知っておきたいランサムウェア｢身代金｣の法規制 日本には支払い自体を禁止する法律はないが

反社会的勢力は、一般的に暴力団等の犯罪組織を指すが、日本政府は2019年12月10日の参議院答弁書にて、「反社会的勢力」は「その形態が多様であり、また、その時々の社会情勢に応じて変化し得るものであることから、あらかじめ限定的、かつ、統一的に定義することは困難である」と述べており、反社会的勢力の範囲が明確ではない。

そのため、ランサムウェアグループも反社会的勢力に該当するとの解釈もありえ、前述の方針や契約条項に反しうることも否定できない。該当する可能性が低いとはいえ、場合によっては反社条項違反により、相手方から直ちに契約が解除され、損害賠償責任を負うこともゼロではないであろう。

身代金支払いを選択する場合

身代金を支払うことで、暗号化されたデータが元に戻ることも、窃取されたデータが公開されないことも保証されるわけではない。

犯罪者への資金提供・利益供与となり、さらなる犯罪を生み出す契機にもなりかねない。身代金の支払いが明るみになれば、そのような判断をした、あるいは犯罪者らと取引をした企業の信頼は地に落ちる。

政府としても、経済産業省が2020年に公表した「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」において、身代金の支払いは、これまで記載したような問題があることから、「こうしたランサムウェア攻撃を助長しないようにするためにも、金銭の支払いは厳に慎むべきものである」としている。

また、警察庁、外務省及び内閣サイバーセキュリティセンターは2023年に47カ国と共にランサムウェア不払声明を表明しており、身代金の支払いには極めて否定的である。法的観点からすれば、身代金の支払いはまったく推奨されるものではない。

そうであっても、企業は暗号化されたデータを元に戻したいがために、身代金の支払いを選択するかもしれず、とくに当該データが事業継続に不可欠な場合や人命に関わる場合には、理解できる選択であろう。

一方、窃取データの公開を止めるための身代金の支払いはランサムウェアグループが約束を守る保証もなく支払うべきではないと考える。ランサムウェアグループもビジネスでやっているから約束を守ってくれると助言する専門家も存在するが、そもそもこのような犯罪者らとビジネスをすべきではなく約束などは信頼に値しない。