経営視点のセキュリティ管理：「適切な内部統制」とは？　経営判断の限界を判断 (2/2)

[稲垣隆一，ITmedia]

前のページへ 1|2 　　　　　　

　そこでこの｢合理的な手続に従い、誠実に｣をどのように判断するか、つまり、経営判断の限界をどのように判断するかが問題となる。

　この点に関し、不当融資に関する経営陣の責任を問題とした日本長銀事件判決は、次のように判示している。

取締役は会社経営上広い裁量権が与えられており、取締役の過去の経営上の措置については、当該行為がなされた当時における会社の状況および会社を取り巻く社会、経済、文化の情勢にもとづき、当該会社の属する業界における通常の経営者が有すべき知見および経験を基準に、当該行為をするにつき、その目的に社会的非難可能性がないか否か、その前提としての事実調査に遺漏がなかったか否か、調査された事実の認識に重要かつ不注意な誤りがなかったか否か、その事実にもとづく行為の選択決定に不合理な点がなかったか否かなどの観点から見て、当該行為をすることが特に不当と言えないと評価されるときは、取締役の当該行為に係る経営判断は裁量の範囲を逸脱するものではなく、善管注意義務ないし忠実義務の懈怠（けたい）はないと言うべきである。

　ところで、取締役は、「その当時の会社の状況および会社を取り巻く社会、経済、文化の情勢」、「当該会社の属する業界における通常の経営者が有すべき知見および経験」、「情報セキュリティ対策の構築につき、その目的に社会的非難可能性がないか否か、その前提としての事実調査に遺漏がなかったか否か」、「調査された事実の認識に重要かつ不注意な誤りがなかったか否か」、「その事実にもとづく行為の選択決定に不合理な点がなかったか否か」、「それらの観点から見て、その情報セキュリティ対策が特に不当と言えないと評価されるかどうか」などの要素をどのように判断すればよいのであろうか。

過誤リスクを負担する情報セキュリティ監査

　情報セキュリティ監査は、取締役のこうした判断に、独立した専門家としての知見を提供する。情報セキュリティ監査の専門性は、まさに、上記の各要素を、監査目的や監査の尺度の適切な選定、監査人としての証拠収集、判断を通じて行うことができる能力であり、この能力によって、取締役の経営判断の過誤に関するリスクを負担する。

　それは保証型でも助言型でも異ならない。両者の差は、保証の対象の差である。つまり、保証型は、規範と事実の一致不一致に保証を与えるのに対し、助言型は不一致の判断と、規範と事実の差を縮める方法の適切さに保証を与える。

　また、監査である以上、助言型監査はコンサルテーションとは異なる。助言型監査も助言を行うが、両者はその正統性の根拠に差異がある。監査の正統性は、監査制度とその制度によって与えられる独立性、専門性、教育と能力、倫理によって与えられ、コンサルテーションの正統性は、これを行う者と受ける者の合意によって与えられる。

　保証型監査と認証や格付けは、一定の保証を与える点は類似するが、正統性の根拠が、助言型監査とコンサルテーション同様、制度か合意かによって異なるのである。

　現在、特定非営利活動法人日本セキュリティ監査協会（JASA）において準備が進められている情報セキュリティ監査、特に、社会的合意方式の保証型監査は、株主や利害関係人、証券市場などの社会的な存在に対して責任を負う取締役が、適切な情報セキュリティ対策を構築するにあたり、適切な経営裁量を行使するために不可欠な能力を提供する専門家として、その活躍が期待される。

稲垣隆一法律事務所弁護士稲垣隆一

1953年生まれ。早稲田大学法学部卒。検事として活躍後、1990年に第二東京弁護士会に弁護士登録。ISMS主任審査員・個人情報保護専門監査人。弁護士として一般民事を手がけるだけでなく、「企業とIT」を専門とする数少ない弁護士の1人でもある。とりわけ個人情報保護、情報セキュリティ関連、知的財産にまつわる分野については、精力的に活動している。