1. HOME
  2. 金融法務
  3. 情報漏えい事案に備えた情報管理措置と法的責任

情報漏えい事案に備えた情報管理措置と法的責任

近時、立て続けに大きな情報漏洩事件が起こっている。大手教育・情報企業、大手家電メーカー、日本年金機構の個人情報・営業機密の漏えい事件が記憶に新しい。これらの企業・組織は、情報セキュリティ、個人情報の管理で甚大な経済的な損失を受けた。情報漏洩インシデントは、企業もその役員個人も法的な責任を問われる。これらの法的責任を回避するために、金融機関はどう備えるべきなのか。改正個人情報保護法を踏まえ金融機関の対策に迫る。

情報漏えい事案に備えた情報管理措置と法的責任
  1. 情報セキュリティとリスク認識の高まり
  2. 情報インシデントと刑事上・民事上の責任
  3. 善管注意義務違反の責任を負うケース
  4. 善管注意義務違反の回避方策
  5. 改正個人情報保護法とグローバルサービスへの対応
  6. まとめ

情報セキュリティとリスク認識の高まり

約3500万件の顧客情報(個人情報)が業務委託先の従業員によって持ち出され、売却された大手教育・情報企業の事件。個人情報が名簿屋に流出し、半導体メーカーの元社員が不正競争防止法違反の営業秘密開示で逮捕された東芝事件。そうした情報漏洩インシデントによる企業活動へのダメージは大きい。

大手教育・情報企業の事件では、顧客への任意の補償として総額約200億円の金券(クオカード)を配布したため、会社は、約260億円の特別損失を計上し、2015年3月期決算は最終赤字に転落した。それでも不満を抱く顧客は原告団を結成し、1人あたり5万5000円の損害賠償を請求する集団訴訟が提起された。

そんな事態を目の当たりにし、日本企業の間で情報セキュリティのリスク認識は否応なく高まっている。

情報インシデントと刑事上・民事上の責任

情報インシデントと刑事上・民事上の責任

情報漏洩インシデントが起きると、企業(情報システムのユーザー)は次のような刑事上、民事上の責任を問われる。

  • 役員責任
  • 個人情報保護法上の責任
  • 顧客に対する民事責任

そのうち「役員責任」の最も重要なものとしては、情報セキュリティの管理義務を負う会社法上の「内部統制構築義務」がある。役員個人の責任も問われ、その範囲は情報システムの管掌担当役員(CIO)だけでなく、財務担当役員(CFO)に及ぶこともある。

役員責任と善管注意義務

取締役は会社から経営の委任を受けたものとして「善管注意義務」を負う。善管注意義務の内容は、取締役の職務、期待される役割によって決定される。

たとえば、情報システムに精通するCIOのように、特に専門的能力を買われ取締役に選任された者は、善管注意義務で期待される注意義務の水準は高い。また、金融機関も、その保有する情報の秘匿性、機微性や、金融機関のインフラとしての公共的性格から、期待される注意義務の水準は高くなる。

なお、情報システムの管理に直接関与しないCFOなども取締役会の構成員として他の取締役に対する監督義務を負う。たとえばCIOが任務を懈怠するなど善管注意義務違反に該当する行為を行った場合、CFOなど他の取締役も監督義務違反の責任を問われうる。情報システムを直接に管掌しない取締役も「情報システムは素人だからわからない。業務にタッチしない。」ではすまされない。

