１　はじめに

　　東京証券取引所のプライム市場上場企業や中小企業、また官公庁、地方自治体、医療機関等に至るまで、様々な規模の様々な組織が、日々膨大な回数のサイバー攻撃を受けている。その大半は、サイバーセキュリティ対策によって被害を防ぐことができているが、セキュリティを突破されたために事業運営に大きな悪影響を与える事例が相次いでいる。そして、その復旧には、数ヶ月単位の時間を要することが珍しくない。

　　また、サプライチェーンの取引先等がサイバーセキュリティ対策を突破されれば、サプライチェーン全体に大きな悪影響を及ぼすこととなる。

　　さらに、アンソロピック社（Ａｎｔｈｒｏｐｉｃ ＰＢＣ）が開発したクロード・ミュトス（Ｃｌａｕｃｅ　Ｍｙｔｈｏｓ）等、ソフトウェア等の未知の脆弱性を自律的に発見する高度なＡＩ（Ａｒｔｉｆｉｃｉａｌ　Ｉｎｔｅｌｌｉｇｅｎｃｅ）モデルにより、サイバーセキュリティ対策が突破されるリスクは飛躍的に高まっている。

　　そして、サイバー攻撃による被害は、システムやデータの復旧費用、復旧までの逸失利益、顧客減少による売上高減少に伴う営業損失、顧客や取引先、仕入先等に対する損害賠償等、多岐にわたる。

        このような被害が会社で発生した場合でも、直ちに、取締役が、自社や顧客、取引先等の第三者に対して損害賠償責任を負うわけではない。では、どのような場合に取締役の損害賠償責任が発生するのであろうか（裏を返せば、どのようなサイバーセキュリティ対策等を講じていれば取締役が損害賠償責任を免れることができるのであろうか。）。

　　以下では、一般のプライム市場上場企業（クロード・ミュトスの使用が許される「Ｐｒｏｊｅｃｔ　Ｇｌａｓｓｗｉｎｇ」への参加企業のほか、金融機関、通信事業者、電力・ガス事業者、防衛産業等を除くプライム市場上場企業。以下同じ。）を想定して、サイバー攻撃による被害が発生した場合の取締役の任務懈怠責任（会社法４２３条1項）について検討してみたい。

　　なお、本考察は、あくまでも令和8年6月時点で取締役の任務懈怠責任を検討したものであり、今後、法令（日本国外の法令も含む。）やガイドライン等の制定や改正、技術の進展等によって結論が異なることとなり得ることにはご注意頂きたい。

 

２　一般のプライム市場上場企業の取締役の任務懈怠責任の成否

　　コーポレートガバナンス・コードが全面的に適用されるプライム市場上場企業の場合、抽象的には、経済産業省と独立行政法人情報処理推進機構が策定した「サイバーセキュリティ経営ガイドライン　Ｖｅｒ　３．０」（以下「サイバーＧＬ」という。）に記載されている事項は遵守・実践すべきことになる。しかし、仮にサイバーＧＬに記載されている事項を遵守・実践していたとしても、クロード・ミュトスのような高度なＡＩモデルによって初めて解明される脆弱性を衝かれる等してサイバー攻撃による被害が発生することはあり得る。

　　それでは、一般のプライム市場上場企業の取締役は、サイバーＧＬに記載されている事項のうちどこまで遵守していれば、任務懈怠責任を回避できるであろうか。

（１）「サイバーセキュリティリスクの認識、組織全体での対応方針の策定」の懈怠

　　　サイバーＧＬでは、「重要１０項目について、ＣＩＳＯ等への指示を通じて組織に適した形で確実に実施させる必要がある。」としており、まずその１点目として「サイバーセキュリティリスクの認識、組織全体での対応方針の策定」を挙げ、「サイバーセキュリティリスクを経営者が責任を負うべき経営リスクとして認識し、組織全体としての対応方針（セキュリティポリシー）を策定させる。」と説明する。

　　　上記１のとおり、我が国でもサイバー攻撃によりプライム市場上場企業を含む多数の事業者がサイバー攻撃によって多大なる損害を被った事例が頻発していることから、上記のように基本的な方針策定さえ怠っていた場合は、少なくとも、代表取締役のほか、経営管理担当の取締役等といった管理部門を管掌する取締役らが任務懈怠責任を免れるのはなかなか難しいのではないかと思われる。

