〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階
東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)
東京メトロ 南北線:溜池山王駅 7番出口(地下直結)
東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分
東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)
セミナー
事務所概要・アクセス
事務所概要・アクセス
現在最も警戒すべきサイバー攻撃は、ランサムウェア攻撃であると考えられます。
ランサムウェア攻撃は、独立行政法人情報処理推進機構(「IPA」)が、社会的に影響が大きかったと考えられる情報セキュリティ事案をまとめた「情報セキュリティ10大脅威」において、3年連続(2021年~2023年)で1位となっています。警察庁へ報告されたランサムウェア攻撃による被害件数も、令和2年下半期に16件が報告されて以降、令和4年下半期の116件まで右肩上がりに増加しており、令和5年上半期においても103件と依然として高い水準で推移しています。
ランサムウェア攻撃を受けた場合、企業には重大な被害が発生する可能性があります。トレンドマイクロ社による「サイバー攻撃による法人組織の被害状況調査」によれば、一度でもランサムウェア被害を経験した組織においては、平均して1億7689万円もの損害が発生しており、業務停止期間も国内では平均13日、海外で平均15.1日に上るという調査結果が得られています。
そこで、本稿では、ランサムウェア攻撃を受けた際の実務対応について解説します。
<目次>
1. 当局等への対応
(1) 個人情報保護委員会
(2) 所管省庁
(3) プライバシーマーク審査機関等・認定個人情報保護団体
(4) 警察・専門組織
2. 取引先への対応
3. 本人への対応
(1) 通知
(2) 問い合わせ対応
4. その他の対外対応
(1) 法令等に基づく公表
(2) 自主的な公表
5. 攻撃者への対応
6. おわりに
ランサムウェアの被害を受けて個人データが暗号化されたり(※1)、外部に流出するなどした場合、個人情報保護法26条1項に基づく個人情報保護委員会(※2)への報告が必要となります。個人情報保護法の令和2年改正で報告が義務付けられた「不正の目的をもって行われたおそれがある個人データの漏えい等」に該当するためです(個人情報保護法施行規則7条3号。個人情報の保護に関する法律についてのガイドライン(通則編)(以下「通則ガイドライン」)3-5-3-1(3)の事例2)。
(※1)ランサムウェアによる個人データの暗号化は「毀損」として「漏えい等」に該当します(通則ガイドライン3-5-1-3の事例3参照)。
(※2)後記(2)のとおり、報告先が所管省庁となる場合もあります。
注意すべきは、個人データの暗号化や外部への流出が確認できていない場合であっても、その蓋然性がある場合は、個人情報保護委員会へ報告する必要があるということです。
個人情報保護委員会への報告義務は、個人データの漏えい等が発生した「おそれ」がある場合にも発生するところ(個人情報保護法施行規則7条各号)、「おそれ」の有無は、その時点で判明している事実関係に基づいて個別の事案ごとに蓋然性を考慮して判断するとされています。つまり、その時点で判明している事実関係からして、漏えい等が疑われるのであれば「おそれ」があることになり(通則ガイドライン3-5-3-1の(※2))、個人情報保護法上の報告義務が発生することになるのです。
個人情報保護委員会への報告が求められる事項は、以下のとおりです(個人情報保護法施行規則8条1項各号)。
(i) 概要
(ii) 漏えい等が発生し、又は発生したおそれがある個人データの項目
(iii) 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
(iv) 原因
(v) 二次被害又はそのおそれの有無及びその内容
(vi) 本人への対応の実施状況
(vii) 公表の実施状況
(viii) 再発防止のための措置
(ix) その他参考となる事項
個人情報保護委員会への報告は、速報と確報の2回行う必要があることに注意が必要です。
速報は、「個人データの漏えい等が発生し、又は発生したおそれがある事態」を知ったときから概ね3~5日以内に行う必要がありますので(通則ガイドライン3-5-3-3)、迅速な対応が求められます。なお、この段階では、報告時点で把握できている内容を報告することで足ります(通則ガイドライン3-5-3-3)。
確報については、ランサムウェア攻撃の被害を受けた場合は知ったときから60日以内に行うことが求められるため(個人情報保護法施行規則8条2項、1項3号)、調査等を踏まえた詳細な報告を行うことが求められます。確報を行う時点でも上に記載した報告項目の一部が把握できていない場合、その時点で把握している内容を報告することで足り、残りの項目が判明した段階で報告を追完することになります(通則ガイドライン3-5-3-4)。
