あなたが加害者に？サイバーリスクを正しく理解！【サイバーリスクの３分類】

このブログは第三者配信の広告サービス（Googleアドセンス）およびその他の広告（アフィリエイト（PR）を含む）からの収入を得ています。

2021年9月6日

今回は、サイバーリスクの３つの分類についてご説明いたします。

「サイバーリスク＝サイバー攻撃」ではない

「リスク」とは「損失が生じるかもしれない不確実性」のこと

今や日常生活や業務においてインターネットなどのサイバー空間を使わずには成り立ちません。サイバーリスクに関するニュースが報道されない日はないくらいですが、「サイバーリスク＝サイバー攻撃」と誤解されている方が多いようです。

その誤解を解くために、まずリスクについてご説明します。

リスクとは「損失が生じるかもしれない不確実性」のことです。言い換えますと「リスクがある」ということは損失の脅威ににさらされているということです。

したがって、「サイバーリスク」は「サイバー空間（コンピューターネットワーク）を介して損失が発生するリスク」と言えます。

サイバー攻撃は、サイバー空間を介して損失が発生する原因・きっかけの一つにすぎません。サイバー攻撃以外にも、コンピューターネットワーク（サイバー空間）を介在して被害を受けるリスクがあります。

もし、サイバー攻撃によって被害を受ける可能性について言い表すのであれば「サイバー攻撃によるリスク」というべきです。多くの方が「サイバー攻撃によるリスク」のことを「サイバーリスク」と認識されているようです。

まずはサイバーリスクを正しく理解することが大事

ここでは、サイバー攻撃の種類についてではなく、サイバーリスクを３つの分類に分けて解説します。

資産のリスク
事業収益のリスク
賠償責任のリスク

サイバーリスクのタイプや損失の影響を知ることが、正しいサイバーリスク対策につながります。

資産のリスク

有形資産

「うちはオンラインビジネスをしていないからサイバーリスクとは無縁」と思う方もいらっしゃるかもしれません。あるいは「うちにはウェブサイトすらないから大丈夫」とも思われるかもしれません。

しかしながら、今どき発注や受注を電話やファックスだけで行いますでしょうか。代金支払いのために毎日銀行に出向きますでしょうか。顧客リストは紙のリストだけでしょうか。

現在ではそれらの業務の多くはコンピューターネットワーク（サイバー空間）を介在して行われます。そしてそれら業務のためにはコンピューターが使われます。

仮に、業務用のコンピューターがウイルスによって故障し、使用不可能となれば、有形資産に対する損害となります。

サイバーリスクによって損失を被る有形資産としては他に、サーバーやスマートフォン、タブレット端末などがあります。なお、インターネットにつながる有形資産は電子機器に限られません。最近では照明器具や冷蔵庫、車などもインターネットにつながっています。

これらインターネットにつながる製品は増える傾向にありますので、それに伴い、サイバーリスクにさらされる有形資産も増えることになります。

無形資産

無形資産とは、手に触れることのできない資産、非物理的な資産です。

かつては紙で有形的に保管されていた顧客情報は、今やほとんどが電子データに置き換わっています。一台のパソコンの中に、キャビネット数百個分以上の顧客データを蓄積することができます。したがって、これらのパソコンの顧客データのすべてが一瞬にして失われた場合の影響は計り知れません。

サイバーリスクで損失を受ける無形資産には、顧客データ以外にも次のようなものがあります。

業務上の機密情報
知的財産
ソフトウエア

最近では、特に企業の機密情報をターゲットとしたサイバー攻撃が増加しています。機密情報を得る目的でサイバー攻撃を仕掛けるほか、金銭（身代金）を目的として機密情報にアクセスする手口が急増しています。

事業収益のリスク

もし組織の有形・無形の資産がサイバー攻撃などによりダメージを受けた場合、事業の中断を余儀なくされる場合があります。

事業中断の結果、収益の減少や追加の支出による損失を被るおそれがあります。これが事業収益のリスクです。

なお、事業中断を未然に防ぐため、あるいは発生した事業中断の被害を軽減するのための管理手法を「事業継続マネジメント（BCM）」と言います。

事業収益のリスクはさらに以下の２つに大別されます。

収益減少のリスク
追加支出のリスク

収益減少のリスク

もし、組織がサイバー攻撃により、コンピューターネットワークが中断されオンライン業務ができなくなったり、電子データが破壊されたりすると事業の中断を余儀なくされます。

