ランサムウェア、サイバー恐喝、海外拠点の人質事案で支払いを迫られた企業が、制裁、取締役責任、個人情報、開示、保険、初動を同時に確認するための実務整理です。
ランサムウェア、サイバー恐喝、人質事案を横断し、企業法務が最初に確認する判断軸を整理します。
身代金支払いの是非と法的論点は、ランサムウェア、サイバー恐喝、データ窃取後の暴露脅迫、海外拠点の誘拐・人質事案までを含む危機対応の論点です。ここでいう身代金は、違法な危害の告知、業務停止、データ暗号化、秘密情報の暴露、生命身体への危険などを背景に、金銭、暗号資産、物品、役務、便宜その他の経済的利益を要求される場面を指します。
この一覧は、支払いを考える前に確認すべき判断軸を整理したものです。各列は、法令、経営、個人情報、開示、保険、実効性、危機管理の観点を示しており、どれか一つでも未確認のまま進めると、復旧よりも大きな二次リスクを招くおそれがあります。読者は、身代金支払いの是非が単なる費用対効果ではなく、複数部門を同時に動かす経営判断である点を読み取ってください。
| 判断軸 | 基本的な結論 |
|---|---|
| 法令遵守 | 制裁対象者、テロ資金供与、反社会的勢力、資産凍結、外為法、外国法上の禁止に抵触する疑いがあれば、支払いは原則として進めにくくなります。 |
| 取締役責任 | 支払う場合も支払わない場合も、十分な情報収集、専門家助言、代替策比較、合理的な意思決定過程が求められます。 |
| 個人情報保護 | 支払いは、漏えい等報告や本人通知の要否を当然には消しません。 |
| 開示 | 上場会社では、被害規模、業績影響、事業継続影響により、適時開示や有価証券報告書等の開示が問題になります。 |
| 保険 | サイバー保険では、事前承認、指定ベンダー、制裁除外、戦争・国家関与除外、損害軽減義務を確認します。 |
| 実効性 | 支払っても復号鍵が動かない、データが売却・再公開される、再感染する、再度脅迫される可能性があります。 |
| 危機管理 | 警察・関係当局への相談、証拠保全、フォレンジック、広報、顧客対応、復旧計画を並行して進めます。 |
身代金支払いの是非は、被害の最小化と犯罪資金供与の回避、経営判断の裁量と法令上の禁止、秘密交渉の誘惑と説明責任、短期復旧と長期的な内部統制という四つの緊張関係を同時に扱う問題です。攻撃者の要求、制裁・テロ・反社の疑い、支払手段、復旧代替策、支払いで得られるもの、支払わない場合の損害、決裁権限、後日の説明可能性を順に確認する必要があります。
復旧保証の欠如、再攻撃、犯罪資金、制裁、報告義務を、例外的検討場面と合わせて確認します。
ランサムウェア型の要求では、暗号化に加えて、データを持ち出して公開を迫る二重恐喝、顧客・取引先・役員・従業員への直接連絡やDDoS攻撃を組み合わせる三重恐喝が問題になります。復号鍵の購入のように見えても、実質は犯罪者による恐喝への対応です。
次の一覧は、身代金支払いを原則として避ける理由を、復旧、再攻撃、犯罪資金、制裁、報告義務の五つに分けて示しています。これは初動会議で優先順位を誤らないために重要です。読者は、支払いが一つの問題を解決するどころか、同時に複数のリスクを増やす可能性がある点を確認してください。
攻撃者は契約相手ではなく、復号鍵、データ削除、再攻撃しない約束、公開停止のいずれも強制できません。復号ツールが提供されない、又は機能しない例も想定されます。
支払った企業は、支払い能力があり危機時に応じる可能性が高い対象として、犯罪者間で共有・転売される可能性があります。
支払いは、侵入役、初期アクセスブローカー、マルウェア開発者、交渉担当、暗号資産洗浄者、暴露サイト運営者などの分業構造に収益を与える可能性があります。
支払先が制裁対象者、テロ関係者、反社会的勢力、国家関与主体である疑いがあれば、経営判断以前に法令違反や許可不能の問題になります。
攻撃者が公開停止や削除を約束しても、個人情報、営業秘密、業務停止、業績影響、顧客・取引先への影響は別に評価します。
