先週，ゲーム大手・カプコンで不正アクセスによるシステム障害が発生したことが判明した件で，ランサムウェアに感染し，身代金として11億円相当の仮想通貨の支払いを要求されたことが報道された。

ランサムウェア（ランサム（身代金）×ソフトウェアの造語）による被害とは，ファイルの暗号化や画面ロック等を行うランサムウェアに感染させ，PCやスマートフォンに保存されているファイルを利用できない状態にされ，復旧と引き換えに金銭を要求されるもの。

IPA（情報処理推進機構）「情報セキュリティ10大脅威 2020」では，ランサムウェアによる被害は，組織部門の第5位（昨年は第3位）とされている。

手法は，メールの添付ファイルやメール本文のリンクを開かせたり，改ざんしたウェブサイトを閲覧させてランサムウェアに感染させる手口が知られている。

予防策としては，基本的なことであるが，受信メールやウェブサイトの十分な確認，添付ファイルやリンクを安易にクリックしない，サポートの切れたOSの利用停止，移行等が言われている。

近年は，盗み出した個人情報や機密情報をネット上で暴露するケースも増えており，今回のケースもそれにあたる。

情報セキュリティの法的側面に関していえば，情報を預かる会社は，情報漏えいの防止措置を講じていたかが問われることになる。大手教育事業会社の情報漏えい事件では，多くの裁判が係属し，高裁レベルでも会社の敗訴判決が出ているところである。

sflawyer.hatenablog.com

また，現在，情報セキュリティの構築は，取締役の内部統制構築義務の一内容を構成しているといって良い。情報漏えいが起きれば，役員は消費者や株主から責任追及されかねない。

IPA「情報セキュリティ10大脅威 2020」等で指摘されている予防策は押さえ，PDCAを回すことが実務上必要である。

今回のケースでは，感染・漏えい経路を解明したうえで，その予見可能性が法的責任の判断にあたって重要なポイントになると考えられる。