2019年11月に発売された「経営者のための情報セキュリティQ&A45」は、どのような経営者が読むと有益なのでしょうか。

とある勉強会でご一緒したECサイト経営(仮)のTさんに質問を受けました(仮)ので、その流れでご説明しましょう。

Tさん（女性、年齢は機密情報）
株式会社LPD Global（名称仮）　代表取締役
仕事、家事、育児を難なくこなすスーパーキャリアウーマン。
好きなものは論理性と恐竜。最近はゼロトラストにはまりつつ、恐竜のデータを活用すれば、新たな発見ができるのでは？と日々模索している。

Tさん：

先生、なぜ、経営者は自社の情報セキュリティについて、無知や無策ではダメなんですか？

北條：

Tさん、それはいい質問だね。知らないことを知るという無知の知は哲学的にはよいことだけれど、それだと経営者としては失格なんですよ。
昨今、ビジネス形態が変わってきた現状があると思うけれど、様々な企業においてこれまでと異なって何が増えてきたと思いますか？

Tさん：

うーん、なんだろうな？？

💡分かった！レンタルオフィス！
スタートアップ企業はレンタルオフィスを借りて小さく起業して、売上が伸びれば大きなオフィスに引っ越すようになってきましたよね。なので、レンタルオフィスを借りる企業が増えてきました！

北條：

・・・、た、確かにそういう企業も増えてきましたね😓
特に最近は弁護士の数も増えてきたことから、レンタルオフィスを借りて事務所を開く弁護士も増えてきましたしね。
それでは、今Tさんが想定したスタートアップ企業はどんなことをビジネスとして立ち上げたのかな？

Tさん：

買い物代行サービスのプラットフォームを提供するビジネスなんてどうでしょう！
最近、食べ物屋さんでテイクアウトするように料理してもらったものを、自転車で家まで届けてくれるサービスが流行ってますよね。そのサービスと同じように、都会に住んでいない人が、都会に住んでいる人にお願いして、雑貨屋さんとかに売っている可愛い商品を代わりに買って送ってくれるサービスは必要だと思うんです。センスも問われますしね。そのような依頼する人と代わりに買ってきてくれる人たちをツナぐサービスを提供するビジネスがよいと思います。
そういうビジネスであれば、大きな事務所も人もそんなにはいらないですよね。

北條：

なるほど！それは本当に流行りそうだね！

Tさん：

そうですよね！
私も恐竜の模型を部屋にたくさん飾りたいので、北海道とか北陸とか色々な地域にある恐竜博物館で販売されている模型を～

北條：

ス、ストップ！Tさん。妄想が過ぎますね(^▽^;)。
そのようなプラットフォームビジネスを立ち上げたとすると、何が増えるかな？

Tさん：

うーーん、なんでしょう？
プラットフォームビジネスということなので、サービスを提供する企業やサービスを受けたいユーザの色々なデータが増えますね。

北條：

よく気がつきました！昨今は、新たなサービスを立ち上げると、ほとんどの場合、取り扱うデータが増加します。
このようなデータを取り扱うサービスを提供するのに、その基盤(プラットフォーム)となる経営者は情報セキュリティに対して無知や無策でよいのでしょうか？そんな企業を利用しようとしてくれるのでしょうか？

Tさん：

私は、恐竜を好きだということをたくさんの地域の博物館の館長さんが知ってくれて、館長さんから恐竜の模型をプレゼントしてくれるなら、私の情報なんかいくらでも・・・

北條：

ス、ストップ！Tさん。今日は一段と妄想に磨きがかかっていますね・・・
恐竜が好きだという情報を博物館の館長さんだけが知ってくれるならよいですけど、毎月いくら使っているとか、どのサービスを提供してくれる事業者を好むとか、荷物の届け先とか、利用するユーザによっては服を購入してくれるサービスを利用する際の身体のスリーサイズとか、ズボンの股下の長さとかの情報まで取り扱うことが考えられますね。

Tさん：

身体のスリーサイズがばれるのはイヤですね。年齢と同じく国家機密レベルです。
それなのに、無知、無策でずさんな管理しかしてくれないのだったら、服を購入してくれるサービスは利用しません！

北條：

そういう風に情報を取り扱う企業が情報セキュリティに対して無知、無策であった場合、そんな企業が提供している基盤(プラットフォーム)上で展開しているサービスは利用しないというユーザも出てきます。
また、情報セキュリティ対策をきちんとしていると思って利用していたのに、外部からの攻撃によって、利用しているユーザの情報が漏えいしてしまった場合は、どうしますか？

Tさん：

そんな企業が提供するサービスなんか二度と使いませんし、私の情報が漏えいしたと思うと夜も眠れません。慰謝料を払ってくださいと経営者を訴えます。

北條：

その訴えられたときに重要な要素となるのが、経営者の善管注意義務です（妄想がスゴいけれど、ようやく本題に入れました・・・）。

Tさん：

ん？先生、善管注意義務が重要な要素となるのはわかりました。が、今何かつぶやきませんでしたか？

北條：

い、いえ、何も。
（今日は妄想が過ぎる上に、耳も鋭い！）

話を続けると、本書のQ33にも書かれているのですが、経営者が負う善管注意義務とは、経営者は企業とは委任関係に基づいた契約を締結していて、この契約に基づく善良なる管理者としての注意義務を善管注意義務といいます。会社法上の規定には忠実義務というのもありますが、善管注意義務と同じと考えていただいて構いません。
一方、経営者ではない従業員は、雇用契約に基づいて労働力を提供する契約関係になるため、善管注意義務とは異なり、労働契約に基づいた義務を負うことになります。

