1. HOME
  2. 金融法務
  3. 情報漏えい事案に備えた情報管理措置と法的責任

情報漏えい事案に備えた情報管理措置と法的責任

近時、立て続けに大きな情報漏洩事件が起こっている。大手教育・情報企業、大手家電メーカー、日本年金機構の個人情報・営業機密の漏えい事件が記憶に新しい。これらの企業・組織は、情報セキュリティ、個人情報の管理で甚大な経済的な損失を受けた。情報漏洩インシデントは、企業もその役員個人も法的な責任を問われる。これらの法的責任を回避するために、金融機関はどう備えるべきなのか。改正個人情報保護法を踏まえ金融機関の対策に迫る。

情報漏えい事案に備えた情報管理措置と法的責任
  1. 情報セキュリティとリスク認識の高まり
  2. 情報インシデントと刑事上・民事上の責任
  3. 善管注意義務違反の責任を負うケース
  4. 善管注意義務違反の回避方策
  5. 改正個人情報保護法とグローバルサービスへの対応
  6. まとめ

情報セキュリティとリスク認識の高まり

約3500万件の顧客情報(個人情報)が業務委託先の従業員によって持ち出され、売却された大手教育・情報企業の事件。個人情報が名簿屋に流出し、半導体メーカーの元社員が不正競争防止法違反の営業秘密開示で逮捕された東芝事件。そうした情報漏洩インシデントによる企業活動へのダメージは大きい。

大手教育・情報企業の事件では、顧客への任意の補償として総額約200億円の金券(クオカード)を配布したため、会社は、約260億円の特別損失を計上し、2015年3月期決算は最終赤字に転落した。それでも不満を抱く顧客は原告団を結成し、1人あたり5万5000円の損害賠償を請求する集団訴訟が提起された。

そんな事態を目の当たりにし、日本企業の間で情報セキュリティのリスク認識は否応なく高まっている。

情報インシデントと刑事上・民事上の責任

情報インシデントと刑事上・民事上の責任

情報漏洩インシデントが起きると、企業(情報システムのユーザー)は次のような刑事上、民事上の責任を問われる。

  • 役員責任
  • 個人情報保護法上の責任
  • 顧客に対する民事責任

そのうち「役員責任」の最も重要なものとしては、情報セキュリティの管理義務を負う会社法上の「内部統制構築義務」がある。役員個人の責任も問われ、その範囲は情報システムの管掌担当役員(CIO)だけでなく、財務担当役員(CFO)に及ぶこともある。

役員責任と善管注意義務

取締役は会社から経営の委任を受けたものとして「善管注意義務」を負う。善管注意義務の内容は、取締役の職務、期待される役割によって決定される。

たとえば、情報システムに精通するCIOのように、特に専門的能力を買われ取締役に選任された者は、善管注意義務で期待される注意義務の水準は高い。また、金融機関も、その保有する情報の秘匿性、機微性や、金融機関のインフラとしての公共的性格から、期待される注意義務の水準は高くなる。

なお、情報システムの管理に直接関与しないCFOなども取締役会の構成員として他の取締役に対する監督義務を負う。たとえばCIOが任務を懈怠するなど善管注意義務違反に該当する行為を行った場合、CFOなど他の取締役も監督義務違反の責任を問われうる。情報システムを直接に管掌しない取締役も「情報システムは素人だからわからない。業務にタッチしない。」ではすまされない。

善管注意義務違反の責任を負うケース

善管注意義務違反の責任を負うケース

セキュリティ・リスクを認識していない

セキュリティ・リスクが存在するにもかかわらず、それを認識していない場合、善管注意義務違反の責任を負う。具体的には、以下のようなケースが該当する。

  • セルフチェック(自己監査)の欠如
  • 第三者チェック(他者監査)の欠如
  • 同業態の事故事例の分析の欠如
  • セキュリティの脅威に対する知見不足

セキュリティ・リスクを過小評価した

セキュリティ・リスクの存在を認識しているが、それを過小評価した場合も、善管注意義務違反の責任を負う。具体的には、以下のようなケースが該当する。

  • 自己監査の際の過小評価(いわゆる担当者による正常化バイアス)
  • 他社監査の欠如
  • セキュリティの脅威に対する知見不足

適切なリスク・コントロールを懈怠した

セキュリティ・リスクの存在を認識しているが、適切なリスク・コントロールを懈怠した場合も、善管注意義務違反の責任を負う。具体的には、以下のようなケースが該当する。

  • リスクに適合的な不足のない、かつ過度にわたらないシステム構築の選択肢の欠如
  • セキュリティ対応策の知見不足

裁判で善管注意義務違反を回避する方法

裁判で善管注意義務違反を回避する方法

では、善管注意義務違反となる事態を回避するにはどうすればよいか。裁判では「リスクを認識し、把握していたかどうか」「認識したリスクをいかにコントロールできていたか」が問われる。善管注意義務違反の有無の判断ポイントは結果発生の有無ではなく、経営判断に至るプロセスの正当性、合理性にある。

リスクの把握・評価

リスクの把握・評価は、情報セキュリティ体制の脆弱性についての法的側面、技術側面から把握できていたかどうかで判断される。

リスクのコントロール

リスクのコントロールは、データの暗号化、ファイアーウォールの設置、アクセス制限のような技術的な措置を導入するにとどまらず、人的管理や規程、組織体制など運用面の整備も行っていたかどうかで判断される。

