お問い合わせ
0120-855-995
LINEで相談身代金は払うべき?サイバー攻撃被害時の法的リスクと判断基準を解説
2026年04月20日
企業を狙うサイバー攻撃が高度化する中、不正アクセスの被害はもはやどの企業にも起こり得る経営リスクです。
万が一被害に遭った際、企業の命運を分けるのは「証拠保全を含む正確な初動対応」と「迅速な法的措置」に他なりません。
本記事では、被害拡大を防ぐためのネットワーク隔離から、警察への被害届提出プロセス、個人情報保護委員会への報告義務、犯人への損害賠償請求まで、事業者がとるべき一連の対応を分かりやすく解説します。
法的・技術的な観点から企業を守り、抜本的な再発防止へと繋げるための必読コラムです。
この記事を監修したのは
職員が丁寧にお話を伺います初回無料
増加するランサムウェア攻撃と「身代金」要求の現実
ランサムウェアとは?ファイルを人質にとるサイバー攻撃
ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語であり、企業のシステムや端末内のデータを暗号化して使用不能にし、その復旧と引き換えに金銭(身代金)を要求するマルウェア(悪意のあるソフトウェア)の一種です。
近年、このランサムウェアによるサイバー攻撃が急増しており、規模の大小を問わず多くの企業がターゲットとなっています。
感染経路は、不審なメールの添付ファイルやリンク、脆弱性を突いたネットワーク侵入、リモートデスクトップ(RDP)の認証突破など多岐にわたります。
企業の業務が突如として停止に追い込まれるため、事業継続において致命的なダメージを受けるケースが後を絶ちません。
※ランサムウェアをはじめとするサイバー攻撃の種類や手口について、より基礎的な知識を深めたい方は、こちらの記事もご覧ください。
近年増加する「二重脅迫」の手口と被害の深刻化
かつてのランサムウェア攻撃は「データを暗号化して復旧と引き換えに金銭を要求する」という単純なものでした。
しかし近年では、暗号化する前に機密データを外部に盗み出し、「身代金を支払わなければ、盗んだデータをダークウェブなどの公開サイトで暴露する」と脅す「二重脅迫(ダブルエクストーション)」が主流となっています。
この手口により、企業はシステム復旧のためだけでなく、顧客情報や機密情報の流出による信用失墜を防ぐためにも支払いのプレッシャーに晒されることになり、被害はより深刻化しています。
さらに、顧客や取引先へ直接連絡して支払いを促す「三重脅迫」などの悪質な手口も確認されています。
【原則はNO】身代金を支払うべきではない3つの理由
データが復旧する保証はなく、追加要求のリスクもある
身代金を支払ったからといって、必ずしもデータが復旧する保証はありません。攻撃者は犯罪者であり、約束を守る義務や倫理観を持ち合わせていません。
復号キー(暗号を解除するためのパスワード)が送られてこないケースや、送られてきた復号キーが正常に機能しないケースも多々あります。
また、一度支払いに応じると「金払いの良い企業」と見なされ、「データを削除してほしければさらに支払え」と追加の身代金を要求されるリスクも極めて高くなります。
「支払う企業」として認識され、さらなる攻撃の標的になる
犯罪組織の要求に応じることは、自社が「脅しに屈し、支払いを行う企業」であるとサイバー犯罪者のコミュニティに宣伝してしまうことと同義です。
その結果、別の犯罪グループからも新たなターゲットとしてリストアップされ、将来的に何度もサイバー攻撃の標的にされる悪循環に陥る危険性があります。中長期的な企業の安全確保を考えるならば、支払いは避けるべきです。
犯罪組織を利し、社会全体の被害を助長してしまう
企業が支払った身代金は、サイバー犯罪組織の強力な資金源となります。
この資金は、新たなランサムウェアの開発、優秀なハッカーの雇用、より巧妙な攻撃インフラの構築などに再投資されます。
つまり、自社の危機を逃れるための支払いが、結果として別の企業や組織へのサイバー攻撃を助長し、社会全体のセキュリティ脅威を拡大させてしまうことにつながるのです。
身代金支払いに潜む「法的リスク」とは?弁護士が解説
国内法に抵触する可能性|テロ資金提供処罰法・外為法など
身代金の支払いは、単なる経営判断のミスにとどまらず、法的なリスクを伴います。
日本国内においては、相手が国際的なテロ組織等であると判明している場合、「テロ資金提供処罰法」に抵触する可能性があります。
また、外国為替及び外国貿易法(外為法)に基づき、特定の制裁対象者への支払いが禁止されている場合、これに違反すると厳しい罰則が科される恐れがあります。
匿名性の高い暗号資産(仮想通貨)での要求が一般的ですが、支払先が明確でない場合でもコンプライアンス上の重大なリスクを抱えることになります。
