横浜・町田を中心に神奈川県での経理のお悩み、解決します！

2025.07.10

企業存続の分岐点｜サイバー攻撃が引き起こす法的・経済的リスク

＜目次＞

• サイバー攻撃被害と代表的な手口
• サイバー攻撃から生じる深刻な2次被害
• 中小企業のセキュリティ対策「SECURITYACTION」とは
• 自社での対応が難しい場合にはプロの手を借りる
• まとめ
•  

サイバー攻撃被害と代表的な手口

かつてサイバー攻撃は、大企業や官公庁が主なターゲットとされていました。しかし、近年では中小企業にもその矛先が向けられています。

特に中小企業では、IT人材の確保やセキュリティ投資が難しく、対策に遅れが生じやすい傾向があります。こうした状況は、サイバー攻撃者にとって“入りやすくドアを開けてくれている状態”と、映りかねません。

身近に迫るサイバー攻撃の脅威を正しく理解し、適切な対策を講じることは、中小企業における重要な課題の１つです。

中小企業が狙われやすい理由

中小企業がサイバー攻撃に狙われやすい最大の理由は、対策が不十分だからです。ウイルス対策ソフトの導入だけで安心してしまうなど、セキュリティリテラシーの低さが脆弱性を生んでいます。

さらに、取引先に大企業が含まれる場合、中小企業が“踏み台”として利用されるケースも少なくありません。これは、「サプライチェーン攻撃」と呼ばれる手法で、本命である大企業に侵入するための経路として、“侵入しやすい”中小企業が利用されます。自社だけでなく「取引先の情報も預かっている」という認識を持つことが重要です。

サイバー攻撃が狙うものは「情報」

中小企業に対するサイバー攻撃が狙うものは、「情報」です。たとえ企業規模が小さくても、以下のような情報は大きな価値を持っています。

• 自社情報：金融機関の法人口座情報、クレジットカードの法人契約情報、財務状況、その他資金に関するデータなど
• 取引先情報：企業間の契約書やプロジェクト資料、機密情報、取引データなど
• 顧客情報：個人情報、金融機関情報、購入履歴など
• 従業員情報：社員の個人情報・家族情報、給与データ、マイナンバーなど
•  

サイバー攻撃から生じる深刻な2次被害

中小企業を狙ったサイバー攻撃の手口は年々巧妙化しており、被害の深刻さも増しています。攻撃を受けた企業は、単純に情報を盗まれるだけでなく、金銭的損失や信頼の失墜、業務停止など多角的なダメージを被ることになるでしょう。

ここでは、代表的な手口とそれによって生じる被害の種類を整理します。

被害1：金銭的損害

サイバー攻撃によるわかりやすい被害が、金銭的損害です。以下のような手口で、企業の資産が失われます。

【例】

• ランサムウエア：ファイルが暗号化されて使用不能になり、解除と引き換えに「身代金」を要求される
• 不正アクセス：銀行口座や決済システムに侵入されたことによる不正送金（出金）やクレジットカードの悪用など
• サプライチェーン攻撃：取引先経由で自社の金融情報が窃取される、あるいは自社への侵入を突破口に取引先へ被害がおよぶ

このような直接的損失に加え、復旧や社内外対応、機器の買い換えにかかるコスト、関係各所への謝罪・説明コストなどの間接的損失も無視できません。

被害2：業務停止・システム障害

サイバー攻撃によってシステム障害が発生すると、金銭的損失に加えて業務そのものがストップするリスクがあります。

【例】

• DoS/DDoS攻撃：大量のアクセスにより、WEBサイトやサーバーがパンクする
• マルウエア：メールなどを介してウイルスやワームに感染し、システムやデータファイルを破壊される
• 不正アクセス：業務システムが乗っ取られ、操作不能や情報改ざんなどのリスクが発生する
• サプライチェーン攻撃：重要な取引先のシステムに異常が起こり、共同プロジェクトなどに支障をきたす

被害3：情報漏えい・機密情報の流出

奪取された情報が市場に流出することで、企業は重大な責任を問われることになるでしょう。

【例】

• 不正アクセス：顧客データや取引情報が窃取され、詐欺やデータ売買に利用される
• 標的型攻撃：特定の情報を持つ企業が狙い撃ちにされ、競合に情報が渡るおそれもある
• サプライチェーン攻撃：取引先経由で情報流出が発生するケースもある
• 内部不正：従業員による情報持ち出しや漏えい

