ランサムウェア被害を受けた場合の法務対応上の留意点
第1回 個人情報保護法対応上の留意点
八雲法律事務所
弁護士 山 岡 裕 明
弁護士 町 田 力
弁護士 星 野 悠 樹
ランサムウェア(身代金要求型ウイルス)が猛威を振るっている。情報システムが停止に追い込まれたり、個人データや機密データが人質に取られたりした際、法務としてどのような対応をとるべきか。
本連載では、個人情報保護法対応、対外公表、取引先対応をそれぞれテーマに、ランサムウェア攻撃を受けた場合の法務対応上の留意点を3回にわたって紹介する。
第1回 個人情報保護法対応上の留意点
1 ランサムウェア攻撃とは
ランサムウェアとは、ランサム(身代金)とソフトウェアから成る造語で、ランサムウェアに感染すると、端末内のデータが暗号化されて利用できなくなり、復号(復旧)の対価として身代金の支払を要求される。
昨今では、データの暗号化に加えて、データを窃取した上で、そのデータを公開しないことの対価として身代金の支払要求を行うケースもある。
データの復旧および窃取したデータの非公開と引換えに身代金の支払を要求される点で「二重の脅迫」とも呼ばれている。
昨今頻発しているランサムウェア攻撃は、事業基盤たる情報システムを暗号化して停止に追い込む点で、事業継続の中断を引き起こすほどのリスクにその深刻度が変容している。すなわち、ランサムウェアは電子ファイルの暗号化を引き起こすところ、ランサムウェアが暗号化の対象とする電子ファイルはWordファイル、Excelファイル、PDFファイルといったいわゆるドキュメントファイルに限られない。企業活動の中で日常的に利用するシステム、ソフトウェア、アプリケーションも電子ファイルで構成されている。これらの電子ファイルまでもがランサムウェア攻撃による暗号化被害の対象となるのである[1]。
たとえば、工場制御システムを構成する電子ファイルが暗号化され、工場制御システムが停止すると、企業の製造・販売業務は中断を余儀なくされる。また、送金システムを構成する電子ファイルが暗号化された場合、企業の金融サービスは中断に追い込まれることになりかねない。
このように深刻な事業中断を引き起こすという意味において、サイバー攻撃の一種であるランサムウェア攻撃は、サイバーリスク全体においてもゲームチェンジャーといえよう。ランサムウェア攻撃は、既に企業として看過できない重大かつ緊急性の高いリスクになりつつある。
この記事の続きはフリー会員の方もご覧になれます
ログインしてご覧ください
(やまおか・ひろあき)
八雲法律事務所 弁護士(日本・カリフォルニア州) 情報処理安全確保支援士
University of California, Berkeley, School of Information修了(Master of Information and Cybersecurity(修士))。内閣サイバーセキュリティセンター(NISC) タスクフォース構成員(2019〜20、21〜22)。「サイバー安全保障分野での対応能力の向上に向けた有識者会議」構成員(2024)。
(まちだ・つよし)
八雲法律事務所 弁護士 情報処理安全確保支援士
慶應義塾大学法学部卒業、慶應義塾大学法科大学院修了。税務大学校非常勤講師(商法演習)(2022年~2023年)。
(ほしの・ゆうき)
八雲法律事務所 弁護士 情報処理安全確保支援士
中央大学法学部卒業、慶應義塾大学法科大学院中退。使用者側人事労務のブティック系法律事務所を経て現職。経営法曹会議会員(2016年~)。
八雲法律事務所 https://www.ykm-law.jp/
サイバーセキュリティ法務に特化した法律事務所。八雲Security & Consulting株式会社とともに企業のサイバーセキュリティ体制構築支援やサイバー攻撃を受けた際のインシデントレスポンス支援を専門とする。主な編著として『実務解説 サイバーセキュリティ法』(中央経済社、2023)および『法律事務所のサイバーセキュリティQ&A』(中央経済社、2024)。
[8月29日開催]山岡裕明先生ご登壇
トムソン・ロイター×商事法務「ビジネス・ロー・スクール」共催 無料セミナー
「サイバーセキュリティの基本とサイバーリスクDDの実務」
https://www.westlawjapan.com/e