建設会社のサイバー攻撃対策

  1. TOP
  2. コラム一覧
  3. 建設業のリスク管理
  4. 建設会社のサイバー攻撃対策

工事データ停止に備える

建設会社のサイバー攻撃対策

  • 30秒でわかる要点まとめ

    ・ポイント
    建設会社がランサムウェア攻撃を受けると、社内サーバーの停止だけでなく、工事写真、図面、工程表、発注者・元請資料、協力会社情報へのアクセス不能、情報流出の確認、復旧費用、工期への影響まで広がるおそれがあります。

    ・お読みいただきたい方
    元請工事、下請工事、民間工事、公共工事、設備工事、改修工事、維持管理業務を扱う建設会社の経営者・役員の方に関係する内容です。

    ・リスクへの備え
    工事データの保存先、バックアップの復元可否、発注者・元請への報告ルール、協力会社を含むアクセス権限、サイバー保険の対象費用を事前に確認してください。

    ・記事で分かること
    サイバー攻撃後に経営者が判断すべき5つの確認事項

  • 現場は動いても、工事データが止まる

    建設会社のサイバー攻撃は、情報システム部門だけで完結する話ではありません。外部からの不正アクセスにより社内サーバーや内部ファイルがランサムウェアで暗号化されると、工事関連データにアクセスできなくなるおそれがあります。現場作業そのものは続けられても、工事写真、図面、工程表、施工計画、発注者・元請との協議資料、協力会社情報、出来高管理資料が見られなくなると、現場管理と事務処理の両方に支障が出ます

    この場面で最初に詰まるのは、「どこまで被害が広がっているのか」がすぐに分からないことです。暗号化されたのが一部のパソコンだけなのか、共有サーバー全体なのか、クラウドやメールにも影響しているのか、バックアップまで被害を受けているのかを切り分けなければなりません。工事データの中には、発注者、元請、施主、協力会社、現場作業員に関する情報が含まれることがあります。個人情報だけでなく、図面、工程、見積、施工条件、現場写真など、取引上重要な情報が含まれる点も軽く見られません。

    さらに厄介なのは、個人データの漏えい等や、取引情報の外部流出が確認されていない段階でも、会社として動かなければならないことです。データが外部に持ち出された可能性が残る場合、「漏れていない」と断定する前に、確認済みの事実、未確認の事項、調査中の範囲、今後の対応方針を分けて整理する必要があります。発注者や元請から見れば、問題はサーバー復旧だけではありません。工事に必要な情報が守られているのか、再発防止策はあるのか、工程や引渡しに影響するのかが確認ポイントになります。

  • 初動で遅れる会社が見落とすこと

    サイバー攻撃を受けた後、会社が迷いやすいのは「誰に、何を、どの順番で伝えるか」です。発注者、元請、施主、管理会社、協力会社、警察、外部専門家、保険会社のどこから連絡するかを事故発生後に考え始めると、初動が遅れます。下請の立場であっても、自社サーバー内に元請から受領した図面や現場資料がある場合、報告の要否を自社だけで判断すると、後から説明が難しくなるおそれがあります。

    初動で確認したい項目は次のとおりです。

    ・暗号化された範囲が、サーバー、共有フォルダ、クラウド、メール、施工管理アプリのどこまで及ぶか
    ・工事名、図面、写真、発注者資料、元請資料、協力会社情報、個人情報・個人データが保存されていたか
    バックアップが暗号化前の状態で残っており、実際に復元できるか
    ・発注者、元請、警察、外部専門家、保険会社への連絡順序が決まっているか
    ・工期遅延、追加外注、復旧作業、説明対応にかかる費用を誰が集計するか

    ここで重要なのは、社内だけで原因を推測して終わらせないことです。ランサムウェア被害では、侵入口がVPN機器、リモートデスクトップ、古いソフトウェア、メール添付ファイル、委託先との接続環境など複数に分かれる可能性があります。警察庁はランサムウェア被害防止策として、VPN機器等のぜい弱性対策、OS・ソフトウェアの更新、ウイルス対策ソフトの導入、バックアップの取得、従業員へのセキュリティ教育などを示しています。原因調査、証跡保全、復旧作業、関係先への説明を同時に進めるには、外部専門家、警察、保険会社への連絡ルートを平時から決めておく必要があります。

  • 保険で見るべき範囲と自己負担

    サイバー攻撃に備える保険としては、一般的にサイバー保険、情報漏えい保険、賠償責任保険の特約などが検討対象になります。ただし、どの費用が対象になるかは、契約内容、特約、事故状況、支払限度額、免責金額によって異なります

    ランサムウェア攻撃により個人データが暗号化された場合、個人情報保護法第26条・同法施行規則第7条第3号により「不正の目的をもって行われたおそれがある漏えい等」として、個人情報保護委員会への報告(概ね3〜5日以内)および本人通知が法的に義務となる可能性があります。個人データが含まれないことが技術的に確認できる場合を除き、速やかに専門家・保険会社に連絡してください。一方で、図面、工程表、見積資料、施工条件などの取引情報については、その情報のみでは直ちに個人情報保護委員会への報告対象になるとは限りません。ただし、図面や工事記録に作業員の氏名・押印・個人識別情報が含まれる場合は個人データに該当し、別途報告義務の確認が必要になります。発注者・元請との契約上の報告義務、秘密保持条項、事故発生時の連絡ルールもあわせて確認が必要です。

