（１）内部統制システムの概念とサイバーセキュリティ

後掲の各裁判例によれば、内部統制システムとは「会社が営む事業の規模、特性等に応じたリスク管理体制」と定義される。大会社¹、監査等委員会設置会社及び指名委員会等設置会社においては、取締役会（取締役）は、内部統制システムの構築に関する事項を決定しなければならないこととされている（会社法第348条第3項第4号、第4項、第362条第4項第6号、第5項、第399条の13第1項第1号ハ、第416条第1項第1号ホ）。それ以外の会社であっても、内部統制システムの構築に関する事項を決定しない場合に、そのことが、取締役の善管注意義務、忠実義務違反となる場合がある。会社の事業継続にとってサイバーインシデントが及ぼす影響が看過できない状況下においては、この「リスク」の中に、サイバーセキュリティに関するリスクが含まれ得るため、リスク管理体制の構築には、サイバーセキュリティを確保する体制の構築が含まれる。

同体制の構築に当たっては、サイバーインシデントを未然に防止するための方策や方針（セキュリティポリシー）の策定に加え、事業継続に関する悪影響を最小化するための事業継続計画（BCP²）を策定する³ことも考えられる。

このように、サイバーセキュリティを確保する体制は、内部統制システムに含まれる。

（２）会社法の内部統制システム

会社法は、大会社、監査等委員会設置会社及び指名委員会等設置会社について、内部統制システムの構築の基本方針を取締役又は取締役会が決定すべきことを明文の義務としている（会社法第348条第3項第4号・4項、第362条第4項第6号・5項、第399条の13第1項1号ハ、第416条第1項第1号ホ）。これらの規定は、善管注意義務から要求される内部統制システム構築の基本方針決定義務を明文化したものである。決定すべき内部統制システムは、類型に分けて列挙されている。その中には、①法令等遵守体制、②損失危険管理体制、③情報保存管理体制、④効率性確保体制、⑤企業集団内部統制システム等が含まれる（前記引用の会社法各条及び会社法施行規則第98条第1項、第2項、第100条第1項、第110条の4第2項、第112条第2項）。サイバーセキュリティに関するリスクが、会社に重大な損失をもたらす危険のある場合には、②の損失危険管理体制（損失の危険の管理に関する規程その他の体制をいう）に該当するため、取締役はその基本方針を決定しなければならない。

また、サイバーセキュリティインシデントに伴って漏えい、改ざん又は滅失（消失）若しくは毀損（破壊）の対象となる情報の保存と管理に関するセキュリティは③の情報保存管理体制（取締役の職務の執行に係る情報の保存及び管理に関する体制をいう）の問題となるほか、個情法など法令が情報の安全管理を要求しているような場合には、①の法令等遵守体制（取締役及び使用人の職務の執行が法令及び定款に適合することを確保するための体制をいう）の問題にも該当するだろう。

この点に関して、持株会社の子会社から顧客等の個人情報の管理について委託を受けていた持株会社の他の子会社の再委託先の従業員が当該個人情報を不正に取得して売却した情報流出事故に関して、持株会社の株主が、内部統制システムの構築等に係る取締役としての善管注意義務違反があったなどと主張して、持株会社の取締役に対し、会社法第423条第1項に基づく損害賠償金を支払うよう求めた株主代表訴訟において、広島高裁は、持株会社及びその子会社からなる「グループにおいては、事業会社経営管理規程等の各種規程が整備され、それらに基づき、人事や事業計画への関与、グループ全体のリスク評価と検討、各種報告の聴取等を通じた一定の経営管理をし、法令遵守を期していたものであるから、企業集団としての内部統制システムがひととおり構築され、その運用がなされていたといえる。そして、会社法は内部統制システムの在り方に関して一義的な内容を定めているものではなく、あるべき内部統制の水準は実務慣行により定まると解され、その具体的内容については当該会社ないし企業グループの事業内容や規模、経営状態等を踏まえつつ取締役がその裁量に基づいて判断すべきものと解される」等と判示した⁴。

