IT・ベンチャーの企業法務

委託先のセキュリティインシデントを防ぐには？発注元の内部統制システムの構築・運用を解説

2023.01.20

2023.02.07

IT・ベンチャーの企業法務

企業には、会社法や金融商品取引法によって、内部統制システムの構築が義務づけられています。「内部統制システム」は、難しいように感じるかもしれませんが、簡単に言うと、会社の業務を適切に運営し、リスクを防止するための体制です。

では、内部統制システムは、外部取引先との関係ではどのように機能するのでしょうか。中でも、企業は、物流・保守等のさまざまな業務を外部へ委託するケースが多いことから問題になります。

本記事では、委託先における内部統制システムの運用やセキュリティインシデントを防ぐための対策について解説します。

この記事の目次

内部統制システムとは

内部統制システムとは、企業や組織が適切な経営を行うために必要な組織的な手段や方法を指し、会社法と金融商品取引法にそれぞれ定義されています。

会社法上、次の会社では、内部統制システムを構築することが義務づけられています。

大会社
指名委員会等設置会社
監査等委員会設置会社

また、金融商品取引法では、上場企業に内部統制システム構築義務が課されており、事業年度ごとに内部統制報告書を提出しなければなりません。この内部統制報告書は、公認会計士または監査法人の監査証明を受ける必要があります。

内部統制システムの不備により情報漏洩等が発生して損害が生じた場合、会社や取締役は損害賠償責任を負う可能性があります。情報の保護に関する内部統制システムについては、以下の記事で詳しく解説しておりますので、ご参照ください。

関連記事：情報漏洩の防止策を解説整備すべき社内規程の内容とは

業務委託時に生じうる内部統制システム上のリスク

自社で情報セキュリティ関連の規程を制定していたとしても、委託先がそうした規程を制定していなかったり、内容が不十分であったりした場合、委託先でセキュリティインシデントが起きてしまう可能性があります。

セキュリティインシデントが起きた場合、たとえ委託先における事故だったとしても、その管理責任がある委託元企業のイメージが低下してしまうリスクがあります。

そのため、業務委託の際には、委託先においてもセキュリティインシデント等を起こさないような体制を構築しておくことが重要です。

委託先管理を含む内部統制システムが必要

判例等から鑑みると、情報セキュリティシステムの整備は、内部統制システムを構築する上で重要な要素の一つです。

情報セキュリティシステムに不備があったために会社や組織が第三者に損害を与えた場合、内部統制システムの構築義務を怠ったとして、取締役も善管注意義務違反に問われる可能性があります。また、委託先の情報セキュリティシステムに不備があり第三者への損害が生じた場合にも、委託元の会社や取締役が責任を問われる可能性もあるでしょう。

なお、委託先での管理に不備があってセキュリティインシデントが起きた場合に、委託元の取締役等に対して内部統制構築義務違反を理由とした善管注意義務違反に基づく損害賠償請求等が認められたという事例は確認されていませんが、今後は訴訟が提起される可能性はあると考えられます。

事例で学ぶ内部統制システムの重要性

ここでは、業務委託を行う際、過去の事例を踏まえてどのような対策をすべきなのかを見ていきましょう。

日本年金機構における情報漏洩事案

2015年、日本年金機構において不正アクセスによる情報流出が起き、基礎年金番号や名前等の個人情報の流出が確認されました。

この件に関し、日本年金機構における不正アクセスによる情報流出事案検証委員会（以下、検証委員会という）が設置され、経緯などをまとめた2015年8月21日付検証報告書が作成されています。この報告書によれば、日本年金機構のLANシステムが攻撃され、共有フォルダ内の大量の個人情報が流出しました。

システムを構築した際、LANシステム上では個人情報を扱わないことになっていましたが、一定の条件の下でLANシステム上の共有フォルダに個人情報が入れられるようになってしまっていたようです。また、日本年金機構のLANシステムは標的型攻撃に対応できるような運用になっていなかったため、攻撃に気づいてからも状況の把握に時間がかかってしまいました。

検証委員会は、再発防止策として

人的体制の整備(セキュリティ対策本部の設置等)
厚生労働省の監督体制の整備(厚労省の情報セキュリティ体制の整備等)
技術的な整備(業務の実態・リスクに基づいたシステム整備等)
日本年金機構の意識改革

を挙げています。

さらに、委託先との間で情報セキュリティ保護に関する一般的な合意がなされたのみで、実際にインシデントが起きた際の具体的な対応について明確な合意がなかったために、対応が遅くなり被害が大きくなりました。(出典：厚生労働省「平成27年8月21日付検証報告書」)

こうした事態を防ぐために、

サービスレベルアグリーメントを具体的な内容で締結しておく
緊急時対応を委託先が行うことを明確に合意しておく

などが必要となるでしょう。

サービスレベルアグリーメント(Service Level Agreement, SLA)とは、サービスを提供する側と、サービスを受ける側の間で、サービスの品質や適用範囲、受け取り方法、責任や費用などについて合意を結ぶ契約のことを指します。また、インシデント発生時の対応についてもあらかじめ合意しておくことで、迅速に適切な対応をとることが可能になります。

ベネッセコーポレーションにおける個人情報流出事案

2014年、ベネッセコーポレーションにおける個人情報流出事案が発生しました。これは、委託先の従業員が顧客データをコピーして名簿業者に売却したことにより、顧客情報約2,989万件が流出したものです。

この事案の原因としては、再委託先や再々委託先にまでデータのアクセス権を付与していたにもかかわらず、情報が流出しないようにするための充分な監視体制がなかったという点が挙げられます。

対策としては、

委託先の業務範囲・情報へのアクセス範囲を、契約上明確に定義する
委託先への定期監査の実施
委託先へ監視体制に関する報告義務を課す
委託先で重要な情報を取り扱う者を決め、審査を行う

などが考えられます。

なお、その後顧客のひとりは、この事件において自身と子どもの個人情報が漏洩したことに対し、サービス提供元のベネッセコーポレーションに対して10万円の損害賠償を求める裁判を提起しました。

一審と二審では顧客側が敗訴しましたが、平成29年10月23日付最高裁判決により、

プライバシーの侵害による上告人の精神的損害の有無及びその程度等について十分に審理することなく，不快感等を超える損害の発生についての主張，立証がされていないということのみから直ちに上告人の請求を棄却すべきものとしたものである
平成28年(受)第1892号損害賠償請求事件　平成29年10月23日第二小法廷判決

として、二審判決を破棄し、大阪高裁に審理を差し戻しました。

2019年11月20日、大阪高裁はプライバシーの侵害を認め、ベネッセコーポレーションに対して1,000円の支払いを命じました。

一審と二審においては、プライバシーの侵害だけではなく、実際に損害が発生したのかどうかという点が重視されていましたが、最高裁では、損害の有無にかかわらずプライバシーの侵害があったという点について審理すべきという判断でした。他の情報漏洩事件でも、情報漏洩に基づく損害賠償請求を認めるケースは多く、この最高裁の判決は、そうした流れに沿ったものであると考えられます。

まとめ：内部統制システムについては弁護士へご相談を

会社や組織の健全な経営のためには、内部統制システムを適切に構築・運用していく必要があります。委託先が情報漏洩等のセキュリティインシデントを引き起こした場合であっても、委託元が責任を問われる可能性はありますし、企業イメージの低下も免れません。このような事態を避けるためにも、委託先においても内部統制システムが十分に機能するような仕組みをあらかじめ構築しておかなければなりません。

情報セキュリティシステムの整備を含む内部統制システムの構築・運用については、弁護士へご相談ください。