SusTB communications サスティービー・コミュニケーションズ株式会社

未来に響くコミュニケーションレポートの企画・制作×コンサルティング

お問い合わせ

HINTサステナ情報のヒント

サイバーセキュリティは「ITベンダーおまかせ」で良いのか?——サステナビリティ視点でみる責任整理とガバナンス

DX / ニュース

この記事の3つのポイント

  • 政府のガイドライン案は、サイバー対策を「ベンダーの責任」だけで語れない時代に入りつつあることを示す
  • 責任が整理されるほど、発注側には「何を決め、何を了承したのか」を説明できる体制(人材・ガバナンス)が求められる
  • 2026年の統合報告書では、対策の有無ではなく、ベンダー管理を含めた“守り抜く組織能力”がガバナンスの質として問われるかも

 

大規模サイバー攻撃を受けた企業の会見内容などのニュースがここ数日、目立っています。

サイバー攻撃は業種を問わず被害が発生しているため、「自分の会社だけは大丈夫」と言えるものではありません。このため、ニュースを他人事ではない思いで見ておられるサステナビリティ担当者さまもいらっしゃるのではないでしょうか。

 

本日のブログでは、2025年末にかけて動きが加速しているサイバーセキュリティを巡る「責任整理」の話題を手がかりとして、2026年以降、サステナビリティ担当者さまがどんな視点で経営やDXを見ていくべきかについて整理してみたいと思います。

 

ITベンダーの責任明確化が進む、その背景

2025年10月末、政府は、ソフトウェアの開発・供給・運用に関わる事業者(ITベンダー)と、その利用者である企業・組織の役割分担を整理するガイドライン案を公表し、パブリックコメントを開始しました。

 

(資料)
経済産業省 「サイバーインフラ事業者に求められる役割等に関するガイドライン(案)」の日本語版・英語版を取りまとめました (2025年10月30日)

 

(参考記事)
サイバー被害の責任明確に IT企業との契約、重要インフラで政府指針(日経電子版、2025年12月6日)

 

重要インフラ分野を強く意識しつつも、実際には多くの一般企業にとっても無関係ではない内容です。

 

背景には、近年相次いだ大規模なサイバー被害があります。
アサヒグループホールディングスやアスクル、大手金融機関、航空会社など、業種を問わず、システム停止や業務影響が社会問題化しました。

 

さらに注目を集めたのが、前橋市とNTT東日本の訴訟に代表されるような、サイバー被害を巡る賠償責任をめぐる司法判断です。

 

(参考記事)
サイバー被害、相次ぐベンダーへの賠償請求 過失割合の基準求める声(日経電子版、2025年11月28日)

 

ベンダー側の過失が重く認定され、多額の解決金支払いにつながった事例がある一方で、双方の責任分担が争点となり、結果として金額が調整されたケースも出てきました。

こうした状況を受けて、「どこまでがベンダーの責任で、どこからが利用者の責任なのか」を事前に整理しておく必要性が、ようやく社会全体で共有され始めた、と言えるでしょう。

 

「責任が明確になる」ことの、もう一つの意味

一見すると、この流れは発注側にとって心強いものに映るかもしれません。
「これで、何かあってもベンダーに責任を問えるようになる」と感じる方もいらっしゃるでしょう。

 

ただし、実務の現場では、もう一つの側面にも目を向けておく必要があります。
責任が明確になるということは、裏を返せば、「誰が、何を決め、何を了承したのか」が、これまで以上に問われるということでもあるからです。

 

ベンダー側にとって、ガイドラインは「免責」のためのものではありません。
むしろ、セキュア・バイ・デザインや再委託先管理など、設計段階から求められる要求水準は高まり、結果としてコストや契約条件に反映されていく可能性があります。

 

そのとき、利用者側が「内容を十分に理解しないまま契約した」「コストを理由に重要な対策を見送った」という状態であれば、後から説明責任を果たすのは難しくなります。
責任整理は、安心材料であると同時に、発注側の“決める力・説明する力”を可視化する装置でもあるのです。

 

問われ始めているのは、発注側のリテラシー

ここで浮かび上がってくるのが、発注側のリテラシーの問題です。

 

サイバーセキュリティの世界では、もはや「すべてを自社で内製する」ことは現実的ではありません。
一方で、「専門家に任せているから大丈夫」という説明も、通用しにくくなっています。

 

たとえば、契約書に書かれた責任限定条項やSLAの内容を、社内で誰が理解し、説明できるのか。
ベンダーから提示されたセキュリティ対策が、リスクとコストのバランスとして妥当なのかを判断できる体制があるのか。

 

これらは、IT部門だけの問題ではなく、ガバナンスや人的資本に直結する経営課題となっていくことでしょう。

 

2026年の統合報告書にどう表れるか

2026年発行の統合報告書では、サイバーセキュリティに関する記述も、少しずつ質が問われるようになるのではないでしょうか。

単に「対策ソフトを導入しています」「外部ベンダーと連携しています」という説明だけでは、十分とは言えなくなります。

 

投資家やステークホルダーは、

- 企業がITベンダーとの関係をどう設計し、どうマネジメントしているか

- そのために、どんな人材やガバナンス体制に投資しているか

などを見ようとするでしょう。

 

 

DXは、システムを導入して終わりではありません。
それを使いこなし、守り抜く組織能力こそが、企業価値の土台になります。

サイバーセキュリティを巡る責任整理の動きは、そうした組織能力が本当に備わっているかを、静かに、しかし確実に問いかけていくことになるかもしれません。

 

---

本日もお読みいただき、ありがとうございました。

それではまた、次回のブログで。

 

執筆担当:川上 佳子

記事一覧へ

カテゴリー

執筆者

  • 代表取締役 福島 隆史

    公認会計士。2008年、SusTBを設立。企業の自主的かつ健全な情報開示をサポート。

  • 川上 佳子

    中小企業診断士。銀行、シンクタンク勤務を経て2002年より上場企業の情報開示を支援。