こんにちは。弁護士の浅見隆行です。
9月は役員や従業員向けの研修や講演依頼で出張が続き、かつ、コンプライアンス教育用教材の作成や取適法(下請法改正)の解説冊子の執筆などが相次いだので、ブログから少し離れてしまいました。
その間に色々と企業リスクは発生しましたが、今回取り上げるのは、アサヒグループホールディングス(アサヒGHD)です。
サイバー攻撃によるアサヒGHDの企業価値の低下
受注・出荷業務、コールセンター業務の停止
アサヒGHDは2025年9月29日、サイバー攻撃によるシステム障害の発生を公表しました。
この障害により、国内グループ各社の受注・出荷業務、お客様相談室などのコールセンター業務を停止することになり、未だ復旧していません。
アサヒGHDの株価続落
その結果、9月29日を境に、株価も続落しています(GoogleでアサヒGHDの株価を検索すると「アサヒビール」と出ますが、現在アサヒビールは上場していないので、アサヒGHDの株価のこと)。
アサヒGHDの「企業価値」に大きなダメージを与えている事態となっています。
サイバー攻撃をBCPに関わるリスクと捉えてガバナンス体制を再構築する必要性
サイバー攻撃は情報漏えいリスクに留まらない
アサヒGHDに限らず、ここ数年、サイバー攻撃により業務に支障が生じている企業や、個人情報や技術情報が盗まれる・漏えいする企業は少なくありません。
そうはいっても、これまでサイバー攻撃によりアサヒGHDほど業務にダメージを与えたことは少なく、ほとんどが情報漏えいのおそれがある程度に留まっていました。
これまで業務への支障が大きかった被害を受けたは、江崎グリコやKADOKAWAグループくらいだったかもしれません。
それ故、国内企業の多くは、ランサムウェアを含むサイバー攻撃を「情報漏えい」に関するリスクであると小さく評価していたのが正直なところではないでしょうか。
サイバー攻撃に備えて、情報の保存を一元化する、情報の取扱いを厳重にするなど、情報の保存・管理体制を強化する取り組みがせいぜいだったような印象を受けます。
サイバー攻撃はBCPに関わるリスク
しかし、今回のアサヒGHDで起きている障害の大きさを見ていると、企業各社は、サイバー攻撃を事業の継続に関わるBCPリスクとして捉え直すことが必要であると言えましょう。
その上で、サイバー攻撃による業務停止を予防する策と、万が一発生してしまったときのBCPを継続するための代替手段を再構築する必要性があるように思います。
きっかけはサイバー攻撃かもしれませんが、東日本大震災のような広範囲に渡る被害が発生し、事業に支障が出ている場合と同等に評価して、事業を継続できるように取り組んでいく必要があります。
