ポイント

  1. 個人情報(社外情報)は、漏洩すれば深刻なコンプライアンスリスクが生じるおそれがある
  2. 個人情報(社外情報)は、漏洩時には従業員、企業だけでなく取締役等の役員の責任にも発展するおそれがある
  3. 個人情報(社外情報)は、情報管理体制を構築する必要性が高い

個人情報(社外情報)の位置付け

次に、個人情報(社外情報)管理上の留意点について相談事例を踏まえて検討します。

個人情報(社外情報)管理に関する相談例

情報通信業を営む法人X株式会社は、順調に業績を拡大していたが、さらなる売上向上のため、優れた営業マンであるA氏を取締役に迎えた。A氏は、新規インターネットサービスを展開して売上を増やすことを提案したが、その新サービスのセキュリティについては後回しにしていた。

ところがある日、X社はハッカーYから不正アクセスを受け、顧客情報(氏名・住所・電話番号・メールアドレスほか)約100万件分及び社内の人事情報を漏洩してしまった。

X社の情報漏洩はたちまちSNSでも話題となり、X社の情報管理体制にも多数の批判が寄せられるようになった。

相談例に関する対応

本章の冒頭で紹介した相談例を基に、個人情報(社外情報)管理上の留意点について検討すると、個人情報の漏洩によって想定されるX社、取締役Aの責任は以下のように整理できます。

X社の責任

民事責任

X社は、ハッカーYから不正アクセス攻撃を受けたとはいえ、顧客から預かっている個人情報を漏洩してしまった以上、顧客から債務不履行責任に基づく損害賠償請求を受けるリスクを負うことになります(民法415条)。

行政責任

また、X社が個人情報を漏洩してしまったことに対し、個人情報保護法違反として、個人情報保護委員会から指導・助言、措置勧告、措置命令といった行政処分を受けるおそれがあります(個人情報保護法41、42条)。

刑事責任

X社が個人情報保護委員会から上記のような措置命令を受けていながらこれに違反した場合、罰則を受けるおそれもあります(個人情報保護法87条)。なお、同法87条は両罰規定となっているため、行為当事者のみならず法人も罰金刑に処されることになります。

レピュテーションリスク

情報漏洩事件を起こしてしまったことで、X社にSNS等で多数の批判が寄せられているように、企業としての信用を毀損される、レピュテーションリスクを負うことになります。

取締役Aの責任

取締役Aの責任は、X社の取締役としての善管注意義務に基づく損害賠償責任が考えられます。

この点、Aが取締役ではなく従業員の場合には、X社とAとの契約関係は雇用契約に過ぎないことから、AはX社に対し、雇用契約上の職務専念義務を負うにとどまります。そして、故意による情報漏洩であれば別ですが、通常の業務遂行過程で生じた漏洩のであれば、AがX社に対して情報漏洩による損害を全額賠償しなければならないまでの責任を問われることは通常は考えにくいといえます(報償責任の法理)。

しかしながら、本事例でのAは取締役であるため、X社との契約関係は委任契約となります。そもそもAはその能力を評価されてX社との間で委任契約を締結し、取締役として招聘されていることから、X社の運営に関し、善管注意義務(法人経営に携わる者として、その法人の規模、業種等のもとで通常期待される程度の注意義務)、具体的にはX社の情報セキュリティ体制の構築義務を負担することになります。

もっとも、取締役Aは、情報管理体制の専門家として招聘されたのではなく、営業能力があることを評価されて招聘されたという経緯があります。この点、取締役の善管注意義務の判断要素としては、以下の諸事情が挙げられます。

【役員の善管注意義務の判断要素】

  • ① 法人の規模
  • ② 法人の業種
  • ③ 事業内容
  • ④ 役員の担当業務
  • ⑤ 専門的知見の有無 等
    特に専門的知見を評価されて役員に選任されている場合には、善管注意義務として要求される水準も高くなる

そして、取締役の善管注意義務違反は、結果責任ではなく、結果発生に至るプロセスの正当性・合理性があるかが評価されます。

したがって、上記相談例では、取締役Aがその専門的知見に照らして要求される水準に鑑みて、情報漏洩リスクに見合った適正な情報セキュリティ体制を構築しているかどうかが争点になると考えられます。

個人情報(社外情報)管理の留意点

個人情報(社外情報)が漏洩した場合には、個人情報(社内情報)が漏洩した場合とは比較にならないほどの経済的・社会的損失を生じるそれがあります。

また、企業自身の故意や過失による漏洩ではなく、第三者の不正アクセスによって個人情報(社外情報)を漏洩した場合であっても、情報漏洩による損害賠償責任や行政責任、刑事責任を負うリスクが生じ、さらには、企業だけでなく取締役などの役員にも責任が及ぶ可能性があります。

企業としては、後述する個人情報(社外情報)の管理体制構築方法を参考にしながら、順次、情報漏洩リスクに備えた管理体制を構築していくことが求められます。

メールマガジン登録のご案内

メールマガジンのご登録はこちら

「弁護士法人 長瀬総合法律事務所」では、定期的にメールマガジンを配信しております。セミナーの最新情報、所属弁護士が執筆したコラムのご紹介、「実務に使用できる書式」の無料ダウンロードが可能です。ぜひご登録下さい。

顧問サービスのご案内

長瀬総合法律事務所の顧問弁護士サービス

私たち「弁護士法人 長瀬総合事務所」は、企業法務や人事労務・労務管理等でお悩みの企業様を多数サポートしてきた実績とノウハウがあります。

私たちは、ただ紛争を解決するだけではなく、紛争を予防するとともに、より企業が発展するための制度設計を構築するサポートをすることこそが弁護士と法律事務所の役割であると自負しています。

私たちは、より多くの企業のお役に立つことができるよう、複数の費用体系にわけた顧問契約サービスを提供しています。

 

リーガルメディア企業法務TVのご案内

リーガルメディア企業法務TVチャンネル登録はこちら

弁護士法人 長瀬総合法律事務所のYouTubeチャンネル「リーガルメディア企業法務TV」では、様々な分野の問題を弁護士が解説する動画を配信中です。興味を持たれた方は、ぜひご覧ください。