善管注意義務違反の責任を負うケース

善管注意義務違反の責任を負うケース

セキュリティ・リスクを認識していない

セキュリティ・リスクが存在するにもかかわらず、それを認識していない場合、善管注意義務違反の責任を負う。具体的には、以下のようなケースが該当する。

  • セルフチェック(自己監査)の欠如
  • 第三者チェック(他者監査)の欠如
  • 同業態の事故事例の分析の欠如
  • セキュリティの脅威に対する知見不足

セキュリティ・リスクを過小評価した

セキュリティ・リスクの存在を認識しているが、それを過小評価した場合も、善管注意義務違反の責任を負う。具体的には、以下のようなケースが該当する。

  • 自己監査の際の過小評価(いわゆる担当者による正常化バイアス)
  • 他社監査の欠如
  • セキュリティの脅威に対する知見不足

適切なリスク・コントロールを懈怠した

セキュリティ・リスクの存在を認識しているが、適切なリスク・コントロールを懈怠した場合も、善管注意義務違反の責任を負う。具体的には、以下のようなケースが該当する。

  • リスクに適合的な不足のない、かつ過度にわたらないシステム構築の選択肢の欠如
  • セキュリティ対応策の知見不足

裁判で善管注意義務違反を回避する方法

裁判で善管注意義務違反を回避する方法

では、善管注意義務違反となる事態を回避するにはどうすればよいか。裁判では「リスクを認識し、把握していたかどうか」「認識したリスクをいかにコントロールできていたか」が問われる。善管注意義務違反の有無の判断ポイントは結果発生の有無ではなく、経営判断に至るプロセスの正当性、合理性にある。

リスクの把握・評価

リスクの把握・評価は、情報セキュリティ体制の脆弱性についての法的側面、技術側面から把握できていたかどうかで判断される。

リスクのコントロール

リスクのコントロールは、データの暗号化、ファイアーウォールの設置、アクセス制限のような技術的な措置を導入するにとどまらず、人的管理や規程、組織体制など運用面の整備も行っていたかどうかで判断される。

裁判でのケース

たとえば、情報システムの管理を第三者のベンダーにほとんど任せきりでは、リスクを認識していないとみなされる恐れがあり、裁判官の心証は良くない。

逆に、他社の事故事例を十分認識し、自己監査も他者監査も十分に行い、かつ、リスクの把握、リスクのコントロールができていたと示すことができれば、善管注意義務違反の責任が軽減されうる。

2011年の調査では、個人情報漏えいの平均損害賠償額は1人あたり41,192円で、近年は高額化の傾向にあるため、裁判で損害金額が争われる事態になってしまえば、経済的なインパクトが極めて大きくなるリスクがあることに注意が必要である。

改正個人情報保護法の目的と内容

改正個人情報保護法の目的と内容

改正の目的

現改正の目的は大きく分けると以下の3つに絞られる。

  • ビッグデータの利活用促進とグレーゾーンの明確化
  • 企業活動のグローバル化への対応(パーソナルデータの域外移転規制)
  • 日本の個人情報保護法の制度としての保護レベルの向上

改正案の主な内容

  • 個人情報の定義の明確化(顔認識データ、会員IDなど) ※一番の目玉
  • センシティブ情報(人種、信条、病歴など)の取り扱い
  • 匿名加工情報(ビッグデータの取り扱い)
  • 個人情報の漏洩防止策、名簿屋対策(「個人情報データベース提供罪」の新設)
  • 個人情報保護委員会の新設
  • 国境を超えた個人情報保護法の適用

ビッグデータの利活用については、パーソナルデータの収集に続く加工、第三者への提供の段階について改正個人情報保護法が安全管理措置、再識別の禁止などの規定を設けている。

改正個人情報保護法とグローバルサービスへの対応

改正個人情報保護法とグローバルサービスへの対応

グローバルに金融サービスを展開している金融機関については、個人情報の国外移転には注意が必要だ。

海外から日本への移転

個人情報を海外から日本に移転する場合、居住国の国外移転規制をクリアする必要がある。

日本から海外への移転

日本から海外への移転では、日本の改正個人情報保護法の国外移転規制をクリアする必要がある

個人情報を海外の第三者に提供する場合

個人データを「外国にある」「第三者に」「提供する」場合、次のいずれかの要件を満たす必要がある。

  • 本人の同意
  • 個人情報保護委員会が、個人情報保護の制度が日本と同等水準にあると認め、定めた国にある第三者に提供する
  • 第三者が、個人情報保護委員会規則で定める基準に適合する情報セキュリティ体制を整備している