海外の規制(OFAC規制)による制裁リスクとグローバル企業への影響
グローバルに事業を展開する企業にとって特に注意すべきなのが、米国の財務省外国資産統制室(OFAC)の規制です。
OFACは特定の国家、テロ組織、サイバー犯罪グループなどを制裁リストに指定しており、米国人や米国企業(米国法人の子会社を含む)がリストに掲載された組織に身代金を支払うことは厳重に禁じられています。
これに違反した場合、巨額の罰金や米国市場からの締め出しなど、企業の存続に関わる甚大な制裁を受けるリスクがあります。
取締役の善管注意義務違反に問われる可能性
法人の代表者や取締役は、会社に対して「善管注意義務」を負っています。
身代金の支払いによって結果的に会社に損害を与えた場合や、コンプライアンス違反によるペナルティを受けた場合、株主代表訴訟などによって取締役個人の責任が追及される可能性があります。
「システムを復旧させるため」という理由であっても、適切なプロセスを経ずに安易な支払いを行ったと判断されれば、経営陣の法的責任問題に発展しかねません。
それでも支払いを検討せざるを得ない…判断基準とプロセス
判断の前に確認すべき項目チェックリスト
人命に関わる医療機関のシステム停止や、社会インフラの完全な麻痺など、どうしても支払いを検討せざるを得ない極限の状況も存在します。
その場合でも、以下の項目を冷静に確認する必要があります。
- バックアップデータの有無とその無傷性(本当に自力復旧は不可能か)
- 流出したデータの重要度と影響範囲(機密情報や個人情報が含まれているか)
- 攻撃者の特定(制裁対象の組織ではないか、過去に復号キーを渡した実績がある組織か)
- 支払いによるシステム復旧の確度と代替手段のコスト比較
誰がどう判断する?事前に定めておくべき意思決定プロセス
緊急事態において現場のパニック状態のまま判断を下すのは非常に危険です。
平時から、ランサムウェア被害を想定した「インシデント対応計画(IRP)」を策定し、身代金要求に対する基本方針(原則非支払など)を明確にしておく必要があります。
また、万が一支払いの検討が必要になった場合、誰が最終的な決定権を持つのか(社長、取締役会、危機管理委員会など)、法務部門や外部の弁護士、セキュリティ専門家をどのように交えて協議するのか、といった意思決定プロセスを事前に定めておくことが不可欠です。
サイバー保険は身代金に使える?補償範囲と利用時の注意点
近年、サイバー攻撃による被害を補償する「サイバー保険」に加入する企業が増えています。
保険によっては、原因調査費用、データ復旧費用、損害賠償費用などに加え、身代金そのものや身代金交渉にかかる費用を補償範囲に含めているケースもあります(ただし、国内の保険商品では身代金自体は補償対象外とすることが一般的です)。
保険を利用する際は、補償の適用条件や上限額、保険会社への報告義務などを約款で事前に確認しておくことが重要です。
また、保険に入っているからといって安易に支払いに応じることは、前述の法的リスクや倫理的責任を免除するものではありません。
【緊急時】ランサムウェア被害に遭った際の初動対応フロー
被害端末のネットワークからの隔離(証拠保全)
感染の疑いがある端末を発見したら、まずは被害の拡大を防ぐために、直ちにその端末を社内ネットワークやインターネットから物理的(LANケーブルを抜く、Wi-Fiをオフにするなど)に隔離します。
この時、原因究明のためのログやメモリ情報が消えてしまうのを防ぐため、端末の電源は切らずにそのままの状態で保持することが重要です(証拠保全:フォレンジック)。
関係各所への報告・連絡(経営層・法務・専門家)
隔離措置と同時に、社内の情報システム部門やセキュリティ担当者へ速やかに報告します。
その後、被害の可能性が確認された時点で、経営層や法務・広報部門に情報をエスカレーションし、全社的な危機管理体制を立ち上げます。
また、必要に応じて外部のセキュリティ専門企業(フォレンジック調査機関など)や顧問弁護士へ連絡し、専門的なサポートを要請します。
警察への通報と公的機関への相談
ランサムウェア攻撃は犯罪行為です。所轄の警察署(サイバー犯罪対策課など)に速やかに相談・通報を行ってください。
また、情報処理推進機構(IPA)やJPCERT/CCなどの公的機関へ被害報告を行うことで、最新の攻撃手口に関する情報提供や対応のアドバイスを受けることができます。
個人情報の漏洩が疑われる場合は、個人情報保護委員会への速やかな報告も法的義務となります。
専門家による被害状況の調査と影響範囲の特定
外部のセキュリティ専門家と協力し、感染経路の特定、暗号化されたデータの範囲、情報流出の有無などを詳細に調査(デジタルフォレンジック)します。