（３）取締役会が決定すべき事項

会社法は、「業務の適正を確保するための体制の整備」について取締役会が決すべきものとしているが、当該体制の具体的な在り方は、一義的に定まるものではなく、各会社が営む事業の規模や特性等に応じて、その必要性、効果、実施のためのコスト等様々な事情を勘案の上、各会社において決定されるべき事項である。

また、取締役会が決めるのは「目標の設定、目標達成のために必要な内部組織及び権限、内部組織間の連絡方法、是正すべき事実が生じた場合の是正方法等に関する重要な事項（要綱・大綱）⁵」でよいと解されている。

サイバーセキュリティに関していえば、当該体制の整備としては、「情報セキュリティ規程」「個人情報保護規程」等の規程の整備や、CSIRT(Computer Security Incident Response Team)などのサイバーセキュリティを含めたリスク管理を担当する部署の構築等が考えられる。

（４）企業集団における内部統制システム

会社法は、内部統制システムについて、会社単位での構築に加え、当該会社並びにその親会社及び子会社から成る企業集団（グループ）単位での構築を規定しており（会社法第348条第3項第4号、第362条第4項第6号、第399条の13第1項第1号ハ、第416条第1項第1号ホ、及び会社法施行規則第98条第1項第5号、第100条第1項第5号、第110条の4第2項第5号、第112条第2項第5号など）、すなわち、親会社の取締役（会）は、グループ全体の内部統制システムの構築に関する当該親会社における基本方針を決定することが求められており、子会社における①親会社への報告体制、②損失危機管理体制、③効率性確保体制、④法令等遵守体制などを含め、業務執行の中でその構築・運用が適切に行われているかを監視・監督する義務を負っている。

サイバーセキュリティに関していえば、親会社の取締役会において、子会社を含めたグループ全体を考慮に入れたセキュリティ対策について検討されるべきである⁶。特に、海外の子会社については、サイバーリスクの内容、現地の法規制及び対応実務が異なることも少なくないため、これらを考慮に入れた検討が必要となる。

（５）内部統制システムのモニタリング

取締役の善管注意義務には、上述のとおり内部統制システムの構築だけでなく、構築した後も環境変化を踏まえて内部統制システムが適切に機能しているか否かを継続的にモニタリングし、適時にアップデートすることも、その内容として含まれていると考えられている。平成26年の会社法改正の際には、その旨を明確化するため、内部統制システムの運用状況の概要を、事業報告の記載内容とすることが定められた（会社法施行規則第118条第2号）。

内部統制システムの運用状況をモニタリングする手段として、取締役（会）は内部監査の結果を活用することも考えられる（サイバーセキュリティに関する内部監査の役割についてはQ5を参照されたい。）。

（６）金融商品取引法の内部統制

金融商品取引法（昭和23年法律第25号）は、上場会社等について、財務報告に係る内部統制の有効性の評価に関する報告書（内部統制報告書）の作成及び開示を義務付けている。

（７）投資家と企業の対話ガイドライン

金融庁は、令和3年6月に、スチュワードシップ・コード及びコーポレートガバナンス・コードが求める持続的な成長と中長期的な企業価値の向上に向けた機関投資家と企業の対話において重点的に議論することが期待される事項を取りまとめた「投資家と企業の対話ガイドライン」⁷の改訂版を公表した。当該ガイドラインの1-3では、重点的に議論することが期待される事項として、SDGsなどと並んで、「サイバーセキュリティ対応の必要性･･･等の事業を取り巻く環境の変化が、経営戦略・経営計画等において適切に反映されているか」が挙げられている。

（１）会社法上の責任

取締役は、内部統制システムの構築義務の一環として、サイバーセキュリティ体制を構築する義務を負うと解される（Q3参照）。

取締役（会）が決定した内部統制システムが、当該会社の規模や業務内容に鑑みて、株式会社の業務の適正を確保するために不十分であった場合には、その体制の決定に関与した取締役は、善管注意義務（会社法第330条・民法第644条）違反に基づく任務懈怠責任（会社法第423条第1項）を問われ得る²。