ただし、身代金支払いの是非を単純に道徳論だけで決めると、医療、公共交通、エネルギー、水道、金融決済、海外拠点の人質事案、要配慮情報の公開リスクなどを十分に扱えません。実務では、支払いを含む選択肢を検討せざるを得ない場面を、違法性の排除と代替策の尽くし方で管理します。
この一覧は、例外的に支払い検討の議題に上がり得る状況を並べたものです。いずれも支払いを推奨する意味ではなく、生命身体や不可逆的損害を含む危機で、何を比較材料にするかを見失わないために重要です。読者は、検討対象になる場面でも、支払いは有効な解決策ではなく最後の選択肢として扱われる点を読み取ってください。
医療、公共交通、エネルギー、水道、金融決済、重要インフラなどで業務停止が重大な安全被害に直結する場面です。
海外拠点の従業員、役員、家族、出張者に差し迫った危険がある場面では、現地法、国際制裁、当局対応を同時に確認します。
バックアップが破壊され、代替運用も難しく、倒産又は広範な第三者被害が現実化する場面です。
研究開発データ、医療データ、児童・高齢者・要配慮者の情報など、公開により回復しにくい人権侵害が想定される場面です。
支払い停止、慎重検討、不払い優先の順で、危機対応チームが確認すべき流れを示します。
身代金支払いの是非は、先に違法又は危険な選択肢を除外し、その後に高度慎重検討の領域と不払い優先の領域を分けると整理しやすくなります。次の判断の流れは、停止、慎重検討、不払い優先の順番を示すもので、危機対応チームが同じ順序で論点を処理するために重要です。読者は、早く決めるよりも、赤い領域を先に排除することを読み取ってください。
要求額、期限、支払手段、攻撃者の連絡内容、停止範囲、持ち出し可能性を記録します。
合理的疑いがあれば、支払い検討を停止し、専門家・当局と協議します。
制裁回避、本人確認回避、匿名化、虚偽説明、資金洗浄を伴う経路は進めません。
復旧代替策、第三者被害、保険、開示、決裁権限を比較します。
オフラインバックアップ、復号ツール、限定的な暗号化、代替運用がある場合は復旧と封じ込めを優先します。
次の比較表は、赤、黄、緑の三つの判断領域を、典型事情と実務対応で整理しています。領域ごとの差は、結論の強さと必要な記録の厚さを示すために重要です。読者は、赤は停止、黄は専門家関与のもとで慎重比較、緑は復旧・封じ込め優先という違いを読み取ってください。
| 領域 | 典型事情 | 実務対応 |
|---|---|---|
| 停止領域 | 制裁対象者、テロ関係者、反社会的勢力、資産凍結対象者の合理的疑い、又は制裁回避・本人確認回避・虚偽説明が必要な経路があります。 | 支払い検討を止め、外部専門家、警察、関係当局、金融機関、保険会社と協議します。 |
| 高度慎重検討領域 | 長期停止、重大な顧客・患者・利用者被害、バックアップ毀損、機微情報サンプルの提示、代替手段の高コストが見込まれます。 | 法的意見、技術評価、保険確認、当局相談、取締役会レベルの記録をそろえます。 |
| 不払い優先領域 | オフラインバックアップで合理的期間内に復旧できる、既知の復号手段がある、暗号化範囲が限定的、持ち出し主張に裏付けがありません。 | 支払いをせず、復旧、封じ込め、報告・通知、再発防止を優先します。 |
刑事法、外為法、テロ資金供与、反社会的勢力、暗号資産・AML/CFTを横断して確認します。
日本法上は、恐喝の被害者が金銭を交付したという一点だけで、被害企業や役職員が当然に犯罪者になるとは限りません。しかし、それは支払っても常に適法という意味ではありません。支払先、支払経路、適用法域、関与者、目的、代替手段、緊急性を具体的に検討します。
この表は、日本法上の主要論点を、攻撃者側の犯罪、被害企業側の支払い、外為法、テロ資金供与、反社会的勢力、AML/CFTに分けて示しています。論点ごとに適用される法令や確認資料が異なるため、法務・コンプライアンス・財務・ITが同じ表で確認することが重要です。読者は、支払いの是非が刑事法だけでなく、経済制裁、資金洗浄、暗号資産、契約上の反社条項まで広がる点を読み取ってください。
| 論点 | 確認する内容 | 注意点 |
|---|---|---|
| 攻撃者側の刑事責任 | 恐喝、電子計算機損壊等業務妨害、不正アクセス、不正指令電磁的記録、脅迫、強要、誘拐・人質関連犯罪などを確認します。 | 被害企業は、交渉より先に証拠保全と警察相談の要否を検討します。 |
