情報漏えいと取締役の情報セキュリティ体制整備義務
情報漏えいと取締役の情報セキュリティ体制整備義務(じょうほうろうえいととりしまりやくのじょうほうせきゅりてぃたいせいせいびぎむ)とは、山岡裕明が「中央ロー・ジャーナル」第14巻第3号に連載した論文である。
概要
山岡裕明がビジネス法務に連載していた「サイバーセキュリティと企業法務」の補足となる論文である。
【山岡裕明】クロス事実追求路線【山本祥平】(魚拓) 389 :無名弁護士[]:2017/11/23(木) 00:06:07.58 ID:/whv+NV20 >>388 山岡の連載は今月号で最終回、あっさり終了してた 案外連載期間短かったな http://www.chuokeizai.co.jp/bjh/image3/201801mokuji.pdf なお、紙面の都合で触れられなかった情報セキュリティにおける役員の責任については 「中央ロー・ジャーナル」14巻3号(2017年内刊行予定)掲載予定の「情報漏えいと取締役の情報セキュリティ体制整備義務」にて解説予定とのこと 山岡先生の次回作にご期待ください
本文
I はじめに
企業の情報漏えいが騒がれて久しい。特に多いのは個人情報の漏えいである。記憶に新しいものとしては,日本年金機構や株式会社ベネッセコーポレーションにおける個人情報の漏えいが挙げられる。平成29(2017)年3月27日付株式会社商工リサーチ「上場企業の個人情報漏えい・紛失事故」調査によれば,平成24(2012)年から平成28(2016)年までの5年間で上場企業と主要子会社で個人情報の漏えい・紛失事故を公表した企業は259社,事故件数は424社にのぼっており,漏えいした可能性のある個人情報は累計で最大延べ7,545万人分に達し,単純計算で日本の人口の半分を超えている。この数は今後も増加することが容易に予想される。
平成26(2017)年6月に発生した株式会社ベネッセコーポレーション(同社及び同社のグループ会社を総称して以下「ベネッセ」という。)における情報漏えい事案では,個人情報が漏えいしたとされる顧客からベネッセに対する損害賠償請求訴訟が提起されたのに加え,ベネッセの役員6人に対して総額260億円の支払を求める株主代表訴訟が提起されている。
また,個人情報の漏えいに関する裁判例を概観すると,漏えい原因は年々複雑になっている。すなわち,当初は組織の内部者が販売目的で個人情報を持ち出すという比較的単純な事案[注 1]から,ウイルス感染に起因して個人情報が漏えいした事案[注 2],外部からリモートアクセスにより会社のサーバへ侵入して個人情報を持ち出す事案[注 3],プログラムの脆弱性を突いたSQLインジェクションという外部からのサイバー攻撃が原因で個人情報が漏えいした事案[注 4]等,個人情報漏えいの原因は複雑になってきている。
そして,企業において情報が漏えいした場合の損害の増大や情報漏えいの原因の複雑化は,個人情報だけに限られず企業の保有する情報全般に該当し得るものである。
こうした状況を踏まえると,情報漏えいは,経営層が全社的な対策を講じなければ到底対応しきれない問題,すなわち,経営レベルの問題であるといえる。
経済産業省は,平成27年12月に初めて「サイバーセキュリティ経営ガイドライン」を公表し,その中で「ビジネスを脅かすサイバー攻撃は避けられないリスクとなっている。……その防衛策には,セキュリティへの投資が必要となる。つまり,企業戦略として,……経営判断が求められる」とし,「サイバーセキュリティは経営問題」と位置付ける。
また,内閣官房サイバーセキュリティセンターも,平成28年8月2日付で「企業経営のためのサイバーセキュリティの考え方の策定について」を公表し,その中で「事業運営にはITの活用が不可欠となっていることから,サイバーセキュリティの確保は,企業の経営層が果たすべき責任の一つである」とする。
以上のとおり,情報セキュリティを含むサイバーセキュリティの確保[注 5]は,経営陣の責任であると位置付けられていることから,当該責任を怠って情報漏えいが発生した場合には,情報漏えいに起因する損害につき,取締役がその責任を問われる可能性があることはもはや否定できないところである[注 6]。
本稿では,情報セキュリティについて取締役が負う法的責任の根拠を検討する。
II 取締役の内部統制システム整備義務
1. 検討の指針
個人情報の漏えいの原因の多くは,取締役が自ら積極的に個人情報を持ち出すというよりは,内部の従業員による不正行為や外部からのサイバー攻撃が原因となって個人情報が漏えいすることがほとんどである。そうだとすると,情報漏えいの事案において取締役に法的責任があるとすれば,上記の原因に起因する情報漏えいを防止しなければならないのに,換言すれば,情報漏えいを防止する体制(以下「情報セキュリティ体制」という。)を整備しなければならないのに(作為義務の存在),その義務を怠ったこと(作為義務違反)に求めることになる。
