対話から読み解く企業法務のトレンド　サイバーセキュリティを巡る諸問題

企業を取り巻くリスクのうち、最近注目を集めるサイバーセキュリテイ。企業の体制に不備があった場合、自社が損害を被るだけでなく、第三者に損害を与えたことによる損害賠償や善管注意義務違反に問われる可能性があります。
本稿はジャパン・ビジネス・アシュアランスにて企業統治・内部統制構築・上場支援などのコンサルティングを手掛ける渡辺 樹一氏とアンダーソン・毛利・友常法律事務所の西谷 敦弁護士の対話を通じて、サイバーセキュリティの潮流と企業に求められる体制を明らかにします。

サイバーセキュリティに関する法制度

渡辺氏：
近時、サイバー攻撃による会社資産や情報の窃取が問題になっています。サイバーセキュリティに関する日本の法制度について教えてください。

西谷弁護士：
わが国ではインターネットの利活用の促進による高度情報通信ネットワーク社会の形成に関する施策を迅速かつ重点的に推進することを目的として、2000年に高度情報通信ネットワーク社会形成基本法（IT基本法）が制定されました。
その後、ITの重要性がますます高まり、サイバーセキュリティに対する脅威の深刻化が強まるなか、サイバーセキュリティ基本法が2014年に制定（2016年に改正）されました。IT基本法およびサイバーセキュリティ基本法では、国・地方公共団体の責務が規定されています。

渡辺氏：
サイバーセキュリティについて、一般企業の経営者が参考とすべき指針のようなものはあるのでしょうか。

西谷弁護士：
2016年3月に経済産業省が、独立行政法人情報処理推進機構（IPA）とともに策定したサイバーセキュリティ経営ガイドラインが、1つの指針となります。
同ガイドラインには、経営者が認識すべき3原則と、セキュリティ対策上の重要10項目がまとめられています。

　3原則と重要10項目の関係については、下記経済産業省HPに掲載された図が参考になります。

企業、役員に求められる責任

渡辺氏：
企業がサイバーセキュリティ経営ガイドラインに沿った対応をとらなかった場合、企業あるいはトップマネジメント個人にはどのようなサンクション（制裁）が課されますか。

西谷弁護士：
サイバーセキュリティ経営ガイドライン自体は法規範ではありませんので、同ガイドラインに沿った対応をしなかったことをもって直接サンクションが課されるものではありません。

しかしながら、もし情報漏えいや情報システムの停止によって第三者に損害を与えたような場合には、企業のサイバーセキュリティに関する体制に不備があったとして、企業が損害賠償請求等を受けるおそれがあります。

また、取締役がサイバーセキュリティに関する体制整備を怠ったことが原因で企業に損害が発生した場合は、善管注意義務違反（会社法330条、民法644条）を理由に、任務懈怠があったとして、取締役個人が損害賠償責任（会社法423条1項）を負うおそれがあります。

渡辺氏：
企業の役員が善管注意義務違反を問われないようにするためには、サイバーセキュリティに関する体制をどこまで整える必要がありますか。

西谷弁護士：
現時点でサイバーセキュリティ体制の構築を怠ったことにより企業に損害が発生し、株主代表訴訟に発展した事例は見当たりませんが、たとえば、ベネッセグループの個人情報漏えい事案（顧客等の個人情報管理を受託した業者の従業員が、個人情報を不正取得・売却した事案）では、同グループのホールディング会社の取締役に対し、260億円の損害賠償を求める株主代表訴訟が提起されました。

同訴訟の控訴審では株主（控訴人）側の請求が棄却されましたが、そのなかで下記のとおり判示されています（下線引用者、広島高裁令和元年10月18日判決）。

「前記認定事実によれば、BHD社（引用者注：ベネッセグループのホールディング会社）及びその子会社から成るベネッセグループにおいては、事業会社経営管理規程等の各種規程が整備され、それらに基づき、人事や事業計画への関与、グループ全体のリスク評価と検討、各種報告の聴取等を通じた一定の経営管理をし、法令遵守を期していたものであるから、企業集団としての内部統制システムがひととおり構築され、その運用がされていたといえる」