| 被害企業の支払い | 被害者としての支払い自体と、制裁・テロ・反社・資金洗浄に関与する支払いを切り分けます。 | 暗号資産取得、海外送金、代理人経由支払いで虚偽説明や本人確認回避をしないことが重要です。 |
| 外為法・経済制裁 | 日本の制裁リスト、資産凍結、許可対象性、海外子会社、米ドル決済、英国・EU拠点などの接点を確認します。 | 最終受益者が不明な場合、実名検索だけでは足りません。 |
| テロ資金供与・人質事案 | テロ目的の犯罪行為を容易にする資金等の提供に当たらないか、現地法や国際制裁を確認します。 | 生命身体の危険がある場合でも、企業単独の送金判断は危険です。 |
| 反社会的勢力 | 暴力団排除条例、金融機関約款、取引契約の反社条項、上場審査・ガバナンス上の要請を確認します。 | 問題を早く終わらせる利益供与は、反社対応ポリシーを損ないます。 |
| AML/CFT・暗号資産 | 金融機関、暗号資産交換業者、保険会社、交渉支援会社の本人確認、疑わしい取引、制裁確認を確認します。 | 匿名化、ミキサー、虚偽名義、制裁回避を意図した行為は別の法的リスクを招きます。 |
支払う判断も支払わない判断も、情報収集、代替策、記録化、平時の備えが問われます。
会社法・取締役責任の観点では、結論そのものよりも意思決定過程が重要になります。支払った結果として制裁違反や再攻撃を招いた場合だけでなく、支払わなかった結果として重大な顧客被害や長期停止が生じた場合にも、事故前の備えと事故時の判断過程が検証されます。
次の一覧は、取締役会や危機対策本部が後日説明できるように残すべき検討項目です。これは裁判、株主代表訴訟、監督当局対応、第三者委員会、監査人対応で確認されるため重要です。読者は、支払いの可否だけでなく、事故前の備え、初動、専門家助言、代替策、記録が一体で問われる点を読み取ってください。
バックアップ、インシデント対応計画、権限分掌、訓練、委託先管理、サイバーリスクの取締役会報告を整備していたかを確認します。
危機対策本部を設置し、フォレンジック、法務、保険、制裁、個人情報、開示、広報、事業継続を統合して検討したかを確認します。
バックアップ復旧、再構築、代替システム、手作業運用、復号ツール、顧客対応を比較したかを確認します。
取締役会、代表取締役、CISO、CRO、GC、監査役・監査等委員が適切に関与し、反対意見や留保条件も記録したかを確認します。
この強調枠は、サイバーセキュリティ経営ガイドラインとの関係を一文で整理するものです。事故当日の判断だけを見ると、なぜ身代金支払いを検討せざるを得ない状態になったのかを見落とすため重要です。読者は、支払い判断が平時の内部統制、バックアップ、認証、権限管理、委託先管理、監視、訓練、BCPに戻って検証される点を押さえてください。
バックアップ、認証、権限管理、ネットワーク分離、脆弱性管理、委託先管理、監視、訓練、BCPのいずれかに課題があると、支払い判断に追い込まれやすくなります。
PPC報告、本人通知、適時開示、SEC、OFAC、英国・EU規制を、期限感とともに整理します。
個人情報、証券開示、国際制裁は、支払いの有無にかかわらず残る論点です。攻撃者が削除や非公開を約束しても、個人データの持ち出し、暗号化による毀損・滅失、不正アクセス、マルウェア感染、業績影響、投資家影響は別に判断します。
次の表は、報告・通知・開示・制裁確認を、主な期限や判断の入口ごとに整理しています。期限や判断時点が違うため、一本化した工程管理がなければ抜け漏れが起きやすくなります。読者は、支払い交渉と並行して、個人情報保護委員会、本人、顧客、証券取引所、SEC、OFAC、英国・EU規制への対応を別線で動かす必要がある点を読み取ってください。
| 領域 | 主な確認事項 | 実務上の読み方 |
|---|---|---|
| 個人情報保護 | 速報的報告は原則として事態を知った時から3から5日以内、確報は原則30日以内、一定の不正目的が疑われる場合等は60日以内が目安になります。 | 攻撃者の削除申告は、漏えい等又はそのおそれを当然には消しません。 |