この法的責任の構造は,不作為による任務懈怠が問題となる点で,取締役の義務の一つとして論じられてきた内部統制システムの整備義務の考え方と類似するものである。
そこで,まず本章において,取締役の内部統制システムについての学説及び裁判例を必要な限り整理するとともに,内部統制システムに関する初めての最高裁判例である日本システム技術事件[注 7]を検討する。同事件では,取締役の責任ではなく,代表取締役の不法行為による会社の責任(会社法350条)が問題となっているものの,代表取締役の不法行為責任を論じる前提として取締役の内部統制システムに係る義務違反の有無が争点となっており,その判断枠組みは,次章で検討する取締役による情報セキュリティ体制の整備義務について,一定の指針となり得ることから,本章にて検討する次第である。その上で,次章において,取締役の情報セキュリティ体制の整備義務を詳細に検討する。
2. 取締役の善管注意義務
取締役は,会社に対して善管注意義務を負うところ(会社法330条,民法644条),同義務に違反した場合,会社に対する任務懈怠責任(会社法423条)が問題となるほか,いわゆる法定責任説に立つ場合には,第三者に対する責任(会社法429条)の要件としての任務懈怠が認定される可能性がある。
任務懈怠責任(会社法423条)につき,判例[注 8]は,委任契約上の債務不履行責任(民法415条)とは異なる法定の特殊責任と解しているが,責任の成立要件については,民法415条と基本的に同様の解釈が妥当すると解されている[注 9]。そして,任務懈怠責任が発生するための要件(積極的要件)は,①取締役の任務懈怠,②会社の損害の発生,及び③任務懈怠と損害との間の相当因果関係であり,加えて④任務懈怠が取締役の責めに帰すべき事由(故意又は過失)によるものではないこと(消極的要件)が必要となる。ただし,経営判断の絡むような事務処理の内容に関する評価が問題となる善管注意義務が争われる紛争類型においては,①取締役の任務懈怠と④帰責事由の不存在の主張立証は事実上重複するとされる[注 10]。
また,取締役の第三者に対する責任(会社法429条)につき,判例[注 11]は,不法行為とは独立の法定責任とするが(法定責任説),要件の一つである任務懈怠は会社に対するものであれば足りるとされ,具体的には取締役が会社に対し法令違反を含む善管注意義務違反の行為をした場合をいう。そして,当該責任が発生するための要件は,①取締役の任務懈怠,②取締役が①につき悪意又は重過失であったこと,③会社の損害の発生,及び④任務懈怠と損害との間の相当因果関係が必要となる[注 12]。
したがって,取締役の任務懈怠責任(会社法423条)と第三者に対する責任(会社法429条)とでは,帰責事由の位置付け(請求原因又は抗弁)及びその内容(過失又は重過失)は異なるものの,会社に対する任務懈怠とそれに対する帰責事由が要求される点で,その主張立証構造は事実上かなり類似する。また,両責任において,経営判断の絡むような事務処理の内容に関する評価が問題となる善管注意義務が争われるような場合,任務懈怠の内容とそれに対する帰責事由の主張立証は事実上重複することにもなるといえる。
3. 取締役の善管注意義務としての内部統制システム整備義務
(1) 内部統制システムの具体的内容
善管注意義務の内容として,取締役は,会社が営む事業の規模,特性等に応じたいわゆる内部統制システムを整備する義務(以下「内部統制システム整備義務」という。)を負うとされている[注 13]。
ここで,内部統制システムの整備については,構築段階と機能段階に分かれるとされる[注 14]。しかし,具体的手順を厳密に検討すると,①内部統制システムに関する取締役会による「決定」→②当該決定内容に沿った内部統制システムの「構築」→③構築した内部統制システムの「機能」[注 15]の3段階に分けることができる(以下「決定」,「構築」及び「機能」の3段階を総称して便宜上「整備」と呼称する。)
そこで以下,取締役の善管注意義務の内容としての内部統制システムを整備する義務(以下「内部統制システム整備義務」という。)を,各段階に分けて検討する。
(2) 「決定」段階について