また、内部統制システムは適切なものであったが、その内部統制システムが実際には遵守されておらず、取締役・監査役等がそれを知り、又は注意すれば知ることができたにも関わらず、それを長期間放置しているような場合にも、善管注意義務違反に基づく任務懈怠責任を問われ得る³。このとき、全員が同じ民事責任を負うのではなく、各取締役・監査役等が事件当時に置かれていた状況（役職、危険の兆候の把握の有無など）に照らして個別に判断される。

以上のとおり、サイバーセキュリティ体制の構築又はその運用に欠陥があり、情報の漏えい等によって会社に損害が生じたときは、取締役・監査役等は責任を負うことがあり得る。

また、取締役・監査役等が職務を行うについて悪意又は重過失があったときは、それにより第三者に生じた損害についても賠償責任を負う（会社法第429条第1項）。

したがって、取締役・監査役等が、悪意・重過失により、適切なサイバーセキュリティ体制を構築せず、又は体制が適切に運用されていないのにこれを是正するのを怠り、個人情報の漏えい等によって第三者が損害を被ったときは、取締役・監査役等は、当該第三者に対しても責任を負うことがあり得る。

（２）その他留意すべき法令

サイバーセキュリティインシデントに起因して、会社が保有する情報の漏えい等が生じた場合、当該会社の役員は原則として、刑事責任を負うことはない。ただし、会社が取扱う個人情報の漏えい等が生じた場合には、個情法が問題となる⁴。

個情法は、個人情報取扱事業者に対して個人情報（又は個人データ、保有個人データ）の取扱いについての義務を規定するところ、例えば、個人情報取扱事業者である会社が、個人データに係る安全管理措置（個情法第23条）を怠った結果、個人データが漏えい等した場合は、個情委による勧告・命令の対象となる（同法第148条）。この命令に違反をした者に対しては、1年以下の懲役又は100万円以下の罰金が科され（同法第178条）、法人の代表者、使用人その他の従事者が、その法人の業務に関して命令違反行為を行った場合は、当該行為者を罰するほか、法人も罰金刑（1億円以下）の対象となる（同法第184条第1項）。

したがって、個人情報の漏えい等に関して、個情法に定める義務違反がある場合には、会社の役員は、刑事罰の対象となり得る。

（１）監査

（２）内部通報制度

内部監査と同様、法令遵守体制の一内容としての内部通報制度の活用が挙げられる。例えば、社内における個情法に違反する態様での個人データの管理状況について、従業員が不利益を被るおそれなしにその事実を通報できる制度を整備することにより、サイバーセキュリティ体制の適切性を担保することが期待できる。

（３）情報開示

サイバーセキュリティに関する企業の情報を開示することは、開示の内容が過度に具体的である場合にはサイバー攻撃を誘発するおそれがあるものの、適度の開示を行うことで、サイバーセキュリティ体制の強化につながることが期待できる。情報開示に耐えるだけのサイバーセキュリティ体制の構築が必要となるからである。

現在のところ、サイバーセキュリティに特化した情報開示に関する法的な根拠や具体的な指針は存在しないものの、企業としては、既存の開示制度を積極的に活用して、サイバーセキュリティに関する取組みを開示することが望ましい。

詳細はQ6のとおりであるが、既存の制度開示としては、事業報告（会社法第435条第2項）、有価証券報告書（金融商品取引法第24条）、コーポレート・ガバナンスに関する報告書（有価証券上場規程（東京証券取引所）第204条第12項第1号等）、適時開示（有価証券上場規程（東京証券取引所）第402条等）が存在する。また、任意開示として、情報セキュリティ報告書、CSR報告書、サステナビリティ報告書、統合報告書、情報セキュリティ基本方針等が挙げられる。

（４）CSIRTの設置

CSIRT（シーサート）とは、Computer Security Incident Response Teamの略称であり、企業や行政機関等において、情報システム等にセキュリティ上の問題が発生していないか監視するとともに、万が一問題が発生した場合にその原因解析や影響範囲の調査等を行う体制のこと¹⁰をいう。