裁判でのケース

たとえば、情報システムの管理を第三者のベンダーにほとんど任せきりでは、リスクを認識していないとみなされる恐れがあり、裁判官の心証は良くない。

逆に、他社の事故事例を十分認識し、自己監査も他者監査も十分に行い、かつ、リスクの把握、リスクのコントロールができていたと示すことができれば、善管注意義務違反の責任が軽減されうる。

2011年の調査では、個人情報漏えいの平均損害賠償額は1人あたり41,192円で、近年は高額化の傾向にあるため、裁判で損害金額が争われる事態になってしまえば、経済的なインパクトが極めて大きくなるリスクがあることに注意が必要である。

改正個人情報保護法の目的と内容

改正個人情報保護法の目的と内容

改正の目的

現改正の目的は大きく分けると以下の3つに絞られる。

  • ビッグデータの利活用促進とグレーゾーンの明確化
  • 企業活動のグローバル化への対応(パーソナルデータの域外移転規制)
  • 日本の個人情報保護法の制度としての保護レベルの向上

改正案の主な内容

  • 個人情報の定義の明確化(顔認識データ、会員IDなど) ※一番の目玉
  • センシティブ情報(人種、信条、病歴など)の取り扱い
  • 匿名加工情報(ビッグデータの取り扱い)
  • 個人情報の漏洩防止策、名簿屋対策(「個人情報データベース提供罪」の新設)
  • 個人情報保護委員会の新設
  • 国境を超えた個人情報保護法の適用

ビッグデータの利活用については、パーソナルデータの収集に続く加工、第三者への提供の段階について改正個人情報保護法が安全管理措置、再識別の禁止などの規定を設けている。

改正個人情報保護法とグローバルサービスへの対応

改正個人情報保護法とグローバルサービスへの対応

グローバルに金融サービスを展開している金融機関については、個人情報の国外移転には注意が必要だ。

海外から日本への移転

個人情報を海外から日本に移転する場合、居住国の国外移転規制をクリアする必要がある。

日本から海外への移転

日本から海外への移転では、日本の改正個人情報保護法の国外移転規制をクリアする必要がある

個人情報を海外の第三者に提供する場合

個人データを「外国にある」「第三者に」「提供する」場合、次のいずれかの要件を満たす必要がある。

  • 本人の同意
  • 個人情報保護委員会が、個人情報保護の制度が日本と同等水準にあると認め、定めた国にある第三者に提供する
  • 第三者が、個人情報保護委員会規則で定める基準に適合する情報セキュリティ体制を整備している

EUと「データ保護指令」

欧州連合(EU)では「データ保護指令」を定めており、EU域内の住民の個人情報について、アルゼンチン、カナダ、スイスなどEUが認めた国以外への移転を原則禁止している。現在は日本もアメリカも移転が認められた国ではない。

クラウドと個人情報

クラウドに関しては、経済産業省が「クラウド利用ガイドライン」を策定している。

まとめ

クラウドに代表されるITツールの進化や、個人情報の利活用の領域の拡大に伴い、人々はより円滑に個人情報にアクセスできるようになった。しかし、技術の進化に相反して人を介したインシデントのリスクは軽減しておらず、法整備は追いついていない。情報セキュリティの重要性は高まるばかりである。

個人のセンシティブ情報(機微情報)を取り扱う金融機関にこそ、情報セキュリティの高度化が求められている。

金融法務カテゴリのオススメの記事
改正入管法の概要と金融機関に求められる実務対応~外国人預金者の在留期間満了や 居住・就労実態把握の手段を確保~

2019年4月1日の改正入管法施行に伴い、今後、日本国内において在留外国人のさらなる増加が見込まれる。政府が外国人材の受け入れ環境整備についてまとめた「外国人材の受入れ・共生のための総合的対応策」では、金融サービスを、外国人の生活サービス環境の改善などが必要な分野の1つと位置付けている。金融機関は口座開設に応える一方で、不正利用などの危険を軽減する取り組みも求められる。本稿では、改正入管法と在留外国人、そして彼らの金融機関口座に対する対応を取り巻く状況や課題について解説する。

インサイダー取引規制の動向取引推奨行為摘発の活発化

金商法の情報伝達・取引推奨規制が導入されてから6年経過するが、違反による課徴金報告は2019年10月末までに21件出されている。本稿では増加している課徴金勧告事案について、上場企業の対応上の課題、管理規定の見直しの必要性について解説する。

米ボルカー・ルールの規則改正日本の金融機関にも影響

2019年10月ボルカー・ルールの規則を改正する最終規則が決定された。改正規則は改正最終規則は2020年1月1日に発効し、2021年1月1日からは改正後の規則に従うことが義務付けられている。本稿では、改正までの経緯から中小規模銀行法人の負担軽減、日本の金融機関に対する影響について解説する。

乗換契約不正問題と金融機関における不祥事対応

日本郵政グループにおけるかんぽ生命の乗換契約により顧客に不利益が生じた問題に関し、契約調査の中間報告書を発表した。本稿では、こちらを例に金融機関における不祥事対応についての留意点について解説していく。

大井 哲也 弁護士 【 講師 】
TMI総合法律事務所
弁護士

大井 哲也 氏

The Finance をフォローする