知っておきたいランサムウェア｢身代金｣の法規制 日本には支払い自体を禁止する法律はないが

ランサムウェア攻撃の被害に遭う企業が続出している（写真：タカス / PIXTA）

最近、多数の企業が被害を受けているランサムウェア攻撃は、サイバーセキュリティの最も深刻な脅威の1つであり、その影響は企業、政府機関、そして個々のユーザーにまで広く及ぶ。

【図で見る】ランサムウェアの身代金支払いで注意すべき法規制

攻撃者は、企業の保有するデータを窃取したうえで暗号化し、暗号化を解除するための復号鍵がほしければ、あるいはデータを公開されたくなければ「身代金を支払え」と二重の脅迫をする。

被害を受けた企業としては、データが暗号化されたままでは事業継続が困難になり、窃取されたデータが公開されれば、多くの顧客や取引先などから信用を失う。

そのため、被害企業は、身代金としての暗号資産（仮想通貨）の支払いを検討し、数は少ないが実際に身代金を支払った企業も存在する。この身代金の支払いは、法的な観点から見ればどのように評価されるだろうか。

身代金支払い自体を禁止する法規制はない

日本では、ランサムウェアの身代金の支払い自体を禁ずる法規制はない。しかし、支払先によって規制対象となる場合があり、さまざまな問題がある。

まず、日本の法律である外為法、テロ資金提供処罰法が適用される可能性がある。

外為法は制裁対象者への無許可の支払いを禁じているが、少数のランサムウェアグループしか対象とされておらず、ランサムウェアグループは多数存在するうえに次々と新たに登場しているため、ほとんど制裁対象者に該当しない。

テロ資金提供処罰法は、身代金の支払先が特定の活動を行うテロ集団であることが前提となるが、ランサムウェアグループが当該テロ集団であることを特定できる可能性も極めて低い。

さらに、特段の不利益があるわけではないが、身代金の支払いが犯罪収益移転防止法の疑わしい取引の届出対象となり、事情を確認される可能性がある。疑わしい取引の届出は、マネーロンダリングを防止するために、金融機関などが情報を集約して捜査に役立てることを目的とする制度であり、身代金の支払いが捜査対象になりうる。

一方、海外の法規制にはさまざまなものがあり、とくにアメリカのOFAC規制には注意すべきである。OFAC規制は、日本の外為法と同様、アメリカの外交政策・安全保障上の目的から特定の国・地域および制裁対象者（SDN）リストに掲載された個人・団体等を対象として取引制限や資産凍結等の措置を講じるものである。

近年、ランサムウェアグループの首謀者などが制裁対象者リストとして多数追加されているため、これらの者への支払いはOFAC規制に違反するおそれがある。OFAC規制違反になれば刑事罰や制裁金の対象となり、アメリカの外国為替市場の取引制限や物品取引の禁止措置等もありうる。