発行日 :平成23年 8月
発行NO:No27
発行    :溝上法律特許事務所
            弁護士・弁理士 溝上哲也
→事務所報 No27 INDEXへ戻る

   【4】論説〜システム監査と個人情報保護〜
  前回、会社法上、株式会社の取締役は、「取締役の職務の執行が法令及び定款に適合することを確保するための体制」(会社法362条4項6号、348条3項4号)、すなわち内部統制システムの整備を要求されており、監査役は、取締役の職務の執行に関する監査の一環として内部統制システムの監査を実施することを述べました。これらは、取締役の善管注意義務、忠実義務、監査役の善管注意義務の内容をなすものとして、従来から裁判例でも認められていたものであり、会社法によって明文化されたものといえます。これら義務に違反した場合、株式会社に対する損害賠償責任を負い(会社法423条)、悪意または重過失があった場合は第三者に対する損害賠償責任を負います(会社法429条)。
  今回は、これらに関する裁判例と、近年漏洩事件が多発している個人情報に関するシステム監査の手続を紹介します。

・大和銀行株主代表訴訟事件(大阪地裁平成12年9月20日判決)
  大和銀行ニューヨーク支店の担当者が証券取引で失敗した巨額の赤字を隠蔽するために保管証明書の残高を偽造していたことについて、取締役及び監査役に対する損害賠償請求がなされた事案です。証明書の内容を前提とした監査では偽造は発覚しない事案でした。しかし、裁判所は、次のとおり判示し、証明書と現金の付き合わせ等、会計検査上基本となる点検項目の設定と監査体制を確立し、そのための内部統制システムの構築と具体的な点検の実施が取締役の経営責任であるとしました。そして一部の取締役についてですが、善管注意義務及び忠実義務違反を認め、巨額の損害賠償責任を認めました。

  「取締役は、取締役会の構成員として、また、代表取締役又は業務担当取締役として、リスク管理体制を構築すべき義務を負い、さらに、代表取締役及び業務担当取締役がリスク管理体制を構築すべき義務を履行しているか否かを監視する義務を負うのであり、これもまた、取締役としての善管注意義務及び忠実義務の内容をなすものと言うべきである。監査役は、・・・業務監査の職責を担っているから、取締役がリスク管理体制の整備を行っているか否かを監査すべき職務を負うのであり、これもまた、監査役としての善管注意義務の内容をなすものと言うべきである」

・ヤクルト株主代表訴訟(東京地裁平成16年12月16日判決)
  資金運用担当取締役の指示でなされたデリバティブ取引で会社が巨額の損失を被ったことについて、担当取締役を含む取締役及び監査役に対する損害賠償請求がなされた事案であり、次のとおり、リスク管理体制の構築義務を前提とした判示がなされています。 「・・・このような取締役の監視義務の履行を実効あらしめ、かつ、その範囲を適正化する観点から、個々の取締役の職務執行を監督すべき取締役会が、個々の取締役の違法な職務執行をチェックしこれを是正する基本的な体制を構築すべき職責を有しており、これを前提に、会社の業務執行に関する全般的な監督権限を有する代表取締役と当該業務執行を担当する取締役が、その職務として、具体的なリスク管理など内部管理体制を構築し、かつ、そのようなリスク管理体制に基づき、個々の取締役の違法な職務執行を監督監視すべき職責を担っていると解すべきである。・・・必要なリスク管理体制をどのようなものにするかについては、経営判断の原則が妥当するというべきである。・・・したがって、取締役が、意思決定が行われた状況下において、取締役に一般的に期待される水準に照らして、当該判断をする前提となった事実の認識の過程(情報収集とその分析、検討)に不注意な誤りがあり、合理性を欠くものであったか否か、そして、その事実認識に基づく判断の推論過程及び内容が明らかに不合理なものであったか否かが問われるべきであり、そのような観点からみて、本件デリバティブ取引に関する具体的なリスク管理体制の構築を怠っていたと認められる場合において、個々の取締役が違法な職務執行を行い会社が損害を被ったときは、他の取締役についても、監督・監視義務を内容とする善管注意義務違反を問われる余地があると解される。 ・・・監査役は、「取締役ノ職務ノ執行ヲ監査」すべき職責を負い(商法274条)、株式会社の監査等に関する商法の特例に関する法律22条1項が適用される場合を除き、取締役の職務執行の状況について監査すべき権限を有することから、上記リスク管理体制の構築及びこれに基づく監視の状況について監査すべき義務を負っていると解すべきである。 」
  しかし、経営判断の原則により担当取締役以外の取締役、監査役の義務違反を否定しました。すなわち、同時案は平成5年から平成10年にかけてのデリバティブ取引が問題となっているところ、「当時はデリバティブ取引に対する周知度は低く、金融機関ですら完備されたリスク管理体制を構築しておらず、監査室からも本件監査法人からも特段の指摘はなかった」などと判断されました。

  もっとも、この当時と、現在では状況が異なっていると言えます。前述の会社法の明文化のほか、対象が個人データに限定されているものの、個人情報取扱事業者に対し安全管理のために必要かつ適切な監督等を要求する個人情報保護法が平成17年から施行され、対象が財務報告の信頼性に関するものに限定されているものの、内部統制報告と内部統制監査について定めた金融商品取引法が平成19年から施行されています。前記取締役の善管注意義務、忠実義務、監査役の善管注意義務としてもより高い水準が要求され、近時漏洩事件が多発している個人情報についても、会社として業務システムを構築し、管理体制を確立し、統括することにより事故を回避することが求められるようになってきていると言えます。

