情報漏えい事案に備えた情報管理措置と法的責任

情報セキュリティとリスク認識の高まり

約3500万件の顧客情報（個人情報）が業務委託先の従業員によって持ち出され、売却された大手教育・情報企業の事件。個人情報が名簿屋に流出し、半導体メーカーの元社員が不正競争防止法違反の営業秘密開示で逮捕された東芝事件。そうした情報漏洩インシデントによる企業活動へのダメージは大きい。

大手教育・情報企業の事件では、顧客への任意の補償として総額約200億円の金券（クオカード）を配布したため、会社は、約260億円の特別損失を計上し、2015年3月期決算は最終赤字に転落した。それでも不満を抱く顧客は原告団を結成し、1人あたり5万５０００円の損害賠償を請求する集団訴訟が提起された。

そんな事態を目の当たりにし、日本企業の間で情報セキュリティのリスク認識は否応なく高まっている。

情報インシデントと刑事上・民事上の責任

情報漏洩インシデントが起きると、企業（情報システムのユーザー）は次のような刑事上、民事上の責任を問われる。

• 役員責任
• 個人情報保護法上の責任
• 顧客に対する民事責任

そのうち「役員責任」の最も重要なものとしては、情報セキュリティの管理義務を負う会社法上の「内部統制構築義務」がある。役員個人の責任も問われ、その範囲は情報システムの管掌担当役員（CIO）だけでなく、財務担当役員（CFO）に及ぶこともある。

役員責任と善管注意義務

取締役は会社から経営の委任を受けたものとして「善管注意義務」を負う。善管注意義務の内容は、取締役の職務、期待される役割によって決定される。

たとえば、情報システムに精通するCIOのように、特に専門的能力を買われ取締役に選任された者は、善管注意義務で期待される注意義務の水準は高い。また、金融機関も、その保有する情報の秘匿性、機微性や、金融機関のインフラとしての公共的性格から、期待される注意義務の水準は高くなる。

なお、情報システムの管理に直接関与しないCFOなども取締役会の構成員として他の取締役に対する監督義務を負う。たとえばCIOが任務を懈怠するなど善管注意義務違反に該当する行為を行った場合、CFOなど他の取締役も監督義務違反の責任を問われうる。情報システムを直接に管掌しない取締役も「情報システムは素人だからわからない。業務にタッチしない。」ではすまされない。

善管注意義務違反の責任を負うケース

セキュリティ・リスクを認識していない

セキュリティ・リスクが存在するにもかかわらず、それを認識していない場合、善管注意義務違反の責任を負う。具体的には、以下のようなケースが該当する。

• セルフチェック（自己監査）の欠如
• 第三者チェック（他者監査）の欠如
• 同業態の事故事例の分析の欠如
• セキュリティの脅威に対する知見不足

セキュリティ・リスクを過小評価した

セキュリティ・リスクの存在を認識しているが、それを過小評価した場合も、善管注意義務違反の責任を負う。具体的には、以下のようなケースが該当する。

• 自己監査の際の過小評価（いわゆる担当者による正常化バイアス）
• 他社監査の欠如
• セキュリティの脅威に対する知見不足

適切なリスク・コントロールを懈怠した

セキュリティ・リスクの存在を認識しているが、適切なリスク・コントロールを懈怠した場合も、善管注意義務違反の責任を負う。具体的には、以下のようなケースが該当する。

• リスクに適合的な不足のない、かつ過度にわたらないシステム構築の選択肢の欠如
• セキュリティ対応策の知見不足

裁判で善管注意義務違反を回避する方法

では、善管注意義務違反となる事態を回避するにはどうすればよいか。裁判では「リスクを認識し、把握していたかどうか」「認識したリスクをいかにコントロールできていたか」が問われる。善管注意義務違反の有無の判断ポイントは結果発生の有無ではなく、経営判断に至るプロセスの正当性、合理性にある。

リスクの把握・評価

リスクの把握・評価は、情報セキュリティ体制の脆弱性についての法的側面、技術側面から把握できていたかどうかで判断される。

リスクのコントロール

リスクのコントロールは、データの暗号化、ファイアーウォールの設置、アクセス制限のような技術的な措置を導入するにとどまらず、人的管理や規程、組織体制など運用面の整備も行っていたかどうかで判断される。

裁判でのケース

たとえば、情報システムの管理を第三者のベンダーにほとんど任せきりでは、リスクを認識していないとみなされる恐れがあり、裁判官の心証は良くない。

逆に、他社の事故事例を十分認識し、自己監査も他者監査も十分に行い、かつ、リスクの把握、リスクのコントロールができていたと示すことができれば、善管注意義務違反の責任が軽減されうる。

2011年の調査では、個人情報漏えいの平均損害賠償額は1人あたり41,192円で、近年は高額化の傾向にあるため、裁判で損害金額が争われる事態になってしまえば、経済的なインパクトが極めて大きくなるリスクがあることに注意が必要である。

改正個人情報保護法の目的と内容

改正の目的

現改正の目的は大きく分けると以下の3つに絞られる。

• ビッグデータの利活用促進とグレーゾーンの明確化
• 企業活動のグローバル化への対応（パーソナルデータの域外移転規制）
• 日本の個人情報保護法の制度としての保護レベルの向上

改正案の主な内容

• 個人情報の定義の明確化（顔認識データ、会員IDなど） ※一番の目玉
• センシティブ情報（人種、信条、病歴など）の取り扱い
• 匿名加工情報（ビッグデータの取り扱い）
• 個人情報の漏洩防止策、名簿屋対策（「個人情報データベース提供罪」の新設）
• 個人情報保護委員会の新設
• 国境を超えた個人情報保護法の適用

ビッグデータの利活用については、パーソナルデータの収集に続く加工、第三者への提供の段階について改正個人情報保護法が安全管理措置、再識別の禁止などの規定を設けている。

改正個人情報保護法とグローバルサービスへの対応

グローバルに金融サービスを展開している金融機関については、個人情報の国外移転には注意が必要だ。

海外から日本への移転

個人情報を海外から日本に移転する場合、居住国の国外移転規制をクリアする必要がある。

日本から海外への移転

日本から海外への移転では、日本の改正個人情報保護法の国外移転規制をクリアする必要がある

個人情報を海外の第三者に提供する場合

個人データを「外国にある」「第三者に」「提供する」場合、次のいずれかの要件を満たす必要がある。

• 本人の同意
• 個人情報保護委員会が、個人情報保護の制度が日本と同等水準にあると認め、定めた国にある第三者に提供する
• 第三者が、個人情報保護委員会規則で定める基準に適合する情報セキュリティ体制を整備している

EUと「データ保護指令」

欧州連合（EU）では「データ保護指令」を定めており、EU域内の住民の個人情報について、アルゼンチン、カナダ、スイスなどＥＵが認めた国以外への移転を原則禁止している。現在は日本もアメリカも移転が認められた国ではない。

クラウドと個人情報

クラウドに関しては、経済産業省が「クラウド利用ガイドライン」を策定している。

まとめ

クラウドに代表されるＩＴツールの進化や、個人情報の利活用の領域の拡大に伴い、人々はより円滑に個人情報にアクセスできるようになった。しかし、技術の進化に相反して人を介したインシデントのリスクは軽減しておらず、法整備は追いついていない。情報セキュリティの重要性は高まるばかりである。

個人のセンシティブ情報（機微情報）を取り扱う金融機関にこそ、情報セキュリティの高度化が求められている。