お問い合わせ
0120-855-995
LINEで相談ランサムウェア被害の法的対応 身代金支払いリスク・報告義務・損害賠償・警察届出を弁護士が解説
2026年06月23日
ランサムウェアに感染した企業が直面する問題は、「どうシステムを復旧させるか」という技術問題だけではありません。感染発覚と同時に、複数の法的義務と法的リスクが走り出します。
「身代金を払ったら犯罪になるか」「個人情報保護委員会にいつまでに報告しなければならないか」「取引先から損害賠償を請求されるか」「警察に届け出るべきか、届け出ると何が起きるか」——これらはいずれも弁護士なしに判断するには危険な問いです。
本記事では、ランサムウェア被害における①身代金支払いの法的リスク(OFAC・犯収法)、②報告・通知義務の詳細、③取引先・委託先との法的関係、④警察への届出と刑事手続きの活用、⑤サイバー保険との連携——の5つの法律問題を弁護士として体系的に解説します。なお感染後のシステム復旧の具体的手順については別記事(→「ランサムウェア感染後の復旧手順」)をご参照ください。
この記事を監修したのは
スポットで一括対応or顧問で伴走も!
お客様に合わせたプランをご用意しています
感染発覚直後——法的観点からの最優先事項
「電源を切る前に」弁護士に連絡すべき理由
感染発覚時に最初にすべきことは「電源オフ」ではありません。ランサムウェアの種類・感染経路・外部への情報送信の有無はメモリ上の情報に残っており、電源を切ると消去されます。これらは後の刑事告訴・損害賠償請求・保険金請求の証拠として不可欠です。
弁護士が早期に関与することで、①フォレンジック調査の証拠能力の確保(弁護士指示による調査は弁護士・依頼者間の秘密特権で保護される)、②報告義務の要否と期限の法的整理、③身代金支払いの法的リスク評価——が迅速に行えます。「感染した翌朝」ではなく「感染発覚当日」の連絡を推奨します。
発覚から72時間の法的タスク一覧
時間軸 | 法的観点からの必須タスク |
0〜6時間 | ①弁護士への連絡②フォレンジック調査の弁護士指示のもとでの開始③感染端末のネットワーク遮断(電源OFF前に相談)④ランサムノートの保全(スクリーンショット・ハッシュ値) |
6〜24時間 | ⑤攻撃者グループのOFAC制裁リスト照合(身代金支払い検討の前提)⑥サイバー保険会社への第一報⑦個人情報の影響範囲の初期評価(報告義務の要否判断) |
24〜72時間 | ⑧個人情報保護委員会への速報(要件該当の場合)⑨委託先・取引先への通知要否の判断⑩警察サイバー犯罪相談窓口への連絡 |
身代金支払いの法的リスク——払う前に必ず確認すること
OFAC制裁違反(外為法上のリスク)
米国財務省の外国資産管理局(OFAC)は、制裁対象の組織・個人(SDNリスト)へのいかなる金銭移転も禁止しています。LockBit・REvil・Conti・Hiveなど多くのランサムウェアグループがSDNリストに掲載されています。
「日本企業だから米国の制裁は関係ない」という認識は誤りです。暗号資産取引所・国際決済網(SWIFT)を通じた送金は米国の金融システムと連結しており、制裁対象グループへの支払いは米国法違反として制裁を受けるリスクがあります。さらに日本の外国為替及び外国貿易法(外為法)は外務省告示・閣議決定により制裁リストを国内法化しており、日本企業が直接規制を受ける根拠となります。
①攻撃者が名乗った組織名・使用した暗号化方式・要求メッセージの文面からグループを特定
②OFAC SDNリスト(ofac.treasury.gov)・外務省制裁リストで照合
③照合結果が不明な場合は支払いを保留し弁護士に確認
——この3ステップを省略した支払いは制裁リスクを自ら引き受けることになります。
犯罪収益移転防止法上のリスク
犯罪収益移転防止法(犯収法)は、犯罪による収益を他者に移転させる「収益移転行為」の防止を目的とします。ランサムウェアの身代金は犯罪収益であり、これを支払うことが「犯罪による収益の移転を容易にした」として同法違反のリスクを指摘する見解があります。
