2024年7月5日付け朝日新聞デジタル・7月6日付け朝日新聞朝刊「KADOKAWAの公表遅すぎた? 身代金払えば「違法の可能性も」」にコメントが掲載されました。蛇の目ミシン事件判決を踏まえて、補足解説。

こんにちは。弁護士の浅見隆行です。

2024年7月5日付け朝日新聞デジタルと7月6日付け朝日新聞朝刊「KADOKAWAの公表遅すぎた? 身代金払えば「違法の可能性も」」にコメントが掲載されました。

事実の公表とハッカー集団にヒントを与えないバランス

KADOKAWAグループは2024年6月9日にランサムウェア攻撃を受けているとの第1報を出した後、何度かリリースを掲載しています。

情報漏えいが発生した後には、危機管理広報として、情報漏えいの被害者となった情報の持ち主に向けて事実を公表する必要があります。

かといって、KADOKAWAグループはサーバへのランサムウエア攻撃によって、何の情報が漏えいしたのかを特定することが難しい状況です。

また、今回はランサムウエア攻撃を仕掛け、情報を漏えいさせたと名乗っているロシアのハッカー集団に、何の情報が漏えいしたかをハッカー集団が特定できる(ハッカー集団がどんな情報が手元にあるかを特定できる)ヒントを与えないようにしなければならないという配慮が必要でした。

それぞれのバランスを考慮したときに、この段階でも、この程度の事実なら公表できたのではないか、とコメントしています。

身代金の要求と代表訴訟リスク

次なるランサムウエア攻撃を招く

KADOKAWAグループは、ハッカー集団から身代金を要求されているとの報道もありました。

しかし、ハッカー集団からの身代金の要求に安易に応じてしまうことは、ハッカー集団にうま味を覚えさせることになり、次なる(他社を含む)ランサムウェア攻撃に繋がる可能性があります。

その価値観の観点からも身代金の要求に応じるべきではありません。

蛇の目ミシン事件を意識して判断する必要性

そもそも、身代金の要求に応じること自体が、KADOKAWAグループの役員の代表訴訟に繋がる可能性があります。

紙面には掲載されませんでしたが、その背景として、蛇の目ミシン事件判決(最判2006年4月10日、東京高判2003年3月27日)を意識しました。

蛇の目ミシン事件は、

いわゆる仕手筋として知られるAが,大量に取得したB社の株式を暴力団の関連会社に売却するなどとB社の取締役であるYらを脅迫した場合において,売却を取りやめてもらうためAの要求に応じて約300億円という巨額の金員を融資金の名目で交付することを提案し又はこれに同意した

https://www.courts.go.jp/app/hanrei_jp/detail2?id=32871

というケースです(他にも債務の肩代わりと担保提供を要求され、B社=蛇の目ミシンの取締役Yらはこれにも応じています)。

これに対し、裁判所は、以下のように判示しました。

本件において,被上告人ら(※蛇の目ミシン事件の取締役ら)は,Aの言動に対して,警察に届け出るなどの適切な対応をすることが期待できないような状況にあったということはできないから,Aの理不尽な要求に従って約300億円という巨額の金員をI社に交付することを提案し又はこれに同意した被上告人らの行為について,やむを得なかったものとして過失を否定することは,できないというべきである。

Aの言動に対して,警察に届け出るなどの適切な対応をすることが期待できないような状況にあったということはできない」の言い回しがちょっとややこしいですが、引用部分の意味は、蛇の目ミシン事件の取締役らは、仕手筋からの脅迫に対して、警察に届けるなど適切な対応をすることができたのに適切な対応を講じなかったから(善管注意義務違反、忠実義務違反の)過失がある・・という意味です。

今回のケースとそっくりです。

蛇の目ミシン事件判決をKADOKAWAグループにあてはめてみると、

KADOKAWAグループは、ハッカー集団からの身代金の要求に応じずに、警察に届け出るほか、自力で復旧する、情報漏えいに関する危機管理(情報の持ち主に広報する以外にも、これに伴って被害が出たら賠償するなど)など適切な対応ができる状況にあるから、身代金の要求に応じる以外の適切な対応をとるべきであって、他の適切な対応をとらないで身代金の要求に応じることは善管注意義務違反の過失がある、

と考えることができます。

したがって、法的な観点からも、KADOKAWAグループは、ハッカー集団からの身代金の要求には応じてはならない、と言えます。

アサミ経営法律事務所 代表弁護士。 1975年東京生まれ。早稲田実業、早稲田大学卒業後、2000年弁護士登録。 企業危機管理、危機管理広報、コーポレートガバナンス、コンプライアンス、情報セキュリティを中心に企業法務に取り組む。 著書に「危機管理広報の基本と実践」「判例法理・取締役の監視義務」「判例法理・株主総会決議取消訴訟」。 現在、月刊広報会議に「リスク広報最前線」、日経ヒューマンキャピタルオンラインに「第三者調査報告書から読み解くコンプライアンス この会社はどこで誤ったのか」、日経ビジネスに「この会社はどこで誤ったのか」を連載中。
error: 右クリックは利用できません