「もし明日、自社がランサムウェアに感染したら、決算は止まるのか」――経理担当者がそう不安に感じるのも当然です。JIPDECの2026年調査では国内企業の45.8%が被害を経験しており、もはや特別な事象ではありません。
本記事はIT部門向けの一般論ではなく、経理部目線でランサムウェア対策を整理しました。決算・適時開示への影響、経理が今週から始める5ステップ対策、上司を動かす稟議書テンプレまで、2026年最新の事例とデータをもとに解説します。
スライド解説
結論:経理部が今すぐ取るべき5つの対策
ランサムウェア対策はIT部門の仕事という時代は終わりました。経理部が決算停止リスクをオーナーシップを持って下げるべき5つの行動を、結論から提示します。
- 会計データのバックアップ方式を棚卸す。
クラウド会計でもオフライン複製がなければ暗号化される可能性があります。 - RPO(許容データ損失時間)とRTO(許容停止時間)を経理として定義する。
決算スケジュールから逆算した数値を情シスに提示します。 - 「決算遅延・適時開示遅延」シナリオの想定文書を準備する。
プレスリリース下書き、監査人通知文、IR対応手順をテンプレ化します。 - AIを活用した異常検知・バックアップ検証を導入する。
会計仕訳の異常パターンを学習させ、感染兆候の早期検知に役立てます。 - 経営層への対策投資稟議を、経理発で提出する。
被害平均額と対策コストを比較した1枚資料を本記事末で配布します。
これらは情シスではなく経理部だからこそ提案できる視点です。詳細を順に解説します。
ランサムウェア被害の現状――2026年の経理リスク
まず2026年時点での被害状況を、経理にとって意味のある数値に絞って整理します。
国内企業の45.8%が被害経験あり
日本情報経済社会推進協会(JIPDEC)が2026年1月に約17,000人を対象に実施した調査では、回答企業1,107社のうち45.8%がランサムウェア被害を経験していました。身代金を支払った企業は20.1%、支払っても復旧できなかったケースが12.6%にのぼります(出典:JIPDEC「企業IT利活用動向調査2026」)。
従業員5,000人以上で50%、300〜999人で49%と、企業規模を問わず約半数が感染している点が経理視点で重要です。「うちは中堅だから狙われない」という前提は成立しません。
警察庁データと2025年の傾向
警察庁の統計によると、企業・団体等のランサムウェア被害報告件数は2021年146件、2022年230件、2023年197件、2024年222件で推移し、2025年上半期は116件と過去最多級です(出典:警察庁「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」)。
被害企業の約3分の2は中小企業で、対策の手薄さが狙われています。
IPAも組織脅威の第1位に
独立行政法人情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2025」では、組織における脅威の第1位が引き続き「ランサム攻撃による被害」となりました(IPA「情報セキュリティ10大脅威 2025」)。
経理データの可用性確保は2026年の経営課題の最上位に位置づけられています。
経理業務に及ぶ4つの影響――業務別マップ
ランサムウェアは経理業務のどこに、どれくらいの深さで影響するのか。業務別に整理したマップが下表です。
| 業務領域 | 主な影響 | 許容できる停止時間の目安 | 復旧の優先度 |
|---|---|---|---|
| 月次決算 | 仕訳データ・補助元帳の暗号化により締めが進まない | 3〜5営業日 | ★★★ |
| 年次決算・短信開示 | 連結消去、税効果計算の停止。短信遅延リスク | 1〜2週間 | ★★★ |
| 適時開示・有報 | 計算書類が暗号化されると延長申請が必要 | 即日(適時開示は24時間以内) | ★★★ |
| 監査対応 | 監査人への証憑提示不能、四半期レビュー停止 | 1週間 | ★★ |
| 支払・入金管理 | 振込データ作成不可、与信判断停止、取引先連鎖被害 | 2営業日 | ★★★ |
| 給与計算 | 給与計算停止は労務リスクへ直結 | 給与日まで | ★★★ |
| 税務申告 | 申告書類作成不可、ペナルティ発生の可能性 | 申告期限まで | ★★ |
| 固定資産・棚卸 | 台帳暗号化により実査結果の照合不可 | 四半期末まで | ★ |
