サイバーセキュリティへの対応に不可欠である法的な視点

山田 裕貴

PwC弁護士法人 シニアマネージャー 弁護士、ニューヨーク州弁護士

2008年弁護士登録。一般的な企業法務をはじめとして、情報法制、コーポレートガバナンス、税務、M&Aおよび信託、危機管理を主な取扱分野としつつ、複数の法分野に関する経験を生かして、法分野にとらわれず、法的課題を総合的に解決することに注力している。

サイバーセキュリティは、現代のあらゆる企業が対処すべき極めて重要な課題である。企業においてサイバーセキュリティに関する検討を行う際には、技術的な側面がクローズアップされることが多いが、役員・従業員の法的な責任、法規制への対応、情報流出時の損害賠償責任といった法的な視点からの検討も欠かすことはできない。ここでは、サイバーセキュリティへの対応を検討するにあたって念頭に置くべき、基本的かつ重要である法的な視点を紹介する。

1.取締役の責務という視点(会社法上の規律)

取締役の善管注意義務と内部統制構築義務

会社の取締役は、法律上の義務として、善良な管理者の注意をもってその職務を執行する義務を負う(善管注意義務。会社法330条、民法644条)。また、取締役は、その職務の一環として、内部統制システムの基本方針を取締役会で決定し、当該基本方針に基づき、内部統制システムを構築する義務を負っている(内部統制システム構築義務。会社法362条4項6号・5項等参照)。サイバーセキュリティに関する対応は、企業にとって、競争力の源泉となり得る技術情報やノウハウ、顧客や取引先に係る情報などの安全を確保した上でこれらを有効に活用するという、経営上極めて重要な意義を有するものであることから、内部統制システムの構築にあたって検討すべき主要な要素の一つだと考えられる。個人情報の流出に係る損害に起因して株主代表訴訟が提起される事例も見られ、マネジメント層としては、自らの責任が問われ得ることを前提としてその責務と向き合うことが必要となる。

法的な義務違反の有無に関する判断

最低限の問題として、どの程度の対応を行えば法的には義務違反がなかったと評価されるのであろうか。この点については、事業の性質や保有する情報の質および量などの個別具体的な事情を踏まえつつ、問題となった行為が発生した時点において通常の企業の経営者であれば実施していたはずの対策が実施されていたかという、極めて当然の視点が重要となる。裁判所が判断する際の拠りどころとしては、まずは公的な機関から公表されているガイドライン等※1において推奨されている対策が参照されることになるであろう。

規制への対応と取締役の義務

近時においては、GDPRをはじめとする国内外のデータ保護規制への対応に関する費用や手間の負担に悩む企業も多いであろう。各企業が規制への対応方針を決定する際の出発点として、相当の費用や手間を要するとしても、会社法上、取締役には法令(外国の法令を含む)に違反する態様で事業を行う裁量は与えられていないことを改めて確認しなければならない。一般に、取締役の経営判断については取締役の裁量を尊重する「経営判断の原則」に基づき、損害賠償責任を負うのは限定的な場合とされている。しかし、取締役が国内外の法令に違反する態様で業務執行を行った場合、基本的には、任務懈怠があるとされ、これにより会社に生じた損害について損害賠償責任を負うものと考えられている※2

2.インシデント発生時に企業に生じる第三者への損害賠償責任という視点

サイバーセキュリティへの具体的な対応や投資を検討する際には、費用対効果の観点からインシデントが発生した場合にどの程度の損害(業務への影響、レピュテーションへの影響、インシデントへの対応費用など)が発生し得るのかを考慮することが有用となるであろう。また、法的な視点からは、損害賠償責任・制裁金の負担が重要な論点となり得る。

個人情報の流出に関して生じ得る法的な責任(個人への民事賠償責任)

