サイバー攻撃で企業が問われる責任は
企業がサイバー攻撃の標的にされた場合、最も危惧されるのは情報流出のリスクです。個人情報を流出させてしまった場合は、社内だけでなく消費者などの第三者に被害が及ぶこともありえます。
サイバー攻撃によって情報が流出した場合、「企業」「役員等」「従業員」「社外のシステムベンダーなど」は、法律によってそれぞれ次のような責任を負う可能性が生じます。
◆企業
・個人情報保護法(同法23条 他)違反の責任
個人情報取扱事業者として、個人データを適切に管理していなかったこと(同法23条)に対して、個人情報保護委員会その他の監督官庁から、行政指導(同法144条)、勧告、命令(同法145条)などを受ける可能性があります。
※条文番号は、2022年4月1日施行の改正個人情報保護法に基づいています。
・不法行為責任(民法709条)・使用者責任(同法715条)
問題の個人情報にかかわる本人など、情報流出によって損害を受けた相手方から損害賠償請求を受ける可能性があります。
・債務不履行責任(民法415条)
特に個人情報などの安全管理について契約(例:オンラインサービスの利用規約、情報取扱委託契約など)を締結していた場合、当該契約の相手方から損害賠償請求を受ける可能性があります。
◆役員等(取締役、監査役、執行役等)
・会社に対する任務懈怠(けたい)責任(会社法423条)
情報流出について善管注意義務(※1)違反・忠実義務違反が認められる場合は、会社から損害賠償請求を受ける可能性があります。
(例)
- 担当役員等として流出の具体的可能性を認識し得たのに何ら対策を打たなかった
- 流出そのもの、または流出による被害拡大を防止するための適切な内部統制システムを構築しなかった
- そうした担当役員等の善管注意義務違反・忠実義務違反について認識し得たのに是正を求めなかった……など。
※1「善良な管理者の注意義務」の略。その人の社会的、経済的な地位に応じて通常求められる程度の注意義務のことを指す
・第三者に対する損害賠償責任(会社法429条)
情報流出について悪意、または重過失が認められる場合、問題の個人情報にかかわる本人など、情報流出によって損害を受けた相手方から損害賠償請求を受ける可能性があります。
◆従業員(社内エンジニアを含む)
・ 会社に対する債務不履行責任(民法415条)
従業員が雇用契約や業務委託契約に基づく義務に違反し、その結果として情報流出を生じさせて会社が損害を被った場合は、会社から損害賠償請求を受ける可能性があります。
ただし、上記の契約や義務に「違反」して実際に損害賠償をすることになるのは、従業員自ら故意に情報を持ち出したような場合は例外として、(外部からのサイバー攻撃の場合などでは)情報セキュリティ関連の内規への明確な違反があった場合や、その従業員の職位に照らし一般的に求められる水準の注意を明らかに怠ったような場合など、一定の場合に限られうると考えられます。そのため、実際上はこうしたケースはさほど多くありません。
また、従業員の義務違反が認められる例外的なケースに該当しても、信義則上、会社が賠償請求できる損害の範囲は制限される可能性があります。
・第三者に対する不法行為責任(民法709条)
問題の個人情報にかかわる本人など、情報流出によって損害を受けた相手方から損害賠償請求を受ける可能性が理論的には考えられます。
ただし「会社に対する債務不履行責任」と同様に、実際に責任(特に過失)が認められ損害賠償をすることになるのは一定の場合に限定されうると考えられる上、資力の問題もあるため、従業員個人が第三者から損害賠償請求を受けるケース自体が実務的には少ないのが現状です。
◆社外のシステムベンダーなど
・委託元に対する債務不履行責任(民法415条)
システム開発委託契約に明記されたセキュリティレベルに達しないシステムを納品していた場合はもちろん、セキュリティレベルが明記されていなかったとしても、その当時の技術水準に沿ったセキュリティ対策を施していないシステムを納品していた場合、「黙示の合意」に反したものとして、委託元から損害賠償請求を受ける可能性があります。(※2)
・第三者に対する不法行為責任(民法709条)・使用者責任(同法715条)
問題の個人情報にかかわる本人など、情報流出によって損害を受けた相手方から損害賠償請求を受ける可能性があります。
※2 東京地判平成26年1月23日判時2221号71頁 参照
慰謝料や損害額の対応方針は?
