【法曹実務者分科会】経営判断を迫る最新のサイバー攻撃~サイバー保険の活用法を絡めて~
しばらく社内での研究や案件対応が立て込んでいたため、久しぶりの研究会となりました。
場所:Web配信
講師:山岡 裕明 先生(八雲法律事務所 弁護士)
ランサムウェアによる身代金の問題や、盗まれたデータを公開される事による損害など、インシデント発生時に経営判断が問われる状況下で考慮すべき要素、法規制、ハッカーの動向、米国の参考例などについてご教授いただきました。
まさしく“カオス”な状況
身代金要求のランサムウェアは、数年前までは単にデータを暗号化するだけのものが主流でした。
しかし最近では、データを盗み出したうえで「公開されたくなければ金を払え」というタイプのサイバー犯罪も増えています。
その要求を無視すると、盗まれた情報をネットで公開されてしまうリスクがあります。
そして、それをビジネスとして行う組織(ハッカー集団)が増えていて、さらに、そのハッカー集団の手口を真似するゴロツキや詐欺師も現れています。
相手が“義”のあるハッカー集団ならば、身代金を払えば盗まれた情報の公開を停止する可能性もありますが、“義”のないゴロツキの場合はお金を払っても非情にも情報公開されてしまうリスクもあります。
犯罪者にお金を払うという行為は「犯罪集団への資金提供」という形になるため、法規制に抵触するリスクもあります。
それならば一律に「身代金を払うべきではない」かというと、そうとも言い切れないケースもあります。
例えば病院のシステムが攻撃されて、一刻も早く復旧させないと患者が大変なことになってしまうという例です。
「犯罪者に金などくれてやるものか!」と拒絶したら、治療を再開できずに患者が死亡してしまうリスクがあります。
それにより患者の遺族から賠償請求されてしまうリスクもあります。
それならば速やかに身代金を払うべきかというと、そうとも言い切れません。
例えば・・・
① 身代金として100億円を要求されている。
↓
② 100億円も支払ったらこの病院は破綻して、地域医療が崩壊して多くの人達が苦しむ。
↓
③ 身代金を支払わず、それが原因で死亡すると予測される患者は1人。
↓
④ もし患者が死亡して遺族から賠償請求されるとしたら、金額は幾らぐらい?
↓
⑤ これを天秤にかけて考えると、どっちを選択する方が全体の被害を抑えられるだろうか。
この例のように、非常に苦しい選択を迫られるというケースも想定できます。
また、ハッカー集団と被害企業の間に入り、身代金の金額交渉などをする「ネゴシエーター」のような役割のビジネスも米国では出現しているそうで。
それに関する懸念点として、「ネゴシエーター」を装っていても、実は裏でハッカー集団と繋がっていて、金額交渉をハッカー集団にとって有利になるように進めるような悪い人が出現する可能性も否定できないという・・・
このように無茶苦茶にカオスな状況です。