ランサムウェア
セキュリティ関係のニュースを追いかけると、ランサムウェアの被害に関するものを見ない日はないといっていいほどだと思います。
一般紙である日経新聞でも、1週間から10日くらいの間に1度は記事が載っている印象です。今日もこんな記事が載っていました。
次から次へと新しいランサムウェアが登場しています。最近だとHiveというランサムウェア(Raas)について、FBIが報告書を出して警戒を呼び掛けています。(どうでもいい話ですが、記事中でリンクされているFBIの報告書は「FBI FLASH」というタイトルで、ヘッダーの稲光が目をひくデザインでした。)
IPAが公表する10大脅威の2021年版でも、ランサムウェアは、「組織」の1位となっています。
情報セキュリティ10大脅威 2021:IPA 独立行政法人 情報処理推進機構
2022年4月1日から施行される予定の個人情報保護法ガイドライン通則編*1でも、「ランサムウェア」という用語が出てきています。
上述のHiveもそうですが、最近のランサムウェアは二重脅迫型と呼ばれており、データを暗号化し、金を払えば復号するという脅迫と、金を払わなければ不正取得した情報(企業秘密や個人情報)を公開するという脅迫の双方を行います。
会社法の役員責任の観点からすると、ランサムウェアの感染を防止するために何をすべきか(内部統制の問題)のほかに、感染した場合にどのような対応をとるべきか、具体的には金銭の支払い要求に応じるべきか否か、といった点でも問題を突きつけられることになりそうです。
まだこの問題に関する裁判例はないように思いますが、役員責任が問題となる他の類型から示唆が得られるのではないかと考えてます。この点は、いずれまとまったところで、このブログで発信できればと思います。(まだ全く手を付けてないですが。)