企業経営とサイバーセキュリティを研究しているという弁護士と、意見交換をする機会があった。私たちも「サイバーセキュリティは経営課題」と唱え、事業継続を脅かすサイバー攻撃が日常化した今は、経営者自らが先頭に立って自社の(&サプライチェーンの)サイバーセキュリティ対策をすべきと申し上げている。その点で意見は一致するのだが、先方は法的な立場で経営責任について教えてくれた。
これまで、いくつかの政府機関が発表した企業に求める行動計画等がある。
■2022年サイバーセキュリティ戦略本部「重要インフラの行動計画」
取締役の内部統制システム構築義務には、適切なサイバーセキュリティを講ずる義務も含まれる。セキュリティ体制の決定に関与した経営層は、任務懈怠に基づく損害賠償請求を問われ得る
■2024年「サイバー安全保障分野での対応能力の向上に向けた有識者会議」
サイバーリスクは事業継続を損なうリスクになりつつあり、自然災害と同程度の深刻度。発生頻度の面から見ると、自然災害とは比較にならないほど高い
サイバーセキュリティは、ITシステム部門などの問題に留まらず、経営責任を問われかねない問題。取締役等の役員は、管理体制が不充分なことに起因して損害が生じた場合、善管注意義務違反や任務懈怠による損害賠償責任を問われ得る
昨年起きたアスクルの事案では、システム障害に対応した費用が52億円以上、事業中断による売り上げの減少は、前年同期から292億円あまりに上った。取締役を含む経営層が、サイバーセキュリティ体制の構築やしかるべき支出を行わなかったことからこのような損害が出たとしたら、当然ながら株主代表訴訟などを受ける可能性がある。
米国ほどの訴訟社会ではない日本でも、すでに2014年にベネッセコーポレーションの顧客情報漏えい事案について、経営陣6名に対し総額260億円の株主代表訴訟が起こされた例もある。
<続く>
