見出し画像

サイバーセキュリティと取締役の責任

サイバーセキュリティーとインシデント


サイバー攻撃は年々複雑化・巧妙化しており、あらゆる企業がいつ被害の対象となってもおかしくない状況になっています。 多くの顧客情報や機密情報を扱う企業にとっては非常に深刻な問題です。その中でも特にサイバー攻撃対策が遅れていると思われるのが日本の中小企業です。大企業ほどサイバー攻撃対策にお金と時間をかけられない分、 セキュリティー対策が不十分なままとなっている企業も多いのではないでしょうか。 私がこれまで 仕事で関わってきた企業では、大企業においては経営の問題としてこれを位置づけ対策を取り始めていますが、 中小企業やベンチャー企業においては経営陣がセキュリティー対策に明るくなく、適切なセキュリティー担当者も置いていない会社もあります。 サイバーセキュリティーのインシデントは「起きるか起きないかではなく、いつ起きるかの問題だ」と言われていますので、ぜひとも対策を十分にとっていない経営者はしっかりとセキュリティー対策と向き合ってほしいと思います。

サイバーセキュリティとは?


サイバーセキュリティ基本法(平成二十六年法律第百四号)においても「情報の自由な流通を確保しつつ、サイバーセキュリティの確保を図ることが喫緊の課題となっている」とされています。では、サイバーセキュリティとは、何でしょうか?この法律では、「電子的方式・・・により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置が講じられ、その状態が適切に維持管理されていること」とされています。難しく書かれていますが、要するに、「データとシステムとネットワークの安全確保のための措置が維持管理されていること」といえます。

このようにサイバーセキュリティーと言うのは非常に広い概念ですが、サイバーセキュリティーに関するインシデントは外部からのサイバー攻撃によるものだけではありません。 組織内の者の故意又は過失によるインシデントも多いのです。

組織内の者の故意によるインシデント


組織内の者の故意によるインシデントには、 従業員による顧客情報の情報持ち出し、 転職先の競合企業への営業秘密にあたる情報の持ち出しなどがあります。 従業員が退職する場合には情報の持ち出しのリスクが高まりますので、注意する必要があります。

組織内の者の過失によるインシデント


組織内の者による過失によるインシデントには、メール誤送信により添付ファイルに含まれていた大量の顧客情報が意図せぬものに流出してしまう場合、 社内のITシステム担当者の設定ミス により本来社内に留めておくべき情報を外部に公開してしまった場合などがあります。

外部の攻撃によるインシデント


外部の者による攻撃によるインシデントには、ランサムウェアに感染することでデータが暗号化されてしまい復元するために身代金を要求される事態や、DDoS攻撃に悪用されることでウェブサイトへのアクセス障害が引き起こされるといった事態などがあります。

インシデントの発生による被害と責任

会社の責任


このようなインシデントが起きますと、 会社が秘密として保護していた情報の価値が大きく下がったり、 大量の個人情報がインターネット上に公開されてしまったり、 二次的な風評被害が生じたりと様々な被害が発生します。
そして、情報の漏洩、破壊、システムの停止などにより第三者に損害を与えた場合には、損害賠償請求を受けるおそれがあります。 例えば個人情報を漏洩された本人からはプライバシー権の侵害を理由として損害賠償請求される可能性がありますし、情報システムの停止によってサービスの提供が受けられなかったもの による損害賠償の請求がされる場合もあります。 インシデントの発生が会社の従業員の故意や過失によるものであっても、 基本的には使用者責任(民法715条)により会社が損害賠償責任を負うことになります。
サイバー攻撃の場合は、本来的には攻撃をした加害者が責任を負うべきですが、攻撃を受けた会社も被害者なのですが、実際には攻撃者がつき止めて責任を取らせる事ができるケースはほとんどありません。

取締役の義務と法的責任


大会社等の取締役は内部統制システム構築義務があります(会社法348条3項4号、4項、362条4項6号、5項等)。 そして、その内部統制システムとして業務の適正を確保するために必要な体制の中にはサイバーセキュリティーを確保するための体制も含まれます。 従いまして会社の経営者である取締役がサイバーセキュリティーリスクの管理体制を構築すること、インシデントの発生に備えた体制の構築をする事がその責務としてあると言えるでしょう。 具体的には、個人情報保護法・不正競争防止法などの法令の遵守、サイバーセキュリティーに備えた安全管理措置を実施すること、インシデント発生に備えた情報の毀損の防止のための体制を作ることが必要といえます。

この内部統制システムと言うのは、一律のレベルのものを要求するものではなく裁判例では「会社が営む事業の規模、特性等に応じたリスク管理体制」と定義されており、その水準は会社によって異なってくるものです。 そこで内部統制システムが会社の規模や事業内容に照らして不十分であったと言う場合にはその体制の決定に関与した取締役は善管注意義務違反に基づく任務懈怠責任を問われる可能性があります。すなわち、株主代表訴訟を通じて損害賠償請求が起こされる可能性があるのです。 もし、取締役がその職務を行うについて悪意又は重過失があったときはそれにより第三者に生じた損害についても損害賠償責任を負う可能性があります。
会社の経営者は、サイバーセキュリティーのIT担当者任せにせず経営の重要な課題として位置づけ対策をとることが求められているといえます。

それでは、また。

いいなと思ったら応援しよう!