知っておきたいランサムウェア｢身代金｣の法規制 日本には支払い自体を禁止する法律はないが

また、身代金を支払って暗号化されたデータが復旧できた、または窃取されたデータが公開されなくなったといっても、個人データが含まれていた場合には個人情報保護委員会をはじめとする当局への報告義務等や、取引先等の秘密情報が含まれていた場合は各種の契約に基づく通知義務等が免除されるわけではないことを忘れてはならない。

身代金を払うかどうか判断する前にやるべきこと

身代金を支払った場合、暗号化されたデータが復旧できれば身代金相当額の損失が、復旧できなければ、復旧できないデータの損失に加え身代金相当額の損失が発生する。

このような場合、支払いを決定した取締役等の経営者らに対して株主代表訴訟が提起され、善管注意義務違反に基づく損害賠償請求をされる可能性がある。

身代金を支払うかどうかは、多数の観点を考慮して判断することになるが、これらの観点に対する明確な判断基準があるわけではない。

身代金の支払いが規制対象ではない場合、一般的には、経営者らに裁量が与えられていることから、判断の前提となる事実を認識した過程の不合理性と、事実の認識に基づく意思決定の過程または決定した内容に著しく不合理な点がない限り善管注意義務違反を問わないとする経営判断原則が採用される。

一方、取締役が、反社会的勢力である株主の地位を濫用した不当な要求に応じて利益供与を行った事案において、取締役には「暴力団関係者など会社にとって好ましくないと判断される者が株式を取得して株主となることを阻止できず、そのような株主から株主の地位を濫用した不当な要求がされた場合には、法令に従った適切な対応をすべき義務を有する」とした判例も存在する。

これらのことからすれば、身代金を支払うかどうかは、警察や専門家の意見を聴取するなどの適切な情報収集を行い、代替策を検討し、社内手続きに従って、その是非を慎重に判断することが求められる。安易な身代金の支払いは善管注意義務違反を構成しうることに留意すべきである。

最近は、データ復旧事業者が、被害企業の了承を得ずに勝手にランサムウェアグループに身代金を支払って復旧できたと騙す手口が確認されている。騙されないためにも、当該事業者の復旧方法を十分に確認する必要がある。

何より、ランサムウェア攻撃から企業を守る最善の方法は事前対策である。強固なセキュリティ対策を講じ、通常システムから隔離された環境にも定期的なバックアップを行い、役職員の教育を徹底することで、攻撃のリスクを大幅に減らすことができる。これらの対策は、一朝一夕で準備できるものではなく、長い年月をかけて成熟させていく必要がある。

経営者らは想定外の事態をなくし、可能な限りのセキュリティ対策を整備することに力を注ぎ、企業と従業員、株主、顧客らの利益を保護することが課せられた使命である。

北條 孝佳：弁護士