1. HOME
  2. 金融法務
  3. 情報漏えい事案に備えた情報管理措置と法的責任

情報漏えい事案に備えた情報管理措置と法的責任

近時、立て続けに大きな情報漏洩事件が起こっている。大手教育・情報企業、大手家電メーカー、日本年金機構の個人情報・営業機密の漏えい事件が記憶に新しい。これらの企業・組織は、情報セキュリティ、個人情報の管理で甚大な経済的な損失を受けた。情報漏洩インシデントは、企業もその役員個人も法的な責任を問われる。これらの法的責任を回避するために、金融機関はどう備えるべきなのか。改正個人情報保護法を踏まえ金融機関の対策に迫る。

情報漏えい事案に備えた情報管理措置と法的責任
  1. 情報セキュリティとリスク認識の高まり
  2. 情報インシデントと刑事上・民事上の責任
  3. 善管注意義務違反の責任を負うケース
  4. 善管注意義務違反の回避方策
  5. 改正個人情報保護法とグローバルサービスへの対応
  6. まとめ

情報セキュリティとリスク認識の高まり

約3500万件の顧客情報(個人情報)が業務委託先の従業員によって持ち出され、売却された大手教育・情報企業の事件。個人情報が名簿屋に流出し、半導体メーカーの元社員が不正競争防止法違反の営業秘密開示で逮捕された東芝事件。そうした情報漏洩インシデントによる企業活動へのダメージは大きい。

大手教育・情報企業の事件では、顧客への任意の補償として総額約200億円の金券(クオカード)を配布したため、会社は、約260億円の特別損失を計上し、2015年3月期決算は最終赤字に転落した。それでも不満を抱く顧客は原告団を結成し、1人あたり5万5000円の損害賠償を請求する集団訴訟が提起された。

そんな事態を目の当たりにし、日本企業の間で情報セキュリティのリスク認識は否応なく高まっている。

情報インシデントと刑事上・民事上の責任

情報インシデントと刑事上・民事上の責任

情報漏洩インシデントが起きると、企業(情報システムのユーザー)は次のような刑事上、民事上の責任を問われる。

  • 役員責任
  • 個人情報保護法上の責任
  • 顧客に対する民事責任

そのうち「役員責任」の最も重要なものとしては、情報セキュリティの管理義務を負う会社法上の「内部統制構築義務」がある。役員個人の責任も問われ、その範囲は情報システムの管掌担当役員(CIO)だけでなく、財務担当役員(CFO)に及ぶこともある。

役員責任と善管注意義務

取締役は会社から経営の委任を受けたものとして「善管注意義務」を負う。善管注意義務の内容は、取締役の職務、期待される役割によって決定される。

たとえば、情報システムに精通するCIOのように、特に専門的能力を買われ取締役に選任された者は、善管注意義務で期待される注意義務の水準は高い。また、金融機関も、その保有する情報の秘匿性、機微性や、金融機関のインフラとしての公共的性格から、期待される注意義務の水準は高くなる。

なお、情報システムの管理に直接関与しないCFOなども取締役会の構成員として他の取締役に対する監督義務を負う。たとえばCIOが任務を懈怠するなど善管注意義務違反に該当する行為を行った場合、CFOなど他の取締役も監督義務違反の責任を問われうる。情報システムを直接に管掌しない取締役も「情報システムは素人だからわからない。業務にタッチしない。」ではすまされない。

善管注意義務違反の責任を負うケース

善管注意義務違反の責任を負うケース

セキュリティ・リスクを認識していない

セキュリティ・リスクが存在するにもかかわらず、それを認識していない場合、善管注意義務違反の責任を負う。具体的には、以下のようなケースが該当する。

  • セルフチェック(自己監査)の欠如
  • 第三者チェック(他者監査)の欠如
  • 同業態の事故事例の分析の欠如
  • セキュリティの脅威に対する知見不足

セキュリティ・リスクを過小評価した

セキュリティ・リスクの存在を認識しているが、それを過小評価した場合も、善管注意義務違反の責任を負う。具体的には、以下のようなケースが該当する。

  • 自己監査の際の過小評価(いわゆる担当者による正常化バイアス)
  • 他社監査の欠如
  • セキュリティの脅威に対する知見不足

適切なリスク・コントロールを懈怠した

セキュリティ・リスクの存在を認識しているが、適切なリスク・コントロールを懈怠した場合も、善管注意義務違反の責任を負う。具体的には、以下のようなケースが該当する。

  • リスクに適合的な不足のない、かつ過度にわたらないシステム構築の選択肢の欠如
  • セキュリティ対応策の知見不足

裁判で善管注意義務違反を回避する方法

裁判で善管注意義務違反を回避する方法

では、善管注意義務違反となる事態を回避するにはどうすればよいか。裁判では「リスクを認識し、把握していたかどうか」「認識したリスクをいかにコントロールできていたか」が問われる。善管注意義務違反の有無の判断ポイントは結果発生の有無ではなく、経営判断に至るプロセスの正当性、合理性にある。

リスクの把握・評価

リスクの把握・評価は、情報セキュリティ体制の脆弱性についての法的側面、技術側面から把握できていたかどうかで判断される。

リスクのコントロール

リスクのコントロールは、データの暗号化、ファイアーウォールの設置、アクセス制限のような技術的な措置を導入するにとどまらず、人的管理や規程、組織体制など運用面の整備も行っていたかどうかで判断される。

