1. HOME
  2. 金融法務
  3. 情報漏えい事案に備えた情報管理措置と法的責任

情報漏えい事案に備えた情報管理措置と法的責任

近時、立て続けに大きな情報漏洩事件が起こっている。大手教育・情報企業、大手家電メーカー、日本年金機構の個人情報・営業機密の漏えい事件が記憶に新しい。これらの企業・組織は、情報セキュリティ、個人情報の管理で甚大な経済的な損失を受けた。情報漏洩インシデントは、企業もその役員個人も法的な責任を問われる。これらの法的責任を回避するために、金融機関はどう備えるべきなのか。改正個人情報保護法を踏まえ金融機関の対策に迫る。

情報漏えい事案に備えた情報管理措置と法的責任
  1. 情報セキュリティとリスク認識の高まり
  2. 情報インシデントと刑事上・民事上の責任
  3. 善管注意義務違反の責任を負うケース
  4. 善管注意義務違反の回避方策
  5. 改正個人情報保護法とグローバルサービスへの対応
  6. まとめ

情報セキュリティとリスク認識の高まり

約3500万件の顧客情報(個人情報)が業務委託先の従業員によって持ち出され、売却された大手教育・情報企業の事件。個人情報が名簿屋に流出し、半導体メーカーの元社員が不正競争防止法違反の営業秘密開示で逮捕された東芝事件。そうした情報漏洩インシデントによる企業活動へのダメージは大きい。

大手教育・情報企業の事件では、顧客への任意の補償として総額約200億円の金券(クオカード)を配布したため、会社は、約260億円の特別損失を計上し、2015年3月期決算は最終赤字に転落した。それでも不満を抱く顧客は原告団を結成し、1人あたり5万5000円の損害賠償を請求する集団訴訟が提起された。

そんな事態を目の当たりにし、日本企業の間で情報セキュリティのリスク認識は否応なく高まっている。

情報インシデントと刑事上・民事上の責任

情報インシデントと刑事上・民事上の責任

情報漏洩インシデントが起きると、企業(情報システムのユーザー)は次のような刑事上、民事上の責任を問われる。

  • 役員責任
  • 個人情報保護法上の責任
  • 顧客に対する民事責任

そのうち「役員責任」の最も重要なものとしては、情報セキュリティの管理義務を負う会社法上の「内部統制構築義務」がある。役員個人の責任も問われ、その範囲は情報システムの管掌担当役員(CIO)だけでなく、財務担当役員(CFO)に及ぶこともある。

役員責任と善管注意義務

取締役は会社から経営の委任を受けたものとして「善管注意義務」を負う。善管注意義務の内容は、取締役の職務、期待される役割によって決定される。

たとえば、情報システムに精通するCIOのように、特に専門的能力を買われ取締役に選任された者は、善管注意義務で期待される注意義務の水準は高い。また、金融機関も、その保有する情報の秘匿性、機微性や、金融機関のインフラとしての公共的性格から、期待される注意義務の水準は高くなる。

なお、情報システムの管理に直接関与しないCFOなども取締役会の構成員として他の取締役に対する監督義務を負う。たとえばCIOが任務を懈怠するなど善管注意義務違反に該当する行為を行った場合、CFOなど他の取締役も監督義務違反の責任を問われうる。情報システムを直接に管掌しない取締役も「情報システムは素人だからわからない。業務にタッチしない。」ではすまされない。

善管注意義務違反の責任を負うケース

善管注意義務違反の責任を負うケース

セキュリティ・リスクを認識していない

セキュリティ・リスクが存在するにもかかわらず、それを認識していない場合、善管注意義務違反の責任を負う。具体的には、以下のようなケースが該当する。

  • セルフチェック(自己監査)の欠如
  • 第三者チェック(他者監査)の欠如
  • 同業態の事故事例の分析の欠如
  • セキュリティの脅威に対する知見不足

セキュリティ・リスクを過小評価した

セキュリティ・リスクの存在を認識しているが、それを過小評価した場合も、善管注意義務違反の責任を負う。具体的には、以下のようなケースが該当する。

  • 自己監査の際の過小評価(いわゆる担当者による正常化バイアス)
  • 他社監査の欠如
  • セキュリティの脅威に対する知見不足

適切なリスク・コントロールを懈怠した

セキュリティ・リスクの存在を認識しているが、適切なリスク・コントロールを懈怠した場合も、善管注意義務違反の責任を負う。具体的には、以下のようなケースが該当する。

  • リスクに適合的な不足のない、かつ過度にわたらないシステム構築の選択肢の欠如
  • セキュリティ対応策の知見不足

裁判で善管注意義務違反を回避する方法

裁判で善管注意義務違反を回避する方法

では、善管注意義務違反となる事態を回避するにはどうすればよいか。裁判では「リスクを認識し、把握していたかどうか」「認識したリスクをいかにコントロールできていたか」が問われる。善管注意義務違反の有無の判断ポイントは結果発生の有無ではなく、経営判断に至るプロセスの正当性、合理性にある。

リスクの把握・評価

リスクの把握・評価は、情報セキュリティ体制の脆弱性についての法的側面、技術側面から把握できていたかどうかで判断される。

リスクのコントロール

リスクのコントロールは、データの暗号化、ファイアーウォールの設置、アクセス制限のような技術的な措置を導入するにとどまらず、人的管理や規程、組織体制など運用面の整備も行っていたかどうかで判断される。