個人情報が漏えいした場合、非上場の中小企業であっても本人(消費者など)から訴えられる可能性はあります。具体的な損害額や慰謝料などは一概には決まっていません。漏えいした情報の機微性(センシティブな情報であること)だけでなく、企業の事業内容や流出経緯、事後対応の適切性等も考慮して決定されるためです。
しかし、過去の事例を参照することで、対応方針の参考にすることは可能です。国内ではこれまでに次のような訴訟の事例が起きています。
◆情報流出によって支払われた慰謝料の事例
・アドレス等の流出で1,000円~5,000円
氏名、住所、電話番号、メールアドレスなどが流出した事案で、1人当たり1,000~5,000円の損害賠償を認めた事例は過去に複数見られます。(※3)
・二次被害が生じたエステ事件は3万円超
氏名、住所、年齢などのほかに、エステティックサービスに関心があるという属性を含む情報(氏名などよりも通常は他人に知られたくない情報)が流出し、迷惑メールなどの二次被害も生じた事案では、1人当たり3万円超の損害賠償が認められています。(※4)
※3 大阪高判平成19年6月21日(Yahoo! BB事件)、大阪高判令和元年11月20日(ベネッセ事件)等
※4 東京高判平成19年8月28日(TBC事件)
◆金券で迅速に対応するケースも
・金券配布の有効性
裁判に発展する前段階で、500~1,000円、高い場合で1万円程度の金券を配る対応を選んだ企業も存在します。
実際に裁判で認められる損害賠償額の相場に照らすと、500~1,000円という金額は低めではありますが、迅速に補償することによって漏えいした個人情報にかかわる本人に納得感を得てもらい、裁判手続に進む可能性を減少させる(裁判手続に進む本人の数を減らす)意義は小さくありません。
また、金額が法的に認められる損害賠償債務の弁済として十分か否かは別として、「迅速に金券を配った」という対応自体を、損害額を決めるにあたって企業側に有利に考慮しているとみられる裁判例も複数存在します。
・金券配布=法的責任を認めていると受け止められる可能性も
ただし、金券を配る行為自体が「会社が自身の法的責任を認めている」と受け取られる可能性もあります。したがって、金券を配るかどうかは慎重に判断すべきでしょう。
自社役職員による故意の情報持ち出しのように、明らかに会社側に責任があるケースは別ですが、「自社に法的責任が認められる可能性は高くない」と考えるのであれば、金券とともに配布する文書の表現にも工夫が必要でしょう。
責任者への処遇はどうすべきか
サイバー攻撃被害を初めて受けた中小企業の場合、従業員の処遇に困るケースも見受けられますが、個別・具体的な事情によっては懲戒処分を検討することが考えられます。情報漏洩一般の文脈では、次のようなものが、懲戒処分を検討する場合の例として挙げられます。
(例)
- 役職員自らが故意に情報を持ち出した
- 情報セキュリティ関連の内規への明確な違反が存在した(インストールしてはいけないソフトウェアの使用など)
- 従業員の職位に照らし、一般的に求められる水準の注意を明らかに怠っていた
(情報システム管理責任者が、極めて容易な対策の存在が周知されているような脆弱性を放置していたなど)
懲戒処分をするか、するとしてどの程度の処分とするかは、個別のケースに応じての対応が検討されますが、外部からのサイバー攻撃においては上記に類するような違反でない場合、懲戒処分の客観的合理性が認められにくいケースがそれなりに多くなるのではと思われます。
一方で、どれだけ注意を尽くしてもサイバー攻撃を事前に100%防ぐことは不可能であるというのが、現在の情報セキュリティ実務の大前提です。そのため、サイバー攻撃が起きた場合は、社内の責任者の処遇を検討するとしても、まずは被害の拡大防止、影響を受けた本人への対応、さらには、再発防止策の検討といったところに注力すべきでしょう。