裁判でのケース

たとえば、情報システムの管理を第三者のベンダーにほとんど任せきりでは、リスクを認識していないとみなされる恐れがあり、裁判官の心証は良くない。

逆に、他社の事故事例を十分認識し、自己監査も他者監査も十分に行い、かつ、リスクの把握、リスクのコントロールができていたと示すことができれば、善管注意義務違反の責任が軽減されうる。

2011年の調査では、個人情報漏えいの平均損害賠償額は1人あたり41,192円で、近年は高額化の傾向にあるため、裁判で損害金額が争われる事態になってしまえば、経済的なインパクトが極めて大きくなるリスクがあることに注意が必要である。

改正個人情報保護法の目的と内容

改正個人情報保護法の目的と内容

改正の目的

現改正の目的は大きく分けると以下の3つに絞られる。

  • ビッグデータの利活用促進とグレーゾーンの明確化
  • 企業活動のグローバル化への対応(パーソナルデータの域外移転規制)
  • 日本の個人情報保護法の制度としての保護レベルの向上

改正案の主な内容

  • 個人情報の定義の明確化(顔認識データ、会員IDなど) ※一番の目玉
  • センシティブ情報(人種、信条、病歴など)の取り扱い
  • 匿名加工情報(ビッグデータの取り扱い)
  • 個人情報の漏洩防止策、名簿屋対策(「個人情報データベース提供罪」の新設)
  • 個人情報保護委員会の新設
  • 国境を超えた個人情報保護法の適用

ビッグデータの利活用については、パーソナルデータの収集に続く加工、第三者への提供の段階について改正個人情報保護法が安全管理措置、再識別の禁止などの規定を設けている。

改正個人情報保護法とグローバルサービスへの対応

改正個人情報保護法とグローバルサービスへの対応

グローバルに金融サービスを展開している金融機関については、個人情報の国外移転には注意が必要だ。

海外から日本への移転

個人情報を海外から日本に移転する場合、居住国の国外移転規制をクリアする必要がある。

日本から海外への移転

日本から海外への移転では、日本の改正個人情報保護法の国外移転規制をクリアする必要がある

個人情報を海外の第三者に提供する場合

個人データを「外国にある」「第三者に」「提供する」場合、次のいずれかの要件を満たす必要がある。

  • 本人の同意
  • 個人情報保護委員会が、個人情報保護の制度が日本と同等水準にあると認め、定めた国にある第三者に提供する
  • 第三者が、個人情報保護委員会規則で定める基準に適合する情報セキュリティ体制を整備している

EUと「データ保護指令」

欧州連合(EU)では「データ保護指令」を定めており、EU域内の住民の個人情報について、アルゼンチン、カナダ、スイスなどEUが認めた国以外への移転を原則禁止している。現在は日本もアメリカも移転が認められた国ではない。

クラウドと個人情報

クラウドに関しては、経済産業省が「クラウド利用ガイドライン」を策定している。

まとめ

クラウドに代表されるITツールの進化や、個人情報の利活用の領域の拡大に伴い、人々はより円滑に個人情報にアクセスできるようになった。しかし、技術の進化に相反して人を介したインシデントのリスクは軽減しておらず、法整備は追いついていない。情報セキュリティの重要性は高まるばかりである。

個人のセンシティブ情報(機微情報)を取り扱う金融機関にこそ、情報セキュリティの高度化が求められている。

金融法務カテゴリのオススメの記事
第三者委員会とは? 意義、目的、活動内容を総解説

「第三者委員会」というワードを耳にする機会が増えた。第三者委員会は法令によって設置が義務付けられているものではなく、企業が任意に設置しているものである。ではその調査報告は信用できるものなのだろうか。第三者委員会の意義や目的、活動、構成委員、必要性などについて、わかりやすく解説する。

【連載】債権法改正と金融実務~債務引受に関する規定の新設

現行民法には条文がなかった「債務引受」に関する規定が、債権法改正で新設された。債務引受には、併存的債務引受と免責的債務引受の2つのタイプがあり、それぞれを正しく理解する必要がある。本稿は、債権法に関する連載の第6回として、債務引受について弁護士が詳しく解説する。

【対談】サンドボックスとRegTechで変わる金融サービス

2018年6月施行の生産性向上特別措置法によって「規制のサンドボックス制度」が本格始動した。RegTechに貢献するスキームと期待を集める同制度の概要と見通し、金融サービスに与える影響などについて、内閣官房 日本経済再生総合事務局 参事官の中原裕彦氏と、EY新日本有限責任監査法人 金融事業部 パートナーの小川恵子氏が語り合った。

カジノ法案(IR整備法)成立!カジノ事業の規制を弁護士が解説

IR推進法の成立から約1年半、2018年7月20日にIR整備法が成立した。早ければ2024年頃には最初のIR施設が開業する。依存症やマネーロンダリング等への対策から、カジノ事業には様々な規制が課されるため、その理解は容易ではない。本稿は、カジノ事業の規制を中心に、カジノ法案(IR整備法)について弁護士が総解説する。

大井 哲也 弁護士 【 講師 】
TMI総合法律事務所
弁護士

大井 哲也 氏

The Finance をフォローする