ランサムウェア被害を受けた場合の法務対応上の留意点
第2回 対外公表上の留意点
八雲法律事務所
弁護士 山 岡 裕 明
弁護士 笠 置 泰 平
弁護士 上 野 浩 理
ランサムウェア(身代金要求型ウイルス)が猛威を振るっている。情報システムが停止に追い込まれたり、個人データや機密データが人質に取られたりした際、法務としてどのような対応をとるべきか。
本連載では、個人情報保護法対応、対外公表、取引先対応をそれぞれテーマに、ランサムウェア攻撃を受けた場合の法務対応上の留意点を3回にわたって紹介する。
第2回 対外公表上の留意点
ランサムウェア攻撃を受けた場合、被害企業として、被害の事実を公表すべきか、また、公表する場合には、いつ、どのような内容を公表すべきかが問題となる。
1 公表に関する規制
上場企業については、適時開示(有価証券上場規程402条)を行うか否かの検討が必要になる。
上場企業は、剰余金の配当、株式移転又は合併の決定を行った場合や、災害に起因する損害又は業務遂行の過程で生じた損害が発生した場合等において、有価証券上場規程402条等に基づき、直ちにその内容を開示しなければならないものとされている。
サイバーインシデントの発生やそれに伴う意思決定が同条に該当するかについては、特にバスケット条項(同条2号x)該当性が問題となる場合が多い。同号xは、「(aから前wまでに掲げる事実のほか、)当該上場会社の運営、業務若しくは財産又は当該上場株券等に関する重要な事実であって投資者の投資判断に著しい影響を及ぼす」事実が発生した場合に、適時開示を義務付けることを定めるものである。
適時開示は、上場企業がランサムウェア攻撃を受けた場合に頻出する悩ましい論点である。悩ましい理由の一つは、上記のとおり、「その他上場会社の運営、業務、若しくは財産または当該上場株券等に関する重要な事実であって投資者の投資判断に著しい影響を及ぼす」という基準が必ずしも明確ではないこと[1]、また、もう一つは、ランサムウェア攻撃を受けた直後においては、暗号化されて停止に追い込まれた情報システムの範囲、データ窃取の有無、窃取された可能性のあるデータの範囲等といった被害の全体像が把握し難いことである。
そのため、筆者らの実務経験上、サイバーインシデントが発生した場合の適時開示の要否については、被害企業の内部のみで議論を完結させることなく、情報漏えいによる責任範囲(取引先、個人データにかかる本人、その他)、予想される賠償額、開示時期、開示資料の内容及び業績への影響について、証券取引所の担当者と密に連携を取ってすり合わせをしながら決定していくことが重要であると考えている。
この記事はプレミアム向け有料記事です
続きはログインしてご覧ください
(やまおか・ひろあき)
八雲法律事務所 弁護士(日本・カリフォルニア州) 情報処理安全確保支援士
University of California, Berkeley, School of Information修了(Master of Information and Cybersecurity(修士))。内閣サイバーセキュリティセンター(NISC) タスクフォース構成員(2019〜20、21〜22)。「サイバー安全保障分野での対応能力の向上に向けた有識者会議」構成員(2024)。
(かさぎ・たいへい)
八雲法律事務所 弁護士
九州大学法学部卒業、中央大学法科大学院修了。国土交通省大臣官房監察官(2014年~2017年)、公正取引委員会事務総局審査局審査専門官(主査)(2017年~2019年)。関連論考として「サプライチェーンにおけるサイバーセキュリティ体制構築上の法的留意点」旬刊経理情報No.1668(2023)49頁。
(うわの・ひろただ)
八雲法律事務所 弁護士 CISSP
筑波大学社会・国際学群社会学類卒業、山梨学院大学法科大学院修了。検事(2014年~2023年)、東京、松山、鹿児島各地方検察庁、大阪地方検察庁(刑事部、特別捜査部、公安部)。税務大学校非常勤講師(商法演習)(2024年~)。
八雲法律事務所 https://www.ykm-law.jp/
サイバーセキュリティ法務に特化した法律事務所。八雲Security & Consulting株式会社とともに企業のサイバーセキュリティ体制構築支援やサイバー攻撃を受けた際のインシデントレスポンス支援を専門とする。主な編著として『実務解説 サイバーセキュリティ法』(中央経済社、2023)および『法律事務所のサイバーセキュリティQ&A』(中央経済社、2024)。
[8月29日開催]山岡裕明先生ご登壇
トムソン・ロイター×商事法務「ビジネス・ロー・スクール」共催 無料セミナー
「サイバーセキュリティの基本とサイバーリスクDDの実務」
https://www.westlawjapan.com/e