Tさん：

善管注意義務の義務内容はどんなのがありますか？

北條：

善管注意義務は、経営者としてすべき多くの義務を含みます。
経営者は法令を遵守し、会社にできるだけ損失を与えないようにしつつ経営しなければなりません。一般的には、その業種・分野の専門家として一般に期待される注意義務を意味します。経営者の場合だと、一般の取締役としての地位にある者に要求される水準の注意義務と考えられています。
より具体的には、経営者は、①会社法その他の法令、定款、株主総会決議などに違反するようなことは行わないこと、②自己又は第三者の利益を図る目的、又は会社に損害を与える目的で経営権を行使しないこと、③関連分野の通常の経営者を基準として事実に基づく判断が著しく不合理ではないこと、などが挙げられます。

Tさん：

そうすると、善管注意義務には、情報セキュリティ対策をするといったリスク管理も含むのですね？

北條：

そのとおりです。情報セキュリティ対策をすべきリスク管理体制の構築は、③に含むと考えられるでしょうね。ただ、会社法や規則では、リスク管理体制の構築義務とまでは規定されておらず、構築するかどうか、構築するとした場合にどのような整備をするかという重要な事項の決定をすることまでしか規定されていませんので、構築しないという決定もあり得るかもしれません。しかし、昨今の情勢を鑑み、上記の善管注意義務の内容を考えれば、構築しないという決定をされること自体が取締役会として不合理であり、取締役会に出席していた各取締役はこのような決定をしたことが善管注意義務を怠ったといえる可能性があります。そのため、基本的には、情報セキュリティ体制を構築する義務まで含まれると思います。

会社を経営するには、ビジネスを取り巻くリスクを正確に把握し、リスク管理を行える体制を構築しなければなりません。このリスクには企業が確保する情報セキュリティを脅かしビジネスに影響を及ぼすリスクも含まれます。

Tさん：

ふむふむ。

北條：

この管理体制を構築するには、会社に取締役会があるのであれば取締役会が大綱を決定し、担当取締役が具体的なリスク管理体制を構築すべき義務を負うと考えられます。取締役会がなければ担当取締役がこの決定を行い、構築する義務を負います。そして、担当ではない取締役も、担当取締役に完全にお任せしてしまうというだけでは責任は逃れられません。担当以外の取締役も、担当取締役がきちんとしたリスク管理体制を構築しているかという監視義務を負っています。
このような担当取締役における取締役会で決定したリスク管理体制を構築すべき義務や担当以外の取締役の監視義務が善管注意義務に含まれます。

Tさん：

分かりました😉
では、昨今、よく聞くCISO(Chief Information Security Officer)はどういう位置づけになるのですか？担当取締役ですか？

北條：

企業はどのような運営体制にするか、管理体制にするかということを自由に設計することができますので、CISOの地位も各社バラバラに設計できます。CISOを担当取締役とするのであれば、上記の善管注意義務をCISOが負うことになります。一方、CISOを経営者とは位置づけず、担当取締役の下部組織、つまり自身の部下に位置づける場合には、担当取締役がリスク管理体制構築義務を負い、CISOに具体的に指示して実施することになります。この場合、CISOは従業員としての役割であるため、経営者と同じ善管注意義務を負うことはなく、経営者としての善管注意義務を負うのは、担当取締役ということになります。

話を元に戻すと、経営者が情報セキュリティに対して無知や無策であれば、この善管注意義務を果たしたとはいえず、善管注意義務に違反していると認められてしまうことも考えられるのです。

Tさん：

なるほど！！よくわかりました。
プレミアムな恐竜関連グッズを買いたい私の希望を叶えてくれるためには、私がそれを集めているということを提供者に知ってもらう必要があるわけですが、必要以上の情報を収集されたり、情報管理に不備があって外部に漏えいしてしまえば、私が不利益を受けるかもしれないですね。
そもそも、基盤(プラットフォーム)サービスを提供している企業は、そのサービスによって利用料などの利益を得ているわけで、情報セキュリティ対策をきちんとしておらず、サイバー攻撃の被害に遭ったら、自分たちも被害者だというのは筋違いということになりますね。

北條：

そうですね。
また、被害に遭った人は企業と経営者の両方に対して損害賠償を請求できますが、通常はまず企業に対して損害賠償を請求し、企業が損害を受けたのは経営者の善管注意義務違反だとして、企業が経営者に責任を追及することになります。

Tさん：

そうすると、善管注意義務違反にならないようにするにはどうしたらよいか、何を検討しておくべきか、ということが不安な経営者の方々、よくわからない経営者の方々に、本書を読んでいただくのがよさそうですね。

先生、今日はどうもありがとうございました。