会社法は,大会社,指名委員会等設置会社及び監査等委員会設置会社並びに監査役設置会社について,内部統制システムの整備に関して取締役会(取締役会非設置会社では,取締役)での決定を義務付けている(会社法348条3項4号・同条4項・同法施行規則98条、同法362条4項6号・同条5項・同法施行規則100条、同法399条の13第1項1号ハ・同法施行規則110条の4、同法416条1項1号ホ・同法施行規則112条)。したがって,これらの会社においては,内部統制システムの整備について「決定」しなければ,法令違反として任務懈怠責任が肯定されるが,会社法348条4項等は内部統制システムの「構築」まで義務付けるわけではないため,内部統制システムを「構築」しないという内容の決定であってもよく[注 16](当該決定が会社の営む事業の規模,特性等に照らして非合理的である場合には善管注意義務違反の問題となる。),他方で,内部統制システムの「構築」を「決定」したとしても,当該「決定」の内容が非合理的であれば,これもまた善管注意義務違反の問題となる。
上記の会社以外の会社においては,348条4項等の「決定をしなければならない」旨の規定がないため,内部統制システムの整備について「決定」しなくとも法令違反とはならないが,会社の営む事業の規模,特性等に照らして,決定をしないことが非合理的であれば善管注意義務の問題となるとともに[注 17],仮に決定した場合であっても,その決定内容が会社の営む事業の規模,特性等に照らして非合理的であれば善管注意義務違反の問題となる[注 18]。
したがって,会社法は,内部統制システムの整備に係る決定の要否及び決定内容の合理性のうち,大会社,指名委員会等設置会社及び監査等委員会設置会社並びに監査役設置会社における「決定」を要求しているだけであり,それ以外の部分については,善管注意義務の問題に帰着する。ただし,実際の事案ではこの「決定」段階の任務懈怠が問題となることはほとんどなく[注 19],「構築」段階及び「機能」段階が問題となる。
(3) 「構築」段階について
内部統制システムの構築には費用が掛かる以上,その内容は費用対効果を考慮して構築する必要があり,経営上の判断が必要となる。そこで,どのような内部統制システムを構築するかについては,経営判断原則を適用し,取締役に広い裁量が認められるべきであるとされる[注 20]。
(4) 「機能」段階について
不正行為を防止するために十分な内部統制システムを構築していたが,現実には,その内部統制システムが機能していなかった場合,機能段階での問題となる。
ただし,取締役は,自己の役割分担を越えた部分については,あえて疑念を差し挟むべき特段の事情の無い限り,他の役職員がその報告どおりに職務を遂行している,すなわち内部統制システムが適切に機能していると信頼することが許されるべきであるとされる(信頼の原則)[注 21]。
4. 日本システム技術事件の検討
(1) 事案の概要
Yは,東京証券取引所(東証)第2部に上場する株式会社である。Aは同会社の設立以来代表取締役の地位にある者であり,Xは,証券会社を通じて被告の株式を取得した者である。
Yの事業部長Bが部下数名と架空売上げ計上を行っていたことが判明したので,Aがその事実を公表したところ,東証は,直ちにYの株式を上場廃止のおそれがある銘柄として管理ポストに割り当て,翌日の新聞等においてもYにおける不正経理が報じられ,Yの株価は下落した。
これを受けて,Xが,Yの代表取締役Aには内部統制システム構築義務違反があるとして,Yに対し不法行為(会社法350条)に基づく損害賠償請求をした事案である[注 22]。第一審及び原審は,取締役の同義務違反を認めたが,最高裁は,以下のとおり,取締役の内部統制システム(判決の中では「リスク管理体制」と呼称される。)を構築すべき義務違反の過失はないとした。
(2) 判旨(破棄自判)
①「本件不正行為当時,……Yは,通常想定される架空売上げの計上等の不正行為を防止し得る程度の管理体制は整えていたものということができる。」
②「本件不正行為は,……通常容易に想定し難い方法によるものであったということができる。」
③「また,本件以前に同様の手法による不正行為が行われたことがあったなど,Yの代表取締役であるAにおいて本件不正行為の発生を予見すべきであったという特別な事情も見当たらない。」
④「さらに,……売掛金債権の回収遅延につきBらが挙げていた理由は合理的なもので,販売会社との間で過去に紛争が生じたことがなく,監査法人もYの財務諸表につき適正であるとの意見を表明していたというのであるから,財務部が,Bらによる巧妙な偽装工作の結果,販売会社から適正な売掛金残高確認書を受領しているものと認識し,直接販売会社に売掛金債権の存在等を確認しなかったとしても,財務部におけるリスク管理体制が機能していなかったということはできない。」
(3) 検討
本判決は,従来の議論に沿って,内部統制システムについて構築(①及び②)と機能(④)を分けて論じている。本稿のテーマとの関係で特筆すべきは,構築段階の議論において,従業員による不正行為(及びそれに対する防止体制)を通常想定されるものと通常容易に想定し難いものとに峻別している点である。
