事実の認定と適切な公表が
危機管理の要諦

 企業が不祥事を起こした際の経営陣の責任は、セキュリティ問題だけに生じるものではない。企業が不祥事を起こした際の「取締役の善管注意義務に対する責任」を株主が提訴する株主代表訴訟では、ダスキンが運営する「ミスタードーナッツ無認可食品添加物使用事件(大阪高判平成18年6月9日)」が代表例として挙げられる。

 これ以降、取締役が不祥事を認知した後は、企業としての信頼喪失の損害を最小限に食い止める方策を積極的に検討し、自ら公表するなど、最善・適切な対応を要することを求めた判決が通例となっている。そして、予防管理やリスクの早期発見のみならず、適切な危機管理と公表の実施が取締役の責任として認識された。そのときの判示は概ね以下の通りである。

●業務を担当していた取締役は、速やかに危機管理体制の正常な発動を促すべく、社内規定に従い役員会に報告を行い、「危機管理行動チェックリスト」に従い全社緊急対策本部の設置を提言するなどし、さらには当該添加物混入の肉まんの販売中止回収、関係当局への通報、事実の公表、購入者への注意喚起、情報提供等の措置をとるなど、会社の信用失墜の防止と消費者の信用回復のために努力すべき善管注意義務がある。

●業務を担当していなかった取締役についての、事実確認義務、報告義務、事実調査を行った上での販売中止等の措置や(回収可能性のあった段階での)回収手段の要否、再発防止策の構築、信用失墜と損失を回避するための措置を講じる義務、マスコミ等への公表や監督官庁への事後的な届出の要否等を検討する義務がある。
 
 このように企業の経営陣は、有事の際の危機管理活動において、事実の認定、原因究明、公表、再発防止策等において重大な責任を有し、それは「情報流出事件」であっても例外ではないことを意味している。

再発防止で重要なこと
「想定外」という言い訳は通用しない

 リスクが顕在化した際の対応では、予防と事後対応の両面から対処しなければならない。そうした意味では、(1)技術的な防止策における短期的対策、(2)セキュリティインシデント対応、(3)システム開発に関する短期的対策などに加え、攻撃者の新たな手口に対処するためのホワイトハッカーの登用やアプリケーションの脆弱性に関する現地言語での公表から迅速に対応可能な体制を整備し直す必要も出てくる。

 本来、危機管理活動は組織活動であり、指揮系統を管理し、対応業務を集中化させるスピードが求められる。しかし、コロナ禍により、在宅勤務やテレワークなどで各業務が中断したり、情報収集の遅れなどによって、危機管理活動が阻害されたりする事態にさらされている。攻撃者は、企業のそうした脆弱性を狙い、業務の遅滞による間隙を突いて攻撃を加えてくる可能性が十分予想される。しかし、経営陣に「想定外の攻撃」との言い訳は、もはや許されないのである。

(社会情報大学院大学教授 白井邦芳)