インシデント発生後に企業が取るべき行動
◆インシデント発生後の対応
個人情報保護委員会の改正ガイドライン(※5)では、個人データの漏えいなど、またはそのおそれのある事案が発覚した場合、次の事項について必要な措置を講じなければならないとしています。
- 事業者内部における報告及び被害の拡大防止
- 事実関係の調査及び原因の究明
- 影響範囲の特定
- 再発防止策の検討及び実施
- 個人情報保護委員会への報告及び本人への通知
(5は2022年4月1日施行の改正個人情報保護法で法的義務となる)
特に外部からのサイバー攻撃の場合、対応スピードが重要であるため、インシデントの優先順位付け(トリアージ)が重要になります。
対応策のトリアージを決めるにあたっては、たとえば、次の3要素を考慮した上で、自社の場合の優先度を決めることも考えられます。(※6)
- 影響を受けたシステムの機能的重要性
- 情報の重要性・機微性
- インシデントからの回復可能性・困難性
※5 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(2021年10月一部改正)3-5-2
※6 米国国立標準技術研究所(NIST)による「Computer Security Incident Handling Guide(SP800-61)」参照
リスクを減らすためのポイント
情報漏えいリスクを減らすためには、平時からの対応が鍵を握っています。
まずは、自社の情報をどのように管理しているのかを把握しておきましょう。どのサーバで保存しているのか、誰がアクセスできるのかなど、具体的に整理・共有しておくことが重要です。
その上で、自社の実態に合った情報セキュリティ体制のルールを構築・文書化するなどして、社内規定を整えておくことも大切です。社内規定は一度決めたら作りっぱなしではなく、運用の過程で定期的に見直し・修正していく必要があります。
また、システムが完璧であってもそれを操作する人間の危機意識がおろそかだと意味がありません。従業員に対しても定期的に危機管理研修などを行っていきましょう。
※記事内で取り上げた法令は2022年3月時点のものです。
<取材先>
弁護士法人大江橋法律事務所 パートナー弁護士(日本、カリフォルニア州)
廣瀬崇史さん
2006年 東京大学教養学部卒業、2007年 大江橋法律事務所入所、2012年~2013年三井住友銀行勤務、2014年 Harvard Law School 卒業(LL.M.)、2014年 Paul、 Weiss、 Rifkind、 Wharton & Garrison LLP(New York Office)勤務、2016年~東京外国語大学 ビジネス法に関する非常勤講師、2017年 大江橋法律事務所 パートナー就任。2021年 AIPPI(国際知的財産保護協会)”Commercialization of IP” 常設委員会vice chair
IT、システム開発、データ取引、共同開発・ライセンス契約等の知財関連契約、AI関連契約、M&Aを含むビジネス取引契約の作成、ベンチャー支援、コンプライアンス、危機対応、並びに企業間取引、知的財産、IT、製造物責任、会社法等の紛争案件等を扱う。
弁護士法人大江橋法律事務所 アソシエイト弁護士
上原拓也さん
2011年東京大学法学部卒業、2013年東京大学法科大学院修了、2014年弁護士登録。2019年University of Pennsylvania Law School卒業、2019年~2020年Weil, Gotshal & Manges LLP(ニューヨーク)勤務、2020年ニューヨーク州弁護士登録。主な取扱分野は、個人情報保護・情報セキュリティ・サイバーセキュリティ、M&A・企業再編・事業提携、ベンチャー支援等。
TEXT:阿部花恵
EDITING:Indeed Japan +南澤悠佳 + ノオト
