ランサム攻撃から生じるリーガルリスクと対策

最近のランサム攻撃の増加と特徴

今夏に入り、ランサム攻撃の被害が立て続けに報じられています。

• 6月28日、KADOKAWAは、ランサムウエア（身代金要求型ウイルス）による攻撃を受けたと発表しました。漏洩した情報には、クリエーターの個人情報、元従業員が運営する会社の情報、取引先との契約書や見積書、子会社であるドワンゴ全従業員の個人情報や社内向け文書等が含まれていたとのことです。¹
• 7月4日には、愛知県豊田市が、納税通知書等の印刷業務を委託していたイセトー（京都市）のサーバーがランサムウェアに感染し、最大で延べ約42万人分の市民の個人情報（住所、氏名に加え、新型コロナウイルス予防接種券の生年月日や接種履歴、納税通知書の口座情報等）が漏洩したと発表しました。²
• 7月5日には、上記のイセトーがランサムウェアに感染した結果、少なくとも約150万件の個人情報が流出していることが報じられました。同社からは、愛知県豊田市の他、徳島県、和歌山市、クボタ、京都商工会議所、公文教育研究会等から受託していた個人情報についても流出したと報じられています。³
• 7月9日には、東海4県（岐阜、静岡、愛知、三重）の全34信用金庫が出資し、信金の一部業務を手がける東海信金ビジネス（名古屋市）が、業務委託先のサーバーやパソコンがランサムウェアに感染し、顧客氏名延べ約7万7千件が流出したと発表しています。⁴
• 7月10日には、東京海上日動火災保険が業務委託先のサーバーがランサムウェアに感染し、同社を含むグループ会社の計約6万3200件の個人情報が外部に漏洩した恐れがあると発表しました。⁵

ランサム攻撃とは、被害者となる組織のシステムがランサムウェアに感染させられ、パソコンがロックされたり、対象となる情報が暗号化されたり、窃取されることにより、身代金が要求されるタイプの攻撃を指します。従前は、パソコンのロックを解除するための秘密キーや暗号化された情報の開放と引き換えに身代金が要求されるパターンが主流でしたが、近年では窃取された情報を公開しない対価として身代金が要求されるパターンが増えています。^{6 7}

独立行政法人情報処理推進機構（IPA）セキュリティセンターの調査結果においても、 ⁸直近の組織における情報セキュリティの10大脅威の1位は「ランサムウェアによる被害」とされていますが、2位の「サプライチェーンの弱点を悪用した攻撃」とは、まさに上記のニュースで漏洩元となった業務委託先の弱点を悪用した攻撃ですし、4位の「標的型攻撃による機密情報の窃取」、8位の「ビジネスメール詐欺による金銭被害」、9位の「テレワーク等のニューノーマルな働き方を狙った攻撃」等は、いずれもランサム攻撃の手口や目的でもあることから、実質的にはランサム攻撃が情報セキュリティの脅威の大部分を占めていると言っても過言ではないでしょう。

警視庁の発表している2023年におけるランサム攻撃の被害実態からは、どのような企業・組織でもランサム攻撃の対象とされ得る状況が明らかになっています。2023年にランサム攻撃の被害に遭った企業の規模について見ても大企業・中小企業に限らず、被害に遭っていることや、業種について見ても、製造業の被害が多い傾向はありますが、卸売・小売、サービス業、情報通信、建設、医療・福祉、金融・保険業まで満遍なく被害に遭っていることから、企業の規模・業種に関わらず、全ての企業・団体がランサム攻撃の被害に遭い得る状況となっています。

ランサム攻撃の与える事業上のインパクト

加えて、ランサム攻撃の被害に遭う契機となったランサムウィルスの感染経路は、VPN機器からの侵入やリモートデスクトップからの侵入のみならず、不審メールやその添付ファイルからの感染と被害の防止には、企業のIT部門だけでなく従業員の協力も不可欠であることが窺われます。

