サイバー身代金の支払いと蛇の目ミシン最高裁判決の射程距離
9月20日の日経朝刊の1面トップ記事は「サイバー身代金 支払い5割-応じた企業、米87%・日本33%」なる見出しで、企業に対するサイバー攻撃によるランサムウェア被害が急増していること、被害を受けた企業の過半が犯罪集団の要求に応じて身代金を支払っている実情について報じています。昨年、カプコンは(営業秘密を奪われた犯罪集団に対して)身代金支払いを断固拒否すると公表し、かなりの被害が出たようですが立派な対応だったと記憶しています。
大切な知財が奪われたり、事業停止を余儀なくされたり、さらには顧客・取引先へ二次攻撃を仕掛けられて迷惑をかけたりすることから、やむなく身代金の支払いに応じてしまう企業の気持ちも理解できます。ただ、安易に支払ったとすると(最近は無差別攻撃ではなく特定企業を狙い撃ちにする傾向が強いので)別の犯罪集団のターゲット候補となったり、支払ったことが発覚した際のレピュテーションリスク(情報セキュリティに脆弱性のある会社、といった風評)が顕在化したり、契約に基づいて取引先からの監査を受諾せざるを得なくなったり、最も痛いのはマネロン規制に違反する、つまり犯罪集団を支援した企業として社会的に制裁を加えられる事態となるため、相当慎重な有事対応が必要になります。たとえ「身代金保険」に加入していたとしても世間から受ける批判は変わらないでしょう。
したがいましてコンプライアンス経営を重視する立場からすれば、身代金を支払うことは断固拒否すべき、ということになります。ただ、そのことで会社が窮地に陥るというのは、それはそれで犯罪集団に「ほれみい、払わんかったらこんな目にあうで!」といったサンプルになりかねず、社会的にも問題がありそうです。「株主共同の利益」を守る、という立場からも問題が残るように思います。だからこそ復旧に向けて最大限の努力を惜しまず、記事にあるように身代金要求があったら直ちに弁護士やセキュリティ事業者に相談するべきなのでしょう。
とくに悩ましいのは身代金を支払う決断をした場合に、マネロン規制に違反するような経営陣の判断は法的に保護されるのか(善管注意義務違反にならないのか)という点です。記事の中でサイバー法制に詳しい専門家(弁護士)の方が「被害規模や支払わずに復旧できる可能性を確認しないままに身代金を支払えば、経営陣が善管注意義務違反を問われる可能性もある」と指摘しておられますが、それが私も現実的な意見かと思います。いわゆる平成20年のダスキン事件最高裁判決の立場からすれば、有事における会社被害を最小限度に抑えるためのリスク管理を行ったうえで「後ろ向きの判断」に至った場合は、善管注意義務違反とは認められないものと考えます(ただ、有事には自分たちに都合の良い情報しか集めないバイアスが経営陣に働きますので、アドバイザーをつける等冷静な対応が必要です)。
そしてもうひとつ悩ましいのが「どの時点で警察に被害を届けるか」という問題です。おそらく警察に届け出を行った場合には、国際的にもマネロン規制が厳格化していますし、警察は被害に合った企業にも共犯者がいる可能性を考えますので「決して身代金は払わないでください」と指示されるはずです。そうなりますと、もはや企業には(どんなに被害が拡大しても)選択肢がなくなり、きわめて膨大な金銭的被害を被る可能性も出てきます。うーーーん、企業としては窮地に陥ります。
ということで、警察に被害を届ける時期を遅らせて、やむをえず身代金を支払う場合、企業に生じたレピュテーションリスクの低下という損害に対する経営陣の善管注意義務違反は問われることになるのでしょうか。ここで思い出されるのが平成18年の蛇の目ミシン最高裁判決ではないかと(判決及び事実関係の詳細はこちらです)。もちろん経営陣個人への脅迫と会社に対する脅迫とでは若干状況は異なりますが、警察に相談して被害回復の可能性がある以上は、犯罪集団の要求に応じる以外に会社を守る方法がなかったとは言えない、ということで、経営陣は善管注意義務違反に問われるのではないか、といった理屈です。
ここは全くの個人的意見ではありますが、たしかに警察に相談することで被害回復の可能性がないとはいえませんが、平成27年5月に発覚した日本年金機構の情報漏洩事件では、ちょうど4年後の令和元年5月、容疑者不詳のまま書類送検で事実上捜査は終結しました。つまり現在の科学捜査の水準では海外からのサイバー攻撃によるランサムウェア被害を速やかに回復することは困難ではないかと。また記事にもあるように、FBI(米国連邦捜査局)の見解も「ビジネスが機能障害に陥った場合、経営陣があらゆる選択肢を評価することは理解する」として、事実上、やむをえないケースでは、企業に緊急避難的な金銭解決の選択肢を認めているようです。
日本は「マネロン大国」として国際的にも厳しい評価を受けているところであり、ひょっとすると社会の風向きが変わってきたかもしれません。ただ、身代金を支払ったうえで警察に被害を届け出る、もしくは警察から身代金支払いを止められても緊急避難的に身代金を支払うということも、社会的な批判はかなり受けることはあるものの(つまりコンプライアンス経営という立場からは問題が残るものの)、犯罪行為を助長するような金銭支払いが経営陣の善管注意義務違反にあたるとまでは(現状では)言えないように思います。本件が蛇の目ミシン最高裁判決の射程範囲外であることを祈ります。なお、上記日経の記事には「日本企業の33%が身代金を支払った」とありますが、本当はもっと多いのではないか(公表していない、もしくはノーコメントを貫いている)と私は推測しております。