なお、委託を受けて取り扱っている個人データが漏えい等した場合、委託先事業者は委託元に通知を行うことで個人情報保護委員会への報告義務が免除されますが(個人情報保護法施行規則9条)、委託元への通知も概ね3~5日以内に行う必要があることには注意が必要です(通則ガイドライン3-5-3-5)。
以上の他、特定個人情報(マイナンバー)がランサムウェア攻撃によって暗号化されるなどした場合も、個人データの場合と同様に、個人情報保護委員会への報告(概ね3~5日以内の速報と60日以内の確報)が求められます(番号法29条の4第1項、報告等規則2条、3条)。
上述した個人情報保護法に基づく漏えい等の報告に関して、報告受理権限が事業所管大臣に委任されている場合、当該事業所管府省庁に報告を行うことになります。具体的な報告先については、個人情報保護委員会が公表している「個人情報の保護に関する法律に基づく権限の委任を行う業種等及び府省庁並びに当該業種等における漏えい等事案発生時の報告先」を参照してください。
また、各種事業法の適用を受ける事業者は、個人情報保護法とは別に(つまり、個人データの漏えい等が発生していない場合であっても)、所管官庁へ報告する必要がある場合があります。例えば、電気通信事業法上の電気通信事業者(電気通信事業を営むことについて登録又は届出をした事業者に限られます。)の場合、ランサムウェア攻撃を受けて通信の秘密が漏えいしたり電気通信役務の提供が停止するなどの事故が発生し、又はそのおそれがあると認められる事態が生じた場合は、遅滞なく総務大臣へ報告する必要があります(電気通信事業法28条、同法施行規則58条、58条の2、電気通信事業報告規則7条の3)。
さらに、重要インフラ事業者等は、重要インフラサービス障害を含むシステムの不具合や予兆・ヒヤリハットに関する情報(「システムの不具合等に関する情報」)について、法令等に基づいて所管省庁へ報告を行うほか、以下の場合に所管官庁への報告(情報連絡)を行うものとされています(サイバーセキュリティ戦略本部「重要インフラの情報セキュリティ対策に係る第4次行動計画(平成29年4月18日(令和2年1月30日改定))」(以下「第4次改定行動計画」))の「別添:情報連絡・情報共有について」「2.1 情報連絡を行う場合」)。
・関係主体が国民生活や重要インフラサービスに深刻な影響があると判断した場合であって、重要インフラ事業者等が情報共有を行うことが適切と判断した場合
・そのほか重要インフラ事業者等が情報共有を行うことが適切と判断した場合
なお、法令に基づく報告義務の有無を確認する上では、第4次改定行動計画の「別紙2 重要インフラサービスの説明と重要インフラサービス障害の例」が参考になります。
プライバシーマークの付与(※)を受けている事業者の場合、審査機関等に対して、速報(概ね3~5日以内)と報告(原則として30日以内)を行う必要があります(プライバシーマーク付与規約12条)。また、プライバシーマークの付与の申請を行うか、行うことを予定している事業者においても、同様に審査機関(申請をし、又は申請を予定している審査機関)に対して、報告を行う必要があります(JIPDEC「個人情報の取扱いに関する事故等の報告について」)。
報告すべき事項は、以下のとおりです。
(i) 事故等の概要
(ii) 事故等が発生し、又はその発生したおそれがある個人情報の項目
(iii) 事故等が発生し、又は発生したおそれがある個人情報に係る本人の数
(iv) 事故等の原因
(v) 二次被害又はそのおそれの有無及びその内容
(vi) 本人への対応の実施状況
(vii) 公表の実施状況
(viii) 再発防止のための措置
(ix) その他参考となる事項
(※)プライバシーマークの付与に関する構築・運用指針は、2023年12月25日に改訂されており、2024年10月1日以降は新しい指針の下で審査が行われることとなります。構築・運用指針の改定に関しては、以下を参照してください。
以上の他、認定個人情報保護団体の対象事業者は、各団体が定める個人情報保護指針に基づいて報告を行う必要がある場合があります。
ランサムウェア攻撃の手口等に関する情報を提供(共有)することで、被害の拡大を防止するという観点から、以下のような組織へ情報提供を行うことが望ましいとされています。
・警察(サイバー犯罪相談窓口)
・専門機関
(一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)、独立行政法人情報処理推進機構(IPA)、一般財団法人日本サイバー犯罪対策センター(JC3)、国立研究開発法人情報通信研究機構(NICT)等)
・セキュリティベンダ等
これらの情報提供を行うことには、後述する自主的な公表において警察や専門組織への相談を行っていることを記載しておくことにより、公表内容を見たステークホルダーを安心させることができるというメリットもあります。
