お問い合わせ
0120-855-995
LINEで相談
お問い合わせフォーム
情報漏洩で取締役が負う法的責任 善管注意義務・内部統制・株主代表訴訟・D&O保険を弁護士が解説
2026年06月24日
「セキュリティは担当部署の話。自分はIT担当取締役ではないから関係ない」——この認識が、重大なリスクを見落とす原因になっています。
情報漏洩事故が発生した場合、取締役個人に対して①会社からの損害賠償請求、②漏洩被害者からの直接請求、③株主代表訴訟——という3方向からの法的追及が同時に起こりえます。さらに上場企業の取締役には、有価証券報告書の虚偽記載リスクや適時開示義務の問題も加わります。
本記事では、取締役が情報漏洩で負う法的責任の全体像を整理したうえで、「善管注意義務を果たした」と言えるための具体的な行動基準・取締役会での体制整備・インシデント発生後の行動指針まで、弁護士として実務的に解説します。
この記事を監修したのは
スポットで一括対応or顧問で伴走も!
お客様に合わせたプランをご用意しています
情報漏洩で取締役が問われる3つの法的責任
取締役が情報漏洩によって問われる責任は、主に「会社への責任」「第三者への直接責任」「刑事責任」の3種類です。それぞれ法的根拠と要件が異なり、同時に複数の責任を追及されることもあります。
会社に対する責任(善管注意義務・内部統制構築義務)
取締役は会社に対して、「善良なる管理者の注意をもって職務を行う義務(善管注意義務)」を負います(会社法330条・民法644条)。より具体的には、会社法423条が「取締役がその任務を怠ったときは、会社に対し、これによって生じた損害を賠償する責任を負う」と定めています。
情報漏洩との関係では、「情報セキュリティ体制を適切に整備・監督する義務」がこの善管注意義務の一部をなすと解されます。最高裁は、会社が適切な内部統制システムを構築する義務が取締役の職務の一部であることを認めており(最高裁平成21年7月9日判決)、情報セキュリティはその重要な要素です。
賠償額は、漏洩によって会社が被った損害(被害者への賠償金・フォレンジック費用・対応コスト・株価下落損害など)の全額が対象となります。大規模漏洩では数億円規模の請求になる可能性があります。
第三者への直接責任(会社法429条)
会社法429条は、取締役が「職務を行うについて悪意または重大な過失」があったとき、被害を受けた第三者(漏洩被害者・取引先等)が取締役個人に対して直接損害賠償を請求できると定めています。
この条文の重要性は、「会社が倒産していても、取締役個人への請求は継続できる」点にあります。情報管理体制が極めて杜撰だった場合(MFA未設定・既知の脆弱性を長期放置・セキュリティポリシーが存在しない等)は「重大な過失」が認定されるリスクがあります。
「重大な過失」は、単なる過失を超えた「著しく注意義務に違反した状態」を意味します。「担当者に任せており監督を怠った」だけでは重大な過失の認定は難しいですが、「明らかなリスクの報告を受けながら対処しなかった」「業界標準を大幅に下回る体制放置」などは重大な過失と評価されうります。
刑事責任(両罰規定)
不正競争防止法・個人情報保護法・不正アクセス禁止法にはそれぞれ「両罰規定」があり、違反行為を行った従業員に加えて法人も罰則の対象となります。
特に問題となるのが「営業秘密の不正持ち出し」です。元従業員や内部者が情報を窃取した場合に、取締役が「管理義務違反」として両罰規定で処罰された国内事例があります。内部犯行を「知りながら放置」した場合は共犯関係が成立する可能性もあります。
責任の種類 | 根拠条文・要件・対象 |
①会社への損害賠償 | 会社法423条・任務懈怠・賠償額は会社の損害全額 |
②第三者への直接賠償 | 会社法429条・悪意または重大な過失・被害者が直接請求可能 |
③刑事責任(両罰) | 各法の両罰規定・注意義務懈怠・法人と代表者両方に罰則 |
④株主代表訴訟 | 会社法847条・任務懈怠・株主が会社に代わって提訴 |
「善管注意義務を果たした」と言えるための具体的基準
法的責任を問われないためには、「何をすれば義務を尽くしたと言えるか」という行動基準を理解する必要があります。裁判所は事後的に「当時の水準に照らして相当な注意を払ったか」を評価します。
裁判所が評価する「最低限の体制」の水準
