サイバーリスク、うちは関係ない？

サイバーリスク、うちには関係ない？

警察庁などの公表データによると、日本国内では年間1万件を超えるサイバー犯罪が確認されており、ランサムウェア被害だけでも毎年数十〜100件前後が公表されています。また、帝国データバンクが実施した全国調査では、企業の約6.7％が「直近1か月以内にサイバー攻撃を受けた、またはその可能性がある」と回答しています。
この調査は、大企業・中小企業・小規模企業を含む全国の企業を対象に行われており、中小企業に限って見ても約7％前後、小規模企業では約8％という結果が出ています。サイバーリスクはすでに企業規模を問わない問題であることが分かります。

サイバーリスクはITの話?

サイバー事故というと、高度なハッキングや専門的な技術などを想像しがちです。ですが、実際に起きている多くの事案は、

メールの添付ファイルを開いた
URLをクリックした
パスワードを入力してしまった

といった、日常業務の延長線上で起きています。つまり、サイバーリスクは特別な企業だけの問題ではなく、どの会社にも起こり得る「業務上のリスク」だと言えます。

実際に多いサイバーリスク

① メール1通で業務が止まるリスク

ある日突然、

パソコンが使えなくなる
ファイルにアクセスできない
社内システムが停止する

こうした状態になるケースがあります。原因は、特別な操作ではなく、「いつも通りのメール対応」だった、ということも少なくないようです。結果として、

業務が止まる
納期や取引に影響が出る
取引先への説明が必要になる

といった、経営判断を伴う問題に発展しています。

② 委託先・外注先経由で巻き込まれるリスク

自社では特に問題がなくても、

外注先
会計・労務・IT関連の委託先
利用しているクラウドサービス

こうした先でトラブルが起き、自社の情報や業務が影響を受けるケースもあります。この場合、

原因は自社にない
しかし説明責任は自社

という状況となります。

③ 事故時の対応が「何も決まっていない」リスク

実際サイバー事故にあわれた企業様からお聞きすると、次のような声をよく聞きます。

どこに連絡すればいいか分からない
公表すべきか判断できない、国への報告義務があることを知らなかった
加入している保険の対象にならなかった

つまり、事前の備えがまったくないと、

初動対応
説明責任
保険・法的対応

が重なり、判断が難しくなります。

サイバー事故による損失

サイバー事故は、金銭的な損害だけではありません。

取引先からの信用
社内外への説明
経営者自身の判断負担

つまりサイバーリスクはITの問題ではなく、経営管理・リスク管理の問題となっています。

まとめ

年間1万件を超えるサイバー犯罪、そして「直近1か月以内に約7％の企業が攻撃を受けた、またはその可能性がある」という調査結果。これらは、特定の業種や規模だけの話ではありません。

起きたときの影響は大きく
初動対応で差がつき
説明責任が重くのしかかる

という点では、他のトラブルと内容は同様です。

※本記事は一般的な情報提供を目的としています。実際の対応や備え方は、事業内容や体制により異なります。
サイバーリスクについて判断に迷う点がある場合は、状況整理のみのご相談も承っています。