被害4：法的責任・コンプライアンス違反

企業側のセキュリティ対策が不十分な場合は、サイバー攻撃を受けた被害者でありながら、対策を怠って第三者に損害を広げた加害者と見られることもあるでしょう。その場合、賠償責任や責任追及を受けることがあります。

【例】

• 不正アクセスによる個人情報の流出：個人情報保護法違反として訴訟される可能性
• 標的型攻撃での情報管理ミス：企業のセキュリティ不備を追及されるおそれ
• 内部不正：従業員の不正を防げなかったという監督責任が問われる
•  

中小企業のセキュリティ対策「SECURITYACTION」とは

サイバー攻撃は、攻撃そのものによる直接的な損害にとどまりません。情報漏えいや営業停止は、企業の信頼性や取引先との関係、経営基盤にまで悪影響をおよぼすリスクがあります。

ここからは、サイバー攻撃の後から拡大しやすい2次被害について説明しましょう。

2次被害1：信用失墜・ブランドイメージの低下

サイバー攻撃による情報流出や不正アクセスが表面化した場合、企業の社会的信用は大きく揺らぎます。被害を受けたことでリスクが高い企業と見なされ、取引先との契約が打ち切られることもあるでしょう。ブランドイメージは崩れ落ち、マイナス評価から再起を図る覚悟が必要です。

また、セキュリティ対策が甘い企業は従業員からの信用をも失います。退職者が増える一方で、採用活動は難航するでしょう。

2次被害2：事業継続困難

マルウエアに感染してシステムが停止した場合、企業活動に大きな遅れが生じます。被害状況によっては復旧作業が長引き、営業機会の損失や顧客離れにつながるかもしれません。

たとえ企業の運営体制が復旧しても取引先や顧客が減少すれば事業の継続は困難となり、企業存続の危機に発展するおそれもあります。

2次被害3：対策不足で問われる法的責任

企業のセキュリティ対策に不備があると認められた場合には、以下の法律を根拠とした責任を追及されることがあります。

民法

サイバー攻撃により業務が停滞した場合、他者に損害が発生した場合、法律上保護される利益を侵害した場合などは、経営者が果たすべき善管注意義務違反により賠償の義務を負う

会社法

企業の規模や業務内容に応じた適切なセキュリティ体制を整えていない状況下で、サイバー攻撃により企業や第三者に損害が発生した場合、損害賠償責任を負う

割賦販売法

クレジットカード番号等取扱契約の締結にかかる業務に対して、番号情報を適切に管理する責任を負う

外国為替及び外国貿易管理法、輸出貿易管理令

海外サーバー利用時のデータ管理に不備があった場合は、法的責任が発生する可能性がある

不正アクセス禁止法

自社のセキュリティ対策不備により情報漏えいを招き、不正アクセスを助長させたと見なされた場合は懲役や罰金などの刑罰が科せられる

このように、できるはずの対策を怠ることは、処罰につながる重大な過失だということを覚えておきましょう。

自社での対応が難しい場合にはプロの手を借りる

SECURITY ACTIONとは、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度です。安全・安心なIT社会の実現を目指す独立行政法人・情報処理推進機構（IPA）によって創設されました。

「中小企業の情報セキュリティ対策ガイドライン」などさまざまな情報がまとめられており、自己診断により必要な取り組みへの過不足を可視化できます。所定の取り組みに応じて「★（一つ星）」「★★（二つ星）」を宣言でき、社内周知や社外アピールにも効果的です。

また、この自己宣言は、一部のデジタル化やサイバーセキュリティ対策に関する公的支援制度の要件にも採用されています。うまく活用することで、対策の一歩を踏み出しやすくなるでしょう。

SECURITYACTIONセキュリティ対策自己宣言
https://www.ipa.go.jp/security/security-action/
独立行政法人情報処理推進機構（IPA）

SECURITY ACTION｜情報セキュリティ5か条

SECURITY ACTIONでは、すべての企業が最低限取り組むべきセキュリティ対策として、以下の5か条を掲げています。

• 1）OSやソフトウエアは常に最新の状態にしよう！
• 2）ウイルス対策ソフトを導入しよう！
• 3）パスワードを強化しよう！
• 4）共有設定を見直そう！
• 5）脅威や攻撃の手口を知ろう！

これらを宣言することで、「★（一つ星）」を使えるようになります。どれも、大きな対策投資を行わなくても、手軽に始められることばかりです。

SECURITY ACTION｜情報セキュリティ自社診断

SECURITY ACTIONが提供する「情報セキュリティ自社診断」をおこなうと、自社のセキュリティレベルを確認できます。チェック内容は以下の通りで、設問数は全部で25問です。