| 本人・顧客・委託元通知 | 本人通知、取引契約、委託契約、共同利用契約、クラウド利用契約、業法上の通知義務を確認します。 | フォレンジック初期段階で漏えいなしと断定する表現は避けます。 |
| 日本の適時開示 | 主要工場、物流、決済、顧客サービス、基幹システム停止、業績影響、大規模漏えい、行政対応があれば検討します。 | 攻撃者に知られる不利益だけで、投資家への重要事実を隠す判断は慎重に扱います。 |
| 米国SEC登録会社等 | 重大性判断後、原則として4営業日以内の開示枠組みが問題になることがあります。 | 米国上場、米国子会社、米国投資家、米国契約、米国クラウド・決済・保険の接点を確認します。 |
| OFAC・英国・EU | OFACはランサムウェア支払いの促進に制裁リスクがあると警告し、英国OFSIやICOも支払いの限界を示しています。 | EU拠点やEUデータがあれば、GDPR、NIS2、DORA等の報告・通知も確認します。 |
次の時系列は、個人情報と証券開示の期限感を並べて示しています。支払い交渉の期限に引っ張られて公的・契約上の期限を忘れないために重要です。読者は、初期評価、速報、確報、投資家向け開示の判断時点が重なり合うことを読み取ってください。
個人データの持ち出し、毀損・滅失、不正アクセス、マルウェア感染の事実に基づいて報告要否を判断します。
重大性判断後の開示規則が関係する場合、性質、範囲、時期、重要な影響を整理します。
判明事実、未判明事項、調査方法、再発防止策、問い合わせ窓口を分けて説明します。
不正アクセスやマルウェア感染の事情によって、追加の確報期限と通知対象を確認します。
保険契約の制約、事故関連費用、損金算入、内部統制・J-SOX影響を確認します。
サイバー保険は資金手当ての一部であり、適法性の判断主体ではありません。保険会社が費用を認める可能性があっても、制裁法、個人情報保護法、会社法上の責任、刑事法、反社会的勢力対応、開示義務は別に確認します。
この表は、サイバー保険で確認すべき条項と、会計・税務・監査で検討すべき費用項目を整理しています。保険、経理、監査の確認が遅れると、補償対象外、証憑不足、開示漏れ、内部統制不備につながるため重要です。読者は、身代金そのものだけでなく、復旧費用、フォレンジック費用、広報費用、顧客補償、保険金収入まで一体で扱う点を読み取ってください。
| 条項・論点 | 実務上の確認事項 |
|---|---|
| 通知義務 | インシデント発見後、何時間又は何日以内に保険会社へ通知する必要があるかを確認します。 |
| 事前承認 | 交渉会社、フォレンジック会社、法律専門家、広報会社、支払い自体について事前承認が必要かを確認します。 |
| 指定ベンダー | 保険会社指定ベンダーの利用要否と、自社選定ベンダー費用の対象性を確認します。 |
| 身代金補償 | 身代金、暗号資産取得手数料、交渉費用、復旧費用、事業中断損害が補償対象かを確認します。 |
| 制裁除外 | 制裁対象者への支払い又は制裁リスクのある支払いが免責になるかを確認します。 |
| 戦争・国家関与除外 | 国家関与又は戦争・準戦争行為と評価された場合の免責範囲を確認します。 |
| 会計・税務・監査 | 費用処理、注記、後発事象、引当金、偶発債務、減損、損金算入、保険金処理、J-SOX影響を確認します。 |
次の一覧は、会計・税務・監査で担当部門が分かれやすい確認事項をまとめたものです。危機対応の最中に資金決済だけを先行させると、後日の監査や税務調査で説明が難しくなるため重要です。読者は、証憑、意思決定記録、保険金処理、損害額算定、監査人対応を早期にそろえる必要がある点を読み取ってください。
身代金、復旧費用、システム再構築費用、顧客補償、事業中断損害、保険金収入について、費用処理、資産計上、注記、後発事象、減損を検討します。
会計損金算入の可否は、支払いの性質、違法性、必要性、証拠、相手方、支払経路、保険金との関係で変わります。
税務リスク財務諸表、IT全般統制、継続企業の前提、決算処理、見積り、開示、ログ消失、アクセス権限侵害への影響を確認します。