日本では現時点でランサムウェア身代金支払いを理由とした犯収法違反の刑事事件は確認されていませんが、法的リスクとして無視できません。特に「攻撃者が犯罪組織であると認識しながら支払った」という事実が認定された場合は、リスクが顕在化します。
「払わない」選択肢の現実的な評価
各国の法執行機関(FBI・警察庁)は身代金の支払いを推奨しません。その理由は①支払いがサイバー犯罪の資金源となる②支払い後も復号されないケースが多数ある③支払いが「交渉可能な標的」として次の攻撃を呼び込む——の3点です。
実際に「No More Ransom」プロジェクト(Europol等が運営)では無償の復号ツールが提供されており、支払い前に確認する価値があります。またフォレンジック専門会社による独自復号が可能なケースもあります。身代金支払いは最後の手段として、法的リスクの確認を完了した後にのみ検討してください。
二重脅迫(ダブルエクストーション)の法的対応
近年主流の「二重脅迫型」は、データを暗号化するだけでなく事前に窃取し「身代金を払わなければ公開する」と脅します。この場合、身代金を払って公開を防ごうとしても法的拘束力のある約束は取れません。
窃取データに個人情報が含まれている場合、データが公開されていなくても「不正アクセスにより外部送信された」事実のみで個人情報保護法上の「漏洩」として報告義務が生じる可能性があります。「公開されていないから報告しなくていい」という判断は誤りです。フォレンジック調査で送信の有無を確認し、報告要否を弁護士と判断してください。
報告・通知義務——誰に、いつ、何を報告するか
個人情報保護委員会への報告(速報・確報)
ランサムウェアによって個人データが「漏洩・滅失・毀損した」または「そのおそれがある」場合で、以下の要件を満たす場合は個人情報保護委員会への報告義務が発生します(個人情報保護法第26条)。
報告が必要な類型 | ランサムウェアとの関係 |
不正アクセスによる漏洩 | ランサムウェアへの感染はほぼ全件「不正アクセス」に該当→件数問わず報告対象 |
要配慮個人情報の漏洩 | 病歴・障害等の要配慮情報が含まれる場合は必ず報告対象 |
1,000件以上の個人データの漏洩 | 大規模感染で対象データが1,000件超の場合 |
財産的被害が生じるおそれがある場合 | 金融情報・クレカ情報が含まれる場合 |
速報の期限は「発覚した時点から3〜5日以内」、確報は「30日以内(不正アクセスの場合は60日以内)」です。速報時点で全貌が不明の場合でも「現時点で判明している情報」で報告し、「不明」箇所は後日の確報で補完することが認められています。「詳細が判明するまで報告を保留する」ことは義務違反になります。
業種別の追加的報告義務
業種によっては、個人情報保護委員会への報告に加えて、主務官庁への報告・届出が義務づけられています。
業種 | 報告先・根拠 |
金融機関(銀行・証券・保険) | 金融庁・財務局への報告(各業法の情報管理規定) |
医療機関 | 厚生労働省・都道府県への報告(医療情報システムの安全管理ガイドライン) |
上場企業 | 東証への適時開示(重大なシステム障害・情報漏洩は開示対象) |
クレジットカード加盟店 | カードブランド・アクワイアラーへの報告(PCI DSS要件) |
電気通信事業者 | 総務省への報告(電気通信事業法) |
取引先・委託先への通知
契約書に「セキュリティインシデント発生時の通知義務」が規定されている場合は、その条件に従った通知が必要です。規定がない場合でも、相手方の個人データや機密情報が影響を受けた場合は信義則上の通知義務が生じます。
通知の時期・方法・内容は弁護士と事前に確認してください。「委託先が感染した」「委託元のデータに影響が及んだ可能性がある」という事実を通知する文書の内容は、後の損害賠償交渉に影響します。