CSIRTは事業の規模、種類によって構成も形式も異なるため、その権限や活動範囲も各社によって異なるものの、最小構成のCSIRTであっても、CSIRTとしての使命、サービス、活動範囲の3要素を定義づけることが重要である。また、組織内外の関係者と連携するためには、「PoC (Point Of Contact)：信頼できる窓口」が必要である。

CSIRTは組織全体で考慮すべきであり、内部統制としてのリスク管理、事業継続マネジメントの一環としてCSIRTを構築する流れが望ましいとされている。専門性の高いCSIRTの設置により、サイバーセキュリティ体制の実効性の担保を図ることが期待できる。

（１）サイバーセキュリティに関する情報開示の重要性

現在のところ、サイバーセキュリティに特化した情報開示に関する法令や具体的な指針は存在しない。サイバーセキュリティに関する情報開示は、基本的には企業の任意の取組みに位置付けられる。

もっとも、企業にとってサイバー攻撃が看過できないリスクとなりつつある状況において、企業のサイバーセキュリティへの取組みは社会にとって重大な関心事である。企業としては、社会への説明責任の一環としてサイバーセキュリティに関する認識及び取組状況に関する情報を開示することが期待されるとともに、経営上の重要課題としてセキュリティ対策に取り組んでいることを積極的に開示することでステークホルダーから正当な評価を受けることが可能となる。また、サイバーセキュリティに関する情報を開示することは、自社のセキュリティ対策の現状を正しく認識したうえで適正に運用する契機となるとともに、かつ、他社の状況との比較を通じて、さらに具体的な対策を検討・導入することで、自社のサイバーセキュリティ対策の強化につながることが期待できる。

そこで、企業としては、以下に例示する既存の開示制度を積極的に活用して、サイバーセキュリティに関する取組みを開示することが望ましい。

（２）事業報告

会社法第435条第2項に基づき、株式会社は事業報告の作成が義務付けられている。

株式会社は、内部統制システムに関する決定又は決議をしたときは、その決定又は決議の内容の概要及び当該システムの運用状況の概要を事業報告に記載しなければならないところ（会社法施行規則第118条第2号）、サイバーセキュリティに関する事項をこの内部統制システムの一部として決議し、その内容を事業報告に記載することによって開示することが考えられる（サイバーセキュリティと内部統制システムとの関係についてはQ3を参照されたい。）。

（３）有価証券報告書・四半期報告書

金融商品取引法第24条に基づき、有価証券の発行者である会社は、事業年度ごとに、当該会社の商号、当該会社の属する企業集団及び当該会社の経理の状況その他事業の内容に関する重要な事項等について、内閣総理大臣に提出することが義務づけられている。

その他事業の内容に関する重要な事項の中には、事業等のリスクが含まれるところ（企業内容等の開示に関する内閣府令第15条第1号イに定める第3号様式（記載上の注意）（11））、サイバーセキュリティに関するリスクをこの事業等のリスクとして開示することが考えられる。

この事業等のリスクは、四半期報告書においても記載することが求められている（企業内容等の開示に関する内閣府令第17条の15第1項第1号に定める第4号の3様式（記載上の注意）（7））ことから、四半期報告書においてもサイバーセキュリティに関するリスクを開示することが考えられる。

（４）コーポレート・ガバナンスに関する報告書

金融商品取引所（証券取引所）による開示制度の一つに、コーポレート・ガバナンスに関する報告書が挙げられる。

有価証券上場規程（東京証券取引所）第204条第12項第1号等に基づき、新規上場申請者は、コーポレート・ガバナンスに関する基本的な考え方などを記載したコーポレート・ガバナンスに関する報告書を提出することとされている。また、上場後、その内容に変更があった場合は、遅滞なく変更後の報告書を提出することとされている（有価証券上場規程（東京証券取引所）第419条）。

