welaw's log

IT・知財周りの裁判例・論文解説をメインにたまに息抜き

会社法裁判例1:親子会社の内部統制システム構築義務1

Q. 私が株式を保有していた会社(親会社)の完全子会社が個人情報漏えい事故を起こし、親会社に事故対応やセキュリティ対策費用に約260億円の負担が生じました。今回の件については、親会社の子会社に対するガバナンス不足に原因があると考えているのですが、親会社役員に、親会社が被った損害を賠償させることはできないでしょうか?

A.内部統制システムが一応構築・運用されている場合には、当該完全子会社の代表取締役を兼任していた取締役であっても、完全子会社から完全親会社に対して経営の委任がされていたり,これと同視できる定款の定めがあったり経営体制が敷かれていたりするなどの特段の事情がない限り,完全子会社の業務執行そのものに関して,完全子会社取締役として負う善管注意義務と同内容の善管注意義務を完全親会社の取締役としても負うものと解することはできないとされています。

紹介裁判例・論文

 ・広島高判令和元年10月18日ウェストロー・ジャパン

 ・河合正二「親会社取締役の子会社監督責任に関する判例の動向」CHUKYO LAWYER35号93頁以下

 ・山本将成「繰り返される不正行為と内部統制システム構築義務」法政論集267号83頁以下

 

 

第1 問題の所在

   近時、株式会社の組織再編が進み、大小さまざまな企業グループが形成されるに至っています。そのような中で、グループ内の子会社の不祥事によりグループ全体に損害が生じた場合、当該グループを束ねる親会社の役員に、その責任が生じないのかが問題となります。これは、いわゆる内部統制システム構築運用義務として、親会社取締役が何をどこまですべきか、という観点から問題となります。大規模な情報漏えい事故を引き起こしたベネッセホールディングスにおいては、このような内部統制システム構築運用義務にも問題となった裁判例があるため、以下で検討します(情報漏えい本体に関する訴訟についてもいつか触れたいと思います。)。

 

第2 東京地判令和2年10月13日ウェストロー・ジャパン

 1 事案の概要

   本件は,ベネッセホールディングス(以下「a社」という。)の株主である控訴人が,平成25年夏頃から平成26年6月頃までの間(以下「本件流出期間」という。)にa社の取締役であった被控訴人ら(Y1~Y6)に対し,当該期間にa社の完全子会社であるベネッセ・コーポレーション(以下「b社」という。)からその顧客等の個人情報の管理について委託を受けていたシンフォーム(以下「c社」という。c社もa社の完全子会社である。)から再委託を受けた先の従業員が当該個人情報を不正に取得して売却した情報流出事故(以下「本件情報流出事故」という。)に関し,内部統制システムの構築等に係る取締役としての善管注意義務違反があったなどと主張して,会社法423条1項に基づく損害賠償金及びこれに対する訴状送達日の翌日から支払済みまで民法所定の年5分の割合による遅延損害金をa社に対して支払うよう求めた株主代表訴訟の事案である。

 

 2 裁判所の事実認定

⑴ a社の位置づけ

「a社は,通信教育その他の事業を営む会社等の株式等を保有することにより,当該会社等の事業活動を支配・管理することを目的の一つとする純粋持株会社であり,b社及びc社の完全親会社である。」

 

⑵ Y1~Y6の立場

    Y1~Y6は、上記本件流出期間中に、a社の代表取締役、又は取締役の地位にあった者です。加えて、Y2とY5は、b社、c社の代表取締役でもあった。

 

⑶ 本件情報流出事故の概要

    「b社は,そのシステムの開発・運用をc社に委託し,c社は,これを更に外部に委託していたところ,c社の業務委託先の従業員(当時)B(以下「本件従業員」という。)は,平成25年夏頃から平成26年6月頃までの間に,b社の顧客の個人情報及びb社が契約によらずに取得した個人情報が含まれるデータベース(以下「本件データベース」という。)からそれらの個人情報を抽出し,本件従業員が業務において使用していた本件データベースへのアクセスが許可されたパソコン(以下「クライアントPC」という。)に上記情報を保存し,そこから上記情報を自身のスマートフォンに転送するなどして上記情報を不正に取得した。本件従業員は,取得した上記個人情報の全部又は一部を名簿業者に売却した。

a社は,本件情報流出事故の発生に伴い,謝罪文書の発送,客からの問合せに対する対応費用,調査・情報セキュリティ対策費等に掛かる費用として260億円を計上した。」

 

