ランサムウェア攻撃の被害が拡大する中、企業はデータの暗号化や窃取による業務停止のリスクに直面しています。
その際、攻撃者から「身代金(ランサム)」の支払いを要求されることがありますが、サイバー保険を利用して身代金を支払うことはできるのでしょうか?
本記事では、サイバー保険とランサムウェア被害の関係、補償の有無、法律・罰則等の注意点について解説します。
※ 本記事は、追記・修正して2025年4月8日に再度公開しました。
ランサムウェアの身代金とは?
ランサムウェアの身代金とは、サイバー攻撃者が「ランサムウェア(Ransomware)」という悪意のあるプログラムを使い、企業や個人のデータを暗号化した後、そのデータを元に戻す(復号化する)ために要求する金銭のことを指します。「Ransom(ランサム)」は英語で「身代金」を意味し、攻撃者は「身代金を支払わなければデータを復旧できない」と脅迫する手口を用います。
ランサムウェアやランサムウェアの身代金についての詳しくは、下記の記事をお読みください。
▼ランサムウェア(身代金要求ウィルス)とは?感染経路や被害事例から対策を解説【サイバー保険】
▼「組織化、ビジネス化するランサムウェア攻撃」とは?サイバー犯罪の新たな脅威を解説
脅迫された場合、身代金を支払ってよいの?
身代金を支払うことを選択した場合、非常に厳しいリスクが伴います。身代金を支払うリスク①「データ復旧が保証されていない」
攻撃者へ身代金を支払ったとしても、相手方が約束を守る理由はなく、データが復旧される保証はありません。また、窃取されたデータは過去の事例上、ダークウェブにおいて公開される可能性が高く、「情報漏洩を防ぎたい」という意図で身代金を支払うことはとてもおすすめできません。
日本においては過去の事例では身代金を支払った企業は信頼が失墜しています。
出典:Fierce Healthcare「Researchers crawled search engines and searched the dark web to find out the true extent of healthcare ransomware attacks」
出典:IPA「インシデントによる株価・純利益への影響」
身代金を支払うリスク②「規制や罰則の対象になるかも」
日本においてランサムウェアの身代金の支払い自体は、法律で禁止されていません。しかし、経済産業省や警察庁などの政府機関は「身代金の支払いを慎むべき」と警告しており、むやみな海外への送金はテロ資金供与とみなされ規制対象となる場合があります。
出典:内閣サイバーセキュリティセンター(NISC)「GUIDANCE FOR ORGANISATIONS DURING RANSOMWARE INCIDENTS」
出典:経済産業省 「DX時代のサイバーセキュリティ対策」
出典:警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」
出典:和歌山県警察「データが人質に!ランサムウェアの脅威」
出典:JPCERT「侵入型ランサムウェア攻撃を受けたら読むFAQ」
以下は抵触する可能性がある法律です。
・テロ資金提供処罰法
テロ行為を支援する資金の提供を取り締まることにより、テロを未然に防ぐ罰則です。テロリストやその協力者に、資金や土地、建物、物品、役務などを提供した場合などに、懲役や罰金を科す規定が設けられており、身代金の支払いが、この罰則の対象になる可能性があります。
参考:e-Gov 法令検索「公衆等脅迫目的の犯罪行為等のための資金等の提供等の処罰に関する法律」
・外為法(外国為替及び外国貿易法)
外為法には、国際連合安全保障理事会決議等を受け、テロリスト等に資産凍結等の措置が規定されており、金融機関や電子決済、暗号資産の交換時も外為法の許可義務の対象かどうかの確認等が義務付けられています。身代金の支払いがこの対象になる可能性があります。
参考:e-Gov 法令検索「外国為替及び外国貿易法」
・犯罪収益移転防止法
銀行などの金融機関、資金移動業者、クレジットカード事業者などには、テロ資金供与などの犯罪による収益の移転(マネーロンダリング)を防止する仕組みが規定されています。身代金の支払いがテロ資金供与等の「疑わしい取引」として届け出対象になる可能性があります。
参考:e-Gov 法令検索「犯罪による収益の移転防止に関する法律」
身代金を支払うリスク③「反社会的勢力への協力とみなされる」
昨今のランサムウェアの攻撃者は組織化しており、ランサムウェアの攻撃者グループは「反社会的勢力」と解釈できることもできます。もし反社として判断された場合、身代金の支払いは反社会的勢力排除に関する誓約へのコンプライアンス違反となり、取引先からの契約撤退や、違反に関する損害賠償訴訟の他、行政指導を受ける恐れもあり、金融機関からの融資停止や、最悪の場合上場廃止などが起こりえます。
また、身代金を支払うと決定した経営者は反社への資金提供をしたとみなされ、善管注意義務違反に基づく損害賠償請求をされる可能性もあります。
一口情報:法的責任とリスクに囲まれている取締役役員
取締役には「善管注意義務」「忠実義務」があり、「善良なる管理者の注意義務」と「会社の利益になるように努める義務」があります。
ビジネスに関する法律は下記の通りです。
