メインコンテンツへスキップ
main content, press tab to continue
特集、論稿、出版物 | 企業リスク&リスクマネジメント ニュースレター

サイバー脅迫による身代金の要求を受けたとしたら

グローバルガバナンスとしてのサイバーリスクマネジメント

執筆者 島田 郁矢 | 2021年6月15日

昨年来、世界中で企業に対するサイバー脅迫事件が相次いで発生しています。これらの事件は、日系企業においても対岸の火事ではありません。急激に増大するサイバーリスクに迅速に対応するためには、どのように取り組むべきでしょうか。
Risk and Analytics|Corporate Risk Tools and Technology|
N/A

既にメディア等で報道されている通り、昨年来、企業へのランサムウェアによるサイバー脅迫事件が相次いで発生しています。サイバー脅迫事件の増加の背景には、実際に身代金を支払う企業が存在し、その支払いに暗号通貨を利用することから、身代金の引渡しによる犯人の特定を難しくしている面もあるといわれています。

一方で、身代金の支払いは、サイバー犯罪を助長することになるとして批判の対象にもなっています。さらに言えば、海外では、サイバー保険契約において身代金を保険の対象としているケースが多く、支払った身代金が保険で補償される点が企業の身代金払いを後押しする要因にもなっているといった見解もあります。これを受け、身代金について保険の対象とすることを取りやめることを表明する保険会社も現れてきています。

ここで一つ考えてみてください。ご自身が経営者だったとして、実際にサイバー脅迫にあった際に身代金の支払いを拒否することを即断できるのでしょうか。もし身代金を支払わないことで企業の存続にかかわるような重大な事態が生じるのだとしたら、その結果、従業員やその家族の生活にも大きな影響を与えることになるでしょう。そのような状況で、身代金を支払うという選択を即座に否定することは容易ではありませんし、私には否定できる自信がありません。その決断はあまりにも難しいものです。では、その決断を行うために何が必要でしょうか。

仮に皆さんの会社がランサムウェアによるサイバー攻撃に遭い、身代金の要求を受けた場合、検討しなければならない事項は多岐に渡ります。すぐに思い当たるものを以下に列記してみましょう。

  1. 身代金を支払うかどうかを誰が決定するのか。
  2. 身代金を払わない場合に
    • 自社の経済的損害はどの程度になるのか、また、その損害は保険金として回収できるのか
    • 顧客等ビジネスパートナーが経済的な損害を被る可能性があるのか
    • 自社のレピュテーションに対する影響はどの程度になるのか
  3. 身代金を支払う場合に
    • 当該国における法制度上、身代金支払いが可能なのか、また、罰則はあるのか
    • 支払った事実が外部に知れ渡った場合のレピュテーションへの影響はどの程度あるのか
    • 支払った身代金につき、サイバー保険による補償を受けられるのか
    • 身代金を支払ったにも関わらず犯人側が約束を守らない可能性はないのか

これらの検討事項のうち、事前に準備しておくことができることには何があるのでしょうか。少なくとも誰が決定を行うのか、また、決定に必要となる情報を誰が収集するのか等、事故発生時に各関係者が取るべき行動を事前に定めておくこと、すなわち緊急対応体制の構築を進めておくことはできるでしょう。そのためには経営層自らが、サイバーリスクは現状において優先順位の最も高いリスクであると認識し、サイバーリスクマネジメントに取り組んでいただく必要があると考えます。

サイバーリスクマネジメントでは、サイバー保険についても併せて検討を行っていただく必要があります。前述の通り身代金について保険での支払いの対象とすることができます。従って、すでに皆さんの会社の海外子会社が身代金を補償する保険に入っている可能性があります。その子会社に身代金の要求があった場合、保険による補償を前提に子会社が単独で身代金を支払う決定をしても構わないでしょうか。

この問いに対しては、ほぼすべての方が“No”と答えられることと思います。では、それを社内で明確にしておく必要はないでしょうか。さらに、サイバー犯罪集団が不正アクセス等によって入手した情報から、サイバー保険で身代金が補償される企業を選別し、ランサムウェアによる攻撃を仕掛けているのではないかという考察もあります。身代金を支払う保険として知られているものに、誘拐保険があります。誘拐保険については保険をかけていることを社外はもちろん、社内でも知られないよう厳重な情報管理が行われています。

一方で、サイバー保険ではそこまでの管理がなされていない企業が多いようです。そう考えた場合に、本当にサイバー保険で身代金を補償する必要があるのかという検討も必要だと考えられます。また、一般的に保険会社は、サイバーインシデントに対応する外部コンサルタントの紹介が可能であり、その費用についても保険金として支払うことが可能です。この点を考慮すると、サイバー事故発生時の緊急対応体制の検討において、サイバー保険による補償、付帯される保険会社のサービスを踏まえた検討が必要です。

日系企業の中には、サイバー保険の検討をIT・システムセキュリティ部門に任せてしまっている、あるいは、IT・システムセキュリティ部門との合意ができず、管掌するべき部署が決まらないというところも多く見受けられます。その為に国内はもとより、グローバルベースでのサイバー保険の検討が進んでいない状況に多くがあるようです。前述の通り海外で発生したサイバー脅迫事件についても日本本社が積極的に関与しなければならない状況を考えれば、サイバー保険についてもグローバルベースでの検討が求められています。

さらに、事故防止の観点からはセキュリティ強化に加え、従業員へサイバーリスクに関する啓発・教育も需要な取り組みです。実際にサイバーインシデントのおよそ3分の2が、従業員のミスにより発生していると言われています。つまり従業員への啓発、教育活動は、事故防止の観点からも非常に有効なものです。最大限の効果を引き出すためには、これらの活動をIT・システムセキュリティ部門で完結するのではなく、人事部門とも連携して進めていかなくてはなりません。

ここまで申し上げてきました通り、事故防止、保険、事故対応を含むサイバーリスクマネジメントは、グローバルかつ組織横断的に対応するべき、喫緊の課題です。経営者の皆様には、グローバルガバナンスの一環として取り組むべきものであることをご認識いただき、早急にグローバルベースでのサイバーリスクマネジメントの方針を定めていただきたいと考えます。

事故防止、保険、事故対応を含むサイバーリスクマネジメントは、グローバルかつ組織横断的に対応するべき、喫緊の課題です。
図1:グローバルサイバーリスクマネジメント

執筆者プロフィール


P&Cスペシャリティーズ ジェネラル・マネージャー
Corporate Risk and Broking
WTW

2016年、ウイリスジャパン入社、保険プログラムの設計、保険会社交渉を担当。保険ブローカーとしておよそ30年の経験を活かし、日系企業向けのグローバル保険プログラムの構築、リスクマネジメントコンサルティングサービスを提供。


Contact us