（２）「サイバーセキュリティリスク管理体制の構築」の懈怠

　　　サイバーＧＬでは、重要１０項目のうちの２点目として「サイバーセキュリティリスク管理体制の構築」を挙げ、「サイバーセキュリティリスクの管理に関する各関係者の役割と責任を明確にした上で、リスク管理体制を構築させる。サイバーセキュリティリスクの管理体制の構築にあたっては、組織内のガバナンスや内部統制、その他のリスク管理のための体制との整合を取らせる。」と説明する。

　　　上記（１）と同様、この点も現下の状況では基本的な体制の構築といってよいものと思われ、内部統制構築義務（会社法３６２条４項６号）にも含まれ得る基本的な職務と思われる。したがって、この体制構築を怠った場合は、取締役が任務懈怠責任を免れるのは難しいと思われる。なお、この点については、内部統制構築義務にも含まれうる義務であり、代表取締役や管理部門管掌取締役にとどまらず、その余の取締役（同業他社がサイバー攻撃に遭ったことが報道されたような場合には社外取締役もありうる。）も任務懈怠責任を免れられない可能性がある。

（３）「サイバーセキュリティ対策のための資源（予算、人材等）確保」の懈怠

　　　サイバーＧＬでは、重要１０項目のうち３点目として「サイバーセキュリティ対策のための資源（予算、人材等）確保」を挙げ、「サイバーセキュリティに関する残存リスクを許容範囲以下に抑制するための方策を検討させ、その実施に必要となる資源（予算、人材等）を確保した上で、具体的な対策に取り組ませる。全ての役職員に自らの業務遂行にあたってセキュリティを意識させ、それぞれのサイバーセキュリティ対策に関するスキル向上のための人材育成施策を実施させる。」と説明する。

　　　抽象的には、サイバーセキュリティ対策のための予算や人材等を確保することは必要不可欠であり、少なくとも上記説明のうち前段部分を怠った場合、代表取締役や管理部門管掌取締役、サイバーセキュリティ関連業務管掌取締役らが任務懈怠責任を問われる可能性は否定できない。

　　　しかし、他方で、上記説明後段のうち「全ての役職員に自らの業務遂行にあたってセキュリティを意識さ」せるという啓発部分は必要な対応と考えられるものの、「それぞれのサイバーセキュリティ対策に関するスキル向上のための人材育成施策を実施させる」との点は、全ての職員を対象としてセキュリティ対策のスキル向上を図ることが望ましいとは言えても、これを怠ることで任務懈怠責任を負うとまでは言い難いと思われる。

（４）「サイバーセキュリティリスクの把握とリスク対応に関する計画の策定」の懈怠

 　　サイバーＧＬでは、重要１０項目のうち４点目として「サイバーセキュリティリスクの把握とリスク対応に関する計画の策定」を挙げ、「事業に用いるデジタル環境、サービス及び情報を特定させ、それらに対するサイバー攻撃（過失や内部不正を含む）の脅威や影響度から、自組織や自ら提供する製品・サービスにおけるサイバーセキュリティリスクを識別させる。サイバー保険の活用や守るべき情報やデジタル基盤の保護に関する専門ベンダへの委託を含めたリスク対応計画を策定させ、対応後の残留リスクを識別させる。」と説明する。

　　　この点は、単にサイバーセキュリティ対策の方針や体制を構築するだけでは不十分であり、具体的な運用として、サイバーセキュリティリスクを把握してその対応について計画を作成することは当然必要と考えられるため、これを怠った場合、代表取締役やセキュリティ関連業務管掌取締役、管理部門管掌取締役らが任務懈怠責任を負うことになる可能性はあるものと思われる。

　　　もっとも、上記計画が策定された場合は、結果的に上記計画の内容が不十分であったとしても、そこで想定されているリスクがおよそ業務と無関係なリスクであるような場合や対応策がリスク対応として明白に誤っているような場合等でない限り、取締役に任務懈怠責任を問うのは難しいと思われる（経営判断の原則）。