他方で、ランサム攻撃の被害に遭ってしまった場合のインパクトは多岐に渡り、多くの場合、データやシステム等の復旧までに1か月以上を要するとされています。

ランサム攻撃から生じるリスク

以上のとおり、ランサム攻撃の被害に遭う可能性は高まっている一方で、仮に被害に遭ってしまった場合には、様々な事業上の支障が生じることに加えて、以下のとおり、対顧客、対従業員及び対株主との関係で深刻なリスクも生じることとなります。

• 対顧客のリスク
  • B to C ビジネスの場合
    • 顧客の氏名や住所、生年月日に加えてクレジットカード情報等、顧客の個人情報が漏洩した場合、漏洩した事実自体から慰謝料等の損害賠償責任を問われる可能性があります。
    • 顧客のクレジットカード情報等が流出して悪用された結果、顧客に経済的な損害が生じた場合には、生じた損害賠償責任を問われる可能性が発生します。
    • 顧客情報が流出したことが公になれば、そのこと自体から情報セキュリティの弱い会社として信用が毀損されることとなります。
  • B to B ビジネスの場合
    • ランサム攻撃の被害に遭った結果、事業やシステムが一定期間停止して契約上の義務を履行できなかった場合、契約上の債務不履行責任を問われる可能性があります。
    • 顧客との取引情報、顧客から預かっていた個人情報、仕様書や設計書等の顧客の営業秘密が漏洩した結果、顧客に経済的な損害が生じた場合には、その損害につき損害賠償責任を問われる可能性があります。
    • 貴社がランサム攻撃の被害に遭った事実が顧客の知るところになれば、情報セキュリティが弱い会社として、ビジネスパートナーとしての貴社に対する信用が失墜し、ビジネスを失うリスクが生じます。
• 対従業員
  • 従業員名簿が流出した場合、多くの個人情報を含むことから、上記対顧客のB to Cビジネスの場合と同様の損害賠償責任を問われるリスクが生じます。
  • 従業員情報の取り扱いが杜撰な会社であるとの評価が広がれば、離職者の増加につながるとともに、採用市場における競争力の低下にもつながります。
• 対株主
  • 事業価値が毀損したとして、株価が下がった場合には、そのことから生じた経済的損害につき、会社として損害賠償責任を問われる可能性が生じます。
  • 会社の取締役は、職務の一環として、内部統制システムの基本方針を取締役会で決定し、内部統制システムを構築する義務を負っているため（内部統制システム構築義務。会社法362条4項6号・5項等参照）、当該義務の違反があったとして、損害賠償責任を問われる可能性も生じます。

