Emotetに感染した企業の「法的責任」とは【IT弁護士が解説】

「Emotet」はランサムウェアやサプライチェーン攻撃を呼び込むマルウェアだ。強力な感染力を持ち、定期的に活動を活発化させるためたびたび各国で注意喚起がされている。Emotetの感染によってビジネスに影響が出た時に発生し得る法的責任や賠償請求について弁護士が解説する。

[キーマンズネット]

本記事は2022年2月18日のBUSINESS LAWYERS掲載記事をキーマンズネット編集部が一部編集の上、転載したものです。

Q：　自社の端末がEmotet（エモテット）に感染した場合、法律上どのような点に留意するべきでしょうか。

A：　Emotetは、感染した端末に記録されているメール情報などを収集し、アドレス帳に記録されていた取引先に対してマルウェア付きのメールを送信して感染拡大を図る挙動を有しています。

　メール情報などを窃取される結果、改正個人情報保護法のもとでは個人情報保護委員会への報告義務が生じます。また、感染についてセキュリティ体制の不備など過失が認められる場合には、取引先から調査費用といった損害について賠償請求を受ける可能性があります。

解説

• Emotetとは
• 改正個人情報保護法のもとでの報告・通知などの義務
• 取引先からの賠償
• 感染元企業への賠償請求（または求償請求）