内部統制システムの構築段階の評価にあたっては,以下のとおり二つの方法が考えられる。一つは,具体的に発生した不正行為との関係で,実際に構築された内部統制システムが十分であったか否かを評価する方法である[注 23]。この方法は,不正行為が通常想定されるものか否かの評価を伴わず,換言すれば,具体的に発生した不正行為がどのようなものであろうとも,当該不正行為を防止する上で現実に構築した内部統制システムが十分であったか否かを判断することになる。もう一つは,本判決が採用した方法である。すなわち,まず,具体的な不正行為から離れて,現実に構築した内部統制システムが通常想定される不正行為を防止し得る体制であったか否かの評価を加える。通常想定される不正行為を防止し得る体制が構築されていれば,次に具体的な不正行為が通常想定されるものか否かを認定のうえ,通常想定し難いものである場合には,それが予見可能である等特別な事情がある限りにおいて,(通常想定される不正行為を防止し得る体制を越えて)通常想定し難い不正行為を防止する体制を別途構築する義務があったか否かを検討するという方法である。
両者の違いは,取締役が,通常想定される不正行為を防止し得る体制を構築することで,善管注意義務違反を免れる余地があるか否かという点である。後者の場合,取締役が,通常想定される不正行為を防止し得る体制を構築することで原則として免責されるのに対して,前者の場合,取締役が,通常想定される不正行為を防止し得る体制を構築していたとしても,具体的に発生した不正行為との関係でそれが不十分と評価されると,善管注意義務違反となる可能性がある。
後者の方法のように不正行為と内部統制システムとを峻別する評価方法は,次章で詳述する情報漏えい事案における情報セキュリティ体制を評価する上で有用となる。すなわち,情報漏えい事案においては,加速度的な技術の進歩に伴って日々新たな情報セキュリティに対する脅威が登場する。それにもかかわらず,前者の方法のように,具体的に発生した脅威との関係で情報セキュリティ体制が十分であったか否かが評価されるとなると,取締役の責任が過大になりかねないからである。
なお,同判例は,善管注意義務の内容としての内部統制システム整備義務に係る任務懈怠と過失(特に予見可能性)とを明確に区別していないものの,これは,前述のとおり,両者に関する主張立証構造が事実上重複するためであると思料する。そうだとしても,具体的な不正行為が通常想定し難い場合に予見可能性を問題にしていることから(③),内部統制システム整備義務違反の検討においても主観的要件である予見可能性が重要となることに留意が必要である。
III 取締役の情報セキュリティ体制整備義務
1. 問題の所在
それでは,取締役は,内部統制システム整備義務の一内容として情報セキュリティ体制を整備する義務(以下「情報セキュリティ体制整備義務」という。)を負うか,また,仮に同義務を負うとして,その内容はどのようなものであるか,以下,順次検討を加える。
2. 内部統制システム整備義務と情報セキュリティ体制整備義務との関係
この点,会社法施行規則100条1項は,取締役会での決定を義務付ける内部統制システムの内容を定めるところ,情報セキュリティに関するリスクについては「損失の危険の管理に関する規程その他の体制」(同項2号)に含まれ,情報の保存と管理に関するセキュリティについては「取締役の職務の執行に係る情報の保存及び管理に関する体制」(同項1号)に含まれ,個人情報保護法等の法令が情報の安全管理を要求している場合には「使用人の職務の執行が法令及び定款に適合することを確保するための体制」(同項4号)に含まれると解される[注 24]。
そうだとすれば,情報セキュリティ体制整備義務は内部統制システム整備義務の一内容であり,取締役は善管注意義務の一内容として情報セキュリティ体制整備義務を負うものと解することができる[注 25]。
なお,情報漏えいの事案では,その原因が会社内部に留まらないという特殊性がある。すなわち,内部統制システムは,その名称に「内部」という語を含むことからも,専ら会社の内部者による不正行為を防止する体制という文脈で議論され,実際の裁判例も主に会社の内部者による不正行為が問題となってきた。これに対して,情報漏えいの事案においては,従業員による個人情報の持ち出しといった内部者の不正行為に限らず,外部からのサイバー攻撃を伴う場合も存する[注 26]。