監査要求文、ログ、マルウェア情報、復旧記録、意思決定記録を保全し、交渉の統制を置きます。
身代金要求を受けた直後に避けるべきことは、証拠を消すことです。感染端末の隔離、安易な電源断の回避、システム管理者・セキュリティベンダー・警察相談窓口への相談などを、証拠保全と復旧の両面から検討します。
次の一覧は、保全すべき情報を技術・交渉・復旧・意思決定の観点でまとめたものです。これらは捜査協力だけでなく、個人情報保護委員会への報告、顧客説明、損害賠償請求、保険請求、取締役会検証、訴訟、監査対応の基礎になるため重要です。読者は、初動で消してよいログや連絡記録はほとんどない点を読み取ってください。
身代金要求文、攻撃者サイト、チャットログ、メール、電話記録、ウォレットアドレス、要求額、期限、支払条件を保全します。
証拠端末、サーバ、VPN、RDP、AD、クラウド、メール、EDR、FW、プロキシ、DNS、IdPのログを保全します。
技術暗号化時刻、拡張子、検体、ハッシュ値、プロセス、サービス、タスク、外部通信先、Torサイト、サンプルデータを保全します。
調査バックアップ状態、復旧テスト結果、対策本部議事録、専門家助言、保険会社・警察・監督官庁との連絡記録を保全します。
記録次の比較一覧は、支払いを検討する場合でも欠かせない統制を示しています。交渉方法や暗号資産の送金手順を案内するためではなく、法令違反と二次被害を避けるための統制を確認することが重要です。読者は、接触、交渉、決裁、支払い後対応をすべて記録管理の下に置く必要がある点を読み取ってください。
交渉記録、制裁確認、取締役会資料、当局対応を法的観点から一体管理します。
攻撃者の主張を鵜呑みにせず、暗号化範囲、持ち出し有無、復旧可能性を検証します。
攻撃グループ、ウォレット、支払経路、関与業者、適用法域を確認します。
攻撃者から秘匿を迫られても、必要な相談・報告を検討します。
保険対象性を失わないよう、通知・承認手続を確認します。
金額、条件、法的留保、代替策、リスクを決裁文書に残します。
6時間、24時間、72時間、30日・60日という節目で、証拠保全から確報までを進めます。
事故発生後の対応は、最初の数時間で証拠保全と被害拡大防止を両立し、24時間以内に法務・技術・保険・開示の初期評価へ進む必要があります。支払いの是非だけに注意を奪われると、報告・通知・復旧・監査対応が遅れます。
次の時系列は、発見から6時間以内、6から24時間、24から72時間、3日から30日・60日の四段階で実施事項を整理しています。順番を明確にすることで、部門間の待ち時間を減らし、証拠保全、法令確認、取締役会決裁、報告期限を同時に管理できるため重要です。読者は、早期に全部を確定するのではなく、段階ごとに確認精度を上げる進め方を読み取ってください。
CISO、情報システム、法務、経営、広報、個人情報、内部監査、総務、人事、事業部門、外部専門家、保険窓口を招集します。感染端末・ネットワークを隔離し、要求文、チャット、ウォレット、期限を保全します。
バックアップの健全性、持ち出し可能性、制裁・AML・外為法・反社・テロ資金供与の一次確認、取締役会又は危機対策本部への初期報告を行います。
フォレンジック調査計画、個人情報保護法上の速報的報告、適時開示、監督官庁報告、顧客通知の文案、法的意見又は各種メモを準備します。
確報、本人通知、顧客通知、復旧、再構築、脆弱性修正、認証情報変更、ログ監視強化、会計処理、保険請求、監査人対応、取締役会報告を進めます。
事案概要、被害評価、代替策、法令確認、関係者協議、実効性、決裁事項、その後の対応を記録します。
身代金支払いの是非を検討する決裁メモは、結論を正当化するための後付け文書ではなく、意思決定者がどの事実とリスクを見て判断したかを残すための文書です。支払い、不払い、判断保留のいずれでも、同じ項目で比較できる形にします。
次の一覧は、取締役会又は危機対策本部向け決裁メモの項目例です。各項目は、後日の規制当局、監査人、裁判所、株主、取引先、従業員への説明材料になるため重要です。読者は、事案概要から支払い後又は不払い後の対応まで、判断前に記録の骨格を決める必要がある点を読み取ってください。