裁判でのケース

たとえば、情報システムの管理を第三者のベンダーにほとんど任せきりでは、リスクを認識していないとみなされる恐れがあり、裁判官の心証は良くない。

逆に、他社の事故事例を十分認識し、自己監査も他者監査も十分に行い、かつ、リスクの把握、リスクのコントロールができていたと示すことができれば、善管注意義務違反の責任が軽減されうる。

2011年の調査では、個人情報漏えいの平均損害賠償額は1人あたり41,192円で、近年は高額化の傾向にあるため、裁判で損害金額が争われる事態になってしまえば、経済的なインパクトが極めて大きくなるリスクがあることに注意が必要である。

改正個人情報保護法の目的と内容

改正個人情報保護法の目的と内容

改正の目的

現改正の目的は大きく分けると以下の3つに絞られる。

  • ビッグデータの利活用促進とグレーゾーンの明確化
  • 企業活動のグローバル化への対応(パーソナルデータの域外移転規制)
  • 日本の個人情報保護法の制度としての保護レベルの向上

改正案の主な内容

  • 個人情報の定義の明確化(顔認識データ、会員IDなど) ※一番の目玉
  • センシティブ情報(人種、信条、病歴など)の取り扱い
  • 匿名加工情報(ビッグデータの取り扱い)
  • 個人情報の漏洩防止策、名簿屋対策(「個人情報データベース提供罪」の新設)
  • 個人情報保護委員会の新設
  • 国境を超えた個人情報保護法の適用

ビッグデータの利活用については、パーソナルデータの収集に続く加工、第三者への提供の段階について改正個人情報保護法が安全管理措置、再識別の禁止などの規定を設けている。

改正個人情報保護法とグローバルサービスへの対応

改正個人情報保護法とグローバルサービスへの対応

グローバルに金融サービスを展開している金融機関については、個人情報の国外移転には注意が必要だ。

海外から日本への移転

個人情報を海外から日本に移転する場合、居住国の国外移転規制をクリアする必要がある。

日本から海外への移転

日本から海外への移転では、日本の改正個人情報保護法の国外移転規制をクリアする必要がある

個人情報を海外の第三者に提供する場合

個人データを「外国にある」「第三者に」「提供する」場合、次のいずれかの要件を満たす必要がある。

  • 本人の同意
  • 個人情報保護委員会が、個人情報保護の制度が日本と同等水準にあると認め、定めた国にある第三者に提供する
  • 第三者が、個人情報保護委員会規則で定める基準に適合する情報セキュリティ体制を整備している

EUと「データ保護指令」

欧州連合(EU)では「データ保護指令」を定めており、EU域内の住民の個人情報について、アルゼンチン、カナダ、スイスなどEUが認めた国以外への移転を原則禁止している。現在は日本もアメリカも移転が認められた国ではない。

クラウドと個人情報

クラウドに関しては、経済産業省が「クラウド利用ガイドライン」を策定している。

まとめ

クラウドに代表されるITツールの進化や、個人情報の利活用の領域の拡大に伴い、人々はより円滑に個人情報にアクセスできるようになった。しかし、技術の進化に相反して人を介したインシデントのリスクは軽減しておらず、法整備は追いついていない。情報セキュリティの重要性は高まるばかりである。

個人のセンシティブ情報(機微情報)を取り扱う金融機関にこそ、情報セキュリティの高度化が求められている。

金融法務カテゴリのオススメの記事
金融行政方針とは?金融規制に強い弁護士がどこよりも詳しく解説

平成28年10月21日、金融庁から平成28事務年度金融行政方針が公表された。金融行政における基本方針として、金融当局・金融行政運営の変革や、金融機関のビジネスモデルの転換など、3つの変革を進めることの必要性が述べられている。本稿は、金融行政方針に関する全3回連載の第1回として、金融行政方針の全体像を説明する。

LGBTとは?13人に1人が抱える「性の多様性」の問題と企業の対応

最近、「LGBT」(性的少数者)に関する話題を耳にする機会が増えてきているが、その内容を正確に知っている人は少なく、ともすれば「自分たちとは別の世界の住人」と考えがちなのではないだろうか。しかしながら、LGBTの問題は、もっと身近な問題であり、どの企業においてもLGBTの問題に真剣に取り組まなければならない時代はすぐそこまできている。そこで本稿では、LGBTとは何か、また企業においてLGBT社員がどのような課題をかかえているのか、課題に対して、我々が何をすべきかについて解説する。

確定拠出年金(DC)とは?確定拠出年金改正の3つのポイント

2016年5月24日、確定拠出年金(DC)制度の改正法が成立した。公的年金のスリム化が進む中、私的年金として補完的な役割を担う。今回の改正では、対象拡大や利便性向上、運用改善への取り組みなど、大幅な制度の見直しが行われた。一方で、加入者に対する投資教育についての課題も残されている。確定拠出年金はどう変わるのか、読み解く。

消費者契約法とは?消費者契約法改正のポイントと金融機関の対応

平成28年5月25日に、「消費者契約法の一部を改正する法律」(以下「本改正法」という)が成立し、同年6月3日に公布された。本改正法は、一部を除き平成29年6月3日から施行されるが(附則1条本文)、金融機関をはじめとする事業者としては、今回の改正を契機として、自社の勧誘方法や契約条項の内容について、改めて総点検することが重要であろう。本稿では、本改正法のポイントと対応について説明する。

大井 哲也 弁護士 【 講師 】
TMI総合法律事務所
弁護士

大井 哲也 氏

The Finance をフォローする