【連載第2回】知らなかったでは済まされない!経営者が負う法的責任
「セキュリティはIT部門の仕事でしょう?」
経営者からよく聞くこの言葉。しかし、情報漏洩が起きたとき、法的責任を負うのはIT担当者ではなく経営者自身です。
前回は中小企業がサイバー攻撃の標的になっている現実をお伝えしました。第2回では、セキュリティ対策を怠った場合に経営者が直面する法的リスクについて解説します。
経営者が問われる3つの法的責任
1. 個人情報保護法による責任
2022年の改正個人情報保護法により、情報漏洩時の対応がより厳格化されました。
- 報告義務: 漏洩等が発生した場合、個人情報保護委員会への報告と本人への通知が義務化(速報は3〜5日以内、確報は30日以内)
- 罰則の強化: 法人に対する罰金が最大1億円に引き上げ(従来の50万円から大幅に厳罰化)
- 命令違反: 個人情報保護委員会の命令に違反した場合、1年以下の懲役又は100万円以下の罰金
顧客情報、従業員情報、取引先の担当者情報。これらを1件でも保有していれば、個人情報保護法の対象です。
2. 善管注意義務(会社法)
取締役には会社法上の「善管注意義務」があります。これは「善良な管理者としての注意を払って職務を遂行する義務」です。
セキュリティ対策を怠り、結果として会社に損害が発生した場合、取締役の善管注意義務違反が問われる可能性があります。実際に、内部統制の不備を理由に取締役の責任が認められた判例も存在します。
3. 取引先からの損害賠償請求
自社の情報漏洩が原因で取引先に損害が及んだ場合、損害賠償を請求される可能性があります。
先述のトヨタのサプライチェーン攻撃の事例を思い出してください。仕入先の小島プレス工業が攻撃を受けたことで、トヨタの全工場が停止しました。このような場合、被害を受けた大企業が損害賠償を請求することは十分にあり得ます。
「合理的な安全管理措置」とは
法律は完璧なセキュリティを求めているわけではありません。求められるのは「合理的な安全管理措置」です。
IPAのガイドラインでは、中小企業が最低限実施すべき対策を段階的に示しています。この連載で解説する内容を一つずつ実践していけば、法的に求められる「合理的な安全管理措置」の水準をクリアできます。
逆に言えば、業界で標準的とされる対策すら講じていない場合、「対策を怠った」と評価される可能性が高くなります。
セキュリティ対策は「コスト」ではなく「投資」
セキュリティインシデントが発生した場合の損害額を考えてみましょう。
- 調査費用: フォレンジック調査に数百万円〜数千万円
- 復旧費用: システム再構築、データ復旧に数百万円〜
- 顧客対応: お詫び文送付、コールセンター設置等
- 逸失利益: システム停止期間中の売上減少
- 信用毀損: 取引先の離反、新規取引への影響
- 法的対応: 弁護士費用、損害賠償金
JNSA(日本ネットワークセキュリティ協会)の調査では、1件のインシデントの平均被害額は約6億円(大企業含む)。中小企業でも数百万円〜数千万円の被害は珍しくありません。
月数万円のセキュリティ対策費と比較すれば、事前の対策がいかに合理的な投資であるかがわかります。
経営者がまず取るべきアクション
- 認識を改める: セキュリティは「IT部門の課題」ではなく「経営課題」である
- 予算を確保する: 全社のIT予算の一定割合をセキュリティに割り当てる
- 責任者を明確にする: 社内のセキュリティ責任者を任命する(兼任でも可)
- 方針を示す: 経営者自らが「セキュリティを重視する」姿勢を社内に示す
まとめ
情報セキュリティは経営責任です。「知らなかった」「IT担当に任せていた」は法的に通用しません。
しかし、難しく考える必要はありません。この連載で解説するIPAガイドラインに沿った対策を進めれば、法的に求められる水準はクリアできます。
次回は、今すぐ実践できる「情報セキュリティ5か条」と、自社の対策レベルを測定できる「自社診断25項目」を解説します。
まとめ・ご相談
セキュリティ対策の強化をご検討の方は、Security365(セキュリティ運用・SOCライト)をご覧ください。
貴社のIT課題について、まずは60分の無料相談でお気軽にご相談ください。