「データが暗号化された。身代金を払えば復旧できる、と要求が届いた」――この瞬間、経営層が直面する判断は単純ではない。 身代金支払いには法的・倫理的・技術的・経済的な論点が絡み、社内単独で結論を出すべきではない。本記事は中堅企業(200-500 名)向けに、弁護士 / 警察 / 保険 / 復旧の 4 視点で論点を整理する 意思決定フレームを提示する。断定的アドバイスではなく、専門家連携を前提とした論点整理である点に留意されたい。
目次
- 前提:本記事は支払推奨でも禁止でもない
- 4 視点フレームの全体像
- 視点 1:弁護士 — 法的論点の確認
- 視点 2:警察 — 相談と被害届の扱い
- 視点 3:サイバー保険 — 補償範囲の確認
- 視点 4:復旧可能性 — 技術的選択肢
- 経営層判断のための論点整理表
- 連絡先テンプレと検知後 24 時間アクション
- よくある質問(FAQ)
前提:本記事は支払推奨でも禁止でもない
身代金支払いの是非は ケースバイケースであり、以下の理由で一律のアドバイスは困難。
- 法的リスク(経済制裁対象組織への送金リスク等)が事案により異なる
- 復旧可能性(バックアップの健全性 / 復号鍵提供の信頼性)が異なる
- 業務停止損失と支払額の経済的比較が異なる
- 倫理的判断(攻撃者への資金提供)が経営方針による
本記事は判断材料の整理であり、最終判断は弁護士 / 警察 / 保険会社 / インシデント対応専門家との連携の上で行うことを明記する。
4 視点フレームの全体像
| 視点 | 主担当 | 確認事項 |
|---|---|---|
| 1. 弁護士 | 顧問弁護士 / サイバー法専門 | 法的リスク全般 |
| 2. 警察 | サイバー犯罪相談窓口 | 相談 / 被害届 / 助言 |
| 3. 保険 | サイバー保険会社 | 補償範囲 / 事前承認の要否 |
| 4. 復旧 | インシデント対応ベンダ | バックアップ / 復号鍵 / 再構築 |
視点 1:弁護士 — 法的論点の確認
弁護士に確認する標準項目
- 経済制裁対象組織との取引リスク評価
- 送金経路(暗号資産等)の合法性
- 取締役の善管注意義務 / 株主代表訴訟リスク
- 個情法対応との関係
- 契約相手 / 顧客への通知義務
- 公表すべき範囲
弁護士選定の留意
通常顧問弁護士に加え、サイバー / 情報セキュリティ専門の弁護士との連携が望ましい。インシデント対応リテーナー契約があれば 24 時間連絡可能。
視点 2:警察 — 相談と被害届の扱い
相談の意義
- 攻撃グループの既知情報 / 復号ツール提供の可能性
- 海外捜査機関連携情報
- 同一手口被害の傾向情報
被害届の判断
被害届提出は捜査協力義務を伴うが、事業継続上の利益も大きい。攻撃が止まる可能性、追加攻撃の予兆検知、横断的な情報共有が得られる。
連絡先
- 都道府県警察サイバー犯罪相談窓口
- 警察庁サイバー警察局(重大事案)
- JPCERT/CC(インシデント情報共有)
警察への相談は身代金支払いの是非を直接判断するものではないが、判断材料として情報を取得する意義が大きい。
視点 3:サイバー保険 — 補償範囲の確認
確認項目
| 項目 | 確認内容 |
|---|---|
| 補償対象 | 身代金 / 復旧費用 / 業務停止損失 / 損害賠償 |
| 事前承認 | 支払前の保険会社事前承認の要否 |
| 上限額 | 補償上限と免責額 |
| 専門家費用 | 弁護士 / 復旧ベンダ費用の補償 |
| 通知期限 | 検知後の通知期限 |
保険会社の指定ベンダ
サイバー保険には指定インシデント対応ベンダが付くケースがあり、保険適用条件としてベンダ利用が要請されることがある。
視点 4:復旧可能性 — 技術的選択肢
復旧経路の評価
| 経路 | 復旧可能性 | 期間目安 |
|---|---|---|
| バックアップからの復元 | バックアップ健全性次第 | 数日 - 数週 |
| 公開復号ツール(既知ファミリ) | 攻撃ファミリ次第 | 数時間 - 数日 |
| インシデント対応ベンダによる復旧 | ケース次第 | 数週 |
| 身代金支払い後の復号鍵 | 鍵の信頼性に不確実性 | 数日 - 数週 |
| 全面再構築 | 常時可能だがコスト高 | 数週 - 数ヶ月 |
身代金支払いでも復旧不可リスク
- 復号鍵が機能しないケース
- 鍵提供後にも追加要求が来るケース(二重恐喝)
- 一部ファイルのみ復号可能なケース
- 復号後にデータ完全性が壊れているケース
「支払えば確実に復旧する」前提は危険。支払い後の復旧可能性も不確実である点を経営層に明示する。
「インシデント対応の体制が不安、緊急時の連絡先も決まっていない」
CSIRT 立上げ支援とインシデント対応リテーナーで、24 時間体制を構築します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
経営層判断のための論点整理表
| 論点 | 確認結果 | 判断材料 |
|---|---|---|
| 法的リスク | 弁護士助言 | 制裁リスク / 善管注意義務 |
| 警察助言 | 相談済 | 既知情報 / 助言内容 |
| 保険補償 | 保険会社確認済 | 補償範囲 / 上限 |
| バックアップ復旧可能性 | 検証結果 | 期間 / コスト |
| 業務停止コスト | 試算 | 日次損失 × 期間 |
| 攻撃ファミリ既知情報 | 復旧ベンダ確認 | 復号鍵信頼性 |
| 二重恐喝リスク | データ流出有無 | 既流出データの取扱い |
| 倫理的判断 | 経営方針 | 攻撃者資金提供の可否 |
連絡先テンプレと検知後 24 時間アクション
| 経過時間 | アクション |
|---|---|
| 0-1h | 隔離 / 経営層第一報 / 顧問弁護士連絡 |
| 1-3h | サイバー保険会社連絡 / インシデント対応ベンダ召集 |
| 3-6h | 警察相談窓口連絡 / バックアップ健全性確認 |
| 6-24h | 4 視点並行調査 / 経営層レビュー準備 |
よくある質問(FAQ)
Q. 身代金支払いは違法か? A. 直接的な違法性は事案による。経済制裁対象組織への送金は別途規制があり、弁護士確認が必須。倫理的・社会的批判のリスクは別論点として存在する。
Q. バックアップが健全なら支払い不要か? A. バックアップ復旧が可能でも、データ流出に伴う二重恐喝(流出データ公開の脅迫)が別途発生し得る。バックアップ健全性は支払い判断の 必要条件ではあるが十分条件ではない。
Q. 中堅企業でサイバー保険未加入の場合は? A. 加入済企業より復旧費用負担が大きくなる。検知後の加入は通常不可。平時の加入検討と、未加入時の自己資金確保 / インシデント対応リテーナー契約が代替策。
Q. 警察相談で支払い禁止と言われるか? A. 警察は支払い是非を直接決定する立場にはない。情報提供と助言の枠を超えないため、最終判断は経営層と弁護士の責任となる。
参考資料
- 警察庁「サイバー警察局」関連資料
- IPA「ランサムウェア対策特設ページ」
- 経済産業省「サイバーセキュリティ経営ガイドライン」
- JPCERT/CC「ランサムウェア対策レポート」
中堅企業のランサム対応体制設計、インシデント対応リテーナー契約、CSIRT 立上げ支援は GXO のセキュリティ支援サービスで対応可能です。