取引先・委託元からの損害賠償リスク
「感染した側」が問われる安全管理義務
ランサムウェアに感染した企業は「被害者」ですが、同時に取引先・委託元・顧客情報の漏洩被害者に対しては「加害者」の立場になりえます。「ウイルスにやられた被害者なのに賠償を求められる」という状況は実際に発生しています。
法的根拠は個人情報保護法第23条(安全管理措置義務)と委託契約上の義務です。「感染はゼロにできない」という現実は理解されつつも、「基礎的な対策を怠っていたか否か」が過失の有無を決定します。
感染原因・状況 | 損害賠償リスクの評価 |
MFA未導入のVPN経由で侵入された | 2020年代の水準では「基礎的対策不備」として過失が認定されやすい |
既知の脆弱性(CVEあり)へのパッチ未適用 | 「修正プログラムが公開されていたのに適用しなかった」は重大な過失 |
フィッシングメールで感染・研修未実施 | 適切な研修・フィルタリングがあれば防げた可能性として過失評価 |
最新パッチ適用済み・MFA導入済みで感染 | 「標準的な対策を講じていた」として過失が軽減される方向に評価 |
委託先(自社)が感染した場合——委託元からの求償
自社が委託先として委託元のデータを保管中にランサムウェアに感染した場合、委託元から損害賠償・求償を受けるリスクがあります。契約書の「賠償責任の上限条項」が合意されているかどうかが、支払い額の決定的な要素になります。
上限条項がない場合、委託元が被った損害(被害者への賠償金・対応コスト・信用損失等)の全額を求償される可能性があります。感染前に委託契約書の見直しと賠償上限の設定が予防策として重要です。
自社が委託元の場合——委託先の感染への対応
自社が委託元で委託先(クラウドベンダー・業務委託先等)がランサムウェアに感染した場合、個人情報保護法上の報告義務は委託元(自社)が主体となります(委託先の報告を待つのではなく、自社でも報告が必要)。
委託先への監督義務(個人情報保護法第24条)を果たしていたかが、自社の法的責任の軽重を決めます。委託契約書に「インシデント発生時の通知義務・報告期限・再発防止策の提出義務」が規定されているかどうかが重要です。委託先から連絡が来た際に弁護士が対応窓口として介入することで、証拠保全・求償交渉・報告義務の判断を適切に進めることができます。
警察への届出——刑事手続きを「使いこなす」
相談・被害届・告訴の違いと選択
警察への申告には「相談」「被害届」「告訴」の3種類があります。ランサムウェア被害ではどれを選ぶかが戦略的に重要です。
種別 | 内容・効果・注意点 |
相談 | 事実の報告のみ。捜査義務は生じないが、証拠の整理前でも受け付けてもらえる。まず相談窓口(サイバー犯罪相談窓口)へ |
被害届 | 捜査開始の端緒となる。犯人特定・差押え・国際捜査共助への接続が可能になる。ただし捜査の進展は保証されない |
告訴 | 特定の加害者に対して処罰を求める。犯人が特定できない段階では提出できない。民事訴訟での証拠確保に捜査を活用できる |
ランサムウェア被害の実務では、まず都道府県警察のサイバー犯罪相談窓口に相談し、フォレンジック調査で一定の証拠が整った段階で被害届を提出するのが一般的な流れです。警察は証拠の隠滅防止・差押え・国際捜査共助(MLAт)を通じて、民事訴訟では取得困難な証拠を確保することができます。
被害届を出すメリットと注意点
被害届の提出には以下の実務的なメリットがあります。
- 保険会社への「犯罪被害の公的証明」として機能し、保険金請求の根拠になる
- 取引先・顧客への「警察に届出済み」という説明責任の一助になる
- 国際的なランサムウェアグループへの捜査で、他国の法執行機関と連携できる可能性がある