（５）「サイバーセキュリティリスクに効果的に対応する仕組みの構築」の懈怠

　　　サイバーＧＬでは、重要１０項目のうち５点目として「サイバーセキュリティリスクに効果的に対応する仕組みの構築」を挙げ、「サイバーセキュリティリスクに対応するための保護対策として、防御・検知・分析の各機能を実現する仕組みを構築させる。 構築した仕組みについて、事業環境やリスクの変化に対応するための見直しを実施させる。」と説明する。

　　　この点も、重要項目１０点目のうち４点目により策定すべきとされるサイバーセキュリティ対応計画を策定しただけでは不十分であり、その実践としての仕組みの構築と見直しが必要となるため、これを怠った場合、サイバーセキュリティ関連業務管掌取締役のほか、場合によっては代表取締役や管理部門管掌取締役らが任務懈怠責任を負うこととなる可能性はあるものと思われる。

（６）「ＰＤＣＡサイクルによるサイバーセキュリティ対策の継続的改善」の懈怠

　　　サイバーＧＬでは、重要１０項目のうち６点目として「ＰＤＣＡサイクルによるサイバーセキュリティ対策の継続的改善」を挙げ、「リスクの変化に対応し、組織や事業におけるリスク対応を継続的に改善させるため、サイバーセキュリティリスクの特徴を踏まえたＰＤＣＡサイクルを運用させる。経営者は対策の状況を定期的に報告させること等を通じて問題の早期発見に努め、問題の兆候を認識した場合は改善させる。株主やステークホルダーからの信頼を高めるため、改善状況を適切に開示させる。」と説明する。

　　　クロード・ミュトスのようなＡＩモデルの登場によって益々多様化・巧妙化するサイバー攻撃の手法に対応するためには、単に重要項目５点目により構築すべきとされた仕組みを構築するだけでは不十分であり、その継続的な改善は不可欠である。そのため、上記説明のうち前段及び中段の対応を怠った場合は、セキュリティ関連業務管掌取締役のほか、場合によっては代表取締役や管理部門管掌取締役らが任務懈怠責任を負う可能性はあるものと思われる。

　　　他方、上記説明のうち後段の改善状況の開示については、「適切」という文言の限定はあるものの、改善手法等の詳細な開示は、却ってサイバー攻撃を図る者に対して脆弱性を晒すことになるおそれがある。詳細な開示により脆弱性が露見したことによりサイバー攻撃を受けた場合、セキュリティ関連業務管掌取締役のほか、代表取締役や管理部門管掌取締役らが任務懈怠責任を負うこととなる可能性もあろう。

（７）「インシデント発生時の緊急対応体制の整備」の懈怠

　　　サイバーＧＬでは、重要１０項目のうち７点目として「インシデント発生時の緊急対応体制の整備」を挙げ、「影響範囲や損害の特定、被害拡大防止を図るための初動対応、再発防止策の検討を適時に実施するため、制御系を含むサプライチェーン全体のインシデントに対応可能な体制（ＣＳＩＲＴ等）を整備させる。被害発覚後の通知先や開示が必要な情報を把握させるとともに、情報開示の際に経営者が組織の内外へ説明ができる体制を整備させる。インシデント発生時の対応について、適宜実践的な演習を実施させる。」と説明する。

　　　この緊急時対応体制の整備は、自社に被害が発生した場合だけではなく、顧客や取引先等に被害が発生した場合にも、損害賠償責任の有無やその賠償範囲等に大きく影響するため、極めて重要である。そのため、これを怠った場合、代表取締役、セキュリティ関連業務管掌取締役及び管理部門管掌取締役らが任務懈怠責任を負う可能性はあるものと思われる。

　　　もっとも、被害状況の通知ないし開示に関しては、その頻度や内容如何により、サイバー被害をもたらしたサイバー攻撃者や、さらなるサイバー攻撃を企図する者に対して追加攻撃等のヒントを与えることとなりかねないため、慎重に頻度や内容を検討する必要がある。その対応を誤った場合、その対応の過誤について代表取締役やサイバーセキュリティ関連業務管掌取締役、管理部門管掌取締役らが任務懈怠責任を負う可能性も否定できないので注意が必要である。