「会社法は内部統制システムの在り方に関して一義的な内容を定めているものではなく、あるべき内部統制の水準は実務慣行により定まると解され、その具体的内容については当該会社ないし企業グループの事業内容や規模、経営状態等を踏まえつつ取締役がその裁量に基づいて判断すべきものと解されるところ、本件当時の国内上場企業における実務慣行に照らし、BHD社の内部統制システムの構築運用が水準を下回るものとみるべき事情等に関する主張立証はない」

上記裁判例からもうかがえるように、個人情報保護あるいはサイバーセキュリティを図るための体制の構築は、取締役の内部統制システム構築・運用義務（会社法348条3項4号等）の一部を構成するものといえます。

サイバーセキュリティ経営ガイドラインに示された上記3原則と重要10項目はサイバーセキュリティ体制に関して構築すべき内部統制システムの理念と方策のモデルの1つを具体的に示したものですので、取締役が善管注意義務違反に問われないためには、上記3原則と重要10項目を参考として、自社のサイバーセキュリティ体制を整備・チェックし、実務慣行に照らした水準を下回ることのない体制を構築することが必要となると思われます。

テレワークでも注目を集めるサイバーセキュリティ

渡辺氏：
2020年4月19日の日本経済新聞で、ビデオ会議サービス会社のシステム利用時のリモート会議室への不正侵⼊が多発したとの記事がありました。ビデオ会議システムもサイバー攻撃の対象となっていますが、どのような点に注意する必要がありますか。

西谷弁護士：
総務省が策定した「テレワークセキュリティガイドライン（第4版）」が1つの参考になります。 同ガイドラインでは、経営者が実施すべき対策とシステム管理者が実施すべき対策が記載されています。

同ガイドラインは、サイバーセキュリティ経営ガイドラインと同様、法規範ではありませんが、企業の経営者がテレワークにつき適切な対応をとらなかったためにテレワークのなかで重要な企業情報の漏えいが発生し、第三者や当該企業に損害が発生した場合には、企業あるいは役員個人の損害賠償責任が問われる可能性は否定できません。

サイバー攻撃を受けた場合の被害回復は困難なケースも

渡辺氏：
企業がサイバー攻撃を受けた場合、犯人の追跡・特定、あるいは奪われた資産の回復はどこまで可能でしょうか。

西谷弁護士：
ケース・バイ・ケースではありますが、サイバー攻撃の場合、海外のハッカーからの攻撃により、海外へ資産流出するケースも多々あります。この場合、日本の捜査機関だけでなく、海外当局の捜査協力を仰ぐ必要があり、また、技術的な面で犯人や資産の追跡が困難となるなどの事情により、被害回復がきわめて困難となります。

たとえば、2018年1月に約580億円分の仮想通貨NEMの流出が起きたコインチェック事件では、コインチェック社は、仮想通貨の送金などに使用される「秘密鍵」を、ネットに接続されたいわゆるホット・ウォレット（注：ネットから切断されたウォレットをコールド・ウォレットという）上に保管していたため、外部ハッカーにより、ネットを通じて秘密鍵を盗まれ、大量のNEMを窃取されたといわれています。

NEM財団は、技術者との連携により、流出したNEMが通ったウォレットに追跡用のモザイク（tracking mosaic）を目印として付すことにより、犯人が不正取得したNEMを別の通貨に換金できないよう、常時監視下に置くという対応をとりました。しかし、この追跡方法をもってしても、犯人側が「ダークウェブ」と呼ばれる匿名性の高いネットワーク内で、別の通貨との交換を介在させたうえで換金するなどした場合、NEMを窃取した犯人を特定し、不正取得されたNEMを取り戻すことはきわめて困難であるといわれています。

このように、サイバー攻撃については、実際に攻撃を受けた後の被害回復は困難であることが多いので、予防のための管理体制の構築が特に重要な分野であるといえます。