裁判所は、セキュリティ体制を絶対的な基準で判断するのではなく、「同規模・同業種の会社が一般的に講じている措置と比較して著しく下回っているか」という相対的な水準で評価します。
経済産業省「サイバーセキュリティ経営ガイドライン」・IPA「中小企業の情報セキュリティ対策ガイドライン」などの政府公式ガイドラインで示された基準が、「業界標準」として参照されます。これらのガイドラインが求める措置を実施していることが、義務履行の有力な証拠になります。
体制整備の項目 | 未整備の場合の法的評価 |
情報セキュリティポリシーの策定・周知 | 最低限の体制すら欠如として「重大な過失」認定リスク |
アクセス権限の最小化・退職者アカウントの即時停止 | 内部不正の温床として過失認定。既知のリスクを放置とみなされる |
多要素認証(MFA)の導入 | 2020年代以降は「業界標準」。未導入は基礎的対策不備として評価 |
定期的な脆弱性診断・パッチ適用 | 既知の脆弱性を放置した事実は「重大な過失」の強力な証拠になる |
インシデント対応計画(BCP)の整備 | 事前準備なしに被害が拡大した場合、損害拡大の過失として追加評価 |
取締役会・経営会議でのセキュリティ議題化 | 「経営レベルで認識していた」証拠として機能。議事録が証拠になる |
委託先のセキュリティ監査 | 個人情報保護法の監督義務。監査記録がない場合は義務不履行となる |
「IT担当役員ではない」取締役の義務の範囲
「自分はCTO・IT担当ではない」という取締役でも、以下の2つの義務から逃れることはできません。
①情報収集義務
取締役は職務を適切に遂行するために必要な情報を自ら収集する義務を負います。「担当者から報告がなかった」という理由では免責されません。「なぜ報告体制が機能していなかったか」に遡って義務違反が問われます。取締役会でセキュリティリスクについて質問・議題提起を行っていたか(議事録で確認できるか)が評価の焦点になります。
②監視・監督義務
IT担当取締役や社内のセキュリティ担当部署が適切に機能しているかを監視する義務があります。担当者に「任せきり」で、定期的な報告聴取・確認を怠った場合は監督義務違反となります。特に「リスクの報告を受けた後の対応」が問題となるケースが多く、「報告を受けたが対策コストを理由に先送りにした」という事実は義務違反の証拠となります。
社外取締役の責任——「関与が薄い」では免責にならない
社外取締役は業務執行を行わないため、内部取締役より義務の範囲は限定されます。しかし「社外だから責任なし」ではありません。
社外取締役の責任が問われるのは主に「取締役会での意思決定への参加」の場面です。取締役会でセキュリティリスクに関する重要な決定(予算削減・対応の先送り等)が審議されたにもかかわらず、十分な質問・異議を述べずに賛成または沈黙した場合は、その決定への関与として責任が生じます。
社外取締役が義務を「果たした」証拠は、取締役会議事録に「懸念を述べた」「担当者への質問を求めた」「専門家への確認を求議した」等の発言が記録されていることです。サインするだけの「お飾り」参加は法的リスクになりえます。
内部統制構築義務とセキュリティガバナンスの実務
会社法上の内部統制とサイバーセキュリティ
会社法362条4項6号は、取締役会が「取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務の適正を確保するために必要なものとして法務省令で定める体制の整備に関する事項」を決定することを義務づけています。これが「内部統制構築義務」です。
サイバーセキュリティは、この内部統制の「リスク管理体制」の一部として明確に位置づけられます。取締役会がセキュリティを議題にし、その整備方針を決議・記録しているかどうかが、後の義務履行評価の核心になります。
上場企業に加わる追加的義務
上場企業の取締役には、会社法の義務に加えて金融商品取引法上の義務が加わります。
上場企業固有の義務 | 内容と違反した場合のリスク |
内部統制報告書(金商法24条の4の4) | CEO・CFOが内部統制の有効性を評価・報告。情報セキュリティの重大な欠陥が「開示すべき重要な欠陥」と評価される可能性 |
適時開示(東証規則) | 重大なサイバーインシデントは「投資判断に影響する重要事実」として適時開示が必要。遅延は法令違反・投資家への賠償リスク |
