執筆者：弁護士　松浦駿

　近年、企業を標的としたランサムウェア攻撃が深刻化しており、攻撃方法・範囲の拡大により、甚大かつ大規模な被害が発生しています ¹ 。
　ランサムウェア攻撃を受けた経営陣は、「攻撃者に身代金を支払うべきか否か」について限られた時間の中で極限の判断を迫られます。本稿では、ランサムウェアに攻撃された事後対応に焦点を当て、身代金支払いが経営判断として是認され得るかについて検討を行います。

1　取締役の責任と経営判断

　取締役は会社に対して善管注意義務を負っており（会社法330 条）、善管注意義務違反によって会社や第三者が損害を被った場合には、その損害を賠償する義務を負う可能性があります（会社法423 条、429 条）。裁判実務においては、取締役には広範な経営裁量が与えられていることを踏まえ、判断過程が著しく不合理となった場合にのみ任務懈怠が認められる経営判断原則が採用されている一方で、違法な行為を行う裁量はないことから、違法行為について経営判断原則は適用されず、直ちに任務懈怠となります。
　したがって、身代金の支払いが会社に対する善管注意義務違反とならないためには、①支払行為が適法であることに加え、②支払行為が合理性を有することを要求されます。

2　経営判断としての身代金支払行為の是非

⑴ 日本には、身代金の支払いを一般的かつ直接に禁止する法律はないものの、一定の者に対する支払行為はそれ自体違法な取引となることから（OFAC 規制、外為法）、かかる支払行為を行った場合には、任務懈怠が認められる可能性が高くなります ^{2 3} 。

⑵ また、身代金の支払いが適法な場合であっても、その支払いが合理的であることを要求されるところ、犯罪集団に金銭を支払うこと自体の是非や、身代金の支払いを行ったとしても、攻撃者が真摯に対応することが保証されないことからすれば、単純に事業停止及び個人情報漏洩による被害金額と身代金の金額を比較するだけでは足りず、少なくとも、代替手段による復旧可能性・コスト、身代金の金額と得られる効果、対応がなされる保証の有無、犯罪集団に金銭的援助を行うことのレピュテーションリスク、再度の攻撃を受ける可能性の増大リスクを考慮の上、身代金を支払うとの判断過程の合理性を（事実上）主張立証する必要があります。

⑶ 以上より、企業としては身代金を支払って終わりにしたいと考えることもありえるものの身代金を支払うとの判断が是認されるためには、極めて短時間に高度な経営判断が要求され、事実上困難な場合が殆どです。
　従って、平時のセキュリティ対策及び緊急時対応の体制整備が最重要であり、早い段階での資本投下こそが、中長期的なランニングコストを低減し、収益力・競争力を向上させることを意識いただく必要があります。

–

---

1. 二重脅迫型と呼ばれ、暗号化の解除と個人情報の返還を材料に脅迫される事例が増えている。 ↩︎
2. 一般的には、取締役が遵守すべき「法令」には外国の法令も含まれると解されている。　 ↩︎
3. この場合に、身代金の支払いと比して会社が回避できた損害額を立証することで損害要件を争うことは考え得る。 ↩︎

share