オーストラリア:ランサムウェア攻撃の身代金支払いに関する届出義務
オーストラリアのランサムウェア攻撃の身代金支払いに関する届出義務についてのニュースレターを発行いたしました。こちらの内容は、以下のリンクよりPDF版でもご覧いただけます。
ランサムウェア攻撃の身代金支払いに関する届出義務
2025年2月吉日
One Asia Lawyers Group
オーストラリア・ニュージーランドチーム
1.はじめに
オーストラリアでは、ランサムウェアとサイバー恐喝による身代金支払いに関する新たな届出義務を導入することを目的とし、2024年11月29日にCyber Security Act 2024 (Cth)(以下「本法令」という)が制定されました。当該義務は2025年5月30日に発効される予定です。本稿では、本法令の届出義務について解説します。
2.適用基準
本法令の届出義務は、オーストラリアで事業を営み、年間売上高が後に細則で規定される売上高基準額を超える事業体に適用されます。細則は現在調整中ですが、公表された草案によると、この基準額が300万豪ドルとされる予定です。また、届出義務は、Security of Critical Infrastructure Act 2018 (Cth)(以下「SOCI法」という)に定義された重要インフラ資産の責任主体にも適用されます。
3.義務の概要
届出主体は攻撃者に利益を提供した場合、72時間以内にオAustralian Signals Directorateに届出することが求められます。これには、金銭の支払いだけでなく、他の形での利益を提供した場合も含みます。本法令の重要なポイントとして、外国企業が所有するオーストラリア国内の事業が、インシデントによって直接的または間接的に影響を受けた場合、利益が外国企業により支払われたとしてもこの制度の対象となることが意図されています(利益はオーストラリア企業によって提供されたものである必要はない)。
届出内容の詳細は、現在草案となっている細則に規定されます。細則は今後数ヶ月で最終決定され、2025年5月30日に開始される予定です。
なお重要インフラ資産の所有者および運営者は、本法令基づく届け出の他に、SOCI法に基づき、一定の期間内にサイバー攻撃についてAustralia Cyber Security Centreに届出することが義務付けられています。
4.おわりに
オーストラリアで事業を展開する日本企業は、今後細則の発表に注視するとともに、新しいランサムウェア届出義務に対応するため、サイバー攻撃発生時の社内手順の見直しを行うことが推奨されます。