こんにちは。弁護士の浅見隆行です。
2024年7月5日付け朝日新聞デジタルと7月6日付け朝日新聞朝刊「KADOKAWAの公表遅すぎた? 身代金払えば「違法の可能性も」」にコメントが掲載されました。
事実の公表とハッカー集団にヒントを与えないバランス
KADOKAWAグループは2024年6月9日にランサムウェア攻撃を受けているとの第1報を出した後、何度かリリースを掲載しています。
情報漏えいが発生した後には、危機管理広報として、情報漏えいの被害者となった情報の持ち主に向けて事実を公表する必要があります。
かといって、KADOKAWAグループはサーバへのランサムウエア攻撃によって、何の情報が漏えいしたのかを特定することが難しい状況です。
また、今回はランサムウエア攻撃を仕掛け、情報を漏えいさせたと名乗っているロシアのハッカー集団に、何の情報が漏えいしたかをハッカー集団が特定できる(ハッカー集団がどんな情報が手元にあるかを特定できる)ヒントを与えないようにしなければならないという配慮が必要でした。
それぞれのバランスを考慮したときに、この段階でも、この程度の事実なら公表できたのではないか、とコメントしています。
身代金の要求と代表訴訟リスク
次なるランサムウエア攻撃を招く
KADOKAWAグループは、ハッカー集団から身代金を要求されているとの報道もありました。
しかし、ハッカー集団からの身代金の要求に安易に応じてしまうことは、ハッカー集団にうま味を覚えさせることになり、次なる(他社を含む)ランサムウェア攻撃に繋がる可能性があります。
その価値観の観点からも身代金の要求に応じるべきではありません。
蛇の目ミシン事件を意識して判断する必要性
そもそも、身代金の要求に応じること自体が、KADOKAWAグループの役員の代表訴訟に繋がる可能性があります。
紙面には掲載されませんでしたが、その背景として、蛇の目ミシン事件判決(最判2006年4月10日、東京高判2003年3月27日)を意識しました。
蛇の目ミシン事件は、
いわゆる仕手筋として知られるAが,大量に取得したB社の株式を暴力団の関連会社に売却するなどとB社の取締役であるYらを脅迫した場合において,売却を取りやめてもらうためAの要求に応じて約300億円という巨額の金員を融資金の名目で交付することを提案し又はこれに同意した
https://www.courts.go.jp/app/hanrei_jp/detail2?id=32871
というケースです(他にも債務の肩代わりと担保提供を要求され、B社=蛇の目ミシンの取締役Yらはこれにも応じています)。
これに対し、裁判所は、以下のように判示しました。
本件において,被上告人ら(※蛇の目ミシン事件の取締役ら)は,Aの言動に対して,警察に届け出るなどの適切な対応をすることが期待できないような状況にあったということはできないから,Aの理不尽な要求に従って約300億円という巨額の金員をI社に交付することを提案し又はこれに同意した被上告人らの行為について,やむを得なかったものとして過失を否定することは,できないというべきである。
「Aの言動に対して,警察に届け出るなどの適切な対応をすることが期待できないような状況にあったということはできない」の言い回しがちょっとややこしいですが、引用部分の意味は、蛇の目ミシン事件の取締役らは、仕手筋からの脅迫に対して、警察に届けるなど適切な対応をすることができたのに適切な対応を講じなかったから(善管注意義務違反、忠実義務違反の)過失がある・・という意味です。
今回のケースとそっくりです。
蛇の目ミシン事件判決をKADOKAWAグループにあてはめてみると、
KADOKAWAグループは、ハッカー集団からの身代金の要求に応じずに、警察に届け出るほか、自力で復旧する、情報漏えいに関する危機管理(情報の持ち主に広報する以外にも、これに伴って被害が出たら賠償するなど)など適切な対応ができる状況にあるから、身代金の要求に応じる以外の適切な対応をとるべきであって、他の適切な対応をとらないで身代金の要求に応じることは善管注意義務違反の過失がある、
と考えることができます。
したがって、法的な観点からも、KADOKAWAグループは、ハッカー集団からの身代金の要求には応じてはならない、と言えます。
