「セキュリティはIT担当の仕事」
「詳しくないから外注に任せている」
中小企業の現場でよく聞く言葉です。しかし、ひとたびサイバーインシデントが起きてしまうと、その損失は「ITの範囲」に収まるものではありません。
独立行政法人 情報処理推進機構(IPA)の中小企業向け情報セキュリティ対策ガイドラインでも、情報セキュリティ対策を怠ることで企業が被る不利益として、金銭損失・顧客喪失・事業停止・従業員への影響を挙げたうえで、経営者が負う責任として「法的責任」と「関係者や社会に対する責任」を明確に示しています。
つまり、適切なセキュリティ対策は企業経営に必要不可欠な経営課題であり、経営者の意思決定の結果として責任が問われ得る領域だといえます。
この記事では、情報処理安全確保支援士と行政書士のダブル国家資格保有者の視点から、経営者・役員がセキュリティに消極的だった場合に現実化する法的リスクと、任せるだけではない実務を整理します。
「任務懈怠責任」とは
まず押さえるべき必要があるのは、会社法上の責任です。
会社に対する責任(任務懈怠責任)
会社法は、取締役等が任務を怠ったとき、会社に対して損害賠償責任を負うと定めています。
会社法 423条1項
取締役、会計参与、監査役、執行役又は会計監査人(以下この章において「役員等」という。)は、その任務を怠ったときは、株式会社に対し、これによって生じた損害を賠償する責任を負う。
セキュリティの文脈に置き換えると、たとえば以下のような状態が、「任務を怠った」という評価につながり得ます。
- 情報セキュリティに対する規定や方針が定められていなかった
- 既知の重大脆弱性が放置されていた
- バックアップや復旧計画がなく、ランサム攻撃を受け長期停止した
- アクセス権限が形骸化し、退職者アカウントが残り続けた
- 事故を想定した連絡体制・意思決定がなく初動が遅れた
もちろん、セキュリティインシデント発生が直ちに違法になるということではありません。ポイントは、予見可能性(起こり得ることを想像できたか)と、回避可能性(やるべき対策を合理的に取れたか)、そしてその意思決定プロセスが残っているかです。
第三者に対する責任
会社に対する責任とは別に、取締役等が職務で「悪意または重大な過失」があると、第三者に対して損害賠償責任を負う可能性も定められています。
会社法429条1項
役員等がその職務を行うについて悪意又は重大な過失があったときは、当該役員等は、これによって第三者に生じた損害を賠償する責任を負う。
情報漏えい等では、被害者(顧客等)・取引先・株主など、第三者側の損害主張が出てきます。ここで問題になるのが、「重過失」と評価されるほどの著しい注意義務違反があったかどうかです。
「詳しくないから任せた」は免責にならない理由
会社法は、取締役の職務について「忠実義務」を明記しています。
また、会社と役員等の関係は「委任に関する規定に従う」とされ、役員には職務遂行上の注意義務が前提になります。
会社法355条
取締役は、法令及び定款並びに株主総会の決議を遵守し、株式会社のため忠実にその職務を行わなければならない。
会社法330条
株式会社と役員及び会計監査人との関係は、委任に関する規定に従う。
IPAのガイドラインでも、「何をすれば良いか分からないから部下に任せる?」という“ありがちな姿勢”に対して、信用失墜・取引停止・事業停止・損害賠償等の帰結が示唆されています。
経営として問われるのは、「詳しいかどうか」ではなく、統制していたかどうかです。
ガバナンスとしてのセキュリティ
会社法は、取締役会が重要な業務執行の決定を取締役に委任できない事項の一つとして、法令遵守体制その他、業務の適正を確保するために必要な体制(いわゆる内部統制)の整備を挙げています。
会社法362条 4項
取締役会は、次に掲げる事項その他の重要な業務執行の決定を取締役に委任することができない。
1〜5(略)
6 取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務並びに当該株式会社及びその子会社から成る企業集団の業務の適正を確保するために必要なものとして法務省令で定める体制の整備
セキュリティは、まさに「業務の適正」や「法令遵守」に直結します。
つまり、「IT部門の運用課題」ではなく、本来は経営層(取締役会・経営会議)が設計し、継続的にレビューすべき統制です。
IPAのガイドラインにおいても、経営者が認識すべき3原則の1つとして「情報セキュリティ対策は経営者のリーダーシップで進める」ことを挙げています。
個人情報漏えい発生時は法律上の義務対応も
事故対応で経営の責任が問われやすいのは、個人情報漏えいが絡むケースです。
個人情報保護法では、一定の個人情報漏えいが発生した場合は、個人情報保護委員会への報告と本人への通知が義務化(令和4年4月1日から)されており、この報告は「速やか(概ね3~5日以内)」に行うことが求められています。
