知っておきたいランサムウェア「身代金」の法規制 日本には支払い自体を禁止する法律はないが

著者フォロー
ブックマーク

記事をマイページに保存
できます。
無料会員登録はこちら
はこちら

印刷ページの表示はログインが必要です。

無料会員登録はこちら

はこちら

縮小

また、身代金を支払って暗号化されたデータが復旧できた、または窃取されたデータが公開されなくなったといっても、個人データが含まれていた場合には個人情報保護委員会をはじめとする当局への報告義務等や、取引先等の秘密情報が含まれていた場合は各種の契約に基づく通知義務等が免除されるわけではないことを忘れてはならない。

身代金を払うかどうか判断する前にやるべきこと

身代金を支払った場合、暗号化されたデータが復旧できれば身代金相当額の損失が、復旧できなければ、復旧できないデータの損失に加え身代金相当額の損失が発生する。

このような場合、支払いを決定した取締役等の経営者らに対して株主代表訴訟が提起され、善管注意義務違反に基づく損害賠償請求をされる可能性がある。

身代金を支払うかどうかは、多数の観点を考慮して判断することになるが、これらの観点に対する明確な判断基準があるわけではない。

身代金の支払いが規制対象ではない場合、一般的には、経営者らに裁量が与えられていることから、判断の前提となる事実を認識した過程の不合理性と、事実の認識に基づく意思決定の過程または決定した内容に著しく不合理な点がない限り善管注意義務違反を問わないとする経営判断原則が採用される。

一方、取締役が、反社会的勢力である株主の地位を濫用した不当な要求に応じて利益供与を行った事案において、取締役には「暴力団関係者など会社にとって好ましくないと判断される者が株式を取得して株主となることを阻止できず、そのような株主から株主の地位を濫用した不当な要求がされた場合には、法令に従った適切な対応をすべき義務を有する」とした判例も存在する。

これらのことからすれば、身代金を支払うかどうかは、警察や専門家の意見を聴取するなどの適切な情報収集を行い、代替策を検討し、社内手続きに従って、その是非を慎重に判断することが求められる。安易な身代金の支払いは善管注意義務違反を構成しうることに留意すべきである。

最近は、データ復旧事業者が、被害企業の了承を得ずに勝手にランサムウェアグループに身代金を支払って復旧できたと騙す手口が確認されている。騙されないためにも、当該事業者の復旧方法を十分に確認する必要がある。

何より、ランサムウェア攻撃から企業を守る最善の方法は事前対策である。強固なセキュリティ対策を講じ、通常システムから隔離された環境にも定期的なバックアップを行い、役職員の教育を徹底することで、攻撃のリスクを大幅に減らすことができる。これらの対策は、一朝一夕で準備できるものではなく、長い年月をかけて成熟させていく必要がある。

経営者らは想定外の事態をなくし、可能な限りのセキュリティ対策を整備することに力を注ぎ、企業と従業員、株主、顧客らの利益を保護することが課せられた使命である。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。
北條 孝佳 弁護士

著者をフォローすると、最新記事をメールでお知らせします。右上のボタンからフォローください。

ほうじょう たかよし / Takayoshi Hojo

西村あさひ法律事務所・外国法共同事業パートナー弁護士、埼玉県警察本部サイバー犯罪対策技術顧問、国立研究開発法人情報通信研究機構招へい専門員等。危機管理、企業不祥事、サイバーセキュリティ対応等の企業法務に従事。元警察庁技官。デジタル・フォレンジックやマルウェア解析等の実務経験を有し、数多くのサイバーセキュリティ事案に対応。一般社団法人日本シーサート協議会・専門委員、NPOデジタル・フォレンジック研究会・理事なども務める。Microsoft MVP受賞(2017年から8度目)。近著として『ランサムウェア攻撃に対する捜査ハンドブック』(立花書房)、『サイバーリスクマネジメントの強化書』(日刊工業新聞)、『情報刑法I サイバーセキュリティ関連犯罪』(弘文堂)などがある。

この著者の記事一覧はこちら
ブックマーク

記事をマイページに保存
できます。
無料会員登録はこちら
はこちら

印刷ページの表示はログインが必要です。

無料会員登録はこちら

はこちら

関連記事
トピックボードAD
ビジネスの人気記事