ランサムウェア被害、取締役と法務は何を問われるのか？～サプライチェーン時代の"経営責任"と実務対応～

人事/総務/財務/法務

ランサムウェア被害、取締役と法務は何を問われるのか？～サプライチェーン時代の

法務・経営の視点から実務的に解説

No. K251943 99K251943

26/01/22 更新

講義のねらい
研修プログラム
注意事項
スケジュール

受講対象target

法務部門、経営管理部門、情報システム部門、コンプライアンス部門、監査部門、リスクマネジメント部門、総務部門など関連部門のご担当者様

講義のねらいoutline

サプライチェーンを襲うランサムウェア攻撃―企業は、事後にどこまで責任を問われるのか。

ランサムウェアをはじめとするサイバー攻撃は、もはや一部の企業だけの問題ではありません。

2025年には、アサヒGHDやアスクルがランサムウェア攻撃を受け、社員情報や取引先関連情報等が外部に流出した可能性を公表し、ダークウェブ上で犯行声明が確認されるなど、企業ブランドや取引先にも深刻な影響が及びました。

こうした事案は、自社のみならず、委託先やグループ会社を含むサプライチェーン全体に波及するリスクを内包しています。

ランサムウェア被害が発生した場合、事業停止や風評被害に加え、損害賠償請求、取締役の善管注意義務や説明責任、委託先管理の適否など、企業の判断や体制が事後的に厳しく検証される局面が生じます。さらに、「セキュリティ対策評価制度」や積極的サイバー防御法等の動向を踏まえ、企業には従来以上に合理的な体制整備と説明可能性が求められています。

本セミナーでは、実際のインシデント事例や裁判例、行政対応の動向を踏まえ、ランサムウェア被害発生時にどのような責任が問題となり得るのか、また、その責任を前提として平時にどのような契約・体制を整えておくべきかについて、法務・経営の視点から実務的に解説します。

主催団体organizer

本コースは、一般社団法人企業研究会が主催しております。

研修プログラム例program

【第1部】
ランサムウェア被害は「IT事故」では終わらない―企業は、何を理由に責任を問われるのか
1.ランサムウェア・不正アクセス被害の急増と最近の傾向
2.被害が自社にとどまらず、サプライチェーン全体に波及する理由
3.主要インシデント（アサヒ、MKシステム、LINEヤフー等）に共通する論点
4.ダークウェブでの情報拡散と、事後に問題となる二次被害リスク

【第2部】
被害発生後、企業と取締役は何を判断したと評価されるのか―事後検証の視点から見た法的責任
1.取締役の善管注意義務・内部統制義務が問題となる場面
2.委託元・委託先の責任関係と、管理体制が問われるポイント
3.「クラウド例外」を巡る法的整理と、誤解されやすい実務上の論点
4.身代金支払いを巡る法的問題と、経営判断の合理性

【第3部】
法令・制度は、企業にどこまでの対応を求めているのか―説明責任を果たすための実務水準
1.個人情報保護法に基づく報告・通知義務の実務上のポイント
2.会社法等における関連規制の整理
3.「セキュリティ対策評価制度」の概要と、企業実務への影響
4.経済安保と外為法・制裁リスクとの関係

【第4部】
事後に責任を問われないために―契約・体制設計の実務ポイント
1.安全管理措置と最新ガイドライン（NISC・個情法）の実務的水準
2.委託先・再委託先管理における契約・運用上の留意点
3.インシデント発生時を想定した社内連携・公表判断の考え方
4.不可抗力条項・責任限定条項を巡る実務上の限界

【第5部】
サイバーセキュリティ条項は、責任をどこまで切り分けられるのか―契約実務の具体的論点
1.セキュリティ義務条項と準拠基準（NIST、NISC等）の考え方
2.監査権条項・再委託対応を巡る実務上の注意点
3.サイバー保険の付保義務
4.取適法違反との関係

【まとめ】
本日の内容を、自社の契約・体制にどう落とし込むか―検討すべき実務上の視点整理

お問合せフォームへ