発見日時、影響システム、業務停止範囲、攻撃者の要求内容、要求額、期限、支払手段を整理します。
暗号化範囲、持ち出しの有無・疑い、個人情報・営業秘密・重要データ、生命身体・安全・顧客被害、財務影響を整理します。
バックアップ復旧、再構築、手作業運用、復号ツール、システム切替、顧客対応・補償を比較します。
日本の経済制裁・外為法、OFAC・英国・EU等の外国制裁、テロ資金供与、反社、AML/CFT、個人情報、業法、証券開示を確認します。
外部専門家、外国法専門家、フォレンジック、保険会社、警察・当局、監査人、危機広報との協議状況を整理します。
復号可能性、データ削除約束の信頼性、再攻撃可能性、支払い後の残存リスクを評価します。
支払う、支払わない、判断保留の結論、判断理由、条件、権限者、反対意見・留保意見、記録保存方針を残します。
復旧計画、報告・通知・開示、広報方針、顧客・従業員対応、再発防止策を整理します。
この表は、危機対応で関与する役割と主な責任を一覧化したものです。身代金支払いの是非は一部門だけでは判断できず、法務、IT、経営、監査、個人情報、財務、広報、保険、警察・当局の連携が必要になるため重要です。読者は、誰が何を担うかを事前に決めておかないと、権限不明のまま攻撃者の期限に追われる点を読み取ってください。
| 役割 | 主な責任 |
|---|---|
| 代表取締役・CEO | 最終的な危機判断、資源配分、取締役会報告、対外説明を担います。 |
| 取締役会 | 重要な支払い、重大な事業影響、開示、内部統制改善を監督します。 |
| 監査役・監査等委員 | 取締役の職務執行、意思決定過程、内部統制、再発防止を監査します。 |
| ゼネラルカウンセル・法務部 | 法令整理、制裁確認、契約確認、証拠保全、当局・専門家連携を担います。 |
| CISO・情報システム | 封じ込め、復旧、ログ保全、技術評価、再発防止を担います。 |
| フォレンジック専門家 | 侵入経路、影響範囲、持ち出し有無、復旧可能性、証拠化を担います。 |
| 個人情報保護担当 | 漏えい等報告、本人通知、委託先・委託元連絡、プライバシー対応を担います。 |
| コンプライアンス担当 | 制裁、AML/CFT、反社、社内規程、教育、再発防止を担います。 |
| 内部監査担当 | 初動後の統制評価、改善状況のフォロー、J-SOX影響確認を担います。 |
| CFO・経理財務 | 資金面、会計処理、保険金、税務、監査人対応を担います。 |
| 危機広報 | 公表文、想定問答、メディア対応、顧客・従業員向け説明を担います。 |
| 保険会社・ブローカー | 保険通知、補償範囲、指定ベンダー、事前承認を確認します。 |
| 警察・関係当局 | 捜査、被害相談、技術情報共有、二次被害防止に関わります。 |
身代金支払いの是非は、顧客契約、委託先・サプライチェーン、M&A・投資・融資、危機広報、事前準備にも影響します。支払うかどうかに関係なく、契約通知、監査権、損害賠償、データ返還・削除、表明保証、コベナンツ、広報の整合性が問われます。
次の表は、事故後に確認する契約・広報・事前準備の論点をまとめています。身代金交渉だけを見ていると、顧客や委託元への通知、M&Aデューデリジェンス、融資コベナンツ、メディア対応、平時の規程整備が抜けやすいため重要です。読者は、危機対応が契約管理と事前統制の問題に戻っていくことを読み取ってください。
| 領域 | 確認事項 |
|---|---|
| 顧客契約 | SaaS、BPO、クラウド、システム開発、物流、医療、金融、公共調達では、事故通知期限、報告内容、監査権、再委託先管理、損害賠償、SLA、不可抗力、秘密保持、個人情報、営業秘密、データ返還・削除を確認します。 |
| 委託先・サプライチェーン | 委託先経由の事故では、初動不備、バックアップ不備、ログ不備、通知遅延、再委託先管理不備、監査権、協力義務、サイバー保険付保、再発防止義務を確認します。 |
| M&A・投資・融資 | ランサムウェア被害歴、支払い歴、未解決の漏えい、制裁確認不備、保険請求、監督官庁対応、訴訟リスクは、DD、表明保証、価格調整、補償条項、MAC条項、融資コベナンツに影響します。 |
