企業はサイバー攻撃に巻き込まれる前提でリスク管理体制を強化せざるを得ない事業環境になってきた。サイバー攻撃で被害を受けると、サプライチェーンを通じて多数の企業に被害を与える損害賠償のリスクが顕在化してきたからだ。
　２０２２年３月に起きたトヨタ自動車の有力部品供給会社、小島プレス工業の事件では、サイバー攻撃を受けて操業を停止たことが、サプライチェーン全体に広がり多数の企業で稼働できなくなった。自社の操業停止によって将棋倒しに取引企業の操業に影響が波及してゆく場合、納入期限や数量を守れない「契約違反」が発生する。そこで賠償責任が発生するわけだが、取引先のさらにその先まで納期や数量の契約不履行が波及すると、その賠償責任は膨大なものになる恐れがある。
　通常の取引契約では「納期」や「数量」を守れない理由が、天災や戦争などによる場合に「不可抗力」として免責される事項が盛り込まれる。小島プレス工業の事案後に、法律専門家のアドバイスにあがったのは、その不可抗力事項に「サイバー攻撃に起因する」という内容を追加すべきだという話だ。簡単に取引相手が不可抗力事項の追加を承知してくれるか疑問だが、サイバー攻撃が著しく増加し事態は切迫しているからこそ、チェーン全体のセキュリティーレベルの引き上げと併せて免責事項追加を納得してもらう努力が必要だろう。