[連載]中小企業の情報セキュリティ対策ガイドライン解説 第2回 「経営者が負う責任」

中小企業の情報セキュリティ対策ガイドライン解説の第2回です。第1回をまだご覧になっていない方は以下のリンクからどうぞご覧ください。

まちIT

[連載]中小企業の情報セキュリティ対策ガイドライン解説 第1回 「情報セキュリティ...

https://machi-it.jp/guidelines-for-information-security-01

はじめにこれから不定期で、「中小企業の情報セキュリティ対策ガイドライン解説」と題した連載を行なってきます。「中小企業の情報セキュリティ対策ガイドライン」ですが、これは独立行政法人 情報処理推進機構が提供している、中小企業向けの情報セキュリティ対策について取りまとめた資料です。以下のリンクから、資料は自由にダウンロードできます。https://www.ipa.go.jp/security/guide/sme/about.htmlこの資料は大変よくできていてとってもおすすめなのですが、予備知識がない方が読みこなすにはちょっと大変かもしれません。そ...

今回は情報セキュリティについて、経営者が負う責任について解説していきます。

２.経営者が負う責任

中小企業の情報セキュリティ対策ガイドラインの「2.経営者が負う責任」には以下のようなたくさんの法律の名前が並んでいます。

これらのいずれも経営者に関係してくる可能性がありますが、特に以下の2つが重要と考えられます。

1. 民法・会社法における責任
2. 個人情報保護における責任

1. 民法・会社法における責任

企業のセキュリティ体制が規模や業務内容に照らして不適切で、サイバー攻撃により企業や第三者に損害が発生した場合、以下の責任を問われます。

• 民法第415条：債務不履行による損害賠償責任
• 民法第644条：取締役の善管注意義務違反
• 会社法第330条：取締役の善管注意義務違反
• 会社法第423条第1項：任務懈怠による損害賠償責任
• 会社法第429条第1項：第三者に対する注意義務違反

これらにより、経営者個人が損害賠償責任を負う可能性があります。

2. 個人情報保護における責任

個人情報保護法

個人情報保護法では、個人情報取扱事業者に以下の義務を課しています。

• 個人情報の安全管理措置（法第23条）
• 従業者・委託先の監督（法第24条、第25条）
• 個人データの漏えい等報告義務（法第26条）
• 外国にある第三者への個人データ提供の制限（法第28条）

これらの義務に違反した場合、以下の罰則が科せられることがあります。

• 個人情報保護委員会からの命令に違反（法第173条）：1年以下の懲役または100万円以下の罰金
• 個人情報データベース等不正提供罪（法第174条）：1年以下の懲役または50万円以下の罰金
• 報告および立入検査の拒否（法第177条）：50万円以下の罰金
• 両罰規定（法第179条）：行為者だけでなく法人に対しても1億円以下の罰金

マイナンバー法（番号法）

また個人情報という点において、システムによってはマイナンバーを取り扱う場合があるかもしれません。その場合はマイナンバー法についても注意が必要です。

マイナンバーを含む特定個人情報の取り扱いにおいては、

• 特定個人情報ファイルの不正提供（第48条）：4年以下の懲役若しくは200万円以下の罰金または併科
• 不正な利益を図る目的での個人番号の提供または盗用（第49条）：3年以下の懲役若しくは150万円以下の罰金または併科
• 不正な手段での個人番号取得（第51条）：3年以下の懲役または150万円以下の罰金

などの厳しい罰則が設けられています。

その他の関連法令における責任

上記のものはほぼ全ての経営者において関係する法律となりますが、それ以外にも取り扱う情報やシステムなどにより、さまざまな関連法令があります。最初のリストにある法令はもちろん、取り扱うものに応じた関連法令には十分に注意を払いましょう。