| 広報 | 調査未了の段階で漏えいなしと断定しない、軽微な障害と過小表現しない、攻撃者の主張と暴露サイトの状況を確認する、説明内容の矛盾を避けることが重要です。 |
| 事前準備 | オフライン又はイミュータブルバックアップ、多要素認証、特権ID管理、ログ監視、脆弱性管理、緊急連絡先、報告・開示手順、机上訓練を整備します。 |
次の一覧は、支払い判断を迫られない会社にするための準備項目です。危機時の選択肢は平時の準備で決まるため、事前に復旧可能性と決裁手順を整えておくことが重要です。読者は、支払いを拒否するためにも、拒否できるだけの技術・契約・組織の備えが必要である点を読み取ってください。
オフライン又はイミュータブルバックアップを保持し、復旧テストを定期実施します。
多要素認証、特権ID管理、VPN・RDP・クラウド認証の強化を行います。
インシデント対応計画に、制裁確認、当局相談、保険通知、取締役会決裁、広報判断を明記します。
事故通知、監査権、ログ保全、協力義務、再委託管理、再発防止義務を契約に入れます。
払うか払わないかを含む机上訓練で、役割分担、報告期限、対外説明を確認します。
個別事案の判断ではなく、一般的な制度説明と注意点として整理します。
一般的には、恐喝の被害者が支払ったという一点だけで直ちに犯罪になるとは限らないとされています。ただし、支払先が制裁対象者、テロ関係者、反社会的勢力、資産凍結対象者である場合や、外為法、外国制裁法、AML/CFT、反社規制に抵触する場合は、結論が変わる可能性があります。具体的な対応は、支払先・支払経路・適用法域を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、支払いは漏えい等又はそのおそれを消滅させるものではないとされています。攻撃者が削除したと述べても、複製・転売・再公開の可能性は残ります。具体的には、個人データの持ち出し、暗号化による毀損・滅失、不正アクセス、マルウェア感染の事実に基づいて、専門家と報告・本人通知の要否を確認する必要があります。
一般的には、復号鍵の提供やデータ回復は保証されないとされています。復号鍵が提供されない、一部しか機能しない、復号に長時間を要する、復号中にデータが破損する、バックドアが残る、別グループが再攻撃する可能性があります。具体的な復旧見込みは、バックアップ状況や技術調査を踏まえて専門家に確認する必要があります。
一般的には、接触自体が常に違法とは限らないとされています。ただし、法務、警察、保険会社、フォレンジック専門家への相談前に約束をしたり、証拠を消したりすることは大きなリスクになります。接触する場合は、権限者、記録方法、禁止事項、法的留保を定めたうえで、専門家の管理下で行う必要があります。
一般的には、会社の規模、支払額、被害規模、業務停止、開示影響、保険、制裁リスク、社内規程によって判断が変わります。重要な支払い、重大な事業影響、上場会社の開示事項、社会的影響がある場合は、取締役会又は権限者による明示的な決裁が必要になる可能性があります。具体的には、社内規程と事案の重要性を確認する必要があります。
一般的には、保険は適法性を保証するものではないとされています。保険会社が費用を補償する場合でも、制裁法、テロ資金供与、個人情報保護法、会社法上の取締役責任、適時開示義務、反社対応義務は別問題です。具体的には、保険会社への通知と事前承認に加え、法的確認を行う必要があります。
一般的には、攻撃者の指示は法令・契約上の義務を変更しないとされています。警察、監督官庁、個人情報保護委員会、証券取引所、保険会社、顧客への報告要否は、被害状況と法令・契約に基づいて判断します。具体的な報告方針は、証拠と被害範囲を整理したうえで専門家に相談する必要があります。
一般的には、攻撃者による削除証明の信頼性は低いとされています。一部データを削除したとしても、複製、共有、転売、バックアップ、スクリーンショット、別グループへの提供を排除できません。具体的には、削除証明だけで報告義務や本人通知義務が消えるとは考えず、技術調査と法的判断を分けて確認する必要があります。
