「適切な内部統制」とは? 経営判断の限界を判断:経営視点のセキュリティ管理(2/2 ページ)
自らのリスクで「適切な内部統制」とは何かの経営判断を求められたとき、果たして法的視点からも正しい判断ができるか?
そこでこの「合理的な手続に従い、誠実に」をどのように判断するか、つまり、経営判断の限界をどのように判断するかが問題となる。
この点に関し、不当融資に関する経営陣の責任を問題とした日本長銀事件判決は、次のように判示している。
取締役は会社経営上広い裁量権が与えられており、取締役の過去の経営上の措置については、当該行為がなされた当時における会社の状況および会社を取り巻く社会、経済、文化の情勢にもとづき、当該会社の属する業界における通常の経営者が有すべき知見および経験を基準に、当該行為をするにつき、その目的に社会的非難可能性がないか否か、その前提としての事実調査に遺漏がなかったか否か、調査された事実の認識に重要かつ不注意な誤りがなかったか否か、その事実にもとづく行為の選択決定に不合理な点がなかったか否かなどの観点から見て、当該行為をすることが特に不当と言えないと評価されるときは、取締役の当該行為に係る経営判断は裁量の範囲を逸脱するものではなく、善管注意義務ないし忠実義務の懈怠(けたい)はないと言うべきである。
ところで、取締役は、「その当時の会社の状況および会社を取り巻く社会、経済、文化の情勢」、「当該会社の属する業界における通常の経営者が有すべき知見および経験」、「情報セキュリティ対策の構築につき、その目的に社会的非難可能性がないか否か、その前提としての事実調査に遺漏がなかったか否か」、「調査された事実の認識に重要かつ不注意な誤りがなかったか否か」、「その事実にもとづく行為の選択決定に不合理な点がなかったか否か」、「それらの観点から見て、その情報セキュリティ対策が特に不当と言えないと評価されるかどうか」などの要素をどのように判断すればよいのであろうか。
過誤リスクを負担する情報セキュリティ監査
情報セキュリティ監査は、取締役のこうした判断に、独立した専門家としての知見を提供する。情報セキュリティ監査の専門性は、まさに、上記の各要素を、監査目的や監査の尺度の適切な選定、監査人としての証拠収集、判断を通じて行うことができる能力であり、この能力によって、取締役の経営判断の過誤に関するリスクを負担する。
それは保証型でも助言型でも異ならない。両者の差は、保証の対象の差である。つまり、保証型は、規範と事実の一致不一致に保証を与えるのに対し、助言型は不一致の判断と、規範と事実の差を縮める方法の適切さに保証を与える。
また、監査である以上、助言型監査はコンサルテーションとは異なる。助言型監査も助言を行うが、両者はその正統性の根拠に差異がある。監査の正統性は、監査制度とその制度によって与えられる独立性、専門性、教育と能力、倫理によって与えられ、コンサルテーションの正統性は、これを行う者と受ける者の合意によって与えられる。
保証型監査と認証や格付けは、一定の保証を与える点は類似するが、正統性の根拠が、助言型監査とコンサルテーション同様、制度か合意かによって異なるのである。
現在、特定非営利活動法人 日本セキュリティ監査協会(JASA)において準備が進められている情報セキュリティ監査、特に、社会的合意方式の保証型監査は、株主や利害関係人、証券市場などの社会的な存在に対して責任を負う取締役が、適切な情報セキュリティ対策を構築するにあたり、適切な経営裁量を行使するために不可欠な能力を提供する専門家として、その活躍が期待される。
稲垣隆一法律事務所 弁護士 稲垣隆一
1953年生まれ。早稲田大学法学部卒。検事として活躍後、1990年に第二東京弁護士会に弁護士登録。ISMS主任審査員・個人情報保護専門監査人。弁護士として一般民事を手がけるだけでなく、「企業とIT」を専門とする数少ない弁護士の1人でもある。とりわけ個人情報保護、情報セキュリティ関連、知的財産にまつわる分野については、精力的に活動している。
関連記事
- 情報セキュリティ監査の有効性を探る(前編)
企業の社会的責任として、情報セキュリティを確保することには、どのような意味があるのか? 情報ネットワーク社会の中で、その本質と重要性を考えていく。 - 情報セキュリティ監査の有効性を探る(後編)
企業の情報セキュリティ対策がどの程度できているかを知ることは至難の業である。情報セキュリティ監査は、科学的な体系的過程に基づいて行われる必要がある。 - CSRを分析すると見えてくる「日本的問題」
「企業の社会的責任」と日本企業が引き起こす事件を対比して考えると、何が問題なのかがうっすらとだが見えてくる。無責任の構造を絶つ方策とは? - CSR分野のITの出番とは?
「企業の社会的責任」を考える上で、反倫理的行為を抑制する仕組みづくりは最重要課題だといえる。こうした仕組みづくりはやみくもに利益確保のみに走る組織を変え、新しい事業を作り出す素地となる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.