有価証券報告書のリスク情報 | セキュリティリスクを有報に記載していた場合、実際に漏洩が起きたとき「開示どおりのリスクが顕在化した」として法的責任が変わる場合がある |
適時開示のタイミングは難しい判断を要します。「事実確認が完了していないから開示しない」という判断が長引くと開示遅延として問題になり、「情報が不完全な段階で開示した」場合は虚偽記載のリスクがあります。インシデント発生後、弁護士と証券代理人が連携して開示判断を行うことが重要です。
経産省「サイバーセキュリティ経営ガイドライン」の活用
経済産業省は「サイバーセキュリティ経営ガイドライン」(最新版Ver3.0)を公表し、経営者が実施すべき10の重要項目を示しています。このガイドラインに沿った取り組みを実施・文書化することが、「善管注意義務を尽くした」ことの有力な証拠となります。
具体的には「①CISOの設置②セキュリティ予算の確保③リスク評価の実施④サプライチェーン管理⑤インシデント対応計画の策定」などが経営者の責務として示されています。これらが取締役会議事録・稟議書・報告書等に記録されているかが、後の責任評価に直結します。
株主代表訴訟のリスクと防御方法
株主代表訴訟の提起フロー
株主代表訴訟(会社法847条)は、株主が会社に代わって取締役の責任を追及する制度です。情報漏洩により会社に損害が生じた場合に使われます。
フロー | 内容 |
①訴追請求(株主→会社) | 株主が会社に対して取締役の責任追及を求める書面を提出 |
②会社の対応(60日以内) | 会社が60日以内に訴訟を提起しない場合、株主が自ら提訴できる |
③取締役への訴状送達 | 取締役個人が被告となり、個人財産が対象になる |
④会社の補助参加 | 会社は訴訟で取締役側(または株主側)に補助参加できる |
提起要件は「6ヶ月以上の株式保有(非公開会社は保有期間不要)」かつ「会社が60日以内に訴訟提起しないこと」です。株主は1株でも保有していれば個人として提起でき(1人訴訟も可能)、弁護士費用の一部を会社に転嫁できる制度設計になっています。
「経営判断の原則」による責任軽減
取締役の善管注意義務違反が争われる場面では、「経営判断の原則(Business Judgment Rule)」が防御論として機能します。
これは、①十分な情報収集を行ったうえで、②合理的な判断プロセスを経て、③誠実に判断した場合には、たとえ結果が悪くても取締役の責任を問わないという考え方です。日本の裁判所もこの考え方を採用しています。
情報セキュリティへの対応が「コスト削減判断として合理的に行われた」のか、それとも「リスクを認識しながら怠慢により放置した」のかが評価の分かれ目になります。前者は経営判断の原則で保護される余地がありますが、後者は義務違反が認定されます。
実務的な防御策
取締役会でセキュリティ予算・対策方針について審議し、議事録に「その決定に至った合理的根拠」を記録することが最重要の防御証拠になります。「コスト理由で対策を選択した」場合でも、「代替措置を検討した」「リスク評価を行った」事実が記録されていれば経営判断の原則が適用される余地があります。
会社による取締役への補助参加・費用負担
株主代表訴訟で会社が取締役側に補助参加(民事訴訟法42条)する場合、会社が取締役の弁護士費用を負担できます。ただし「取締役側に補助参加することが会社の利益に沿う」という判断が必要で、明らかな背任・故意の場合は補助参加を拒否することもあります。
なお2021年の会社法改正により、株式会社は補償契約(会社法430条の2)・役員等賠償責任保険(D&O保険)契約(会社法430条の3)を取締役会の決議によって締結できることが明文化されました。これらの整備が取締役保護の制度的基盤となります。
D&O保険(役員賠償責任保険)の活用と限界
D&O保険が補償する範囲
D&O保険は、取締役が業務執行上の行為により株主・第三者・会社から賠償責任を問われた場合に、賠償金・弁護士費用等を補填する保険です。情報漏洩に関連する株主代表訴訟・第三者からの賠償請求にも適用されます。
補償対象 | 一般的な補償内容 |
賠償金 | 株主代表訴訟・第三者訴訟で認容された賠償額 |
弁護士費用 | 訴訟対応・示談交渉の弁護士費用 |
