新潟で顧問弁護士をお探しの方は弁護士法人 一新総合法律事務所へ > 新着情報 > 法務情報 > ランサムウェア攻撃とその基本的対策

2026.2.5

ランサムウェア攻撃とその基本的対策

企業に対するサイバー攻撃

2025年9月、アサヒグループホールディングス株式会社がサイバー攻撃を受け、同社商品の受注・出荷が停止してサプライチェーン(供給網)全体に極めて大きな影響が生じました。

発生から約1カ月が経過した現在(2025年10月)でも、完全復旧の目途は立っていないとのことです。


このサイバー攻撃は、ランサムウェアという手口によるものと発表されています(同社2025年10月14日発表)。

アサヒグループほどの大企業がこうも容易く攻撃されてしまうのかと驚きもありましたが、サイバー攻撃は大企業だけの問題ではありません。

実は、ランサムウェア被害の約6割は中小企業とされており(警視庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」)、大企業のみならず中小企業にも、対策が必要といえます。

ランサムウェアとは

そもそもランサムウェアとは、「コンピュータに感染し、データを暗号化して使えなくし、その復元の対価として金銭を要求するコンピュータ・ウイルス(不正プログラム)」をいいます(政府広報オンライン)。上記のアサヒの事案でも、何らかの方法で同社の基幹システムにランサムウェアが仕掛けられ、その一部を暗号化されたことによって、受注や発注などの業務が全て停止してしまいました。


その後攻撃者より、「データを復号してほしければ金銭を支払え」といった身代金を要求されたり、個人情報等のデータを窃取して「公表されたくなければ金銭を支払え」などと脅されたりといった手口が代表的です。

どのような対策が必要か

このような被害に遭わないためには、どのような対策が必要なのでしょうか。


まずはじめに、このようなセキュリティ対策に対する意識を常に持ち、情報収集や体制についてのアップデートを日々行うということが前提ですが、そのうえで、ウイルス対策ソフトの導入、VPN機器といったネットワーク設備の対策(適切なパッチ適用等)、IDやパスワードの定期的な見直しは必須と言えるでしょう。

また、とくにランサムウェア対策という点では、データが暗号化されて使用不能となっても、バックアップを取っている場合にはそこから復号等の対応が取れる場合もあるので、有効と言えます。


個々の社員へのセキュリティ教育も必要です。

近年のランサムウェアは、上記のようなシステムの脆弱性を標的にするケースも多いですが、いまだにメールやSNSの添付ファイル、リンクといった経路で感染することもあり、一人一人が注意する必要があります。


ただ、これらの対策を社内担当者のみで行おうとしても、専門的かつ最新の対応を取る必要があることから、なかなか難しいと思います。

必要に応じて、外部のITセキュリティ専門家に相談・依頼する、もしくは相談できる体制を築いておくべきでしょう。

個人情報保護法との関係

会社として個人情報を取り扱っており、「個人情報取扱事業者」に該当することも多いと思います。

ランサムウェア攻撃によって個人情報の流出があった場合には、これらデータに「個人データ」(個人情報の保護に関する法律16条3項、以下単に「法」といいます。)が含まれているケースが多く、同法上、個人データの漏洩、毀損、またはそのおそれがある場合には、同事業者はその内容に応じて以下の対応を取らなければならない(同法通則ガイドライン)とされていますので、注意が必要です。

以下は概略ですが、有事の際は弁護士に相談することをお勧めします。

❶事業者内部における報告及び被害の拡大防止
❷事実関係の調査及び原因の究明
❸影響範囲の特定
❹再発防止策の検討及び実施
❺個人情報保護委員会への報告及び本人への通知

とくに❺は重要で、法26条1項に基づく個人情報保護委員会への報告が必要となります。

この報告は、「速報」と「確報」の2回行う必要があり、速報は「個人データの漏えい等が発生し、又は発生したおそれがある事態」を知ったときから概ね3~5日以内に行う必要があります(通則ガイドライン3-5-3-3)。

確報は、ランサムウェア攻撃の被害を受けた場合は知ったときから30日(場合によっては60日)以内に行うことが求められ(個人情報保護法施行規則8条2項、1項3号)、基本的には調査等を実施し、それを踏まえた詳細な報告を行うことが求められます。

また本人に対しても、状況に応じて速やかに、法施行規則8条1項に定められた事項を通知する必要があります。

身代金について

ランサムウェアの被害に遭うと、上記の通り攻撃者から身代金を要求されることが多いですが、結論から言って、身代金の支払いは拒絶するべきでしょう。

そもそも身代金を支払ったとしてもデータの復元・削除が保証されているわけではないですし、一度支払いに応じると「要求に応じる会社」と認識され、さらなる攻撃対象になることも懸念されるからです。


また、いわゆる外為法上の経済制裁対象者への「支払等」は法律上禁止されていますし、外国の法令上違法となる場合もあります。

さらには、身代金を支払うという経営判断自体が合理的でないとして、役員がその責任を追及されることも考えられます。


いずれにせよ、基本的に支払いには応じるべきではないといえます。

(参考)ビジネス法務2025.1「 セキュリティインシデント対応の総点検」

<初出:顧問先向け情報紙「コモンズ通心」2025年12月5日号(vol.310)>

※掲載時の法令に基づいており、現在の法律やその後の裁判例などで解釈が異なる可能性があります。

この記事を執筆した弁護士
弁護士 中澤 亮一

中澤 亮一
(なかざわ りょういち)

一新総合法律事務所 
弁護士

出身地:新潟県南魚沼郡湯沢町
出身大学:早稲田大学法科大学院修了
国立大学法人における研究倫理委員会委員、新潟県弁護士会学校へ行こう委員会副委員長などを務めている。
主な取扱分野は、離婚、金銭問題、相続。また、企業法務(労務・労働事件(企業側)、契約書関連、クレーム対応、債権回収、問題社員対応など)などにも精通しています。複数の企業でハラスメント研修、相続関連セミナーの外部講師を務めた実績があります。

法律相談予約

WEB問い合わせ

/

       

関連する記事はこちら