“ステークホルダーを守る”工場セキュリティ対策が重要に【第7回】

ステークホルダーに被害を与えた場合のリスク

　ステークホルダーに表1に挙げたような被害を与えてしまえば、法令に基づき制裁金や損害賠償請求が課されることになる。つまりステークホルダーを蔑ろにすることは自社被害にもつながる（図1）。時には、自社が直接被害を受けた場合の何倍もの支払いが発生する可能性もある。

図1：サーバー攻撃により自社が加害者になれば、多くの法令に基づき制裁金や損害賠償請求が課される

　例えば、PL法に違反すれば青天井の賠償金が請求される。サイバーレジリエンス法に違反した場合は1500万ユーロまたは全世界の売上高の2.5%のいずれか高いほうの額が制裁金として課される。

リスク分析の網羅性と対策の妥当性が重要に

　実例としては2023年6月22日に起こった米大手化学メーカーにおける水道水汚染事件が参考になるだろう。がんや免疫機能の低下、胎児の発育不良などとの関連が疑われている有機フッ素化合物による水質汚染である。同社は、汚染水の検査や処理にかかる費用として約1兆4700億円を米国内の関連自治体に支払ったと発表されている（図2）。この事件自体はハッキングによるものではないが、汚水処理設備が破壊されれば、同様の制裁が課せられることを知っておくことは重要であろう。

図2：ステークホルダーが被害を受けた場合の被害金額の例

　実際、サイバー攻撃により水処理システムが不正侵入された大きな事案が発生している。2021年2月、米国の水道局が水処理システムに不正侵入され、水酸化ナトリウムの投入量を通常の100倍の値に設定変更されたのだ。幸い現場の操作員が不正操作に気づき、設定値を基に戻したため被害は発生しなかったものの、実被害につながっていれば、賠償請求額は先の化学メーカーの値を超えていたかもしれない。

　このように工場がサイバー攻撃を受けた結果としてステークホルダーに被害を与えた場合、企業には多額の賠償金が発生し、倒産リスクが生じる。ハッキングリスクを軽減するためには、実効性がある対策はもちろん、訴訟になった場合に備え、対策の有効性を説明できるようにしておくべきである。対策の有効性を説明できなければ、訴訟おいては「無策であった」とみなされ、判事の心証が著しく悪くなり、大きなペナルティをかけられる可能性があるからだ。

　実際にPL法の訴訟になれば、立証責任（説明責任）はメーカーに課される。工場が安全だったという説明がロジカルにできなければ敗訴しやすくなる。つまり、ただ安全にすれば良いのではなく、説明できる安全性が求められている。例えば、AI（人工知能）技術を用いたセキュリティは、「AIが100%安全である」ということの説明が難しく説明責任を果すことが難しい。

　では、どのように説明責任を果たせば良いのか。重要なのは、下記に示すようにリスク分析の網羅性と対策の妥当性を確保することである。

網羅性 ：リスクを抜け漏れなく抽出する（図3）。リスク分析手法は、さまざまあるが、漏れなくリスクを抽出するためにはロジカルシンキングをベースにしたリスク分析が必要である

図3：リスクを抜け漏れなく抽出する必要がある

妥当性 ：第三者が納得する客観的な対策を導入する。具体的には、そのセキュリティ機能をハッカーが攻撃したとしても、攻撃コストに見合った儲けを出せないレベルにまでセキュリティ対策を強化する、または、政府推奨やデファクトのセキュリティ対策を採用する

　説明責任のあるセキュリティ対策は容易ではない。だが、網羅性のあるリスク抽出および妥当性のある対策の導入により、自社のみでなくステークホルダーも含めた安全を実現できる。

　次回は、本連載のまとめとして工場セキュリティの全体像を改めて解説する。