なお、情報共有に関する詳細については、2023年3月に経済産業省や総務省、内閣官房サイバーセキュリティーセンター(NISC)等が公表した「サイバー被害に係る情報の共有・公表ガイダンス」が参考になります。
取引先から取扱いの委託を受けている個人データがランサムウェア攻撃を受けた場合、委託先である事業者は、上述のとおり委託元である取引先への通知により個人情報保護法に基づく報告義務を免れます。もっとも、この場合も、委託先事業者には、委託元である取引先が円滑に報告を行うことができるよう、必要に応じて適切に協力することが求められます(通則ガイドライン3-5-3-5)。
これに対して、個人データを取り扱わないクラウドサービス提供事業者の下にある個人データがランサムウェア攻撃の被害を受けた場合、クラウドサービス提供事業者自身は個人情報保護法上の報告義務を負いません。もっとも、クラウドサービス提供事業者がクラウドサービスを利用している事業者が行うべき報告を代行することが可能となっています(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(平成29年2月16日(令和5年12月25日更新))のQ&A6-19)。
また、取引先との契約においては、取引先から受領等した情報がサイバー攻撃の対象となった場合などに、取引先への報告義務が課せられていることがありますので、自社が締結している契約にそのような条項等が含まれていないか、あらかじめ確認しておくことが望ましいと考えられます。
なお、ランサムウェア攻撃を受けたことが原因で取引先との取引関係が終了したり、秘密保持義務違反等を理由とする損害賠償請求を受けたりする可能性も十分に想定されます。そのため、取引先への対応は、必要に応じて弁護士等の助言も得ながら丁寧に進めていくことが求められます。
ランサムウェアの被害を受けて個人データが暗号化されたり外部に流出するなどした場合、個人情報保護法に基づく本人への通知も必要となります(個人情報保護法26条2項、施行規則10条。なお、プライバシーマーク付与事業者の場合、プライバシーマーク付与規約14条1項)。本人への通知は、自社では本人の連絡先情報を保有していない等の理由により本人への通知が困難である場合を除いて、必ず行う必要があることには注意が必要です(通則ガイドライン3-5-4-5)。
本人への通知が求められる事項は、以下のとおりです(個人情報保護法施行規則10条)。
(i) 概要
(ii) 漏えい等が発生し、又は発生したおそれがある個人データの項目
(iii) 原因
(iv) 二次被害又はそのおそれの有無及びその内容
(v) その他参考となる事項
本人への通知は基本的には速やかに行うことが求められますが、具体的にいつ通知を行うかは、個別の事案毎に、各事業者において、その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される蓋然性、本人への通知を行うことで生じる弊害等を勘案して判断すべきとされています(通則ガイドライン3-5-4-2)。
そのため、例えば、必要な初期対応が完了していない段階であったり、事案がほとんど判明しておらず、通知しても本人が利益保護のための措置を講じられる見込みがないか、場合によってはかえって被害が拡大したり混乱が生じることが想定されるような段階においては、本人への通知を行うべきではないといえます。
ランサムウェア攻撃の被害を受けたことが対外的に明らかになっている場合、漏えいした情報の本人のみならず、マスコミ等の第三者からも問合せを受ける可能性がありますので、それらにも適切に対応できるよう準備する必要があります。
問合せ対応において重要なのが、その時点で把握できている正確な事実関係に基づいた、正確かつ一貫した回答を行うことです。そのためには、被害の概要や会社としての対応スタンス等を簡潔にまとめたポジションペーパーを作成・随時更新し、会社としてのスタンスを内部で統一しておくことや、数多く質問を受けることが想定される事項についての想定問答を作成しておくことが重要です。
問合せ対応に失敗した場合、レピュテーションの毀損という重大な二次被害が発生しかねないため、注意が必要です。
現時点では、ランサムウェア攻撃による被害について、法令に基づく公表義務を定めたものはありません。個人情報保護法上も、二次被害の防止や類似事案の発生防止等の観点から、公表を行うことが望ましいとはされていますが、事案の公表を行うこと自体は基本的に義務ではありません(通則ガイドライン3-5-4-5)。
もっとも、プライバシーマーク付与事業者の場合は、可能な限り、以下の事項(公表をしようとする時点において把握しているものに限る。)を公表することが求められます(プライバシーマーク付与規約14条2項)。
(i) 事故等の概要
(ii) 事故等が発生し、又はその発生したおそれがある個人情報の項目
(iii) 事故等が発生し、又は発生したおそれがある個人情報に係る本人の数