EUと「データ保護指令」

欧州連合(EU)では「データ保護指令」を定めており、EU域内の住民の個人情報について、アルゼンチン、カナダ、スイスなどEUが認めた国以外への移転を原則禁止している。現在は日本もアメリカも移転が認められた国ではない。

クラウドと個人情報

クラウドに関しては、経済産業省が「クラウド利用ガイドライン」を策定している。

まとめ

クラウドに代表されるITツールの進化や、個人情報の利活用の領域の拡大に伴い、人々はより円滑に個人情報にアクセスできるようになった。しかし、技術の進化に相反して人を介したインシデントのリスクは軽減しておらず、法整備は追いついていない。情報セキュリティの重要性は高まるばかりである。

個人のセンシティブ情報(機微情報)を取り扱う金融機関にこそ、情報セキュリティの高度化が求められている。

金融法務カテゴリのオススメの記事
ゲノム・遺伝子ビジネスとは~法的諸問題と保険ビジネスへの影響を弁護士が解説

「ゲノム」「遺伝子」といった言葉を報道等で目にする機会が多くなってきた。社会構造を変革する技術としてAIと同様に、ゲノム関連技術も「生命の設計図」に関する技術として社会的に大きな注目を集めつつある。特にゲノム医療の進展はめざましく、がん細胞の遺伝子を調べて患者ごとに最適な治療法を探る「がん遺伝子パネル検査」や、ゲノムを解析して疾患リスクや体質に関する情報を提供する遺伝子検査サービスも、その普及とともに情報の利活用が進んでいる。一方で、ゲノム情報の利活用は、不当な差別につながらないかといった問題をはらんでおり、特に保険分野において議論されている。本稿では、ゲノム・遺伝子とは何かを簡単に解説した上で、ゲノム・遺伝子ビジネスの法的諸問題を概観する。

【連載】金融庁審議会「金融制度スタディ・グループ」の議論を読み解く~プラットフォーマーへの対応

2019年6月に公表された「「決済」法制及び金融サービス仲介法制に係る制度整備についての報告≪基本的な考え方≫(案)」(以下、「報告案」と表記)。前稿では、「決済」法制の報告案においてポイントとなる資金移動業の新類型や利用者資金の受入れ制限について解説した。本稿では、「報告案」のもう一つの柱である「プラットフォーマーへの対応」の内容を取り上げ、そのポイントを解説するとともに、今後の展望について考察する。

【連載】金融庁審議会「金融制度スタディ・グループ」の議論を読み解く~決済法制の報告案

テクノロジーの急速な発達による環境変化に対応すべく、我が国の金融制度のあり方について検討を行うために金融制度スタディ・グループが2017年11月に設置され、大きく分けて4つの課題に対し議論されてきた。The Financeでは、2019年6月10日に公表された「「決済」法制及び金融サービス仲介法制に係る制度整備についての報告、基本的な考え方(案)」についての連載を2回に分けお届けする。第一回目では、金融制度スタディ・グループにおける議論の経緯、決済の横断法制に関する取り纏め案に焦点を当て解説する。

【徹底解説】不動産クラウドファンディング・貸付型クラウドファンディング に関する新ルールのポイント

近時、クラウドファンディングに関して監督当局から相次いでガイドライン等が公表された。いずれも特定類型のクラウドファンディングを直接の対象とするものであるが、その中で言及されている問題意識はクラウドファンディング全般においても参考になる。そこで、新ルールの概要と実務上のポイントを専門の弁護士が解説する。

大井 哲也 弁護士 【 講師 】
TMI総合法律事務所
弁護士

大井 哲也 氏

The Finance をフォローする
注目のセミナー すべて表示する