そのため、この義務への対応が為されなかったり不十分だった場合、次のようなリスクが経営に影響を与えるおそれがあります。
- 初動の遅れが”重過失”評価に繋がる
「把握していたが社内で止まっていた」「外注先から連絡が来ていたが放置した」などは、対外的に説明しづらいです。 - “統制がない会社”とみなされる
報告・通知の体制がないこと自体が、平時の統制不備(=任務懈怠の下地)を疑われます。
経営者がすべきこと
以上のとおり、経営者が情報セキュリティ対策に積極的に取り組んでいない場合、法的な観点だけでなく経営に影響を及ぼす様々なリスクがあることがわかると思います。
だからといって、経営者が“セキュリティに技術的に詳しくなる”必要はありません。
経営者に求められるのは、意思決定と統制の型を持つことです。
経営者が取るべき姿勢
IPAのガイドラインでは、経営者が認識すべき事項として、情報セキュリティ対策は経営者のリーダーシップで進めること、委託先も含めて考慮すること、関係者とコミュニケーションを取ることを「認識すべき3原則」として示しています。
その上で、次のの3点を自社の仕組みとして整えると、セキュリティに関する責任分担が曖昧にならず、判断が止まりにくくなります。
- 方針(ポリシー):経営としての“基準”を決める
何を守るのか(例:個人情報、顧客データ、基幹業務)、何を優先するのか(例:止めないこと/漏らさないこと)を言語化 - 体制(ガバナンス):“誰が決めるか”を固定する
情報セキュリティ対策責任者(CISO相当)と、最終的に承認する人(経営・取締役)を明確にし、例外や追加投資の判断ルートを決定 - 報告(モニタリング):“どこまで見える化するか”を決める
経営が見るべき指標(例:重大脆弱性の残数、バックアップ成功率、インシデント件数)を定め、月次・四半期などの頻度で報告させる
経営ガイドラインも“経営の責務”を明確化
経済産業省がIPAと策定する「サイバーセキュリティ経営ガイドライン」でも、経営者が認識すべき原則や、CISO等に指示すべき事項が整理されています。
改めて、現場任せではなく、「経営者が要求水準を定義して実行を統制する」という考え方が重要になってきます。
経営者・役員向け:最低限の実務チェックリスト
ここでは、経営者や役員・取締役などが任務懈怠リスクを現実的は範囲で下げるための、最低限考慮・実行すべき点をまとめます。
なお、全部を一気にやる必要はありません。大事なのは、決めて、記録して、回し続けることです。
A. ガバナンス(経営の宿題)
- セキュリティ方針(守る情報・守る水準・優先順位)を明文化
- 責任者(CISO相当)と承認者(経営)を明確化
- 月次/四半期で、経営に上がる指標を決める(例:重大脆弱性の残数、バックアップ成功率、訓練実施、インシデント件数)
B. 委託先・サプライチェーン(“丸投げ”対策)
- 契約で責任分界(誰が何をアップデートするか、ログは誰が持つか)を明確化
- 委託先の実装状況を確認する仕組み(チェックリスト・報告会)を用意
- 重要システムは、委託先任せにせず“受入基準”を定める
C. 事故対応(遅れが致命傷になりやすい)
- 連絡網(法務/広報/顧問/委託先/保険)と意思決定フローを整備
- 報告・通知の要否判断(個情法等)を誰がやるか決める
- 机上訓練を年1回でも実施(“初動の型”を作る)
セキュリティは「技術」ではなく「統制」
セキュリティに消極的な経営が危ういのは、「事故が起きるから」だけではありません。
事故が起きたときに、
- 会社法上の責任(任務懈怠、第三者責任)を説明できない
- 法令上の義務(個人情報漏えい時の報告・通知など)に遅れが出る
- 結果として、信用失墜・取引停止・損害賠償等が現実化する
という連鎖が起こるからです。
「詳しくない」ことが悪いのでは無く、弱点になるのは「統制していない」ことです。
また、情報セキュリティに関して本当に困るのは「事故が起きた瞬間」だけではありません。
むしろ平時に、取引先から「セキュリティ対策は?」「チェックシートに答えてほしい」と求められたときに、会社としての答え方が定まっておらず、担当者の勘で回答がブレるという状態が、信用や取引継続のリスクになります。
だからこそ必要なのは、過剰な対策の積み上げではなく、“30分で答えられる状態”を先に作ることです。
- 取引先に説明する軸(方針・現状・今後)
- 最優先の3事項(今やること/やらないことの線引き)
- 取引先対応に使える文書(A4用紙 1枚のサマリ等)
もしこれらの事項が決まっていないと感じるなら、取引先対応・初動整備60分|30分で答えられる状態へで、現状を棚卸しし、社内外で使える形に整理します。