検討:ランサムウェア攻撃を踏まえたNDA修正試案
|
Q. 昨今、会社の取引先がランサムウェアの被害に遭いました。幸い、私の会社からその取引先に対して営業秘密を開示していなかったため、弊社に被害が生じる可能性は低いのですが、開示をしている取引先が被害に遭わない保証はないため、とても不安です。ランサムウェア攻撃に備えて、NDA契約書などで対応できることはないでしょうか。 A.まず、NDA中に、取引先に漏えい等の事態が生じた際に、自社に報告義務を課す旨の条項を設けることが望ましいです。その際、ランサムウェア被害が生じた企業において、最終的にフォレンジック調査をしたとしても、漏えいの有無はわからない、という事態はまま起こること、令和2年改正個人情報保護法の条文などを参考に、「漏えい、滅失、毀損が生じ、又はそのおそれが生じた場合」として、厳密な意味で「漏えい」が「生じた」といえる場合以外にも対応できるようにしておくことが望ましいと言えます。加えて、損害額の算定が困難となることが想定されるため、違約金を定めておくことも考えらえます。 他方、責任追及の場面を限定するため、「サイバー攻撃」の例示を含めた不可抗力条項を設け、日ごろから情報セキュリティ体制を整えることが望ましいです。 |
参考資料等
・個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(2021年10月一部改正版。以下、「GL」という。)
・我妻栄他『我妻・有泉コンメンタール民法―総則・物権・債権―』(日本評論社・第4版・2016。以下「我妻コンメ」という。)
第1 問題の所在
昨今、ランサムウェアが日本中を騒がせています。ランサムウェアの被害に遭った企業に損害が生じることはもちろんですが、昨今のランサムウェア攻撃は、データの持ち出しを伴うことも多いです。このような場合には、企業間で締結されているNDA違反も当然問題となりますが、NDA違反の裁判例がそもそも少なく、ランサムウェア被害に遭った企業との間のNDA違反が問題となった裁判例は今まで耳にしたことがありません。そこで、以下では試案として、取引先がランサムウェア被害に遭った際に、有利な立ち回りができるNDA(反対に、自らを守ることができるNDA)として、どのようなポイントに注意すべきか検討してみたいと思います。
第2 NDAの修正ポイント(報告義務について)
1 報告条項を設けること
日本のNDAにおいては、そもそも一定の事態が生じたことを理由に報告義務を課す内容を定めていることが、そもそも稀です。したがって、まず、NDA中に報告義務を追加することが第一歩となります。
2 単に「漏えいが生じた場合」ではなく、「漏えい又はそのおそれが生じた場合」として、漏えいが確認できない状態であっても、報告すべき旨を定めること
仮に報告義務があったとしても、「甲及び乙は、秘密情報の漏えいが生じた場合には、遅滞なく相手方に報告する。」「甲及び乙は、秘密情報の漏えい又はそのおそれが生じた場合には、遅滞なく相手方に報告する。」等、報告義務の根拠事由は様々です。
ランサムウェア被害に遭った場合、ファイルが暗号化されていることは明らかですが、外部に情報が流出したかどうかは、フォレンジック調査を経た後であってもわからない、という事態はまま生じます。このような場合に、単に「漏えいが生じた場合」と記載するにとどまるNDAであっては、ランサムウェア被害にあった企業に、「漏えいが生じたかどうかは現時点で明らかでないから報告しなかった」との弁明をゆるしてしまう可能性が生じます。したがって、自らが開示した情報資産に漏えい危機が生じた際にいち早く情報共有を義務付けたいということであれば、単に「情報漏えいが生じた場合」と記載するのではなく、「漏えい又はそのおそれが生じた場合」と記載し、漏えいを疑わせる事態が生じた時点で報告義務の対象となることを明確にしておくことが望ましいです。
3 「漏えい」以外に、「滅失」、「毀損」の文言を追加すること
上記2の点でも指摘したとおり、情報が「外部に流出すること」という意味での「漏えい」は、ランサムウェア被害の発生時はもちろん、フォレンジック調査を経た後であっても不明であることはあり得ます。他方で、2022年4月1日から施行される令和2年改正個人情報保護法においては、上記の厳密な意味での「漏えい」に限らず、「個人データの内容が失われること」という意味での「滅失」、「個人データが意図しない形で変更されることや、内容を保ちつつも利用不能な状態となること」という意味での「毀損」が生じた(又はそのおそれが生じた)場合にも、個人情報保護委員会等への報告義務が生じる旨定められています(令和2年改正個人情報保護法22条の2)。
特に、GL56頁にて、個人データの毀損に該当する事例として、「ランサムウェア等により、個人データが暗号化され、復元できなくなった場合」が例示されており、個人情報保護法上は、少なくとも理論上、個人データがランサムウェアによって暗号化された時点で報告義務が生じるという立て付けになっています。
そのため、司法の場面での最終判断はいまだ不明ではあるものの、NDA中においても、「漏えい」以外に、「滅失」、「毀損」を追加しておくことにより、ランサムウェア被害が生じた時点で報告すべき義務を生じていると主張するとっかかりにすることができると考えられます。
第3 NDAの修正ポイント(損害賠償):違約金条項の追加
情報流出を伴う事件においては、情報流出によって被害企業に生じた損害はいくらか、という点が頻繁に問題となります。情報が流出したことによって、当該企業に具体的な損害がどの程度生じているかは、外観からはよくわからないことが多いためです。
このような不都合を解消するために、特に知的財産法分野では、損害の推定規定が設けられていますが(不正競争防止法5条など)、その恩恵を受けられるのは、あくまで当該法令の適用対象となる場合に限られます。したがって、NDA違反の損害賠償を追及する場面では、活用できる場面は限定的になってしまいます。
他方で、契約実務においては、一定の事態が生じた場合に、違約金を支払う旨の条項を定めることは一般的になされています。そこで、NDA中においても、違約金条項を定めることで、実損害の立証負担を回避しながら、企業が被った損害を一定填補することが可能となるため、活用することが考えられます。
その際、漏えいが実際に生じた場合に問題となる違約金とは別に、報告義務違反に違反した際に別個に問題となる違約金条項を設けるのが有効ではないかと考えます。実際に秘密保持義務違反が生じた場面での違約金と別個に、報告義務違反についても違約金を定めておくことで、取引先に対して報告義務の履行を促すという効果が生じると考えられるためです。
第4 NDAの修正ポイント:不可抗力条項の追加
最後に、ランサムウェア被害が生じた企業のお守りとなる不可抗力条項について検討したいと思います。
一般の契約書においても、人の力による支配・統制を観念することができない自然現象や社会現象、例えば、地震、津波、戦争等が生じた場合には、一方当事者が仮に契約上の義務を履行できなくても、その責任を免じる旨が定められていることが通常かと思います。そこで、これを応用して、ランサムウェア攻撃を含む「サイバー攻撃」を受けた場合には、NDA違反の責任を免じる旨を追加しておくことが望ましいです。
もっとも、「サイバー攻撃」を免責することもNDA上記載していたとしても、訴訟において必ずしも免責されるとは限らないと考えられます。といいますのも、一般に、不可抗力は、「外部からくる事実であって、取引上要求できる注意や予防方法を講じても防止できないものである。」と言われているためです(我妻コンメ775頁)。
したがって、企業の方々は、単に不可抗力条項に「サイバー攻撃」の文言を追加するのみではなく、ランサムウェア攻撃を含むサイバー攻撃に備え、セキュリティ体制を常に見つめなおす姿勢が重要です。