最優先:開示義務がある業務
上場企業の経理にとって最大の論点は適時開示・有報の遅延です。
アサヒグループホールディングスは2025年12月期決算短信の開示を遅延し、アスクルは2026年5月期半期報告書の提出延長を行いました。「IT障害」ではなく「経理機能の停止」として認識される領域です。
連鎖リスク:取引先と給与
振込データが作成できないと取引先への支払いが滞り、サプライチェーン全体に影響します。給与計算停止は労務トラブルに直結するため、優先度を高く設定する必要があります。
グレーゾーン:監査・税務
監査法人への証憑提示不能は四半期レビュー意見に影響します。税務申告期限を過ぎると延滞税・加算税が発生する可能性があるため、税理士・所轄税務署への事前相談手順を平時から整備しておくべきです。
感染から復旧までの72時間タイムライン――経理部の動き
万一感染した場合、経理部は具体的に何時間で何を動かすべきか。
アサヒGHD・アスクル・ニップンの公表事例から共通パターンを抽出したのが以下のタイムラインです(あくまで一般的な目安であり、個別事案では時間軸が前後します)。
0〜24時間:初動と影響範囲特定
情シスからの連絡を受けたら、経理部は
「どの会計データが暗号化されたか」
「最新のバックアップ取得時刻はいつか」
を最優先で特定します。
決算スケジュールと照合し、影響日数を試算した報告書をCFO・社長へ提出します。同時に監査人・主要金融機関への一報を準備します。
24〜72時間:開示シナリオの起動
復旧の見込みが72時間以内に立たない場合、適時開示の準備に入ります。
短信や有報の提出が遅れる可能性があれば、東証への事前相談と適時開示文の起案を経理発で動かします。プレスリリースは情シスではなく経理・IRの連携で出すことが多く、平時の文案準備が物を言います。
1週間〜1か月:手作業運用と復旧
JIPDECの調査では約65%が1か月以内に復旧していますが、約3割は1か月以上を要しています。
復旧期間中は紙の伝票運用、表計算ソフトでの暫定仕訳作成、外部税理士法人への一部委託など、平時には想定しない運用が必要です。BCP(事業継続計画)に経理業務の縮退運用を組み込んでおくことが復旧速度を左右します。
対策レベル別の3つの選択肢
経理部が情シス・経営層に提案できる対策レベルは、投資規模で3段階に分かれます。自社の規模・リスク許容度に応じて選びます。
| 項目 | 最低レベル(守り) | 標準レベル(一般推奨) | 積極レベル(先進) |
|---|---|---|---|
| 主な対策 | オフラインバックアップ、VPNパッチ管理 | +EDR導入、復旧訓練、BCP策定 | +AI異常検知、サイバー保険、24時間SOC |
| 必要スキル | 情シス担当者+経理担当者の連携 | セキュリティ専任者、外部ベンダー | CISO設置、専門家委託 |
| 主な業務 | 月1回のバックアップ検証 | 四半期に1回の復旧訓練 | 月次の脅威ハンティング |
| 向いている企業 | 従業員300人未満、非上場 | 従業員300〜3,000人、上場準備中 | 上場企業、海外子会社あり |
| 年間投資の目安 | 50万〜200万円 | 500万〜2,000万円 | 5,000万〜数億円 |
| 最初の3か月でやること | バックアップ棚卸し、VPN更新 | EDR選定PoC、復旧訓練計画 | SOC選定、保険見積、AI製品比較 |
最低レベル:オフラインバックアップを死守する
予算が限られる場合でも、オフラインバックアップとVPN機器のパッチ管理だけは必ず実施します。
ネットワーク侵入型ランサムウェアの主な侵入経路はVPN脆弱性とフィッシングメールであり、ここを塞ぐだけで感染リスクは大幅に下がる傾向があります。
標準レベル:EDRと復旧訓練
EDR(Endpoint Detection and Response:端末上の不審な挙動を検知・対応するセキュリティ製品)の導入と、四半期ごとの復旧訓練を組み合わせるのが標準的な構えです。
上場準備中の企業や、複数拠点を持つ中堅企業はここを目指します。
積極レベル:AIとサイバー保険
大手企業や海外子会社を持つグループは、AIを活用した24時間監視(SOC)とサイバー保険の組み合わせが現実解になりつつあります。
保険は被害額の一部を補填するもので、対策の代替ではなく補完として位置づけます。
明日から始める具体的な5ステップ
抽象論ではなく、経理部員が今週から動かせる具体的な5ステップに落とし込みます。
