情報セキュリティ対策における善管注意義務

企業活動においては、ミスや障害、サイバー攻撃等による不測の事態が発生し、契約している業務が予定通りに遂行できなくなったり、機密情報が外部に漏えいしたりするなど、意図せずして顧客や取引先に大きな損害を及ぼしてしまう可能性があります。
状況によっては顧客や取引先との間で訴訟問題にまで発展し、企業経営者等の善管注意義務が問われることにもなりかねません。ということで、今回は情報セキュリティ対策における善管注意義務について見ていきましょう。

●善管注意義務とは

そもそも善管注意義務とは、社会通念上あるいは客観的に見て、当然要求される注意を払う義務とされており、民法の第644条では「受任者（委任を受けた者）は、委任の本旨に従い、善良な管理者の注意をもって、委任事務を処理する義務を負う」と規定しています。

つまり、企業であれば、特定の管理者や経営者だけでなく、契約等によって何らかの業務を委任された人に対して求められます。

とはいえ、企業の取締役は法律上（会社法 第330条 ）会社から経営を委任された立場であるため、その責任は重く、善管注意義務を怠って会社に損害を与えた場合、損害賠償責任を負わなければなりません。（会社法 第423条）

●情報セキュリティ対策において善管注意義務が問われる例

情報セキュリティ対策において善管注意義務が問われるケースとしては、例えば次のようなものが挙げられます。

・ネットワーク機器の既知の重大な脆弱性を突いた攻撃によって社内ネットワークに侵入され、ファイルサーバに保存されていた顧客情報が外部に漏えいした。
・ランサムウェアによる攻撃で大規模なシステム障害が発生し、委託された業務が予定通りに遂行できなくなった。
・会員向けWebサイトに重大な脆弱性があったため、第三者の不正アクセスによって正規会員のポイントが不正利用された。
・クラウド上で顧客に提供している業務管理システムの設定不備により、機密情報が誰でもアクセスできる状態になっていた。
・業務委託先の従業員がUSBメモリで顧客の個人情報を不正に持ち出し、紛失した。

●情報セキュリティ対策における善管注意義務違反が認められた判例

過去に情報セキュリティ対策における善管注意義務が法廷の場で問われた判例を示します。

＜原告＞
インテリア商材の卸小売及び通信販売等を行う会社

＜被告＞
原告の商材等のウェブ受注システムの開発を受託した会社

＜発生した事象と判例＞
・上記ウェブ受注システムのサーバに不正アクセスがあり、SQLインジェクション（※）と呼ばれる攻撃によって顧客のクレジットカード情報を含む個人情報が流出。
・原告は、被告に対し、「適切なセキュリティ対策を講じていなかった」として、約1.1億円の損害賠償を請求。
・東京地裁は、被告がセキュリティリスクを認識していたにもかかわらず、適切な対策を怠ったことから善管注意義務違反があったと認定。

※用語解説：SQLインジェクション
ユーザの入力データをもとにSQL文を編集してデータベースにクエリを発行し、その結果を表示する仕組みになっているウェブページにおいて、不正なSQL文を入力することでデータベースを操作したり、データベースに登録された個人情報などを不正に取得したりする攻撃手法。

＜善管注意義務違反とした根拠＞
・経済産業省は「個人情報保護法に基づく個人データの安全管理措置の徹底に係る注意喚起」において、 IPA（独立行政法人 情報処理推進機構）が紹介するSQLインジェクション対策の措置を重点的に実施することを求める旨の注意喚起をしていた。
・IPAは「大企業・中堅企業の情報システムのセキュリティ対策～脅威と対策」において、ウェブアプリケーションに対する代表的な攻撃手法としてSQLインジェクション攻撃を挙げ、その対策をすることが必要である旨を明示していた。

●情報セキュリティにおける善管注意義務の判断基準

上記判例のように、情報セキュリティ対策における善管注意義務においては「その当時の技術水準」に従った対策が行われていたかが問われています。そのため、契約書等で明示的な合意がなくても、「その当時の技術水準」に従った対策を講じることが、法的な義務として求められるでしょう。

「その当時の技術水準」としては、判例にあるように、各省庁やIPAのような公的なセキュリティ機関等が公表している文書、ガイドライン等において対策実施の必要性が説かれていることをもって、それが「当時の技術水準」に該当すると判断される可能性が高いと考えられます。

上記に該当するガイドラインの例として、次のようなものが挙げられます。こうした文書を活用する等して自社のセキュリティ対策実施状況を定期的に点検し、善管注意義務違反とならないよう継続的に改善を図っていただくことをおすすめします。

■中小企業の情報セキュリティ対策ガイドライン（IPA）
https://www.ipa.go.jp/security/guide/sme/about.html

＜概要＞
・中小企業の経営者や実務担当者が、情報セキュリティ対策の必要性を理解し、情報を安全に管理するための具体的な手順等を分かりやすく示したガイドライン
・経営者が認識すべき「3原則」、経営者がやらなければならない「重要7項目の取組」を記載
・すぐに使える「情報セキュリティ基本方針（サンプル）」や「情報セキュリティ関連規程（サンプル）」等のひな形を付録として提供


■サイバーセキュリティ経営ガイドライン（経済産業省、IPA）
https://www.meti.go.jp/policy/netsecurity/mng_guide.html

＜概要＞
・ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するため、経産省とIPAが策定したガイドライン
・サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部（CISO等）に指示すべき「重要10項目」を提示