そのため,情報漏えいの原因が内部者の不正行為に留まらない場合も含めて,取締役の内部統制システム整備義務の一内容として論じてよいかが問題となり得る。この点について,内部統制システムを,会社の業務の適正を確保するために必要な体制と定義すると(会社法362条4項6号参照),会社の業務の適正を阻害する要因は必ずしも会社内部の事情に限られないことから,内部統制システムには広く外部からのサイバー攻撃を防ぐための体制も含まれると解することができる。また,後述のとおり,情報セキュリティ体制の構築について,上記最高裁判例の判断枠組みに即して考察すれば,情報漏えいの原因が会社の内部又は外部のどちらにあるのかの問題ではなく,「通常想定される」か否かの問題に集約される。例えば,外部からのあまりに簡易な攻撃に対しても対応できない程に情報セキュリティ体制が整備されていない場合[注 27]には「通常想定される方法での情報漏えいを防止し得る程度の管理体制」を構築していなかったとして取締役の善管注意義務違反を認められることになる一方で,情報漏えいの原因のうち外部からの巧妙なサイバー攻撃が占める割合が大きい場合は,「通常想定される不正行為を防止し得る体制」が構築されていることが前提であるが,「通常想定し難い方法」として,原則として善管注意義務違反を否定すれば足りる。そうだとすれば,情報漏えい事件に対する情報セキュリティ体制整備義務についても,従来のとおり,取締役の内部統制システム整備義務の一内容として論じることができるのである。
以上のとおり,取締役は,善管注意義務の内容として内部統制システム整備義務を負い,当該義務の一内容として情報セキュリティ体制整備義務を負うと解される
そうだとすると,取締役は,情報セキュリティ体制整備義務を懈怠した結果,情報漏えい事件が発生した場合,会社に対する任務懈怠責任(会社法423条)のほか,任務懈怠につき取締役に悪意又は重過失がある場合には第三者に対する責任(会社法429条)も問題となる。
会社が保有する個人情報が漏えいした場合についていえば,当該会社の取締役は,会社に対する任務懈怠責任に加え,漏えいした個人情報に係る個人に対する責任が発生する可能性があるということである。
3. 情報セキュリティ体制整備義務の具体的内容
まず,会社としては,情報セキュリティ体制の整備について「決定」しなければならない。情報漏えい事案において企業が請求を受け得る損害額の大きさに鑑みると,大会社,指名委員会等設置会社及び監査等委員会設置会社並びに監査役設置会社はもとより,それら以外の会社においても,個人情報を保有する以上は,善管注意義務の内容として,取締役会において少なからず情報セキュリティ体制の整備について議論し,その内容を踏まえた決定を下す必要があると思料する。
次に,情報セキュリティ体制の構築が問題となるとして,それでは,どのような体制を構築すべきか。
上記の最高裁の判断枠組みに従うと,取締役としては,まずもって,①通常想定される方法での情報漏えいを防止し得る情報セキュリティ体制を構築する必要がある。次いで,②通常容易に想定し難い方法による情報漏えいの場合に,情報漏えいの発生を予見すべき特別の事情について注意をする必要がある(仮にそのような特別な事情がある場合には,次に通常想定し難い不正行為を防止する体制を別途構築する義務が問題となる。)。
なお,「通常想定される方法での情報漏えいを防止し得る情報セキュリティ体制」を検討する際に有用な視点として,内部統制システム整備義務違反を主張する場合の主張立証構造がある。原告(個人情報の漏えい事案では個人情報を漏えいさせた会社の株主又は漏えいした個人情報に係る個人)が内部統制システム整備義務違反を理由に取締役の責任を追及するためには,抽象的に内部統制システムの構築義務違反を主張するだけでは足りず[注 28],東京地判平成16年5月20日判時1871号125頁に即して言えば,「本来構築されるべき体制の具体的な内容」について具体的に主張立証をする必要がある。原告が「本来構築されるべき体制の具体的内容」を主張立証するためには,必ず何らかの根拠(法令,ガイドライン,学術論文等)に依拠するはずである。したがって,原告が「通常想定される方法での情報漏えいを防止し得る情報セキュリテイ体制」を具体的に主張立証するにあたり,どのような根拠に依拠するかを念頭に置くことは有用である。
(1) 通常想定される方法での情報漏えいの場合
取締役としては,上述のとおり,まずもって,通常想定される方法での情報漏えいを防止し得る程度の情報セキュリティ体制を構築する必要がある。
