本稿は、2026年2月に開催したセミナー「サイバー攻撃対策・ランサム攻撃対策の法的・実務的ポイント」をまとめたものです。ランサムウェア（身代金要求型ウイルス）攻撃を受けた場合に生じる法的リスクと実務的な対応について解説します。

1. サイバー攻撃・ランサム攻撃の基礎と法的リスク

(1) サイバー攻撃・ランサム攻撃の最新動向
近年、企業へのランサム攻撃が増えており、注目を集める被害例が多数報告されています。エンターテイメント、小売り、研究・教育機関、観光、製造、医療など、被害は多岐に亘る産業に及んでいます。

ランサム攻撃は、組織のシステムをウイルスに感染させることで、パソコンのロックや情報の暗号化を行うサイバー攻撃の一種です。攻撃者は情報の解放と引き換えに身代金を要求するため、被害が大きくなる傾向にあります。従来はロック解除のための秘密キー等との交換が主流でしたが、近年では秘密キー等とともに、「窃取した情報を公開しないこと」への対価をも要求するパターンが増えています。

ランサム攻撃は情報セキュリティにとって最大の脅威とされています。警察庁の調査によると、企業の規模を問わず被害が発生しており、件数も高止まりの状態です。ランサムウイルスの侵入経路はVPN（仮想私設網）の脆弱性を突いたケースが半数を超えており、不審なメールやその添付ファイルからの感染も少なくありません。

また、同調査では、様々な攻撃に備えてバックアップを取得していても実際に復元できた事例は14％台にとどまっています。サイバー攻撃を想定したBCP（事業継続計画）を策定している事業者は50件中わずか３件しかありませんでした。

（２）企業が直面する事業運営上の問題
ランサム攻撃の被害にあった場合、復旧まで１か月以上かかることが少なくなく、費用も1000万円を超えるケースが多いという統計になっています。情報が漏洩した場合、被害者への損害賠償金や取引上の損害など、多岐に渡る経済的な損失が生じる可能性があります。また、上場企業が会計システムに被害を受けた場合、有価証券報告書の提出遅延や開示延期を余儀なくされるリスクもあります。

（３）企業が直面する主な法的問題
情報が漏洩した場合、対顧客の法的リスクが生じます。B to Cビジネスの場合、利用者の氏名や生年月日、クレジットカードなどの情報が漏洩すると、実害の有無にかかわらず損害賠償責任を問われる可能性があります。また、サイバー攻撃やランサム攻撃によるシステム停止による商品・サービスの提供遅延も賠償対象となり得ます。これはB to Bビジネスにおいても同様であり、顧客の秘密情報漏洩による経済的損害は損害賠償責任の対象になります。

株主との関係では、事業価値の毀損に伴う株価下落により、役員が責任追及を受ける可能性があります。行政に対しては個人情報保護委員会等への報告義務が生じ、怠った場合は企業名の公表や刑事罰を受けたりするリスクが発生します。たとえ情報漏洩が確定していなくても、被害にあった事実をもって報告が必要となる点に注意が必要です。

以上のようにランサム攻撃等で情報が漏洩すると法的責任は多岐に渡ります。こうした法的リスクに対応するためには平時に適切な対策を取り、有事には直ちに対応できるような備えを行っておくことが必要不可欠です。

2. 企業のリスクマネジメントと実務対応

（１）インシデント発生時の初動対応と報告義務
サイバー攻撃の被害直後、会社や取締役は短期間に多くの意思決定を迫られます。これらの判断が適切であったかどうかが、その後の責任追及や刑事罰の判断において重要な要素となります。

個人データ漏洩の恐れがある場合、個人情報保護委員会への「速報」と「続報」の2段階で報告しなければなりません。まず発覚から３～５日以内に速報、そして原則として30日以内に続報が求められます。また、本人への通知義務や、事業によっては所管府省庁への報告義務も生じることがあります。プライバシー付与を受けている、もしくは審査中や申請検討中の事業者は個人情報の漏洩が1件でもあると報告義務があります。
規制が厳しいGDPR（EU一般データ保護規則）で知られる欧州では、域内や域内から移転の受けた個人データの侵害があった場合、原則72時間以内に所轄監督機関への通知義務があります。取引先との契約や消費者との約款に問題発生時の通知義務が含まれている場合は、その契約や約款に基づく通知をします。