ビジネスの中断により本来得られるべきであった売上が減少すれば、それはそのまま収益の減少という形で損害になります。これが収益減少のリスクです。

なお、事業中断の原因はサイバー攻撃だけに限られません。例えば、顧客からウェブサイトへのアクセスが集中したり、自社のウエブサイトのレンタルサーバーが何らかの理由でシャットダウンしてしまったりした場合も事業中断の原因となりえます。

また、収益減少のリスクの原因が、自社へのサイバー攻撃や自社のコンピューターネットワーク上の不具合ではない場合もあります。

例えば、製造業Aは、取引先Bの部品注文システムを使って必要な部品を購入し、自社製品を作っているとします。もし取引先Bの部品注文システムがサイバー攻撃を受け、使用不可能となってしまった場合、製造業Aは、取引先Bから必要な部品を購入することができなくなってしまうかもしれません。

取引先Bからの部品がなければ製品が作れない製造業Aは、事業中断を余儀なくされなくなるかもしれません。

このように、自社以外の、外部のサイバー上のアクシデントが、自社の事業中断や収益減少を引き起こす可能性もあります。

追加支出のリスク

追加支出のリスクとは、事業中断からの復旧のために追加コストがかかるリスクのことです。なお、追加支出のことを「営業継続費用」と呼ぶこともあります。

サイバー上のアクシデントによって、通常であれば負担することのない費用を負担しなければならなくなることで、損失を被ることになります。

追加支出には次のようなものがあります。

システム、ウェブサイト、データの復旧費用
損害の原因調査費用
仮サイトの立ち上げ
復旧に従事した従業員の時間外労働の補償

賠償責任のリスク

サイバーリスクは、被害者となることのリスクだけではありません。加害者となって第三者に損害を与えてしまうことで、賠償責任を負うリスクもあります。

身体障害・財物損壊の賠償責任リスク

身体障害の賠償責任リスク

ソフトウエアや電子データ、ウェブサイトを取り扱う企業は、加害者となって身体障害の賠償責任を負うケースがあります。

例えば、あなたの企業が医療機関向けのソフトウエアを開発している企業だとします。そして、そのソフトウエアは本来の機能であれば、患者の症状に合わせて最適な処方箋を最新AI技術を使って導き出すものだとします。

このソフトウエアの設計ミスにより、ユーザーである医療機関が患者に正しくない薬を処方したことで、患者の容態が悪化してしまった場合を想像してください。

当然、このソフトウエアを使用した医療機関、患者やその家族は、患者の容態悪化の原因はソフトウエアの設計ミスにあるとして、あなたの企業にその補償を求めるでしょう。

財物損壊の賠償責任リスク

サイバー上のアクシデントによって財物の賠償責任を負うケースもあります。

ここでは、金融機関向けのプログラムを開発している企業を例に挙げます。この企業が開発するソフトウエアが、ある金融機関で採用され、その金融機関の基幹システムとネットワークで接続されているとします。

ある時、このソフトウエアのアップデートに不具合があったため、この金融機関の基幹システムに物理的な損害を与え、修理困難な状態にしてしまったとします。その結果、金融機関は基幹システム復旧のため多額の時間と費用を費やすことを余儀なくされます。

プログラム開発企業は、基幹システムという財物損壊を引き起こしたアップデートの不具合の責任を取り、多額の補償に応じなければならないことになってしまいます。

このような例が、サイバー上のアクシデントによって財物の賠償責任を負うケースです。

人格権侵害および宣伝障害の賠償責任リスク

人格権侵害および宣伝障害の賠償責任リスクには以下のようなものがあります。

不当勾留
悪意のある訴追
誹謗（ひぼう）中傷、名誉毀損
侮辱
非難
プライバシー侵害
他人の宣伝手法の盗用
事実に基づかない宣伝

サイバー上でこれらの行為を行ってしまった場合は賠償責任のリスクを負うことになります。事例は以下の通りです。

本来厳重に保護しなければならない、個人情報が含まれた顧客データが、外部から容易にアクセスできるようになっていたり、流出してしまったりした結果、プライバシー侵害としての賠償責任を負う
オンライン上のチャットルームを運営する会社が、チャットルーム上のユーザー同士の誹謗中傷の原因が運営会社のずさんな情報管理体制にあるとして訴えられる
オンライン上で販売を手掛ける小売店A社が、B社の製品を「１日３回使っても１年間は壊れない」と宣伝したが、実際には１日３回の使用で半年で壊れてしまった。その結果、A社は購入者から事実に基づかない宣伝の責任を問われた