2018年10月03日

情報流出 ~ 経営者の会社への賠償責任は?

セキュリティ・コラム by MM総研所長 中島洋

 このほど、岡山地裁で経営者にとって気になる判決が言い渡された。原告は、学習サービス大手、ベネッセの株主。被告はベネッセの元役員である。個人情報の大規模流出事件で被った同社の損害は、当時の経営陣の「善良なる管理義務違反」であるとして、経営陣が会社に対して損害を賠償すべきだとして行った株主の賠償請求訴訟を岡山地裁が棄却、経営者に賠償責任なし、として原告敗訴の判決となった。

事件は記憶に新ただろう。大量の個人情報が流出し、それが悪用されたとして大きな社会問題に発展したベネッセの会員情報流出事件である。情報が流出された会員に対しては企業としてベネッセとして謝罪し損害補償の措置は講じているが、今回の判決は、ベネッセの企業価値を損ね、会員への補償やシステムの再構築費用など、企業に損害をもたらしたのは経営陣の責任だとして、東京の株主が「株主代表訴訟」を起こしていたものである。「当時の会長や役員ら6人に総額260億円を同社に賠償する」というとても個人では負担しきれない巨額の請求だった。判決は多くの経営者の強い関心を引いて当然である。

個人情報ならずとも、企業の内部情報が盗み出され、ライバル企業に渡ったり、ネット上にばらまかれたりすれば、企業は信用失墜など大きなダメージを受ける。こうした際にも経営者が情報流出を防ぐ適切な対策を打っていなかったと株主代表訴訟の被告人になる危険があるということはかねて、経営の教科書に載る有名な事例である。

岡山地裁は、請求棄却の理由について、個人データの安全管理に関し「必要な措置は一次的にベネッセコーポレーションの取締役会で決定される事柄だ」と個人個人の問題を超えたものと指摘した。さらに、「株主の主張では、親会社のホールディングス側にどのような義務違反があったのか立証が果たされていない」として請求を斥けた。

事件が起きた時点では完全に情報が盗み出されることを防ぐ方法は存在しなかったので、経営者が義務を怠ったということは立証できなかった、ということである。

しかし、秘密分散処理のように、仮にデータの一部が盗み出されたとしても、それ自体はただの無意味なデータの切れ端でしかなく、「情報」にはなっていない、ということになればどうだろうか。仮に「データ」は盗まれても、それは意味のない断片でしかなく、「情報」は盗まれていない。こういう手段を利用していれば、情報を盗み出されることを完全に防ぐことができたのである。

事件当時は十分に知られる事実ではなかったが、秘密分散処理技術は商品化され、すでに新聞やマスメディアで広く取り上げられている。情報管理について経営者として普通の関心を持っていれば、知ることができるはずだ。そうした技術が広く知られているのに、それを採用せずに情報漏洩の事故が起きれば、これは経営者としての「善良なる管理者義務違反」に相当する。

ベネッセの判決は、今後は通用しない前例である。しかるべく適切な対策を急ぐ必要がある。

ZENMUから始まる未来は、こちら

 

Inquiry
Inquiry

Request documents
Request documents

CONTACT

Inquiries

Feel free to contact us.
Online seminars are also held as needed.