ここで,「通常想定される方法での情報漏えいを防止し得る程度の情報セキュリティ体制」の具体的内容が問題となるところ,最も重要なのは,個人情報保護法及び同法を受けたガイドライン(以下「個人情報保護法ガイドライン」という。)の規定である。相当数の実例の集積をもって法令やガイドラインが制定される以上,「通常想定される方法での情報漏えい」に対応するための内容を規定していると捉えることには一定の合理性があるといえる。個人情報保護法を具体的にみると,同法は,個人情報取扱事業者に対して,個人データの漏えい・滅失・棄損の防止その他の個人データの安全管理のために必要かつ適切な措置(以下「安全管理措置」という。)を講じなければならないとし(同法20条),その一環として,従業員に対する監督(同法21条)及び外部委託先に対する監督(同法22条)を行わなければならないとする。個人情報保護法ガイドラインは,同法の上記規定の内容をさらに詳細に具体化する。
また,これらの個人情報保護法及び個人情報保護法ガイドラインの各規定は,原告が主張立証すべき「本来構築されるべき体制の具体的な内容」を明文化したものであるとされており[注 29],原告としては,「本来構築されるべき体制の具体的な内容」を主張するにあたり,まずもって,これらの個人情報保護法及び個人情報保護法ガイドラインに依拠すると考えられる。
なお,取締役としても,法令を遵守して職務を行うことが含まれる(会社法355条)ところ,ここでいう「法令」には,会社・株主の利益保護を目的とする具体的規定だけでなく,公益の保護を目的とする規定を含むすべての法令が該当すると解されている[注 30]ので,取締役は,個人情報保護法の各規定に基づき,個人データに関する安全管理措置,従業者及び外部委託先の監督体制から成る情報セキュリティ体制を構築する義務を当然のことながら負う。また,個人情報保護法ガイドラインは,「法令」ではないものの,個人情報保護の重要性及びその時点における個人情報を保護するための技術水準を反映するものであり,私法上の注意義務の有無及び内容を導くうえで一つの重要な指針となっている[注 31]。
したがって,取締役は,「通常想定される方法での情報漏えいを防止し得る程度の情報セキュリティ体制」を構築するにあたり,個人情報保護法及び個人情報保護ガイドラインを十分に依拠すべきである。
ただし,個人情報保護法20~22条は,どのような情報セキュリティ体制を構築すべきか一義的に定めているわけではない。また同法を具体化した個人情報保護法ガイドラインは,「安全管理措置を講ずるための具体的な手法については,個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し,事業の規模及び性質,個人データの取扱状況(取り扱う個人データの性質及び量を含む。),個人データを記録した媒体の性質等に起因するリスクに応じて,必要かつ適切な内容とすべきものであるため,必ずしも次に掲げる例示の内容の全てを講じなければならないわけではなく,また,適切な手法はこれらの例示の内容に限られない」(8(別添)講ずべき安全管理措置の内容)として,情報セキュリティ上,必ずしも特定の手法を採用することを義務付けていない。この点は,内部統制システムと同様に,情報セキュリティ体制の構築においても経営判断の原則が適用され,どのような情報セキュリティ体制を構築するかについては,取締役に一定の裁量を認めるものといえるが,「通常想定される方法での情報漏えいを防止し得る程度の情報セキュリティ体制」は,取締役が免責されるために最低限構築すべき体制であるから,その裁量は制限的に解するのが妥当である[注 32]。
(2) 通常容易に想定し難い方法による情報漏えいの場合
通常容易に想定し難い方法による情報漏えいの場合には,情報漏えいの発生を予見すべき特別の事情の存在が問題となる。
通常想定し難い方法による情報漏えいの場合とは,情報セキュリティへの脅威が特殊性を有する場合といえる。そして,その場合,特殊性を有する脅威に起因する情報漏えいの発生についての予見可能性が問題となる以上,当該脅威の周知性が重要な指針となると考える[注 33]。すなわち,例えば,既存のものとは全く異なる機能を有するウイルスという脅威は,通常その周知性が乏しいといえ,周知性が乏しければ当該脅威の具体的危険を予見することは困難であるし,他方で,脅威に対する周知性が認められるのであれば,いかに特殊な脅威とはいえ,当該脅威の具体的危険を予見することは困難ではないというものである。この周知性の認定にあたっては,特殊性を有する脅威の新規性,当該脅威を周知する媒体の種類,当該脅威の出現が確認されてからの期間といった諸要素が考慮要素となる[注 34]。当該原因に周知性が認められるのであれば,取締役としては,情報漏えいの発生を予見すべき特別の事情の存在が肯定される可能性があることに注意が必要である。
IV 結びに代えて
