IT・ベンチャーの企業法務

内部統制システムとは？会社法・金融商品取引法上の義務と取締役の責任

2023.01.26

2023.02.07

IT・ベンチャーの企業法務

内部統制システムとは、違法行為を防ぎ、情報漏洩等が起きないような企業内の仕組みを指します。内部統制システムは、会社法と金融商品取引法にそれぞれ定義されており、一定の要件を満たす会社には内部統制システム構築義務が課されています。

企業経営において、内部統制システムを適切に構築し、運用・整備していくことはコンプライアンスのためにとても重要です。

本記事では、内部統制システムとは何かについて解説し、特にサイバーインシデントのリスクを抑えるための内部統制システムや、取締役が負う責任について解説します。

この記事の目次

内部統制システムとは

内部統制システムとは、企業や組織が法令や規制、業界標準に適合するために、適切なプロセスや制度を整備し、適用するためのシステムです。

特に上場企業においては、企業の信用やブランドイメージの向上のためにも内部統制システムを適切に構築してリスク管理をしていく必要があります。

会社法上の内部統制システム

会社法上の内部統制システムは、会社法第362条第4項第6号により、

取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務並びに当該株式会社及びその子会社から成る企業集団の業務の適正を確保するために必要なものとして法務省令で定める体制の整備

と定義されており、取締役会の専権事項とされています。

会社法上の内部統制は、株式会社やその子会社等のグループ会社の業務の適正を確保することを目的とした体制であると言えます。

金融商品取引法上の内部統制システム

金融商品取引法により、上場会社等は内部統制報告書の提出義務があります。上場会社等は、金融商品取引法により内部統制システムを構築し、その内容について開示しなければなりません。

金融商品取引法における内部統制システムは、会社法と異なり、投資者保護の観点から求められているものです。

内部統制システムの構築義務を負う会社とは

一定の要件を満たす会社は、内部統制システムの構築が義務付けられています。内部統制システム構築義務を負う会社は、会社法と金融商品取引法に定義されています。

会社法上の内部統制システムを構築することが義務付けられているのは、大会社である取締役会設置会社です。大会社とは、資本金が5億円以上または負債の額が200億円以上の会社(会社法第2条第6号)を指します。

内部統制システムを整備している会社は、事業報告書に内部統制システムの運用状況の概要を記載しなければなりません。また、監査役設置会社においては、監査役は、取締役の職務執行に関する監査の一つとして、内部統制システム監査を実施します。

一方で、金融商品取引法により、内部統制システムを構築し、その内容を開示する義務があるのは、有価証券報告書を提出する上場会社等です。上場会社等は、事業年度毎に、有価証券報告書とともに内部統制報告書を開示する必要があります。

内部統制システムの不備は取締役も責任を負う

内部統制システムに関連するアクシデントの中でも、不正アクセスや情報漏洩等のサイバーインシデントが起きた場合、誰がその責任を負うのでしょうか。

セキュリティシステムに脆弱性があって情報漏洩等が起こった場合、その情報漏洩等により損害を被った者(顧客等)から民法上の債務不履行責任や不法行為責任を問われ、損害賠償を請求される可能性があります。

取締役は、会社法上、会社から経営を委任されており、会社に損害を与えないよう、善良な管理者の注意をもって業務を行う義務(善管注意義務)を負っています。

裁判例によれば、内部統制システム構築義務は、善管注意義務のうちの一つであるとされています。

そのため、情報漏洩等が起こって、損害を被った者から会社への損害賠償請求が行われた場合、情報漏洩等が起きないようにセキュリティレベルを上げたり、脆弱性をなくすための措置を取らなかったりしたことが取締役の善管注意義務違反にあたるとして、取締役に対しても損害を賠償するよう求められる可能性があります。

内部統制システムに関する判例

上記の通り、会社や取締役は、内部統制システムの構築が義務付けられています。ではここからは具体的な判例をもとに解説を進めていきましょう。

ヤクルト事件東京地裁判決(東京地裁判決平成16年12月16日)

ヤクルトは有価証券の含み損の埋め合わせなどを目的とした投機性の高いデリバティブ取引で失敗し、逆に損失を拡大させてしまいました。これに対して、株主が当時の経営陣に対して533億円の賠償を求めて株主代表訴訟を提起しました。

本事案ではデリバティブ取引に関するリスク管理体制がとられていたかどうかが争われました。

裁判では、資産運用責任者としてデリバティブ取引を手がけた元副社長に対し「取締役としての注意義務に違反した」として67億円の支払いを命じました。ですが、他の経営陣の責任は「会社として一応のリスク管理体制があった」として認めませんでした。また、損失発生後、デリバティブ取引のリスクに関する認識が急速に発展した(=発生当時は十分であったとはいえない)という点等を理由に、リスク管理体制の不備を否定しました。08年5月の2審・東京高裁判決も1審を支持し、最高裁も1・2審を支持しました。

この裁判において、内部統制システムの内容は、リスク管理に関する行政上の研究等やリスク事例を参照して決定されるべきであると判示したのです。

ジェイコム株式誤発注事件(東京高裁判決平成25年7月24日)

これは、みずほ証券の従業員が、顧客に委託されたジェイコムの株式の「61万円1株売り」とすべき注文を「1円61万株売り」と誤ってコンピュータに入力し、顧客に多額の損害を与えたという事件です。

みずほ証券は誤りに気付き、取り消し手続を行いましたが、東京証券取引所のシステムの欠陥によって取り消しがなされず、通常ではありえない大量の売り注文により株価は急落。結果的に400億円超の損害が発生しました。みずほ証券は誤発注を取り消せずに400億円を超える損失を出したのは東証のシステムにバグがあったためと主張、東証に対して損害賠償を求めました。

この裁判では「システムのバグが重過失に当たるか」が大きな争点になっていました。東京高裁は「速やかに売買停止の権限を行使しなかったのは、東証の重過失に当たる」として東証に約107億円の支払いを命じました。

東証がこのバグを発見し対処することが技術的に可能だったどうかについても争点になりましたが、東京高裁は、「提出された専門家の意見書の主張が相反するものであり、甲乙つけがたいものである」として、技術的な面についての判断を避けました。

ただし、東京証券取引所が、明らかに異常な取引が行われていることに気付いていたにもかかわらず取引の取り消しをしなかったことについては、東証の重過失を認めました。

このように、技術面で裁判所の判断がつかない場合は、技術以外の点に着目して不法行為が認定されるケースがあります。

まとめ：内部統制システム構築は弁護士へご相談ください

特に上場企業においては、リスク管理のために内部統制システムを適切に構築・運用していく必要があります。

万が一、情報セキュリティ関連のアクシデントが起きた場合、会社の規模や事業内容等に応じた情報セキュリティ対策を取っていなかったと認定されれば、会社は債務不履行責任を問われるリスクがあります。その際、善管注意義務違反に該当するとして、取締役に対しても損害賠償を請求される可能性もあります。情報セキュリティに関する内部統制システムについては、早めにITと企業法務に詳しい弁護士へご相談ください。

当事務所による対策のご案内

モノリス法律事務所は、IT、特にインターネットと法律の両面に高い専門性を有する法律事務所です。内部統制システムの構築についてリーガルチェックの必要性はますます増加しています。当事務所ではコンプライアンス遵守に向けて、多くの企業にソリューション提供を行っております。下記記事にて詳細を記載しております。

モノリス法律事務所の取扱分野：IT・ベンチャーの企業法務