調査費用 | 事実調査・フォレンジック(一部プランのみ) |
和解金 | 訴訟上の和解で支払う和解金 |
D&O保険が「下りない」典型的なケース
以下の場合は免責条項が適用され、保険金が支払われません。インシデント発生前に自社のD&O保険の補償内容を確認しておくことが必須です。
免責事由 | 実務上の注意点 |
故意による損害 | 情報を意図的に漏洩・売却した場合は保険なし。当然の帰結 |
法令違反と知りながら行った行為 | 「知りながら」の立証が争点になることが多い |
刑事罰が科された場合 | 刑事罰の部分は保険でカバー不可。民事部分は別途判断 |
不正利益の返還 | 違法に取得した利益の吐き出しには保険が使えない |
加入時の告知義務違反 | 既知のリスク・過去のインシデントを申告しなかった場合 |
また保険金の「限度額」にも注意が必要です。大規模漏洩で億単位の賠償が認定された場合、保険限度額を超える部分は取締役個人が負担することになります。「D&O保険に入っているから大丈夫」という過信は禁物で、保険限度額が自社のリスク規模と見合っているかを定期的に見直す必要があります。
近時の動向——取締役責任は厳格化している
日本国内では、情報漏洩を直接の原因として取締役個人の責任が認定された事例はまだ多くありませんが、以下のような傾向が確認されています。
- 既知の脆弱性を長期間放置した事実は「重大な過失」の有力な証拠として評価される
- インシデント対応の遅延・隠蔽が損害の拡大要因として取締役の責任加重につながる
- 個人情報保護委員会の勧告・命令が出た場合、「行政機関も問題と認定した」事実として民事訴訟での証拠になる
また金融庁は2023年に「サイバーセキュリティに関するガイドライン」を策定し、金融機関の取締役に対してサイバーリスク管理の主体的関与を求めています。金融業以外でも、この動向が将来的な業界標準の判断基準に影響を与えると考えられます。
取締役が今すぐ取るべきアクション
平時における予防的措置
インシデントが起きる前に以下の措置を取っておくことが、責任リスクの軽減に直結します。
①取締役会でのセキュリティ定期報告の制度化
年1〜2回以上、セキュリティ担当者から取締役会に現状報告・リスク評価・対策予算の審議を行う場を設ける。この審議の記録(議事録)が善管注意義務履行の最重要証拠になる。
②CISOまたはセキュリティ担当役員の設置
CISOを設置することで「セキュリティに責任を持つ役員がいる」体制を証明できる。中小企業の場合はCISO機能を外部の専門家(vCISO)に委託する形態も有効。
③D&O保険・サイバー保険の補償額の見直し
現在の保険限度額が会社のリスク規模(顧客数×情報の性質)と比較して十分か確認する。不十分であれば増額改定を検討する。
④補償契約(会社法430条の2)の整備
会社が取締役の賠償責任・弁護士費用を補填する補償契約を取締役会決議で整備する。この契約がなければ会社は事後的に費用負担ができない。
インシデント発生後の取締役の行動指針
インシデントが発生した場合、取締役自身が「適切な判断を下した」ことを記録に残すことが最大の防衛策になります。
①発覚当日:緊急対応チームの立ち上げを決定・記録
法務・情報セキュリティ・広報・外部弁護士を含む対応チームの設置を取締役会または経営会議で正式決定する。この決定の記録(議事録・メール・稟議書)が「取締役として迅速に対応した」証拠になる。
②フォレンジック調査の委嘱前に弁護士を関与させる
フォレンジック調査の証拠能力と守秘義務の確保のため、弁護士の指示のもとで調査を進める。弁護士の指示による調査であれば「弁護士・依頼者間の秘密特権」が適用され、調査結果が第三者に開示されにくくなる。
③上場企業は開示タイミングを弁護士と決定する
「重大事実」に該当するかの判断・開示文書の表現・開示のタイミングを証券代理人・弁護士と協議する。早すぎる開示・遅すぎる開示いずれもリスクがある。
④取締役会でインシデント報告と再発防止策を審議・記録
インシデントの経緯・原因・再発防止策を取締役会に報告し、審議の内容を議事録に記録する。この記録が「問題発生後も経営が適切に機能していた」証拠として機能する。
よくある質問(FAQ)
Q:小規模なシステム担当者の判断ミスで漏洩が起きました。取締役は責任を問われますか?
