ガリバー、日本コンクリート、エーザイとランサムウェアの被害が相次ぐ。他社は危機管理のシミュレーションに取り組む機会と捉えよう。

こんにちは。弁護士の浅見隆行です。

2023年に入り、4月3日にガリバー（IDOM）、5月29日に日本コンクリート、6月6日にエーザイが、身代金要求型のウイルスであるランサムウェアの被害にあったことを公表しました。

こうした被害が相次いでいる状況を見たときには、自社で発生した事例として置き換えて危機管理のシミュレーションに取り組んでみることをオススメします。

ガリバー、日本コンクリート、エーザイの危機管理対応

2023年6月7日時点での3社の被害状況と危機管理の対応状況は以下のとおりです。

ガリバー

ガリバーは

「サーバに記録されていたデータがランサムウェアにより暗号化され、使用できない状況となった」こと
6月5日時点では復旧していること
個人データ（合計2,402,233件）を閲覧され、漏えいした可能性を否定できないものの「外部に送信した痕跡は見つかっていない」こと

を明らかにしています。

IDOM Inc.

当社サーバへの不正アクセスに関するご報告とお詫び

https://221616.com/idom/news/press/20230605-31870.html

株式会社IDOMの企業情報サイトです。会社情報、お知らせ、投資家情報、リクルート情報などが掲載されています。最新のプレスリリースや開示情報はこちらから。

日本コンクリート

日本コンクリートは

「外部から第三者の不正アクセスを受け、サーバーに保存している各種ファイルが暗号化されたこと」
「外部専門家と状況調査を開始すると共に、全社対策本部を設置し復旧に向けての対応」に取り組んでいること
「現時点において、データ漏えいの痕跡は発見されて」いないこと

を明らかにしています。

www.ncic.co.jp

https://www.ncic.co.jp/wp/wp-content/uploads/2023/05/ir230529.pdf

エーザイ

エーザイは

「当社グループの複数のサーバーが暗号化されるランサムウェアによる被害が発生」したこと
「全社対策本部を設置し、外部専門家の助言を受けながら、影響の範囲等の調査と復旧への対応」していること
「情報流出につきましては現在調査中」であること

を明らかにしています。

エーザイ株式会社

ランサムウェア被害の発生について | ニュースリリース：2023年 | エーザイ株式会社

https://www.eisai.co.jp/news/2023/news202341.html

エーザイ株式会社のニュースリリース「ランサムウェア被害の発生について」を掲載しています。

ランサムウェアに感染して身代金は支払うと取締役・取締役会の責任

身代金要求型のウイルスであるランサムウェアの被害に遭ったときに、身代金を支払ってはならないことはよく報じられています。

内閣サイバーセキュリティセンターも、公的な組織が公表しているランサムウェア対策を整理して紹介しています。

ストップ！ランサムウェア - NISC

ストップ！ランサムウェア - NISC

https://www.nisc.go.jp/tokusetsu/stopransomware/index.html

みんなで使おうサイバーセキュリティ・ポータルサイト

もしランサムウェアに感染した場合に身代金の支払いに応じてしまうと、それは合理性のない支出をしたことになるので会社にとっての損害（損失）です。

最終的には取締役・取締役会が善管注意義務違反として賠償責任を負うことになります。

そのため、日本では、身代金の支払いに応じてしまった会社は18％に留まっていて、ランサムウェアに感染したときの基本的な危機管理対応はできている、と理解できます。

他社は、ランサムウェアの被害事例を参考にシミュレーションしてみる

他社の取締役・取締役会(エーザイのように指名委員会等設置会社なら執行役)は、ランサムウェアの被害に遭った会社を、対岸の火事として「大変だな」と眺めているだけではダメです。

自社でランサムウェアの被害が発生したと置き換えて、危機管理のシミュレーションに取り組む絶好の機会だと捉えてください。

ランサムウェアの被害に遭ったときの対応の一般的な対応は以下のとおりで、政府広報オンラインやJPCERTコーディネーションセンター（JPCERT/CC）によく整理されています。

感染した端末を社内のネットワークから隔離する
感染した端末の電源を切らない
支店や営業所も含めた全社で対応する
警察その他外部の第三者・専門家に連絡する

政府広報オンライン

ランサムウェア、あなたの会社も標的に？　被害を防ぐためにやるべきこと | 暮らし...

https://www.gov-online.go.jp/useful/article/202210/2.html#fourthSection

企業や教育機関、医療機関、行政機関など様々な組織が、ランサムウェア攻撃によって被害を受けています。ランサムウェアは、コンピュータに感染し、データを暗号化して使えなくし、その復元の対価として金銭を要求するコンピュータ・ウイルス（不正プログラム）です。近年、被害件数が増加するとともに悪質化してきています。どうすれば被害を防止できるのか。また、攻撃を受け、被害に遭った場合、どのように対応していけばよいのかを解説します。

JPCERT/CC

侵入型ランサムウェア攻撃を受けたら読むFAQ

https://www.jpcert.or.jp/magazine/security/ransom-faq.html

自社に置き換えてシミュレーションに取り組むというのは、この一般的な対応を自社に具体的に当てはめてみるということです。

例えば、月曜の朝に営業のAさんが会社のLANに入ろうとしたらシステム障害があり入れなかった。どうやらAさんだけではなく営業全体で同じ現象が起きているようだ。しばらくすると他部署からも社内システム部門に問い合わせが続き、全社的にシステム障害が発生しているらしいことが判明した。

・・・のような状況を想定してみましょう。

この後、誰が、誰に、どのような方法で役員や上司に情報を縦展開していくか、各部署や営業所や支店に横展開していくのか、連絡すべき外部の専門家は誰で、誰が誰に連絡するのかなど、5W1Hの役割をすべてあてはめていくのです。

さらには、連絡を受けた役員や上司は具体的に何をどうすればよいか、何か決断しなければいけないことがあるかもあてはめるのです。

リリースの文書ひとつとっても、誰が起案して決裁する、社内のシステムが止まっている状況でどうやって起案してサーバーにアップロードする、情報が不明確な段階でどこまで記載する、上場会社なら証券取引所への連絡はどうするなど悩ましいことは多々出てくると思います。

社内のシステムやネットワークが停止している状況だと何もできない部分があることや、危機管理マニュアルがスムーズに機能しない部分があることなどもわかっていきます。

うまくいかない部分があればこの機会に修正する、何も決まっていない部分があればこの機会に決める。

これが危機管理のシミュレーションです。

こうした危機管理のシミュレーションをすることは、自社の情報保存管理体制(情報セキュリティ対策)を見直し、ランサムウェアの被害を防げるかどうかを点検することにも繋がります。

取締役・取締役会が社内の情報保存管理体制を機能させる義務を履行するという観点からも、ぜひ挑戦してみてください。