コーポレート・ガバナンスに関する報告書では、内部統制システムに関する基本的な考え方及びその整備状況を記載することとされているところ（有価証券上場規程施行規則第211条第4項第5号）、サイバーセキュリティに関する事項をこの内部統制システムの一部として開示することが考えられる。

また、金融庁は、令和3年6月に、スチュワードシップ・コード及びコーポレートガバナンス・コードが求める持続的な成長と中長期的な企業価値の向上に向けた機関投資家と企業の対話において重点的に議論することが期待される事項を取りまとめた「投資家と企業の対話ガイドライン」²の改訂版を公表したところ、当該ガイドラインにおいては「サイバーセキュリティ対応の必要性…等の事業を取り巻く環境の変化が、経営戦略・経営計画等において適切に反映されているか」（1－3）について重点的に議論することが期待されるとされている。

（５）適時開示

上場会社は、有価証券上場規程第402条等に基づき、剰余金の配当、株式移転、合併の決定を行った場合や災害に起因する損害又は業務遂行の過程で生じた損害が発生した場合等においては、直ちにその内容を開示することとされている³。

サイバー攻撃に起因して損害が発生する場合、その損害の規模や内容によっては「業務遂行の過程で生じた損害」（有価証券上場規程第402条第2項a号）として損害・損失の内容や今後の見通しを開示する必要が生じる。また、サイバー攻撃に起因して発生する損害等に照らして、「上場会社の運営、業務若しくは財産又は当該上場株券等に関する重要な事実であって投資者の投資判断に著しい影響を及ぼすもの」（有価証券上場規程第402条第2項x号）（いわゆるバスケット条項）に該当するかを検討する必要が生じることに留意されたい。

（６）臨時報告書

サイバー攻撃に起因して損害が発生する場合において、その損害の規模や内容等によって当該事象が「提出会社の財政状態、経営成績及びキャッシュ・フローの状況に著しい影響を与える事象」（企業内容等の開示に関する内閣府令第19条第2項第12号）に該当するとき、臨時報告書（金融商品取引法第24条の5第4項）の提出が必要となる。

（７）情報セキュリティ報告書

平成19年9月に経産省が「情報セキュリティ報告書モデル」⁴を公表しており、企業の情報セキュリティの取組みの中でも社会的関心の高いものについて情報開示することにより、当該企業の取組みが顧客や投資家などのステークホルダーから適正に評価されることを目指している。同モデルにおいては、①報告書の発行目的といった基礎情報、②経営者の情報セキュリティに関する考え方、③情報セキュリティガバナンス、④情報セキュリティ対策の計画・目標、⑤情報セキュリティ対策の実績・評価、⑥情報セキュリティに係る主要注力テーマ、⑦（取得している場合の）第三者評価・認証等を基本構成としている。

（８）CSR報告書、サステナビリティ報告書

CSR（企業の社会的責任）報告書は、環境や社会問題などに対して企業は倫理的な責任を果たすべきであるとするCSRの考え方に基づいて行う企業の社会的な取組みをまとめた報告書であり、サステナビリティ（持続可能性）報告書とも呼ばれている。環境、労働、人権、社会貢献などに関する情報や、事業活動に伴う環境負荷などが幅広く公表されている。

この中にサイバーセキュリティに関する情報を含めて公表することも考えられる。

（９）統合報告書

統合報告書は、2013年に国際統合報告評議会（IIRC）が公表した「国際統合報告フレームワーク」に基づき、財務情報を非財務情報と連動して開示するものである。同フレームワークでは、統合報告を「財務資本の提供者に対し、組織がどのように長期にわたり価値を創造するかを説明すること」と位置づけており、この中にサイバーセキュリティ対策に関する情報を含めることも考えられる。

（10）情報セキュリティ基本方針

情報セキュリティ基本方針は、企業や組織の内部において実施する情報セキュリティ対策の方針や行動指針であり、社内規定といった組織全体のルールから、どのような情報資産を、どのような脅威から、どのように守るのかといった基本的な考え方、情報セキュリティを確保するための体制、運用規定、基本方針、対策基準などを具体的に記載するものである。