本稿では,会社において情報漏えい事件が発生した場合,当該会社の取締役の法的責任の根拠について検討を加えた。以上の検討の目的は,情報セキュリティ体制の整備が取締役の義務であることを明確にし,かつ,その内容について指針を示すことで,同体制の整備を促し,将来の情報漏えい事件の発生を可及的に防止するためである。
残念ながら,現在のところ,情報漏えい事件において,取締役の責任が十分に論じられた事例はなく,本稿で示した一定の指針は,あくまで仮説の域を出ないものである。取締役の善管注意義務の一内容としての情報セキュリティ体制整備義務の存在,及びその具体的な内容については,今後の裁判例及び法令並びにガイドライン等の整備を待たなければならない。また,情報漏えい事件については,規範的な法解釈に加え,加速度的に進歩する情報システム及びそれに対する脅威についての技術的な理解及び分析も欠かせないという特殊性が存する。
したがって,今後は,かかる特殊性を踏まえつつ,取締役の情報セキュリティ体制整備義務について裁判例及び法規範の集積を待って,情報漏えい事件における取締役の法的責任の更なる明確化を企図する次第である。
注
- ↑ 宇治市住民基本台帳データ漏えい事件(京都地判平成13年2月23日判例地方自治265号17頁及び控訴審大阪高判平成13年12月25日判例地方自治265号11頁)。
- ↑ 北海道警察捜査情報漏えい事件(札幌地判平成17年4月28日判例地方自治268号28頁及び控訴審札幌高判平成17年11月11日判例集未登載),愛南町個人情報流出事件(山口地判平成21年6月4日自保ジャーナル1821号145頁)。
- ↑ Yahoo!BB顧客情報漏えい事件(大阪地判平成18年5月19日判時1948号122頁及び控訴審大阪高判平成19年6月21日判例集未登載)。
- ↑ unico個人情報漏えい事件(東京地判平成26年1月23日判時2221号71頁)。
- ↑ サイバーセキュリティと情報セキュリティとの関係について,山岡裕明「サイバーセキュリティと企業法務」ビジネス法務2017年10月号71頁参照。
- ↑ 個人情報の漏えい事案に係る裁判例を検討すると,いずれも企業(自治体を含む。)の法的責任(民法709条,同715条等)が問題となっており,取締役個人の責任が十分に論じられた裁判例は確認できていない。専ら企業の法的責任ばかりが追及されてきた理由については,賠償金の回収可能性や取締役個人の責任を基礎づける法的根拠が確立されていなかったのではないかと推察される。
- ↑ 最判平成21年7月9日判時2055号147頁。
- ↑ 最判平成20年1月28日民集62巻1号128頁。
- ↑ 田中亘『会社法』271頁(東京大学出版会2016)。
- ↑ 東京地方裁判所商事研究会編『類型別会社訴訟I〔第3版〕』220頁〔小川雅敏/飯畑勝之〕(判例タイムズ社2011)。
- ↑ 最大判昭和44年11月26日民集23巻11号2150頁。
- ↑ 東京地方裁判所商事研究会・前掲注10,318頁及び327頁。
- ↑ 大和銀行株主代表訴訟事件(大阪地判平成12年9月20日判時1721号3頁)。
- ↑ 野村修也「内部統制への企業の対応と責任」企会58巻5号100頁(2006)。
- ↑ 内部統制システムを構築したにもかかわらず不正行為を防止できなかった場合,構築が不十分であったのか,構築したのに機能しなかったのか,「構築」と「機能」の区別は必ずしも明確ではない。
- ↑ 大杉謙一「事例で考える会社法」法学教室360号80頁(2010)。
- ↑ 落合誠一編『会社法コンメンタール8─機関(2)』227頁〔落合誠一〕(商事法務2009)は「大会社ではない取締役設置会社であっても,その事情いかんによっては,内部統制システム構築の決定をしない場合に,そのことが,取締役の善管注意義務・忠実義務違反の問題となり得る場合があることには注意しなければならない。けだし会社の業務の適正性の確保は,取締役の会社に対する善管注意義務・忠実義務の内容をなすものであり,大会社でなくとも内部統制システムの構築がその義務として要請される場合があり得るからである。」とする。
- ↑ 名古屋高裁金沢支部判平成17年5月18日労判905号52頁は,従業員数はピーク時で正社員36名,パート社員15名の規模の会社の代表取締役につき,内部統制システム整備義務違反を理由に第三者に対する責任を肯定した。
- ↑ 大会社,指名委員会等設置会社及び監査等委員会設置会社並びに監査役設置会社ほどの会社においては,会社法の規定に違反してまで,内部統制システムについて何ら決定をしないことは想定しづらい。むしろ,決定に係る構築計画の内容がそもそも不十分であったか,決定に係る構築計画どおりに構築しなかったことが問題となり得る。また,上記の会社以外の会社においては,内部統制システムの整備について何らの決定をしていない場合,当然次の段階である構築もしていないのが通常である。したがって,内部統制システムを構築していない又は構築が不十分であることが善管注意義務との関係で中心的な問題となる中で,決定の不存在又は決定内容の不十分性はその一事情として検討されることが想定される。
