改定する方法
既存の契約書に、サイバー攻撃に関する免責規定を追加する方法としては、必ずしも契約書全体の巻き直しが不可欠というわけではありません。
「原契約第○条(免責条項)を下記のとおり変更する」という内容の覚書を交わす等の簡易な方法でも可能です。
また、いずれの方法をとる場合であっても、免責条項に新たな例示記載(サイバー攻撃)を追記するのみであれば、印紙を貼用する必要はないものと思われます。
しかしながら、2022年11月現在、国税庁ホームページにて公開されている「質疑応答事例」には該当の照会・回答はありませんので、あらかじめ所轄の税務署にお問い合わせいただくことをお勧めいたします。
加藤&パートナーズ法律事務所所属弁護士、関西学院大学非常勤講師。企業法務を中心に取り扱っており、情報セキュリティ法務(情報漏洩発生時の対応、情報漏洩に関与した者に対する責任追及、営業秘密・個人情報の管理体制整備等)に注力している。
主な書籍に『弁護士・公認会計士の視点と実務 中小企業のM&A スキーム・バリュエーション・デューデリジェンス・契約・クロージング』、『株主管理・少数株主対策ハンドブック 会社内部紛争の予防、事業承継・М&Aへの備え方』(いずれも日本加除出版、共著)など。