・会社法
・金融商品取引法
・独占禁止法
・不正競争防止法
・景品表示法
・労働基準法
・特許法
・製造物責任法
・消費者契約法
・環境基本法
など
また、業界によってはいわゆる業法という下記の法律なども関係します。
・食品衛生法
・医薬品医療機器法
・銀行法
・保険業法
これらの法的義務に違反した場合、会社自体に「違法企業」のレッテルを貼られた上、取締役個人に経営判断のミスや監督責任等により刑事的には刑事罰を科され、民事的には損害賠償等の負担の可能性が出てきてしまうのです。
役員を守る保険「D&O保険」に加入することで、経営にかかわる賠償・訴訟リスクから役員の個人資産を守ることができます。
もしD&O保険に加入していない場合は、ぜひ下記サイトをご参照ください。
役員を守る保険「D&O保険ガイド」
身代金を支払うリスク④「海外の規制も併せて確認が必要」
身代金の支払いは、結果的に海外への暗号資産等で送金となるケースが高いです。しかし海外送金による身代金支払いは、相手や通貨に応じて各国・国際機関の規制を確認する必要があり、違反をしてしまえば重大な法的リスクが発生します。
例えば、アメリカのOFAC規制です。
OFAC(米国財務省外国資産管理室)は、安全保障上の理由から、特定の国・地域や団体との取引を禁止しています。 OFACは「SDNリスト(制裁対象者リスト)」を公開しており、このリストにはランサムウェア攻撃者グループが含まれているため、送金を行うと制裁違反となる可能性があります。
また、FATF(金融活動作業部会)という国際機関が、マネーロンダリングやテロ資金供与防止のための国際基準(FATF勧告)を定めており、日本もこれに従い「国際テロリスト等財産凍結法」を定めています。
国連安保理決議で指定された制裁対象者や、国際テロリスト等として政府が指定した人物や団体へ、送金・取引等を行った場合、刑事罰が科される可能性があります。
出典:米国財務省 外国資産管理局「About OFAC」
出典:FATF「The FATF Recommendations」
出典:警察庁「国際テロリスト等財産凍結法関係」
サイバー保険は「身代金」を補償できるのか?
では、サイバー保険にに加入しておくことで、身代金は補償対象となるのでしょうか。その答えですが、サイバー保険にはランサムウェア攻撃の対応費用の補償はありますが「身代金の支払いそのもの」は補償されません。
一般的なサイバー保険では、以下のような費用が補償対象となっています。
サイバー保険で補償される可能性がある費用(ランサムウェア周りのみに限る)
- ランサムウェア対応のコンサルティング費用(専門家による交渉、リスク評価)
- 暗号化されたデータの復旧費用(システムの復元、データ復旧)
- 法務・危機管理対応費用(法律相談、PR対応)
- 業務停止に伴う損害補償(売上損失、事業中断費用)
サイバー保険の契約時に確認するべき観点
- 補償の条件
- 支払いの上限額
- その他の補償(データ復旧、危機対応支援など)
サイバー保険が重要な理由
万が一、企業においてランサムウェアや情報漏洩などのサイバーインシデントが起こった場合、以下のようなリスクが考えられます。<<サイバー事故発生による主なリスク>>
・ 情報漏えいにより、損害賠償請求や個人情報保護法の罰金が発生する
・ システムやPC、サーバなどが停止することで業務運営に影響が出る
・ 事故発生の原因究明や改善、顧客へのお詫びなどに対するコストがかかる
・ 企業の社会的評判が悪化し、株価や取引関係、採用などさまざまな場面に波及
・ 適切な内部統制システムを構築していない場合、役員個人が法的責任を負うケースも
サイバー事故による被害額が気になる方は、以下の記事をお読みください。
▼サイバー攻撃の企業への被害額は?億単位もありえる被害額|2024年最新版を公開
まとめ
サイバー保険の一部には、ランサムウェア攻撃による費用を補償するものがありますが、「身代金の支払いそのもの」は補償されません。ランサムウェア攻撃者へ身代金を支払うことはおすすめできませんが、どうしても支払う場合には、法律・法令・規制を確認し支払先も制裁対象でないか確認をしてください。
また、代金を補償するサイバー保険は一部のみのため、契約時に確認を行いましょう。
企業は社会的責任をもって適切なセキュリティ対策を取り、サイバー攻撃に備えなければなりません。
しかし、残念ながらサイバー攻撃や情報漏えいのリスクをゼロにすることは難しいため、万が一の事故に備えた対策も必要です。
サイバー保険に加入しておけば、万が一の際に生じる多大な経済的損失や労力から自社と従業員を守ることができます。この機会に検討してみてください。
サイバー保険を選ぶ際は、大手保険会社の中で比較、検討することをおすすめします。
当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手メガ損保5社の保険料を無料で一括見積もり・比較いたします。
【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社
ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。
出典:財務省「国際的なマネロン・テロ資金供与・拡散金融対策」