- ↑ 「リスク管理体制」の構築について「経営判断」の問題であると判示する裁判例につき,ヤクルト本社事件(東京地判平成16年12月16日判時1888号3頁),ダスキン事件(大阪地判平成16年12月22日金判1214号26頁及び控訴審大阪高判平成18年6月9日判タ1214号115頁)がある。
- ↑ 落合・前掲注17,228頁は,「とくに大規模な会社においては,会社内部組織は複雑となり,それぞれの分業において業務執行をせざるを得ないし,しかもそうすることが組織にとっても合理的・効率的である。したがって他の取締役の職務執行について一定の信頼を認めないと,組織はかえって適切に機能しないこととなり,そのことはコーポレートガバナンスの目的…にも反するから,信頼の原則が肯定されることになるのである。」とする。
- ↑ 落合誠一『会社法要説 第2版』100頁(有斐閣2016)は,「本件は,会社法350条による請求であるから,代表取締役の不法行為責任の成立が問題となり,それゆえリスク管理体制の構築につき代表取締役に不法行為上の過失があるか否かが直接的争点となっている。しかしその過失が肯定されるか否かは,基本的に善管注意義務違反があるか否かと等しいものと考えられる」とする。
- ↑ 例えば,ヤクルト本社事件・前掲注20は,「本件デリバティブ取引の規模及び危険性に対応するだけの相応のリスク管理体制を構築していたというべきである」とし,具体的に発生した不正行為との関係で構築された内部統制システムが十分であったとする。
- ↑ 平成23年4月経済産業省「情報セキュリティ関連法令の要求事項集」6頁。
- ↑ 内閣官房内閣サイバーセキュリティセンター「企業経営のためのサイバーセキュリティの考え方」1頁は,情報セキュリティよりも広義の概念であるサイバーセキュリティについて「セキュリティリスクの管理も,会社法において取締役会の決議事項になっている『内部統制システム構築の基本方針』の中に含まれると考えられる」とする。
- ↑ 外部からウイルスを添付したメールを送り付け,ウイルスに感染した端末から個人情報を漏えいさせたり,個人情報が保管されている企業のサーバにインターネットを通じて侵入のうえ個人情報を取得する場合が想定されよう。
- ↑ 例えば,顧客情報が格納されたデータベースサーバに,外部から誰でもアクセスでき,かつ,パスワードも掛かっていない場合に,外部から顧客情報を盗み取られた場合が想定される。
- ↑ 永石一郎「内部統制システム構築義務と訴訟審理構造」金融法務事情1698号1頁参照。
- ↑ 大塚和成「個人情報保護法が求める安全管理措置と取締役の責任」金融法務事情1735号4頁。
- ↑ 江頭憲治郎『株式会社法 第6版』463頁(有斐閣2016)。
- ↑ TBC事件(東京地判平成19年2月8日判タ1262号270頁及び控訴審東京高判平成19年8月28日判タ1264号299頁)では,会社の情報漏えい防止義務を導くにあたり個人情報保護法ガイドラインを参照する。
- ↑ 野村・前掲注13,112頁は,「構築すべき最低水準のシステムを前提とした上で,その具体的な手段の選択…と,最低水準を超えてどこまで充実させるかという点に経営者の裁量が働くべきだろう」とする。
- ↑ 愛南町個人情報流出事件・前掲注2は,ウイルス感染による情報の漏えい事故が多発していることが周知の事実であったことを根拠に,データを安全に管理する義務があったとし,また,個人情報の漏えいも予見できたとする。
- ↑ 北海道警察捜査情報漏えい事件の控訴審判決・前掲注2は,情報漏えい事案において,脅威の新規性,周知媒体の種類,脅威の出現が確認されてからの期間を考慮要素とする。なお,脅威の周知性は,裁判例上,主に債務不履行責任(民法415条)又は不法行為責任(民法709条)における過失(特に予見可能性)に関するものであるが,内部統制システム整備義務に関する最高裁の判断枠組みには,予見可能性の検討が含まれていると解釈できるので,情報セキュリティ体制整備義務の検討の中で周知性の議論を一つの指針としても,矛盾はないものと思料する。
スキャン画像
関連項目
外部リンク
- 中央ロー・ジャーナル 第14巻 第3号(通巻53号) - 中央大学(魚拓)
- 情報漏えいと取締役の情報セキュリティ体制整備義務 - 中央大学 学術リポジトリ(魚拓)
- 情報漏えいと取締役の情報セキュリティ体制整備義務(PDFファイル) - 中央大学
脚注