⑷ 本件情報流出事故当時のa社グループの内部統制等の状況

ア a社における社内規程の作成状況

     「a社においては,内部統制システムの整備に関する取締役会決議(内部統制システムの基本方針(乙1))に基づき,取締役会による経営監督機能の維持・向上,事業会社各社による自律的な成長を図ることなどを目指し,事業会社経営管理規程(乙8の1・2),グループリスクマネジメント規程(乙9)等の各種規程を整備し,これらについては,子会社の役職員を含めて周知が図られていた。

     事業会社経営管理規程は,a社による連結対象の事業会社に対する経営管理及び支援について定めることを目的とするものであるところ,同規程によれば,b社及びc社はいずれも重要な事業会社に区分されてa社が直接その経営管理を行うものとされていた。同規程によれば,事業会社に対する経営管理は,各種会議体を設置したり,事業会社に対する支援及び統制活動を実施する各種責任者を設置したりしつつ,事業会社の役員の選任及び解任への関与,事業会社の事業計画・予算編成及び業績管理への関与,事業会社の重要事項に係る意思決定への関与,内部監査等を通じて行うものとされていた。」

    

イ a社における子会社の監督状況

     「a社においては,b社及びc社を含め,実際に事業を遂行する重要な子会社について,定例的な会議体等を通じて報告を聴取するとともに,内部監査部門を設けて事業会社への監査を実施するなどしていた。」

 

ウ 本件情報流出事故当時のb社及びc社における情報セキュリティの状況

(ア)物理的・技術的な管理状況

「b社の顧客等の個人情報が記録された本件データベースは,データセンターに設置され,専用回線でc社の事業所と接続されていたところ,c社の個人情報の取扱業務を行う施設には許可を受けた者のみが入館でき,その入退出等は規程に基づく管理がされ,出入口付近には監視カメラが設置されていた。

c社が業務委託先に貸与していたクライアントPCは,ワイヤーロックにより施錠されており,これを持ち出すことはできなかった。c社の社内規程上,各システムユーザーに対して認証IDを割り当て,パスワードの設定とその定期的な更新をすることが定められ,クライアントPCによるネットワーク使用状況・内容については操作ログを記録することが定められていた。

クライアントPCには,ネットワーク接続設定,標準ソフトウェアの搭載が行われ,各部門は,システム管理部門の許可なく標準仕様を変更できないこととされていた。また,クライアントPCは,ファイル共有ソフトなどの不要なソフトのインストールが制御され,外部オンラインストレージ等の不要な外部サービスには接続できないようになっていた。

その他,c社においては,24時間体制のセキュリティ監視,書き出し制御システムの導入,データベースやサーバー等へのアクセス権限の細分化等を実施していた。

(イ)組織的・人的な管理状況

「b社においては,平成11年以降,個人情報保護推進のための専門組織が設置され,規程や方針を制定して従業員研修を継続的に実施していた。

       c社においては,社内規程上,従業員に対して,企業倫理,情報セキュリティ,個人情報保護,内部者取引防止及びパソコン利用等について,定期的に教育を実施することが定められていた。また,委託業務に従事する者に対しても業務従事前に情報セキュリティ研修及びテストを行い,当該テストに合格した者のみを業務に従事させており,その後も情報セキュリティ研修を毎年受講させていた。

       b社は,平成18年以降,本件流出期間も含め,個人情報の保護措置に関する第三者機関による認証であるプライバシーマーク日本工業規格「JIS Q15001 個人情報保護マネジメントシステム―要求事項」に適合している事業者であると認定されたことを示すもの)を取得していた。

c社は,平成15年3月以降,本件流出期間も含め,個人情報を含む情報セキュリティマネジメントシステムに関する第三者機関による認証であるISMS認証(日本工業規格「JIS Q27001 情報セキュリティマネジメントシステム―要求事項」に適合している事業者であると認定されたことを示すもの)を取得していた。」

 

⑸ 本件情報流出事故の原因

ア 本件情報流出事故の発生経過

     「本件従業員は,所有するスマートフォンにb社の顧客等の個人情報を転送するなどして本件情報流出事故を引き起こしたものであるところ,そのような情報の転送が可能であった原因は,本件従業員が所有する新機種のスマートフォンにc社がクライアントPCに設定していた書出し制御システムが対応していなかったことにあった。」

                                                                                     

イ 本件情報流出事故の原因等に関する調査結果の概要

「本件情報流出事故を受けて,a社の代表取締役たる被控訴人Y1の諮問機関としての調査委員会は,本件情報流出事故の原因について,情報処理システムに関する問題点として①アラートシステムの対象範囲の不備,②クライアントPC上のデータの書出し制御設定の不備,③本件データベースへのアクセス権限の管理の不備,④本件データベース内の情報管理の不備を指摘するとともに,○○グループの組織体制及び役職員の意識等に関する問題点,業務委託先の管理や顧客等の個人情報が入ったデータベースへのアクセス等についてのモニタリングに関する問題点を指摘し,それらに対応する再発防止策を提言した。」