一方で注意点もあります。被害届を提出すると、捜査機関がサーバー・端末の差押えを求めてくる可能性があり、業務継続に支障をきたす場合があります。また捜査の過程で社内の管理体制の杜撰さが明らかになり、それが後の民事訴訟で不利に使われるリスクもあります。被害届提出のタイミングは弁護士と協議して決定することを推奨します。
適用される刑罰規定
ランサムウェア攻撃は以下の複数の犯罪行為を構成します。加害者が特定された場合の刑事告訴の根拠として理解しておくことが重要です。
犯罪類型 | 根拠・刑罰 |
不正アクセス禁止法違反 | 不正アクセス行為→3年以下の懲役または100万円以下の罰金 |
コンピュータ不正指令電磁的記録に関する罪(ウイルス罪) | ランサムウェアの作成・提供→3年以下の懲役または50万円以下の罰金 |
電子計算機損壊等業務妨害罪(刑法234条の2) | データの暗号化による業務妨害→5年以下の懲役または100万円以下の罰金 |
恐喝罪(刑法249条) | 身代金要求行為→10年以下の懲役 |
サイバー保険の活用——感染前後の手続きと補償範囲
ランサムウェアで補償される費用の全体像
サイバー保険(情報漏洩保険・サイバーリスク保険)に加入している場合、ランサムウェア感染で発生する以下の費用が補償対象となりえます(プランにより異なります)。
補償対象費用 | 注意事項・条件 |
身代金支払い費用 | OFAC制裁対象グループへの支払いは保険会社が拒否するケースあり。事前承認が必要 |
フォレンジック調査費用 | 調査会社の選定に保険会社の意向が入る場合あり |
システム復旧費用 | 復旧の範囲(感染前の状態への復元等)の定義に注意 |
事業中断損失(売上損失) | 特約が必要な場合が多い。損失の立証方法を事前確認 |
第三者への賠償金 | 委託元・被害者への賠償金をカバー。限度額の設定を確認 |
危機管理費用(弁護士・PR等) | 弁護士費用・コールセンター費用・通知費用等 |
保険金が支払われない典型的なケース
以下の状況では免責となり保険金が下りないリスクがあります。感染後ではなく感染前に確認・対応することが必要です。
免責事由 | 具体的な状況 |
基礎的セキュリティ対策の不備 | MFA未導入・既知脆弱性の未修正が「重大な過失」として免責になる保険がある |
告知義務違反 | 加入前に把握していた既知の脆弱性・過去のインシデントを申告しなかった場合 |
通知期限の超過 | 発覚後◯日以内の通知義務(多くは30〜60日)を過ぎた場合 |
保険会社の事前同意なし | 身代金支払い前に保険会社の承認を得なかった場合に支払いを拒否されることがある |
OFAC制裁対象グループへの支払い | 保険会社自身がOFAC違反になるリスクから支払い拒否される |
保険金を最大限活用するためには、①加入時に正確な告知、②感染発覚後即座に保険会社へ通知、③身代金支払い前に保険会社の同意取得、④弁護士を通じた費用の記録・管理——の4点が重要です。
よくある質問(FAQ)
Q:身代金を支払いました。その後、OFAC違反として調査を受ける可能性はありますか?
A:支払い先のグループがOFAC制裁リストに掲載されていた場合、米国当局による調査のリスクがあります。ただし実際の制裁事例では「知らずに支払った」場合は「自発的な開示」と「迅速な当局への報告」によって制裁が軽減・免除された例があります。支払い済みの場合でも、できるだけ早く弁護士に相談し、適切な開示・対応の方針を確認してください。
Q:攻撃者グループが「データを公開しない」と約束しています。信用できますか?
A:犯罪組織との約束に法的拘束力はありません。身代金を支払った後でもダークウェブにデータが公開された事例が多数あります。また「公開しない」という約束自体が交渉ツールであり、追加の支払いを求める「三重脅迫」に発展するケースも報告されています。公開の防止より「公開された場合の対応準備(個人情報保護委員会への報告・被害者への通知)」を並行して進めることが現実的です。
Q:個人情報が含まれているかどうかわからない段階で報告義務はありますか?