    サイバー保険で確認すべき範囲は、外部専門家による原因調査費用、データ復旧費用、緊急対応費用、弁護士相談費用、被害者対応費用、個人データの漏えい等またはそのおそれがある場合の通知・報告対応費用、法律上の損害賠償責任、発注者・元請・取引先への説明対応費用などです。あわせて、費用支出前または外部専門業者への正式依頼前に、保険会社への連絡・承認・相談が必要か、外部専門業者の指定有無、業務中断損失の対象範囲、データ復旧費用の限度額、再発防止費用の対象可否、協力会社・委託先を起点とする事故の扱いも確認が必要です。

    一方で、工期遅延に伴う追加費用、売上減少、入札・受注機会への影響、発注者や元請からの信用低下、行政対応に伴う社内人件費、ブランド毀損への対応費用などは、サイバー保険で当然に対象となるものではありません。契約内容や特約で対象外となるケースもあるため、保険証券、支払限度額、免責金額、対象事故、対象費用を事前に確認する必要があります。

    建設会社の場合、保険だけでなく、工事データの管理ルールも重要です。工事ごとの保存先を統一する、管理者権限を必要最小限にする、バックアップをネットワークから切り離して保管する、協力会社と共有するデータを限定する、退職者や異動者のアカウントを放置しない、といった運用が必要です。IPAの「中小企業の情報セキュリティ対策ガイドライン第4.0版」(2026年3月27日公開)では、「第1部 経営者編」で経営者が認識すべき3原則と実行すべき重要7項目、「第2部 実践編」で4ステップの対策ロードマップが整理されています。経済産業省も「サイバーセキュリティ経営ガイドライン」を示しており、経営者のリーダーシップのもとで対策を推進する重要性を訴えています(主に中堅企業・大企業向け)。中小建設会社が参照する場合は、上記のIPAガイドラインが直接的な参考資料となります。

    あわせて確認しておきたい記事

    関連記事「標準約款改正と契約書見直し」
    https://www.e-kojihoken.com/basic/column/post-45/

    関連記事「改正建設業法後の見積・契約・工期の直し方」
    https://www.e-kojihoken.com/basic/column/post-31/

    関連記事「建設会社が見直したい5つの下請取引NG行為」
    https://www.e-kojihoken.com/basic/column/post-41/

    参考
    IPA「中小企業の情報セキュリティ対策ガイドライン 第4.0版」
    第4.0版公開:2026年3月27日/ページ最終更新:2026年4月21日
    https://www.ipa.go.jp/security/guide/sme/about.html

    警察庁「ランサムウェア被害防止対策」
    https://www.npa.go.jp/bureau/cyber/countermeasures/ransom.html

    個人情報保護委員会「漏えい等の対応とお役立ち資料」
    https://www.ppc.go.jp/personalinfo/legal/leakAction/

    経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」
    https://www.meti.go.jp/policy/netsecurity/mng_guide.html

    最終確認日
    2026年05月30日

  • よくある質問(FAQ)

    Q1. サイバー攻撃は、公共工事をしていない建設会社にも関係ありますか。


    関係あります。民間工事や下請工事でも、図面、写真、工程表、見積資料、元請資料、協力会社情報、施主情報などを社内サーバーやクラウドで管理していれば、ランサムウェア被害により業務停止や情報流出確認が必要になる可能性があります。

    Q2. 情報漏えいや外部流出が確認されていなければ、発注者や元請への報告は不要ですか。


    不要とは限りません。個人データの漏えい等が確認されていない段階でも、業務関連データが外部に持ち出されたおそれや、発注者・元請から預かった資料に影響がある可能性が残る場合は、状況確認、原因究明、再発防止策の説明を求められることがあります。確認済みの事実、未確認事項、今後の調査予定を分けて説明することが重要です。

    Q3. サイバー保険に入っていれば、工期遅延や売上減少も対象になりますか。


    すべてが対象になるとは限りません。調査費用、復旧費用、法律相談費用、賠償責任などが確認対象になりますが、工期遅延に伴う追加費用、売上減少、信用低下、行政対応費用などは契約内容や特約により対象外となるケースがあります。支払限度額、免責金額、対象事故、対象費用を事前に確認してください。

    ※本コラムに掲載している図解は、一般的な仕組みや考え方をわかりやすく説明することを目的としたイメージ図です。具体的な補償範囲、支払可否、条件等は各契約内容および事故状況等により異なります。

お見積り・資料請求はこちら

ご相談はこちら

0120-156-136

営業時間 平日9時~18時(土・日・祝除く)

ページトップ

取扱保険会社
AIG損保
三井住友海上
セコム損保
メットライフ生命
エヌエヌ生命
大同生命
地域に密着した”顔”の見えるご提案
東京・横浜・川崎・千葉・埼玉対応
0120-156-136
営業時間 平日9時~18時(土・日・祝除く)

このホームページの情報は、当該商品のパンフレットの付属資料としてご覧いただくものです。
ご検討にあたっては、必ず当該代理店より説明を受け当該商品のパンフレットをあわせてご覧ください。
弊社の損害保険募集人は、保険契約の締結の代理権を有しています。
生命保険募集人はお客様と生命保険会社の保険契約締結の媒介を行う者で、
保険契約締結の代理権はありません。
また、ご契約に際しては、事前に、重要事項説明書(契約概要・注意喚起情報)を必ずご覧ください。
承認番号:26G021
承認日 :2026年6月9日

当サイトの内容、テキスト、画像等の無断転載・無断使用を禁じます。

CopyrightAll Rights Reserved.