10月31日、オフィス用品通販大手の「アスクル」は、同月19日に発生したランサムウェア感染によって顧客などの情報が外部に流出したことを明らかにした。感染に伴うシステム障害が原因で、同社の法人向け・個人向けサービスは感染当日から11月5日時点まで受注・出荷や一部サービスが停止されている。
また10月14日には、「アサヒグループホールディングス」(以下「アサヒ」)も、9月下旬に発生したランサムウェア感染によって個人情報が流出した可能性があると発表している。同社のシステムも、いまだ完全には復旧できておらず、電話やファックスなどによる受注で対応しているという。
アスクルのシステム障害は、同社に物流業務を委託していた「無印良品」や「ロフト」にも波及しており、両社のECサイトはサービスを停止している(5日時点)。また、アサヒのシステム障害は同社の製品を販売するコンビニやスーパーなどの小売店、そしてレストランや外食チェーンに及んだ。
ランサムウェア感染は、不審なメールを開く、不審なURLをクリックする、パスワードを使い回す、業務で使用するPC・スマホの管理が甘い…など、一社員の不注意が原因で発生する場合もある。
もし、ランサムウェアの感染の原因が一人の社員にある場合、その社員には、会社に発生した損害を賠償する責任は生じるのだろうか?
通常、社員や管理職には損害を賠償する責任はない
企業法務や労働問題に詳しい雨宮知希弁護士は「原則として、社員個人が会社に対して巨額の損害を賠償する責任を負うことはない」と答える。
そもそも、企業などに勤める従業員は法律的には「使用者の指揮命令下」にあるため(民法715条、労働契約法3条4項)、「業務遂行に際して通常期待される注意義務」を尽くしていた場合には、仮に結果として損害が発生しても過失責任を問われにくい構造になっている。
また、業務で禁止されている外部サイトから不正にファイルをダウンロードしたなど、従業員が明らかに注意義務を怠った場合でも、損害賠償責任の範囲は「故意または重大な過失がある場合」に限定される。さらに、賠償する金額も相当程度に制限されるのが一般的だ(例:最高裁昭和51年(1976年)7月8日判決(川義事件))。
そして、「不審メールを開封した」「パスワードを使い回した」など社員の「過失」があったとしても、故意や著しい怠慢(重過失)があるとまでは評価されづらい。そのため、損害賠償請求が認められる可能性はきわめて低いという。
同様に、社員の行動を管理する上司やネットワーク・セキュリティのシステム管理者などの管理職層が個人として損害賠償責任を負う可能性もきわめて低い。
ただし、システム管理者が明らかに危険であると認識しながらセキュリティ対策を怠った場合や、会社のセキュリティポリシーを意図的に無視した場合、または管理職が部下の著しい不正行為を放置した場合、それらの管理者は「故意または重過失」が認められて損害賠償責任を負う可能性がある。
では、ランサムウェア被害が発生する原因となった社員や関連する管理職層が、会社から戒告・減給などの懲戒処分を科されたり、解雇されたりする可能性はあるのだろうか。
懲戒処分や解雇については、労働契約法15条・16条などに基づき「客観的合理性」と「社会的相当性」が必要とされる。そのため「単なる不注意でウイルス感染を招いた場合は、通常、会社が懲戒処分を行うことは難しいと思います」と雨宮弁護士は回答する。
ただし、会社が明示している情報セキュリティ規程に違反する行為をした場合や、繰り返し注意を受けていたにもかかわらず再び同様の行為をした場合などには、懲戒処分の相当性が認められる可能性もある。
「しかし、このような場合でも、懲戒処分が相当となるためには、故意またはきわめて重大な過失(例:マルウェアを意図的に社内に持ち込んだなど)が必要となります。そのため、懲戒処分や解雇のハードルは高いといえるでしょう」(雨宮弁護士)
アサヒ・アスクルは他社に賠償責任を負う?
自社のランサムウェア被害が原因で他社にも損害が発生した場合、会社がそれらの損害について賠償する責任を負うことになるか否かは、当事者間の取引関係の有無によって異なる。
まず、取引関係にある相手方に損害を生じさせれば、契約に基づく債務不履行責任(民法415条参照)を負うことになり得る。
たとえば、アスクルは無印良品・ロフトに対し、物流業務の「委託契約」を締結していると考えられる。
この契約において、「安全なシステム運用」「業務継続義務」などが明示または黙示に含まれている場合には、自社のランサムウエア被害が原因で相手方に損害が生じたら、契約上の義務に違反したとして、債務不履行責任(民法415条)を問われる可能性がある。
「もっとも、ランサムウェアの感染が『予見困難で、通常の防御策を講じていた』場合には、不可抗力(民法415条但書)として免責される余地もあります。
損害が生じた場合の負担に関して、委託契約の契約書にどのような規定があったのか、民法上の債務不履行責任(民法415条)の要件を満たすのか、がポイントとなります」(雨宮弁護士)
一方で、たとえばアサヒと直接の取引関係のない小売店・飲食店などへの二次的損害については、不法行為責任(709条)が問題となり得る。しかし、他人の権利を侵害したとまでは評価し難いため、原則として賠償責任は生じないという。
「つまり、契約関係がある相手には、契約内容によって、限定的に賠償義務が発生する可能性があります。しかし、間接的に被害を受けた他社に対しては、原則として賠償責任は負わないと整理されます」(雨宮弁護士)
結局、当のアスクルやアサヒは、ランサムウェアを仕掛けた犯人集団に対して、不法行為(民法709条)に基づく損害賠償請求権を行使するほかない。
しかし、基本的に、犯人集団の多くは海外を拠点にし匿名で活動しているため、特定は困難だ。資産の追跡や差し押さえは実質的に不可能であり、さらに国際刑事手続きを伴うため、実際に損害を犯人集団から回収できる可能性は事実上きわめて低い。
「法的には請求可能でも、実効的な回収はほぼ不可能、というのが実情です。企業としては、損害保険(サイバー保険)などによる補填(ほてん)が、現実的な対応となるでしょう」(雨宮弁護士)