（８）「インシデントによる被害に備えた事業継続・復旧体制の整備」の懈怠

　　　サイバーＧＬでは、重要１０項目のうち８点目として「インシデントによる被害に備えた事業継続・復旧体制の整備」を挙げ、「インシデントにより業務停止等に至った場合、企業経営への影響を考慮していつまでに復旧すべきかを特定し、復旧に向けた手順書策定や、復旧対応体制の整備をさせる。業務停止等からの復旧対応について、対象をＩＴ系・社内・インシデントに限定せず、サプライチェーンも含めた実践的な演習を実施させる。制御系も含めたＢＣＰとの連携等、組織全体として有効かつ整合のとれた復旧目標計画を定めさせる。」と説明する。

　　　この点も、上記（７）と同様、自社に被害が発生した場合だけではなく、顧客や取引先等に被害が発生した場合にも、損害賠償責任の有無やその賠償範囲等に大きく影響する。そのため、これを怠った場合、代表取締役、セキュリティ関連業務管掌取締役及び管理部門管掌取締役らが任務懈怠責任を負う可能性はあるものと思われる。

（９）「ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策」の懈怠

　　　サイバーＧＬでは、重要１０項目のうち９点目として「ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策」を挙げ、「サプライチェーン全体にわたって適切なサイバーセキュリティ対策が講じられるよう、国内外の拠点、ビジネスパートナーやシステム管理の運用委託先等を含めた対策状況の把握を行わせる。 ビジネスパートナー等との契約において、サイバーセキュリティリスクへの対応に関して担うべき役割と責任範囲を明確化するとともに、対策の導入支援や共同実施等、サプライチェーン全体での方策の実効性を高めるための適切な方策を検討させる。」と説明する。

　　　この点は、プライム市場上場企業であれば、当然、サプライチェーン全体のサイバーセキュリティ対策に目配りすべきであり（コーポレートガバナンス・コード改訂案原則４－４）、上記説明で挙げられているような対応を怠った場合、サプライチェーンの一部に対するサイバー攻撃によって自社に被害があったときに取締役の任務懈怠を観念しうるようにも思われる。

　　　しかし、上記説明で挙げられているような対応のうち実効性が高いと考えられるサイバーセキュリティ対策の導入支援や共同実施が義務付けられているわけではなく、実際にサイバーセキュリティ対策を計画・実行するのはあくまでサプライチェーンを構成する各企業である。そして、同企業の対応が不十分であったことによってサイバー攻撃による被害が発生したとしても、上記のような実効性の高い対応が義務付けられていない以上、あるプライム市場上場企業の取締役が上記９点目の対応を怠ったからといって任務懈怠と評価するそのものが困難と考えられる。また、仮に任務懈怠を観念することができたとしても、上記対応と損害との間の相当因果関係が欠けるため、取締役が任務懈怠責任として損害賠償義務を負う可能性は低いのではないかと思われる。

（１０）「サイバーセキュリティに関する情報の収集、共有及び開示の促進」の懈怠

　　　サイバーＧＬでは、重要１０項目のうち最後の項目として「サイバーセキュリティに関する情報の収集、共有及び開示の促進」を挙げ、「有益な情報を得るには自ら適切な情報提供を行う必要があるとの自覚のもと、サイバー攻撃や対策に関する情報共有を行う関係の構築及び被害の報告・公表への備えをさせる。入手した情報を有効活用するための環境整備をさせる。」と説明する。

　　　この点は、サイバーセキュリティ対策の前提となる情報収集の在り方を述べるものであり、取締役としてこれに沿った行動を採ることが望ましいことはいうまでもない。しかし、それを超えて取締役が遵守すべき具体的な義務を定めたものとは言い難いため、仮にこの点を怠ったとしても、直ちに取締役が任務懈怠責任を問われるものではないと思われる。

 

３　さいごに

　　以上、非常に雑駁ではあるが、経済産業省と独立行政法人情報処理推進機構が策定した「サイバーセキュリティ経営ガイドライン　Ｖｅｒ　３．０」に沿って、取締役の任務懈怠責任に絞った検討を試みた。もっとも、実際に発生するサイバー攻撃による被害は、その手法、被害の要因、被害の範囲・程度等により様々な形態がありうる。上記検討は、あくまでそのごく一部を検討したものに過ぎず、実際にサイバー攻撃による被害が発生した場合には、その具体的な事実関係に応じて適時適切に顧問弁護士に相談されたい。また、サイバーセキュリティ対策に関する方針・計画の策定や実践等に当たっても、任務懈怠責任の観点等は不可欠であり、弁護士に相談することを強くお勧めする。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　以　上