インシデント発生時に企業が負担し得る損害賠償責任の典型的な例として、個人情報が流出した場合における個人に対する損害賠償責任が挙げられる。これまでの日本の裁判例においては、個人情報の流出に関する不安感などを理由とした慰謝料の請求が認められた事例においても、その賠償額は一人あたり数千円から数万円前後である※3。しかし、最近では日本でも原告団を組成して訴訟を提起する事例が見られ、流出する個人情報の質および量によっては損害賠償の総額は高額になり得る。また、外国においては賠償額が日本におけるものよりも多額になる可能性があるという点も忘れてはならない。

当局が課し得る制裁金やペナルティ

このような個人に対する損害賠償に加えて、規制当局から課される制裁金についても留意する必要がある。日本の個人情報保護法は、その違反について直ちに罰金などが科される仕組みとなってはいない。もっとも、海外に目を向けると、EUのGDPRに違反した場合は最大で2,000万ユーロまたは企業の年間の全世界売上高の4%のうちいずれか高い方の制裁金が科され得る(GDPR 83条)。また、米国においても個人情報の保護を直接の目的とする統一的な法令は存在しないものの、連邦取引委員会(FTC)が、個人情報の取扱いについて適切な開示をしていない企業などに対して、FTC法5条などに基づき不公正または欺瞞的な取引に該当することなどを理由として、行為の差止めや金銭的なペナルティの支払いなどを求めている※4

その他の情報資産の流出や消滅などに伴う損害賠償責任

上記のような個人情報の流出事案に限らず、ある企業の故意または過失に基づくインシデントの発生によって他者に損害が発生した場合には、契約上または不法行為上の責任として損害賠償責任を負い得る。すでに述べた個人情報の流出事案においては、主として精神的な損害という算定しにくい損害が賠償の対象とされている。他方で、(i)顧客・取引先の預り資産が流出した場合、(ii)顧客・取引先の情報を消滅させた場合、(iii)提供するシステムの可用性を維持できなかった場合などは、数値化することに親和性があり、かつ多額に及び得る財産的な損害を賠償する責任を負い得る。日本法のもとでの損害賠償の額は一般論として、(1)過失に基づく行為がなかったと仮定した場合における財産の状況と(2)過失に基づく行為の後における財産の状況の差額として認識されることとなるため、例えば流出した資産の経済的価値そのものや失われた利益が、損害賠償の額として認識されることとなり得る。法的な視点からは、取引から見込まれる利益と自らが契約上負担するリスクが見合っているか、逆に契約の相手方に契約上適切な損害の負担を求めているかなど、契約上のリスクアロケーションが重要な論点となる。

3.人事・労務に関する視点

最後に、法的に重要なもう一つの視点として、従業員との法律関係を適切に整理しておくという点が挙げられる。「サイバーセキュリティ」というと、クラッカーなどの第三者による侵害行為をいかに防ぐかというイメージが強いが、現実に発生した情報流出事案の原因の多くは、従業員の不注意(誤操作など)といった、内部に原因が求められるものが多いといわれている※5。労働法規を踏まえつつ、就業規則等に秘密保持義務や懲戒の根拠規定などを適切に盛り込むこと、入社時・退職時に秘密保持に関する誓約書を徴求すること、データ保護に関する法令に関する教育を行うことなどの基礎的な対応は、サイバーセキュリティのみならず、有事における従業員との紛争に対処するという観点からも重要である。

※1 このようなものの一例として、経営層が参照することを想定して経済産業省・独立行政法人情報処理推進機構から公表された「サイバーセキュリティ経営ガイドライン Ver 2.0」が挙げられる。

※2 例えば、最判平成12年7月7日民集54巻6号1767頁参照。

※3 例えば、大阪高判平成13年12月25日判例地方自治265号11頁、東京高判平成19年8月28日判タ1264号299頁など参照。

※4 例えば、2017年におけるFTCによる法執行の状況について、FTC『Privacy & Data Security Update: 2017』[English]参照。

※5 具体的なデータについては、例えば、個人情報保護委員会『平成28年度個人情報の保護に関する法律施行状況の概要』19頁や、特定非営利活動法人日本ネットワークセキュリティ協会『2017年情報セキュリティインシデントに関する調査報告書【速報版】』参照。