質問
社内PCがランサムウェアに感染し、顧客情報流出の可能性があります。犯人から身代金を要求されていますが、払うべきですか?警察への届け出や顧客への公表はどうすれば良いでしょうか?
【質問者の本音を深堀】
内緒で揉み消したい。
ヨリビズ弁護士の回答
- 身代金は絶対に払ってはいけません。払ってもデータが戻る保証はなく、反社への利益供与になります。警察と個人情報保護委員会への報告は義務であり、顧客へも速やかに事実を公表・通知する必要があります。
【解説】
隠蔽は最悪の選択です。
改正個人情報保護法により、漏えい等が発生した場合(おそれを含む)は、個人情報保護委員会への報告と本人への通知が義務化されました。
対応手順:
1. ネットワーク遮断。
2. 警察・IPA(情報処理推進機構)へ相談。
3. 個人情報保護委員会へ速報。
4. 顧客へのお詫びと注意喚起(不審メールに注意等)。
身代金を払うと「カモリスト」に載り、再攻撃されます。バックアップからの復旧を試み、サイバー保険に入っている場合は保険会社へ連絡してください。