情報セキュリティ対策に不備があったとして責任追及の根拠とされる主な法令⁹

以上のような法的リスクに適切に対応するべく、企業としては平時に適切な対策を取るとともに、有事には様々な留意点があることを認識しておくことが有用です。

• 平時の対策
  • 会社及び会社の取締役は、上記のような損害賠償責任を問われる可能性があることを踏まえ、損害賠償請求の基礎となる「過失」がなかったこと、すなわち、ランサム攻撃の被害に遭わないために一定の情報セキュリティの対策を実施したこと、そしてそのことを立証できるよう証拠化しておくことが肝要です。
  • 特に、近時どのような企業であってもランサム攻撃の被害に遭い得る状況であることは、容易に認識されるため、当該リスクに対して無策であったとすれば、いざそのリスクが実現化した場合には、被害企業・被害者から損害賠償請求を受けた場合に「過失がなかった」とは言えず、責任を容易に認められる一方で、仮に会社として一定の対策を取っていたことを立証することができれば、「過失がなかった」として損害賠償責任を免れる可能が高まります。
  • そこで、会社としては、情報セキュリティ対策を実施するのみならず、そのことを将来立証できるよう、例えば、以下に上げるように、社内外で適切な記録を残し、将来の証拠化に備えることが肝要です。
    • 取締役会において、情報セキュリティの対応の方針を協議し決議した議事録を残しておく。
    • 情報セキュリティの対策の方針を具体的に実施するために社内で協議・実施した事項の議事録や従業員に対する研修会記録（従業員の受講履歴を含む）等を残しておく。
    • 情報セキュリティの対策の一環として、ランサム攻撃の被害にあった場合の事業上のリスクに応じた適切な予算を確保し、必要に応じて外部の専門家を含めた技術的な支援を受け、リスク評価や支援事項の記録を残しておく。
    • 情報セキュリティの対策の一環として、社内規定（事業上重要な情報へのアクセス権の見直しや、ランサム攻撃を含むインシデント時の危機管理規定等）の新設・整理を行う。
    • 事業上の重要情報を委託先等に共有する場合の方針や、委託先における情報セキュリティの対策を確保・確認するための契約条件を見直し、その結果を社内規定やシステムに反映させる。
• 有事の留意点
  • 残念ながらランサム攻撃の被害に遭ってしまった直後には、会社や取締役は以下に述べるような様々な意思決定を迫られます。これらの意思決定が適切に行われたかどうかが、上記に述べたような顧客や従業員、株主から受ける損害賠償請求に際して重要な意味を持つことになります。
    • ランサム攻撃の加害者から要求される身代金を支払うべきか。
    • ランサム攻撃の被害に遭った事実を捜査機関に届け出るべきか。
    • ランサム攻撃の被害に遭った事実を関連する機関に届け出るか、その場合、どの関連機関にいつまでに届け出る必要があるか。
    • ランサム攻撃にあった事実をどの範囲で開示するか（漏洩したのが個人情報である場合には帰属する当該個人、顧客から預かった情報が漏洩した場合にはその顧客、取引先一般、ニュースリリース等で公にするかどうか等）。
    • ランサム攻撃の被害に遭った事実を通知・開示する場合、どのような方法で通知・開示するか（電子メール、手紙、会社のウェブサイト等の通信手段、通知に加えて補償の案内をするかどうか）。
  • そこで、これらの意思決定が適切に行われたことを、損害賠償請求を受けた際に証拠化し、立証することができるよう、社内における検討状況（いつ、誰が、どのような会議体で、どのような専門家の助言を得ながら意思決定したのか）を記録に残しておくことが肝要です。
  • 加えて、ランサム攻撃の被害に遭ってしまってからは上記の法的リスクが格段に高まることを踏まえ、社内の意思決定が適切に行われたことを客観的に担保するという観点から弁護士等の外部専門家から助言を得ることが有用です。また、仮に海外の利害関係者（取引先や株主等）から海外で訴訟提起された場合には、弁護士－依頼者秘匿特権の保護を受けるという観点からも外部法律事務所を起用することがリスクの低減につながります。

ランサム攻撃は近年、その数や規模が拡大しており、また手口も巧妙になっています。既に重要な経営課題として取り組まれている会社も多いとは思いますが、非常に変化のスピードの速いリスク分野でもあるため、本稿が貴社における取組状況を改めて見直す機会として、お役に立てれば幸いです。

---

¹KADOKAWA、取引先情報の漏洩確認　サイバー攻撃で - 日本経済新聞 (nikkei.com)
²愛知県豊田市、委託先被害で最大42万人分の情報漏洩か - 日本経済新聞 (nikkei.com)
³京都のイセトー､サイバー攻撃で約150万件の個人情報流出 - 日本経済新聞 (nikkei.com)
⁴東海の信金顧客情報、7万7千件流出　委託先ランサム感染 - 日本経済新聞 (nikkei.com)
⁵東京海上日動火災保険の委託先、6.3万件の情報漏洩　名前や住所 - 日本経済新聞 (nikkei.com)
⁶ランサムウェアとは？感染経路や対策、対処法まで徹底解説 - wiz LANSCOPE ブログ
⁷警視庁「令和5年における サイバー空間をめぐる脅威の情勢等について」（令和6年3月14日）R05_cyber_jousei.pdf (npa.go.jp)
⁸情報セキュリティ10大脅威 2024 解説書 (ipa.go.jp)
⁹中小企業の情報セキュリティ対策ガイドライン第3.1版 (ipa.go.jp)

（執筆担当者：松本）

---

※本記事の内容は、一般的な情報提供であり、具体的な法的又は税務アドバイスではありません。
ご質問などございましたら、ご遠慮なくご連絡ください。