世界的かつ急速なデジタル化の浸透により、企業は取り扱うデータや提供サービス、生産システムなどの開発・運用・破棄といった工程の一部または全てを取引先企業やシステム運用企業に任せるようになり、他社との「サイバーリスクの相互依存関係」がますます拡大しています。この結果、サイバーインシデントが発生すれば、その影響は瞬く間に取引先など利害関係にある複数の企業へと波及し、とりわけ海外においては、当該影響に伴う損害に対し企業同士が損害賠償請求を法廷で争うなど、ビジネス上の紛争リスクが顕在化しています。各国で急速に整備されるサイバーセキュリティやプライバシー関連法規制により、これらの紛争リスクは、企業間の問題にとどまらず、消費者や株主から訴訟を起こされるリスクを内包しています。
これらのことから、グローバル企業のセキュリティ責任者は、サイバーインシデントへの技術的対応だけでなく、法的対応も求められ始めています。一方で、国内企業は、このようなリスクに対して、適切かつ十分な備えができているでしょうか。
PwCコンサルティング合同会社(以下、PwCコンサルティング)では、国内企業が今後直面するであろうサイバーインシデントによるビジネス上の紛争リスクの実態把握を目的に、国内企業の管理職以上を対象としたアンケート調査を実施し12,074名から回答を得ました。また6名の有識者へのインタビュー調査を実施しました。それらの結果を踏まえて、企業が当該リスクにどう対処すべきかについて考察します。
実態調査からみる「取引先のサイバーインシデントに起因する『ビジネス上の紛争リスク』11の傾向」
取引先のサイバーインシデントに起因するビジネス上の紛争リスクの実態調査に先立ち、PwCコンサルティングは、国内企業に従事する管理職・経営層の12,074名を対象としたアンケート調査を実施しています。さらにサイバーインシデントに起因するビジネス上の紛争経験を有する6名の有識者(国内外企業におけるサイバーセキュリティ責任者〈CISOなど〉および弁護士など)へのインタビュー調査を分析した結果、国内企業における「取引先のサイバーインシデントに起因する『ビジネス上の紛争リスク』11の傾向」が明らかになりました(図表1)。
※各傾向のデータ詳細はPDFレポートをご参照ください。
図表1:取引先のサイバーインシデントに起因する「ビジネス上の紛争リスク」11の傾向
サイバーインシデントに起因する紛争が国内でも顕在化
インシデント経験企業の半数が「自社に対する損害賠償請求」を経験
損害賠償請求金額は1,000万円以上が4割、10億円以上の割合は1割存在
今回の調査において、最も注視したいことは、サイバーインシデント経験企業の5割が、当該インシデントに起因する損害賠償請求を受けたと回答したことです(図表2:左)。請求者の属性を確認すると、「①個人」カテゴリーでは「消費者(個人)から」の請求が最も多く回答の約半数を占めました。株主から請求されたことがあるとした回答者は2割に上りました。「②企業」カテゴリーでは、「取引先企業(発注元・顧客)から」が最も多く3割となりました(図表2:右)。さらに、損害賠償請求額(図表3)をみると、「1,000万円以上請求」が4割、「10億円以上請求された割合」が1割近く存在し、多くの企業にとって、サイバーインシデントを金銭的損失リスクと位置づけざるを得ない段階に達しつつあります。
図表2:損害賠償請求を伴う紛争の発生状況
図表3:損害賠償請求額
取引先企業との紛争解決手段の6割が「示談交渉」で和解、1割が訴訟へ発展
国内企業はどのような紛争解決手段をとっているかインタビュー調査で確認すると、サイバーインシデントに起因する紛争解決手段には、主に「示談交渉」「調停」「訴訟」の3つがあり、中でも「示談交渉」が多く、「訴訟」も少ないながら増加傾向にあることが分かりました。アンケート調査で取引先等の企業から損害賠償請求をされたと回答した企業(n=259)に企業間の紛争の終結手段を確認したところ、取引先企業(発注元、委託先、ITインフラ事業者など)では、58%が「示談交渉」、40%が「調停」、14%が「訴訟」に発展したと回答しました。中でも「ITインフラ事業者(クラウドやアプリなど)」に損害賠償請求されたグループ(n=76)を確認すると、「示談交渉」が66%で最も多く、「調停」は53%で他グループと比較し30ポイント程度高くなり、「訴訟」も22%と他グループと比較し18ポイント高くなりました(図表4)。これらから、ITインフラ事業者との取引の中で生じたサイバーインシデントでは、損害賠償請求を伴う紛争発生リスクが多取引先企業よりもやや高い傾向があるため、セキュリティ責任者は、より留意する必要があります。