ステップ1:会計データのバックアップ方式を棚卸す
「どの会計データが、どこに、何時間ごとにバックアップされているか」を1枚の表にまとめます。
クラウド会計サービス(freee、マネーフォワード、TKC等)を使っている場合でも、ベンダー側のバックアップとは別に、自社オフライン環境への複製があるかを確認します。
バックアップデータがネットワーク接続されたままだと、本体と一緒に暗号化される事例が報告されています。
ステップ2:RPOとRTOを経理として定義する
RPO(Recovery Point Objective:許容可能なデータ損失時間)とRTO(Recovery Time Objective:許容可能な停止時間)を、決算スケジュールから逆算して数値で定義します。
「月次決算なら3営業日以内に復旧」「短信開示前なら2時間以内」のように、業務影響に基づいた数値を情シスに提示することで、対策投資の優先順位が明確になります。
ステップ3:開示シナリオの想定文書を準備する
適時開示文・プレスリリース・監査人通知文・取引先への支払遅延案内文を、テンプレートとして平時に用意します。
アサヒGHDやアスクルなど直近事例の公表文を参考に、自社用に200〜400字でカスタマイズしておきます。有事の判断は感情を伴うため、平時の準備が品質を大きく左右します。
ステップ4:AI活用の5領域を情シスに提案する
AIは攻撃側だけでなく防御側でも有効です。経理部が情シスに提案できるAI活用領域を、想定ツール例と初期投資の目安とともに整理したのが下表です。
| AI活用領域 | 具体的な使い道 | 想定ツール例 | 初期投資の目安 |
|---|---|---|---|
| 仕訳パターンの異常検知 | 不審な大口振替・深夜仕訳の自動アラート | ChatGPT API、Claude API、会計ベンダー純正AI | 月3万〜20万円 |
| バックアップ整合性のAI検証 | 毎日の差分を自動比較し、改ざんを検出 | バックアップベンダー付属AI、自社開発スクリプト | 月5万〜30万円 |
| フィッシングメールのAI判定 | 経理宛の偽請求書・偽振込依頼を検出 | Microsoft Defender、Google Workspace、専用ゲートウェイ | 月1万〜10万円/ID |
| 復旧優先度の自動算出 | 業務影響度から復旧順序を提案 | BCPツール、生成AIによる対話型シミュレーション | 月5万〜50万円 |
| 開示文書のAI下書き生成 | 事実関係入力で適時開示文・プレスリリース初稿を自動作成 | ChatGPT、Claude、Microsoft Copilot | 月2万〜5万円/ID |
※ツール名と料金は2026年5月時点の一般的な目安です。導入前に各ベンダーの最新仕様・価格をご確認ください。
ステップ5:上司への稟議書を提出する
最後に、本記事末尾の「上司提案テンプレ」を活用して、経理発の対策投資稟議を経営層に提出します。情シス起案の稟議は「コスト」として見られがちですが、経理発であれば「決算遅延リスクの定量回避」として通りやすくなる傾向があります。
対策投資vs被害コスト――何もしないことの本当のコスト
対策投資の意思決定で最も効くのは、被害コストとの比較です。
経理視点で数値を整理します。
何もしないコスト
JIPDECの2026年調査では、被害後の原因究明等にかかった費用は約半数が100万〜5,000万円未満でしたが、「10億円以上」と回答した企業も4.3%ありました。
短信開示遅延の市場ペナルティ、株価下落、取引停止、信頼失墜まで含めると、上場企業では数十億円規模の影響に達する可能性があります。
標準的な対策投資コスト
従業員300〜3,000人の上場準備企業を想定すると、標準レベル対策(EDR、復旧訓練、BCP整備、AI異常検知の一部)の年間費用は500万〜2,000万円が目安です。
これは平均被害額の数%〜10%程度に相当し、ROIで判断すれば十分な投資です。
ROI試算の考え方
経営層への説明では「期待損失額」の概念を使うと通りやすくなります。
たとえば被害発生確率が年45.8%(JIPDEC調査)、発生時の平均影響額が3,000万円と仮定すると、期待損失額は約1,374万円/年。
これを下回る投資なら明確にペイすると論理を立てられます(あくまで仮定値であり、自社の業種・規模で再計算してください)。
よくある質問(FAQ)
Q1. 身代金は払うべきですか?
