「適切な内部統制」とは？ 経営判断の限界を判断：経営視点のセキュリティ管理（1/2 ページ）

自らのリスクで「適切な内部統制」とは何かの経営判断を求められたとき、果たして法的視点からも正しい判断ができるか？

[稲垣隆一，ITmedia]

　情報セキュリティ対策を、ひろく企業一般に義務づけた最初の法律は、個人情報保護法であった。個人情報保護法の施行後のプライバシーマークやISMS認証の取得の伸びや、個人情報保護について「過剰反応」の取り扱いが国家的課題とされている現状は、その影響の大きさを物語っている。

　では、情報セキュリティ監査についてはどうか。今のところ情報セキュリティ監査を法律上の義務として明文で定める法律は定められていない。しかし、会社法の内部統制を構築、運用するにあたっては、情報セキュリティ監査は、きわめて有効な手段となる。

　平成12年9月20日の大和銀行代表訴訟事件判決以来、リスク管理を内容とする内部統制の構築は、取締役の善管注意義務の内容として広く認識され、さらに、今回の会社法は、従来の監査役機能の強化による牽制型のコンプライアンス体制の強化に加え、それまで委員会設置の大会社にのみ求められていた内部統制の構築を、広く大会社一般の全取締役に義務づけた。

内部統制とは何かの経営判断

　その結果、およそ取締役は、善管義務の内容として適切な内部統制の構築の義務を負い、さらに大会社の取締役は、会社法・会社法施行規則による内部統制の構築の義務を負う。

　しかし、この「適切な内部統制」とは何かについては、会社法施行規則98条以上に具体的な指針は示されておらず、取締役の広い経営裁量に委ねられる。上記大和銀行事件判決も｢どのような内容のリスク管理体制を整備すべきかは経営判断の問題であり、会社経営の専門家である取締役に、広い裁量が与えられていると解される｣としている。

　この点は、金融商品取引法の財務報告に関する内部統制の枠組みとして、金融庁企業会計審議会内部統制部会の「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）」が、一般的に公正妥当と認められる枠組みとして示されているのとは対照的である。

　そこで、取締役会を構成する取締役や実際に内部統制の構築の任にあたる代表取締役は、自らのリスクで適切な内部統制とは何かの経営判断を求められる。

　会社法と同施行規則が求める、取締役の職務の執行に係る情報の保存および管理、損失の危険の管理、取締役の職務の執行の効率性確保、取締役や使用人のコンプライアンスを確保するに足る適切な体制の構築には、適切な情報セキュリティの確保は不可欠である。

　また、これらの規定を待つまでもなく、情報は、人、金、物、時間と並ぶ重要な企業のリソースであるから、およそ会社の取締役は、その善管義務を尽くすために、適切な情報セキュリティを確保する体制とは何かという経営判断を求められることになる。

「合理的な手続に従い誠実に｣をどう判断するか

　ところで、筑波大学の弥永真生教授によれば、経営判断事項については、｢その経営判断が結果として会社あるいは第三者に損害を生じさせたとしても、業務執行が合理的な手続に従い、誠実に行われた場合には、事後的な判断によって、取締役に注意義務違反があったとして責任を問うべきではない｣とされる。