(iv) 事故等の原因
(v) 二次被害又はそのおそれの有無及びその内容
(vi) 本人への対応の実施状況又は予定
(vii) 今後の公表の実施状況(続報、定期公表)
(viii) 再発防止のための措置
(ix) その他参考となる事項
なお、上場会社、又はその子会社等においては、ランサムウェア攻撃の被害を受けた事実が投資者の投資判断に著しい影響を及ぼすと判断された場合、適時開示を行う必要があります(有価証券上場規程402条2項x、403条2項l)。
ランサムウェア攻撃を受けたことを自主的に公表するか否かは、被害を受けた事実が対外的に明らかになっているか否かにより考慮すべきポイントが異なります。
不特定多数の者が利用するシステムがランサムウェア攻撃の対象になった場合など、既に被害が明らかになっている場合は、事実と異なる情報が拡散するなどしてレピュテーションが毀損されることを避ける必要がありますので、主としてレピュテーション管理の観点から公表を行う必要があります。
これに対して、事態が明らかになっていない場合には、各種ステークホルダーへの説明責任の観点(被害に関する問い合わせ窓口を公表して問合せ窓口を一本化しておくことは、対外対応に充てるリソースを削減するという観点からも十分な検討に値します。)や被害情報を社会全体で共有することによる二次被害防止の観点、あるいは自社のインシデント対応を明らかにすることによるレピュテーションの向上という観点等を踏まえながら、事態を公表するか否かを判断していくことになります。
もっとも、経済産業省が2020年12月18日に公表した「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」(以下「経営者への注意喚起」)においても述べられているように、公表の方法次第では、ステークホルダーの不安を増大させたり、漏えい等の被害を拡大させてしまうリスクもあります。そのため、公表の時期や内容等については、弁護士等の専門家の相談も受けながら慎重に検討する必要があります。
なお、上述した「サイバー被害に係る情報の共有・公表ガイダンス」は、公表時期と公表内容について、以下のように述べています。
【公表時期(Q15)】
・攻撃発生とほぼ同時に攻撃被害が広く知られてしまう/その可能性のある時点
・侵害を受けた/障害が発生していたシステムの復旧タイミング
・詳細な被害調査を進める中で深刻な被害が新たに発覚した時点
・調査を終えた時点
【公表内容(Q16)】
早い段階で公表することが考えられる内容
・サイバー攻撃の種類/概要
・侵害されたシステム、範囲(現時点で判明しているもの)
・侵害原因(判明している場合)
・サイバー攻撃の発生日時や侵害期間(判明している場合)
・影響内容(業務影響、情報漏えい、サービス停止、その他)、影響範囲(現時点で判明しているもの)
・(即応的な第一報の場合)初動対応内容
・専門組織への相談有無(※公的機関の場合は当該組織名)、(該当する場合)所管省庁等への報告状況
・影響を受ける者・組織や二次被害に関する相談先
調査終了後に公表することが考えられる内容
・侵害原因、攻撃の経緯
・影響範囲
・対応の経緯
・再発防止策
・公表内容に関する問い合わせ先
攻撃者への対応としては、身代金を支払うべきか否かが問題となりますが、身代金は支払うべきではありません。
身代金を支払うことは、犯罪組織に対して支援を行っていることと同義といえますし、支払いにより暗号化が解除されるとは限らないどころか、攻撃者から身代金を支払う会社だと認定され、次の攻撃を招くリスクすらあるためです(「経営者への注意喚起」参照)。法的な観点からも、身代金の支払先が経済制裁の対象者であった場合には外為法違反となるリスクや、アメリカのOFAC規制違反となるリスクがあります。
なお、2022年に被害に遭った日本の企業や団体のうち、身代金の支払いに応じた企業・団体の割合は18%に留まるとされています(2023年11月2日付け日経ビジネス「サイバー恐喝に屈しない日本 試される「人質」奪還能力」)。
ランサムウェア攻撃を受けた場合、非常に数多くの対応を迅速に行う必要があります。
上記に述べてきたもののほかにも、グローバルに事業を展開している会社が日本国外から収集したデータについてランサムウェア攻撃の被害を受けた場合、GDPR(個人データ侵害の発生に気づいたときから原則72時間以内に監督機関に対して通知を行う必要がある。33条1項)などの海外の法令にも気を配らなくてはなりません。
そのため、弁護士をはじめとする各種専門家との協力体制を構築して対応に当たることが望ましいと考えられます。
また、ランサムウェア攻撃等のサイバー攻撃に備えて、平時から、経済産業省とIPAが公表している「サイバーセキュリティ経営ガイドライン Ver 3.0」なども参考にしつつCSERT(Computer Security Incident Response Team)の設置といった体制整備などを行っておくことも重要です。