原則として支払うべきではありません。
支払ってもデータが復旧する保証はなく、JIPDECの2026年調査では支払企業の12.6%が復旧できていません。また米国OFAC(外国資産管理局)の制裁対象組織との取引とみなされるリスクもあります。法務・警察・弁護士と連携し、支払い以外の選択肢を優先します。
Q2. クラウド会計を使っていれば安全ですか?
クラウド会計サービス自体のバックアップは堅牢ですが、利用者側の端末が感染すれば、クラウド上のデータが手元PCに同期されて暗号化されるリスクがあります。
クラウド会計は「対策の一部」であり、利用者側のEDR・多要素認証・オフラインエクスポートを併用することが推奨されます。
Q3. 中小企業も狙われますか?
狙われます。
警察庁データによると2025年上半期の被害企業の約3分の2が中小企業です。攻撃者は「対策が手薄な企業」を選ぶ傾向があり、大企業のサプライチェーンに連なる中小企業ほど狙われやすいといえます。
Q4. 顧問の会計事務所に決算データを預けている場合のリスクは?
会計事務所側が感染すれば、預けたデータが暗号化・流出する可能性があります。
委託先のセキュリティ体制(バックアップ方式、ISMS認証の有無、サイバー保険加入状況)を契約時・年次で確認することが推奨されます。クラウド経由でのデータ授受であれば、自社側でもエクスポートを定期保管しておきます。
Q5. 適時開示は必要ですか?
業務に重要な影響がある場合は適時開示が必要になる可能性があります。
東証の適時開示規則では「業務遂行の過程で生じた損害」が一定規模を超える場合に開示義務が生じます。判断に迷う場合は、平時から東証および顧問弁護士に相談窓口を確保しておくことが推奨されます。個別の判断は専門家に確認してください。
まとめ:経理部が決算を止めない5つの行動
本記事の要点をあらためて整理します。
ランサムウェア対策は情シス任せにせず、経理部が決算停止リスクの主担当として動くべき領域です。
- 会計データのバックアップ方式を棚卸し、オフライン複製を確保する
- RPO・RTOを決算スケジュールから逆算して定義し、情シスに提示する
- 適時開示文・プレスリリース・監査人通知のテンプレを平時に準備する
- AI活用5領域(異常検知・バックアップ検証・フィッシング判定など)を情シスに提案する
- 経理発の稟議書で対策投資を経営層に提案する
まずは今週、自社の会計データのバックアップ方式を1枚の表にまとめることから始めてみてください。それだけで、経理部は「ランサムウェアに備えている部署」へと一歩進みます。
経理発・対策投資稟議書テンプレ
下記をWordに貼り付け、◯◯を自社情報に置き換えて使用してください。
件名:会計データ保全のためのランサムウェア対策投資について(経理部発)
1.背景
JIPDEC 2026年調査によれば、国内企業の45.8%がランサムウェア被害を経験。2025年にはアサヒGHDが12月期決算短信開示を遅延、アスクルが半期報告書提出を延長する事案が発生した。
2.自社のリスク
当社の会計データは◯◯システムで管理されており、現在のバックアップ方式は◯◯。RPO◯時間、RTO◯時間。決算期前後に感染した場合、適時開示遅延の可能性がある。
3.対策案と投資額
標準レベル対策(EDR導入+復旧訓練+BCP整備+AI異常検知):初年度◯◯万円、次年度以降◯◯万円。
4.期待効果
期待損失額(被害発生確率45.8%×想定影響額◯◯万円)と比較し、投資額は◯◯倍の費用対効果を見込む。
5.スケジュール
稟議承認後3か月以内にPoC、6か月以内に本番稼働開始。経理部・情シス共同プロジェクトとして推進。
コメント