図表4:紛争の解決手段(相手方からの損害賠償請求を伴う紛争)
インシデント経験企業、9割が「サプライチェーン管理」を見直し、半数が「サイバーセキュリティ関連法の動向」を追う
インシデント経験後サプライチェーン管理を見直した企業は9割、うち9割が「委託先選定基準」を改定
インシデント経験企業の半数がサイバーセキュリティ関連法を「3カ月ごとに確認」
インシデント経験企業(n=1,052)にインシデント発生後の改善策について確認すると、9割が「サプライチェーン管理を見直した」と回答しました(図表5)。中でも「委託先の選定基準の見直し」が90%と最も高く、多くの企業で「委託先選定時点」でのサイバーリスクを考慮した適切なセキュリティ評価が不足していたと読み取れ、「セキュリティ上懸念のある企業へ委託可能」な状況が常態化していたと推察されます(具体的な「委託先選定基準に盛り込んでいる項目」はPDFレポートをご参照ください)。
さらに特筆したい点として、インシデント経験企業(n=1,052)の半数以上が「サイバーセキュリティ関連法」を確認するとしていることがあります。その「確認頻度」は、「確認する」と回答した企業(n=492)の7割が半年に一度以上確認していることが明らかになりました(図表6)。背景には、ここ数年でサイバーセキュリティ関連法、特にインシデント報告に関する各国の法規制の成立・施行が相次いでいることがあります。国内企業にとっても、対応を余儀なくされるケースが増加傾向にあり、事実、PwCコンサルティングへの依頼もこれに呼応して急増しています。
図表5:サプライチェーン管理を見直した割合と具体策
図表6:サイバーセキュリティ法規制確認頻度と具体的なサイバーセキュリティ関連法(n=492)
サイバーセキュリティ関連法の動向把握は「外部専門家」を活用
セキュリティ関連法動向の把握手法について自社専門部門だけでなく「コンサルタント」や「法律事務所」など、外部専門家をうまく活用する割合が上位
では、企業はサイバーセキュリティ関連法の動向をどのように把握しているのでしょうか。アンケート調査で把握方法を確認したところ、「社内法務チームによるモニタリング」が最も高く7割、次いで「コンサルタントからのアドバイス」が6割、「法律事務所からのアドバイス」が6割弱と、国内企業は自社専門部門に加えて外部専門家をうまく活用していることが明らかになりました(図表7)。インタビュー調査においても、複数の海外企業がコンサルティング会社に動向調査を依頼しており、その理由として、「法規制の知見」および「テクノロジーの知見(実装・運用・インシデント対応経験などを含む)」の両領域からアドバイスが受けられることを利点として挙げています。
図表7:サイバーセキュリティ関連法の確認方法
取引先(サプライチェーン)を持つ企業への推奨事項
本調査から「取引先のサイバーインシデントに起因する『ビジネス上の紛争リスク』11の傾向」を示しました。これらの傾向を受けて、サプライチェーンを持つ、特に海外の取引先やビジネス展開をする国内企業は、以下3点を実施することを推奨します(詳細はPDFレポートをご参照ください)。
- サプライチェーンの取引状況や共有する機密情報の現状把握
- ビジネス上の紛争リスクに備えた委託先選定・契約・運用となっているか見直し
- 国内外の「サイバーセキュリティ関連法規制」のモニタリング
調査概要
| 調査名 | 取引先のサイバーインシデントに起因する「ビジネス上の紛争リスク」に関する調査 |
| 調査対象 | アンケート調査 国内企業における以下業務従事者 課長職以上の管理職および経営層(12,074名) 課長職以上の管理職および経営層かつ、現職において、インシデント経験者(1,052名) インタビュー調査 国内外企業のサイバーセキュリティ責任者であって、インシデント起因とする紛争対応経験者(3名) 弁護士であって、インシデント起因とする紛争対応経験者(3名) |
| 調査方法 | インターネットによるアンケート調査、および有識者へのインタビュー調査 |
| 調査期間 | アンケート調査:2025年6月10日~6月13日 インタビュー調査:2025年5月~6月 |
| 回答者数 | アンケート調査:12,074名(分析軸:インシデント経験企業1,052) インタビュー調査:6名(セキュリティ関連の紛争担当経験のある国内外企業のセキュリティ責任者および弁護士など) |
図表8:アンケート調査における回答者属性