A:担当者レベルのミスが原因でも、①そのミスを誘発するような管理体制(権限の集中・確認プロセスの欠如等)が取締役による体制整備の不備に起因する場合、②担当者へのセキュリティ教育が不十分だった場合、などは取締役の監督義務違反が問われます。「一担当者のミス」という事実が取締役を免責するわけではありません。
Q:セキュリティ対策の予算申請を却下したCFOに責任はありますか?
A:「セキュリティ担当者が予算申請した事実」と「それを却下した意思決定の記録」があれば、予算申請を却下したCFO・取締役会の意思決定の問題として責任が問われる可能性があります。ただしすべての申請を通す必要はなく、「合理的な優先順位付けと代替措置の検討があったか」が評価されます。申請却下の際には「代替措置」「リスク評価の記録」を残しておくことが重要です。
Q:情報漏洩後に取締役が辞任すると責任を免れますか?
A:辞任しても、在任中の行為についての責任は残ります。株主代表訴訟は退任後の元取締役に対しても提起できます(会社法847条は「役員等であった者」に対する責任追及も対象)。むしろ「インシデント後に逃げるように辞任した」という事実が悪印象を与えることもあります。辞任の要否は法的・広報的観点から弁護士と相談して判断してください。
Q:取締役会の議事録はどの程度詳細に記録すれば防衛証拠になりますか?
A:「審議の過程と決定の理由」が読み取れる内容が必要です。「原案どおり可決」だけの議事録では審議の実態が不明で防衛証拠として弱い。「誰がどういう観点から質問・意見を述べたか」「なぜその判断に至ったか」の骨格が残っていることが重要です。特にセキュリティ予算・対策方針・インシデント報告を審議した回は、通常より詳細な記録を残すことを推奨します。
Q:代表取締役でない取締役(業務執行をしない社内取締役)の責任は軽くなりますか?
A:善管注意義務・内部統制構築義務は代表取締役か否かを問わず全取締役に課されます。ただし業務執行に実際に関与していない取締役は「重大な過失」の認定において業務執行取締役より有利に評価される場合があります。それでも「取締役会での意思決定への参加」については同等の責任があります。
Q:グループ会社の子会社で漏洩が起きました。親会社の取締役に責任はありますか?
A:親会社の取締役は子会社の業務執行を直接管理しておらず、原則として子会社の漏洩について直接の法的責任は負いません。ただし①親会社が子会社のセキュリティ管理を実質的に支配していた場合、②親会社の個人情報管理システムが子会社と統合されており漏洩した情報に親会社顧客のデータが含まれていた場合——などは親会社・その取締役の責任も問題になります。グループセキュリティポリシーの策定と子会社への監査が予防策となります。
Q:D&O保険の加入を検討しています。保険金額はどう設定すべきですか?
A:保険金額は「会社が保有する個人情報件数×平均慰謝料単価」の概算に加えて「フォレンジック調査費用・弁護士費用・対応コスト」を加算した額を目安にします。例えば顧客情報10万件を保有し、1件あたり1万円の賠償リスクがあれば10億円超のリスクです。これと比較してD&O保険の限度額が十分かを確認してください。保険会社との相談に際して弁護士がリスク評価のサポートをすることも可能です。
弁護士への相談をおすすめするタイミング
取締役のセキュリティ法的リスクは、インシデント発生後だけでなく平時の体制整備段階から弁護士が関与することで大幅に軽減できます。
タイミング | 弁護士関与の効果 |
平時(体制整備段階) | 取締役会でのセキュリティ体制の議事録設計・補償契約の整備・D&O保険の評価 |
インシデント発覚直後 | 初動対応の法的整理・フォレンジック調査の弁護士指示・開示判断 |
株主から訴追請求が届いた | 代表訴訟への対応準備・経営判断原則による防御戦略 |
取締役辞任を検討中 | 辞任の法的効果と責任範囲の評価 |
D&O保険が不適用と言われた | 保険約款の解釈・保険会社との交渉 |
※内容によってはご相談をお受けできない場合がありますので、ご了承ください。
スポットで一括対応or顧問で伴走も!
お客様に合わせたプランをご用意しています