捜査機関への届出については、被害を公表するプレスリリースに「警察と相談しながら対応中」と記載することで、ステークホルダーへの安心感に繋がります。また、警察庁の専門部署からも一定のサポートを受けられるでしょう。
サイバー攻撃にあった事実の公表について、現時点で法令上の対外公表義務はありませんが、公表による利害を慎重に考慮する必要があります。多くの企業では被害判明時点に第一報を出し、その後に続報を出す対応を取っています。

以上のように、インシデント発生時に会社が意思決定し、実行すべきことは多岐に渡ります。これらの対応プロセスを「記録」として残しておくことは、将来の損害賠償請求に対する立証として極めて重要です。 客観性を担保するためにも、外部弁護士の助言を得るべきでしょう。特に海外の利害関係者が絡む場合、インハウス弁護士（社内弁護士）では「秘匿特権」が認められない国も多いため、外部弁護士の起用が効果的です。

（２）身代金支払いの法的リスクと規制状況
身代金要求への対応として、参考事例によく挙げられるのが「蛇の目ミシン事件」です。この判例は、直接的には身代金要求への対応の事例とは異なりますが、仕手筋が同社の株式を買い占め、反社会的勢力への転売を会社側にちらつかせて多額の金銭を受け取った事案で、経営陣への株主代表訴訟に発展しました。最高裁は取締役の善管注意義務違反による過失を否定できないとして、取締役の判断は誤っていたとの判断を下しました。
この判例がランサム攻撃による恐喝においても、そのまま適用されるとは言えませんが、ずさんな意思決定は責任を問われるリスクがあるため、慎重な検討と記録の保存が不可欠です。

日本ではサイバー攻撃による身代金の支払いは保険の補償対象外とされています。一度支払えば「身代金に応じる会社である」とみなされ、再度ターゲットになる恐れがあります。また、身代金支払いが法律違反になる場合があることにも注意が必要です。外為法では制裁対象者に無許可で金銭を支払うと刑事上、行政上の処罰対象となることがあります。
日本の外為法における制裁対象は少数ですが、米国ではランサム攻撃の首謀者が制裁対象リストに多数追加されており、身代金を支払うとOFAC（米財務省外国資産管理局）の規制違反として、自社も制裁対象リストに掲載される可能性があります。同様の規制は欧州や英国にもあります。

（３）被害を最小限に抑えるための平時からの対策
サイバー攻撃を受けると、企業は被害者でありながらステークホルダーに対しては加害者の立場になりえます。責任追及に対し、「過失がなかったこと」や不可抗力であったことを立証するには①リスクの評価、②十分な対策の実施、③立証のための証拠化の3点が重要です。

近時はどのような企業もランサム攻撃の被害にあう可能性がある状況であり、無策のままでは損害賠償請求時に「過失がない」とは言えず、責任が容易に認められる可能性があります。取締役会での情報セキュリティの対応方針を協議、決議した内容を議事録に残す、事業上のリスクを評価し適切な予算を確保し記録しておく、といったことは強力な証拠となります。

またIT部門の対策記録や従業員研修の実施、ランサム攻撃を含むインシデント時の危機管理規定の整備も進めるべきです。有事の際、迅速に対策チームを組成できるよう、担当役員や部署、相談すべき外部ベンダーや法律事務所を決めておくことも有効です。サイバー保険の調達も検討しておくことが望ましいです。身代金は保証対象外ですが、調査費用の補填や専門業者の紹介を受けられるメリットがあります。

サイバー攻撃の被害にあってから動くのではなく、平時から有事の際にすぐに対応できるように動ける体制を構築しておくことが重要です。

（執筆協力：大竹将之）

※本記事の内容は、一般的な情報提供であり、具体的な法的又は税務アドバイスではありません。
ご質問などございましたら、ご遠慮なくご連絡ください。