一般的には、まず委託先・サプライヤーの契約上の責任、事故対応能力、保険、復旧策、データ範囲、再委託先を確認するとされています。自社が直接支払う場合は、支払先の法令適合性や保険・会計処理がさらに複雑になります。具体的には、顧客・本人・監督官庁への報告義務を自社でも検討する必要があります。
一般的には、支払額や支払いの有無を常に公表する義務があるとは限らないとされています。ただし、上場会社の適時開示、投資家説明、監督官庁報告、保険、会計、顧客説明、訴訟では、支払いが重要事実になる可能性があります。具体的には、虚偽説明や矛盾した説明を避けるため、開示範囲と時点を専門家と確認する必要があります。
証拠、技術、制裁、報告、決裁、再発防止の未了項目を可視化します。
このチェックリストは、初動会議で最低限確認すべき項目を、未了時のリスクと対応させたものです。各行は、身代金支払いの是非を判断する前に不足している情報を見つけるために重要です。読者は、未了項目が多いほど、支払い判断そのものよりも証拠保全・法令確認・復旧代替策の整備を優先すべきだと読み取ってください。
| No. | 確認事項 | 未了時のリスク |
|---|---|---|
| 1 | 攻撃者の要求内容、期限、金額、支払手段を保全したか。 | 証拠喪失、保険請求困難、当局説明困難につながります。 |
| 2 | 感染範囲と業務停止範囲を技術的に把握したか。 | 不要な支払い、復旧遅延、二次感染につながります。 |
| 3 | バックアップ復旧・再構築・代替運用を検討したか。 | 支払い以外の選択肢を見落とします。 |
| 4 | 個人情報・営業秘密・機微情報の有無を確認したか。 | 報告・通知漏れ、顧客被害、行政対応につながります。 |
| 5 | 日本の制裁リスト・資産凍結対象を確認したか。 | 外為法・制裁違反につながります。 |
| 6 | OFAC、英国、EU、現地法の適用可能性を確認したか。 | 外国制裁違反、保険免責、海外訴訟につながります。 |
| 7 | テロ資金供与・反社会的勢力の疑いを検討したか。 | 刑事・行政・契約・信用リスクにつながります。 |
| 8 | 警察・関係当局・保険会社に相談したか。 | 捜査協力不備、保険対象外、説明困難につながります。 |
| 9 | 取締役会又は権限者が決裁したか。 | 任務懈怠、社内規程違反、責任追及につながります。 |
| 10 | 適時開示・監督官庁報告・本人通知を検討したか。 | 開示違反、行政指導、信用毀損につながります。 |
| 11 | 支払いの実効性と限界を評価したか。 | 復旧不能、再攻撃、追加要求につながります。 |
| 12 | 支払い後又は不払い後の再発防止計画を策定したか。 | 同種事故の再発、内部統制不備につながります。 |
払うか払わないかだけではなく、事実・法令・技術・ガバナンスを記録で説明できる状態にします。
身代金支払いの是非と法的論点を一文でまとめると、企業は身代金支払いを原則として回避しつつ、生命・身体・重要業務・第三者被害に関わる極限状況では、違法性を排除し、代替策を検討し、専門家・当局・保険会社と協議し、取締役会レベルで記録化したうえで、最後の選択肢として検討することがあります。
この強調枠は、支払い判断で最後に残すべき実務姿勢をまとめています。結論の強さだけを競うと、技術、法令、ガバナンス、説明責任のいずれかが欠けるため重要です。読者は、支払いを拒否するにも、支払いを検討するにも、同じだけの準備と記録が必要である点を読み取ってください。
企業法務担当者の役割は、事実を確定し、リスクを切り分け、違法な選択肢を排除し、合理的な代替策を提示し、意思決定者が後日説明できる記録を残すことです。
支払いを拒否するためには、拒否できるだけのバックアップ、復旧計画、危機対応体制が必要です。支払いを検討するためには、制裁、テロ資金供与、反社、AML/CFT、個人情報、開示、保険、取締役責任を横断的に確認する統制が必要です。これが、ランサムウェア時代の企業法務における危機管理の中心になります。
制度理解と実務判断の前提となる公的・中立的な資料名を整理します。