  この点、取締役の責任としてではないものの、東京高裁平成19年8月28日判決は、エステディックサロンを経営する会社が、ウェブサイトに送られる個人情報の管理を専門業者に委託していたところ、その業者の過失でインターネットの一般利用者が自由に個人情報にアクセスできる状態となり個人情報が流出したという事案で、会社の使用者責任としての損害賠償責任を認めています。ただし、個人情報保護法では第22条に個人情報の委託先の監督義務が明記されていますが、同時案の行為自体は個人情報保護法施行前であり、プライバシー権侵害の側面が強調されています。もっとも、少なくとも個人情報保護法違反はプライバシー権侵害における過失の基準たりうると言えるでしょう。

  システム監査は、以上のように法令上も裁判例においても、厳格に求められる傾向にあるリスク管理体制の整備の一環として、積極的に活用することができます。  そこで、前回述べたシステム監査の概要を踏まえ、システム監査としての個人情報保護監査を例にとって、それがどのような手続になるのか概要を説明します。

  まず、監査人は、監査実施計画を立案します。監査計画書には、目的(個人情報保護に対するリスク管理体制の確立等)、範囲(顧客情報、従業員情報等)、対象(事業所、部署)、日程、監査体制等を明記します。そして、組織体の長の承認を得ます。
  システム監査は通常、予備調査、本調査の各段階に分けて行います。すなわち、日程計画に基づいて、全社に監査の実施を通知し、予備調査として必要な資料提出を求めます。個人情報保護関連の規程、業務フローを中心とした個人情報の取得・利用・管理状況、個人情報管理台帳・データ、組織・役割分担についての各資料を収集する必要があります。これら資料を分析し、予備調査として、個人情報保護体制の整備状況を把握し、これらが有効に機能しているかチェックするための本調査の準備を行います。
  例えば、個人情報の特定の要件として、保有する全ての個人情報を漏れなく特定するための手順を確立し、維持すること、そして、適正な保護措置を講じない場合のリスクと影響を把握していることが必要です。リスクを洗い出すためには、業務フローに沿って、個人データの流れをチェックすることが必要です。

  予備調査の実施後、本調査により、個人情報の特定手順の確立及び特定した個人情報の取扱い体制、リスクの洗い出しが出来ているか、リスクに対してどのような対策が必要か(技術的対策、人的対策等)、それら対策の実施状況、残存リスクを明らかにしていくことになりますが、その方法としては、事前に監査チェックリストを作成し、現場の責任者、担当者を対象としたヒアリング、業務フローに沿った個人情報の収集・利用・保管・廃棄状況の実地調査、記録類(監査証跡)の確保等を行います。収集した資料は監査調書としてとりまとめます。監査調書の一部は監査報告書の記載内容を裏付けるために監査証拠として添付することになります。

  本調査の実施後、調査結果の整理・分析を行い監査報告書を作成します。この段階でも、必要に応じて意見交換会等を実施して被監査部門に説明を求め確認調整を行い、事実誤認を排除します。
  作成した監査報告書は組織体の長に提出するだけという場合もありますが、通常は監査報告書に基づいて、監査報告会を実施します。大規模な監査になると、複数の中間報告があり、その後に最終報告という形になります。監査報告書の構成自体は、監査人により特色があり決められた形式はありませんが、通常は、緊急改善項目、通常改善項目の指摘を行います。例えば、個人情報が記録された媒体が不正に持ち出された際に直ちに発見できるしくみになってないとか、消去されているはずの個人データの消去の実施の有無を確認することができない等ということがあれば、緊急改善項目となるでしょう。また、前回監査がある場合は、前回指摘事項の改善状況も盛り込みます。もっとも、保証型のシステム監査においては、株主に提供される会計監査報告書のように、「・・・システム管理基準に照らし適切であると認める。」といった、ほぼ結論のみの報告書の形態もあります。
以上

(H23.7作成: 弁護士・弁理士 江村 一宏)
→【1】論説:〜2011年特許法改正について〜
→【2】論説:〜知的財産刑事事件における「故意」〜
→【3】論説:〜商標権消滅後1年間の他人の商標登録排除規定の廃止について〜         
→【5】記事のコーナー :平成23年3月11日発生の東北地方太平洋沖地震に対する特別措置について
→【6】記事のコーナー :アンケート:最近はまっていること、休日の過ごし方や趣味
→事務所報 No27 INDEXへ戻る



溝上法律特許事務所へのお問い合わせはこちらから


HOME | ごあいさつ | 事務所案内 | 取扱業務と報酬 | 法律相談のご案内 | 顧問契約のご案内 | 法律関連情報 | 特許関連情報 | 商標関連情報 |
商標登録・調査サポートサービス | 事務所報 | 人材募集 | リンク集 | 個人情報保護方針 | サイトマップ | English site
1997.8.10 COPYRIGHT Mizogami & Co.

〒550-0004 大阪市西区靱本町1-10-4 本町井出ビル2F
TEL:06-6441-0391 FAX:06-6443-0386
お問い合わせはこちらからどうぞ