この調査結果に基づいて、バックアップからの復旧計画の策定、システムの再構築、顧客や取引先への通知、プレスリリースの公表など、その後の対応方針を決定します。
※サイバー攻撃を受けた際のより詳細なインシデント対応の流れについては、こちらの記事も併せてご確認ください。
ランサムウェア被害時に弁護士へ相談するメリット
法的リスクの正確な評価とコンプライアンス遵守の支援
ランサムウェア被害において身代金の支払いを検討する際、最も懸念されるのが法的リスクです。
サイバーセキュリティや危機管理に精通した弁護士に相談することで、テロ資金提供処罰法や外為法、海外のOFAC規制など、自社が直面している具体的な法的リスクを正確に評価できます。
意図せず法令違反を犯し、多額の罰金や制裁を受ける事態を防ぐためのコンプライアンス遵守の強力なサポートが得られます。
外部機関(警察、個人情報保護委員会など)への対応サポート
サイバー攻撃を受けて個人情報や機密情報の漏洩が疑われる場合、個人情報保護委員会への速やかな報告や、関係各所・警察への通報が義務付けられたり推奨されたりします。
弁護士は、これらの公的機関に対する適切な報告書の作成や、法的に過不足のないコミュニケーションを代行・支援してくれます。
これにより、企業はシステム復旧や原因調査などの技術的な初動対応にリソースを集中させることが可能になります。
損害賠償請求や株主代表訴訟に対する防衛策の構築
情報漏洩によって顧客や取引先から損害賠償を請求されたり、経営陣の初動対応や平時のセキュリティ対策の甘さを指摘され、株主から取締役に対する代表訴訟を起こされたりするリスクがあります。
弁護士が早期から介入することで、被害拡大を防ぐための適切な初動対応(善管注意義務を果たしていることの証明)を記録に残し、将来的な訴訟リスクを最小限に抑えるための法的な防衛策を構築することができます。
※サイバー攻撃被害に対する弁護士の役割や導入メリットについて詳しく知りたい方は、こちらの記事をご参照ください。
そもそも被害に遭わないために。平時から備えるべきランサムウェア対策
技術的対策:定期的なバックアップと復旧テスト、EDR導入
サイバー攻撃の被害を最小限に抑えるためには、事前の技術的対策が不可欠です。
最も重要なのは、ネットワークから切り離された安全な場所(オフラインまたはイミュータブルストレージ)への「定期的なバックアップ」の取得です。
さらに、いざという時にバックアップから確実にデータを戻せるか「復旧テスト」を定期的に実施しておく必要があります。
また、攻撃の兆候を早期に検知・遮断するために、エンドポイントでの監視を行うEDR(Endpoint Detection and Response)の導入や、脆弱性管理(パッチの迅速な適用)、多要素認証(MFA)の導入も効果的です。
組織的対策:従業員教育、アクセス権限の最小化
技術的な防御策だけでなく、組織全体でのセキュリティ意識の向上も重要です。
不審なメールの添付ファイルを開かない、フィッシングリンクをクリックしないといった基本的なリテラシーを高めるため、従業員への定期的なセキュリティ教育や標的型攻撃メール訓練を実施しましょう。
また、万が一システムに侵入されても被害を局所化できるよう、各従業員やアカウントに付与するアクセス権限は業務に必要な「最小限の範囲」に留める(ゼロトラストの原則)ことが推奨されます。
インシデント対応計画(IRP)の策定と定期的な訓練
サイバー攻撃は「いつか必ず起こるもの」として備えることが求められます。
被害発生時の体制、連絡網、対応手順、復旧優先順位などをまとめた「インシデント対応計画(IRP:Incident Response Plan)」を策定しておきましょう。
そして、計画を作るだけでなく、経営陣も含めた関係者が参加するシミュレーション演習(机上訓練など)を定期的に行い、緊急時に計画通り動けるか、プロセスに抜け漏れがないかを継続的に改善していくことが、真のレジリエンス(回復力)強化につながります。
まとめ
ランサムウェア攻撃による身代金要求に対し、企業は「原則として支払わない」という毅然とした態度を示すことが重要です。
支払いはデータ復旧の保証にならないばかりか、さらなる攻撃を招き、法的リスクや社会的信用の失墜といった致命的な結果をもたらす危険性があります。
万が一被害に遭った際には、冷静な初動対応と専門家・公的機関との連携が鍵となります。
そして何より、身代金の判断を迫られるような事態を未然に防ぐため、平時からの堅牢なバックアップ体制の構築と、組織的なセキュリティ対策の徹底に努めることが、企業の存続を守る最大の防衛策となります。
※内容によってはご相談をお受けできない場合がありますので、ご了承ください。
職員が丁寧にお話を伺います初回無料