【設問例】

• パスワードは「長く」「複雑」ですか？
• 電子メールを介したウイルス感染に気をつけていますか？
• 機密情報や顧客情報のアクセス権は限定されていますか？

診断結果は、企業ごとの改善ポイントを明確にし、今後の対策立案に役立ちます。設問の意図を解説する文や対策例の紹介もあり、専門知識がなくても理解しやすいでしょう。

次のステップとして「情報セキュリティ基本方針」を策定すると、「★★（二つ星）」を申請できます。

まとめ

SECURITY ACTIONは中小企業が自ら取り組める対策ですが、それでもなおリソース不足により十分に対応できないという企業は少なくないでしょう。自社での対応が難しい場合には、そのまま放置するのではなく、プロの知識や技術を利用するアウトソーシングがおすすめです。

アウトソーシングを活用することで、専門性の高い外部サービスの知見を取り入れながら、社内の情報管理体制を強化できます。セキュリティ水準の高い業者に業務を委託することで、機密情報の分散管理が実現し、内部不正による情報漏えいリスクも低下するでしょう。

また、クラウド型システムの導入は、業務効率化の実現に加えて、外敵と内部不正に対する抑止力としても効果的な方法です。扱うデータは、システム提供元による高度なセキュリティ対策の恩恵を受けたクラウドサーバーに保存されるため、端末や事業所にトラブルがあっても影響を受けません。また、アクセス権限管理やログ管理がしやすく、チェック体制の強化ができることから、情報の安全性と透明性を高い水準で維持できます。

このように、セキュリティ対策の骨組みをプロに委託し、無理のない範囲の管理運営を自社でおこなう方法が、安心への近道となるでしょう。

サイバー攻撃では、直接的な金銭的被害よりも、信用の失墜による2次被害のほうが長引く傾向にあります。セキュリティ対策の不備が、長期間の苦難につながることになるのです。

何から始めれば良いのかわからないといったケースでも、ITに関する専門知識とノウハウを備えたプロに相談することで、必要な対策が明確になります。まずは情報収集のつもりで相談してみてはいかがでしょうか。

神奈川 横浜・町田経理アウトソーシングオフィスは、経理・税務・経営に関するお客様のあらゆる課題を解決する総合会計事務所です。創業50年以上の歴史を持ち、約100名の専門家がお客様の事業を力強くサポートします。

私たちの4つの強み

①大規模かつ専門家によるチーム対応

約100名体制の経理・税務・経営のプロフェッショナルが、お客様の状況に合わせた最適なソリューションを提供します。複雑な課題も多角的な視点から解決に導き、お客様の成長を強力に後押しします。

②バックオフィス業務の効率化とコスト削減

会計・経理業務から給与計算、各種コンサルティングまで、DX化推進とアウトソーシングを支援します。これにより、お客様は本業に集中でき、業務の効率化と人件費などのコスト削減を同時に実現します。

③クラウド活用によるリアルタイム経営

最新のクラウド会計システムを積極的に活用し、経営数値のリアルタイムな把握を可能にします。これにより、迅速な経営判断をサポートし、事業の成長を加速させます。

④幅広い専門サービス

経理・税務の基本サポートに加え、会社設立、相続、さらには医療機関や社会福祉法人に特化した専門的なコンサルティングも提供します。お客様の事業フェーズや業界に合わせたきめ細やかなサポートが可能です。

弊社では、IT知識やセキュリティ対策の経験を積んだ専門家が、貴社のお手伝いをいたします。
丁寧なヒアリングで貴社の状況を分析し、適切なツールの選定や導入のサポート、導入後のフォローも承ります。

バックオフィスの改善や、経理・労務、経営に関するお悩みを信頼できる専門集団に任せたい経営者の方は、ぜひお問い合わせください。

＞＞お問い合わせはこちら

この記事を担当した税理士

株式会社YMG コンサルティングラボ 部長代理 興梠　貴裕

保有資格弥生インストラクター資格 / 日商簿記３級

専門分野IT

経歴業務系システム業界に身を置いて12年目。様々な業種のお客様のシステム導入に関する多くの相談実績が有り 導入実績も多数。常にお客様目線で対応し、お客様の課題解決に全力で取り組む姿勢に定評有。

専門家紹介はこちら

• ←前の記事
• 一覧へもどる
• 次の記事→