A:「含まれているかどうかわからない」段階でも、含まれている可能性が合理的に認められる場合は速報(3〜5日以内)を提出することが個人情報保護委員会のガイドラインで推奨されています。速報は「不明」として提出できます。「確認が取れるまで報告しない」という判断が後に「義務違反」として評価されるリスクを避けるため、早期に報告要否を弁護士に確認することを推奨します。
Q:感染した事実を取引先に隠していました。後で発覚したらどうなりますか?
A:①個人情報が含まれていた場合は個人情報保護法上の通知義務違反②委託契約の報告義務違反③隠蔽が損害拡大の原因となった場合は損害賠償額の増額要因——の3方向のリスクがあります。さらに「隠蔽した」という事実自体が、後の訴訟・行政処分で企業の信頼性を著しく損なう証拠として機能します。発覚前に自ら開示し、適切な対応を行う方が法的リスクの観点からも合理的です。
Q:警察に被害届を出したら、自社のシステムが差し押さえられますか?
A:可能性はあります。捜査機関はデジタル証拠の保全のためにサーバー・端末の差押えを行うことがあります。業務継続への影響が大きい場合は、差押えの対象範囲の限定(フォレンジックコピーの提供等)を交渉することが可能な場合もあります。被害届提出のタイミングと業務継続の観点から、提出前に弁護士に相談することを推奨します。
Q:感染が従業員のフィッシングメール開封が原因でした。従業員に賠償請求できますか?
A:業務中の不注意による損害について、会社が従業員に全額を求償することは「信義則上制限される」のが日本の判例の傾向です(最高裁昭和51年7月8日判決)。過失の程度・会社側のフィッシング対策の有無・研修の実施状況によって求償できる範囲が変わります。従業員への求償は法的・労務的リスクを伴うため、弁護士と事前に評価してください。
Q:感染したのはクラウドサービス上のデータです。クラウド事業者に責任追及できますか?
A:クラウド事業者の責任範囲は「責任共有モデル」(事業者が提供する基盤の管理 vs 利用企業が担う設定・データ管理)で分担されます。OS設定・アクセス権限・バックアップ管理は多くの場合「利用企業の責任範囲」です。クラウド事業者の基盤レベルの脆弱性が原因だった場合は責任追及の余地がありますが、利用規約の賠償制限条項との兼ね合いで実効性は低い場合が多いです。
Q:中小企業ですがサイバー保険に入っていません。今から入れますか?
A:加入自体は感染後でも可能ですが、既発のインシデントは通常「既知のリスク」として除外されます。既感染の事実を告知したうえで加入する場合、その感染に関連する費用は補償対象外となります。感染後の対応が落ち着いた段階で、次の被害に備えて加入することはもちろん有効です。中小企業向けの低額プランも増えているため、まず複数社で見積もり取得をお勧めします。
弁護士への相談をおすすめするタイミング
ランサムウェア被害は、法的対応を誤ると二次的な損害(追加賠償・行政処分・刑事リスク)が拡大します。以下のタイミングで弁護士関与が特に重要です。
タイミング | 弁護士関与の内容 |
感染発覚当日 | 身代金支払いの法的リスク評価・OFAC照合の指示・証拠保全の方法 |
報告義務の判断(発覚後3〜5日) | 個人情報保護委員会への速報の要否・文書作成 |
身代金支払いを検討している | 外為法リスク・犯収法リスク・保険会社の同意手続きの確認 |
取引先・委託元から通知が届いた | 法的責任の評価・求償交渉の準備 |
警察への被害届提出を検討 | 提出タイミング・差押えリスクの評価・調書作成への関与 |
※内容によってはご相談をお受けできない場合がありますので、ご了承ください。
スポットで一括対応or顧問で伴走も!
お客様に合わせたプランをご用意しています
