ガリバー、日本コンクリート、エーザイとランサムウェアの被害が相次ぐ。他社は危機管理のシミュレーションに取り組む機会と捉えよう。

こんにちは。弁護士の浅見隆行です。

2023年に入り、4月3日にガリバー(IDOM)、5月29日に日本コンクリート、6月6日にエーザイが、身代金要求型のウイルスであるランサムウェアの被害にあったことを公表しました。

こうした被害が相次いでいる状況を見たときには、自社で発生した事例として置き換えて危機管理のシミュレーションに取り組んでみることをオススメします。

ガリバー、日本コンクリート、エーザイの危機管理対応

2023年6月7日時点での3社の被害状況と危機管理の対応状況は以下のとおりです。

ガリバー

ガリバーは

  • 「サーバに記録されていたデータがランサムウェアにより暗号化され、使用できない状況となった」こと
  • 6月5日時点では復旧していること
  • 個人データ(合計2,402,233件)を閲覧され、漏えいした可能性を否定できないものの「外部に送信した痕跡は見つかっていない」こと

を明らかにしています。

日本コンクリート

日本コンクリートは

  • 「外部から第三者の不正アクセスを受け、サーバーに保存している各種ファイルが暗号化されたこと」
  • 「外部専門家と状況調査を開始すると共に、全社対策本部を設置し復旧に向けての対応」に取り組んでいること
  • 「現時点において、データ漏えいの痕跡は発見されて」いないこと

を明らかにしています。

エーザイ

エーザイは

  • 「当社グループの複数のサーバーが暗号化されるランサムウェアによる被害が発生」したこと
  • 「全社対策本部を設置し、外部専門家の助言を受けながら、影響の範囲等の調査と復旧への対応」していること
  • 「情報流出につきましては現在調査中」であること

を明らかにしています。

ランサムウェアに感染して身代金は支払うと取締役・取締役会の責任

身代金要求型のウイルスであるランサムウェアの被害に遭ったときに、身代金を支払ってはならないことはよく報じられています。

内閣サイバーセキュリティセンターも、公的な組織が公表しているランサムウェア対策を整理して紹介しています。

もしランサムウェアに感染した場合に身代金の支払いに応じてしまうと、それは合理性のない支出をしたことになるので会社にとっての損害(損失)です。

最終的には取締役・取締役会が善管注意義務違反として賠償責任を負うことになります。

そのため、日本では、身代金の支払いに応じてしまった会社は18%に留まっていて、ランサムウェアに感染したときの基本的な危機管理対応はできている、と理解できます。

他社は、ランサムウェアの被害事例を参考にシミュレーションしてみる

他社の取締役・取締役会(エーザイのように指名委員会等設置会社なら執行役)は、ランサムウェアの被害に遭った会社を、対岸の火事として「大変だな」と眺めているだけではダメです。

自社でランサムウェアの被害が発生したと置き換えて、危機管理のシミュレーションに取り組む絶好の機会だと捉えてください。

ランサムウェアの被害に遭ったときの対応の一般的な対応は以下のとおりで、政府広報オンラインやJPCERTコーディネーションセンター(JPCERT/CC)によく整理されています。

  • 感染した端末を社内のネットワークから隔離する
  • 感染した端末の電源を切らない
  • 支店や営業所も含めた全社で対応する
  • 警察その他外部の第三者・専門家に連絡する

自社に置き換えてシミュレーションに取り組むというのは、この一般的な対応を自社に具体的に当てはめてみるということです。

例えば、月曜の朝に営業のAさんが会社のLANに入ろうとしたらシステム障害があり入れなかった。どうやらAさんだけではなく営業全体で同じ現象が起きているようだ。しばらくすると他部署からも社内システム部門に問い合わせが続き、全社的にシステム障害が発生しているらしいことが判明した。

・・・のような状況を想定してみましょう。

この後、誰が、誰に、どのような方法で役員や上司に情報を縦展開していくか、各部署や営業所や支店に横展開していくのか、連絡すべき外部の専門家は誰で、誰が誰に連絡するのかなど、5W1Hの役割をすべてあてはめていくのです。

さらには、連絡を受けた役員や上司は具体的に何をどうすればよいか、何か決断しなければいけないことがあるかもあてはめるのです。

リリースの文書ひとつとっても、誰が起案して決裁する、社内のシステムが止まっている状況でどうやって起案してサーバーにアップロードする、情報が不明確な段階でどこまで記載する、上場会社なら証券取引所への連絡はどうするなど悩ましいことは多々出てくると思います。

社内のシステムやネットワークが停止している状況だと何もできない部分があることや、危機管理マニュアルがスムーズに機能しない部分があることなどもわかっていきます。

うまくいかない部分があればこの機会に修正する、何も決まっていない部分があればこの機会に決める。

これが危機管理のシミュレーションです。

こうした危機管理のシミュレーションをすることは、自社の情報保存管理体制(情報セキュリティ対策)を見直し、ランサムウェアの被害を防げるかどうかを点検することにも繋がります。

取締役・取締役会が社内の情報保存管理体制を機能させる義務を履行するという観点からも、ぜひ挑戦してみてください。

アサミ経営法律事務所 代表弁護士。 1975年東京生まれ。早稲田実業、早稲田大学卒業後、2000年弁護士登録。 企業危機管理、危機管理広報、コーポレートガバナンス、コンプライアンス、情報セキュリティを中心に企業法務に取り組む。 著書に「危機管理広報の基本と実践」「判例法理・取締役の監視義務」「判例法理・株主総会決議取消訴訟」。 現在、月刊広報会議に「リスク広報最前線」、日経ヒューマンキャピタルオンラインに「第三者調査報告書から読み解くコンプライアンス この会社はどこで誤ったのか」、日経ビジネスに「この会社はどこで誤ったのか」を連載中。
error: 右クリックはできません