2022年は自動車部品メーカーや、医療機関がランサム攻撃を受けて深刻なダメージを受けたというニュースが目立った。
2022年12月3日・4日に3年ぶりにリアルで開催された情報ネットワーク法学会・研究大会では、「システム障害におけるユーザ・ベンダの責任分界と損害の範囲」というテーマで分科会を行い、大井哲也先生(TMI)、影島広泰先生(牛島)、田中浩之先生(MHM)と私が登壇した。
その中で、大井先生の担当パートは、『サイバー攻撃被害企業の取引先に対する法的責任』だったが、特にランサムウェア被害事案で、被害にあった企業は、取引先に対してどのような責任を負うかを議論したところ、比較的好評だった(下記スライド20頁以下)。
そのときの様子は、日経XTECHでも取り上げていただいた。
この種の事故の際の法的責任については、まだあまり議論がされていなかったなあと思って取り上げたのだが、さすがは松尾剛行先生、情報ネットワーク法学会の学会誌である情報ネットワーク・ローレビュー21巻(2022年12月)に、『ランサム攻撃に関する個人情報保護法、会社法、及び民法に基づく法的検討 ―情報セキュリティと法の議論枠組みを踏まえてー』という論文を書かれていた。
本論文でも触れられているとおり、ランサム攻撃についてはセキュリティ分野での議論は多いようだが、法律に関する検討が行われたケースはほとんど見られない。
本論文では、表題のとおり、個人情報保護法、民法、会社法の3つの法領域からランサム攻撃を受けた企業の法律問題を取り上げている(前述の情報ネットワーク法学会でのディスカッションは、民法分野に限っていた。)。詳細は、論文を読んでいただくべきだが、個人情報保護法については主として安全管理義務(23条)や報告義務(26条)との関係に触れ、民法については、被害企業が加害者になってしまうことについての帰責性に触れていた。会社法については、やはり身代金の支払を行うかどうかということについての取締役の善管注意義務が重要となるが、この点についてOFAC規制にも触れつつ検討されている。
通常の情報セキュリティ事故は、自社のデータが喪失したり、漏えいするという問題が中心だったが、ランサム攻撃の場合は、事業全体が停止して取引先にまで損害を与えてしまう危険がある。さらには身代金を支払うことで被害回復に努めるべきか、他方で払わないとしたために被害拡大してしまった場合の責任など、悩ましい問題がある。
なかなかこの種の対応事例が公表されることはないし、今のところ裁判例が出る見通しもないが、松尾論文を端緒として議論が発展することを期待したい。