 

 3 裁判所の判断

⑴ b社、c社の代表取締役を兼任していたY2、Y5の任務懈怠の有無

「ア 控訴人は,被控訴人Y2及び被控訴人Y5の任務に関し,両名が個人情報取扱事業者たるb社ないしc社の代表取締役であったことを指摘しつつ,a社の取締役として,b社ないしc社について個人情報の管理・運用等に万全を尽くすべき善管注意義務(b社ないしc社における企業コンプライアンスの確立・維持義務,個人情報保護に関する内部統制システム構築・運用義務)を負っていたなどと主張する。  

しかしながら,完全親会社の取締役が完全子会社の取締役を兼任していたとしても,当該兼任取締役は,各会社に対して当該会社の取締役としての権限を行使するとともにそのような職務に見合った善管注意義務をそれぞれ負うものであるところ,完全親会社は飽くまでも完全子会社(事業会社)の株主であり,所有と経営とが明確に分離された会社制度の下にあっては,純粋持株会社や完全親会社であるがゆえに本来的に完全子会社の業務執行に直接関与する地位ないし権限を有するというものではなく,親会社の取締役会についてもこの点は同様である。こうした点に鑑みると,完全子会社の取締役の任務懈怠に起因する損害が発生した場合に当該損害が完全親会社にとって完全子会社の株式の評価損等の形で完全親会社の損害として顕在化する可能性があることを念頭に置くとしても,完全子会社から完全親会社に対して経営の委任がされていたり,これと同視できる定款の定めがあったり経営体制が敷かれていたりするなどの特段の事情がない限り,完全子会社の業務執行そのものに関して,完全子会社取締役として負う善管注意義務と同内容の善管注意義務を完全親会社の取締役としても負うものと解することはできないというべきであり,完全親会社がいわゆる純粋持株会社であるというだけで上記特段の事情と評価するべき根拠は見当たらず,他に上記特段の事情に関する主張立証は見当たらない(前記認定事実によれば,a社ないし○○グループにおいて構築されていた内部統制システムはb社ないしc社を含む事業会社による自律的な経営の執行を前提とするものと解され,こうした点に照らすと本件において上記特段の事情があるとは想定し難い。)。

イ 被控訴人Y2と被控訴人Y5の任務懈怠に関して,控訴人の主張には,本件調査概要報告において指摘された本件情報流出事故の原因ないし再発防止策を被控訴人Y2ないし被控訴人Y5がa社の取締役として行うべきであったとする作為義務の内容として述べるものがある。

しかし,前記アでみた控訴人主張の問題はさて措くとしても,被控訴人Y2及び被控訴人Y5の善管注意義務違反の内容だという本件情報流出事故に関する原因ないし事故防止策(作為義務の内容)等は,事柄の性質上,業態や職場環境,事故当時における情報技術の進展等に応じた個別的検討がされるべきものと解される。ところが,控訴人の上記主張は,本件調査概要報告で示された本件情報流出事故の原因を踏まえることはよいとしても,本件調査概要報告で示された再発防止策についてこれを実施すべき時期を本件情報流出事故当時にそのまま遡らせ,b社ないしc社を主体として指摘された再発防止策等(その意味では具体的ではあるとしても)をa社の取締役としての被控訴人Y2及び被控訴人Y5の義務内容としたにとどまるものであり,その理由としても,前記両名がb社等の代表取締役でもあったというのみであって,前記個別的検討に係る主張立証が欠けているというべきである。

この点に関連して,控訴人は,個人情報保護法ないし同法についての経済産業分野を対象とするガイドライン(甲20)を根拠として上記善管注意義務の内容が導かれるかのようにも主張するが,個人情報保護法等から控訴人主張の善管注意義務が直ちに導かれると解することもできない。なお,控訴人は,本件と同様の対応の遅れによって他社で情報漏えいが起きており,それが知れ渡っていたとみるべき事情等についても何ら主張立証しない(このような一般情勢に関する主張立証は,控訴人が自らの調査等により相当程度対応可能といえる。)。

ウ さらに,本件情報流出事故の約半年前である平成25年3月に被控訴人Y2はb社の代表取締役を,被控訴人Y5はc社の代表取締役をそれぞれ退任しているところ,先に認定した事実によれば,本件情報流出事故の直接の原因は本件従業員が所有していた新機種のスマートフォンへ書出し制限の対応の遅れにあったとみられるのであって,こうしたことにも表れているように,日進月歩の情報技術の進展への対応が必要となる情報セキュリティ問題の性質にも鑑みると,b社等の(代表)取締役を兼ねていたことに基づいて両名の注意義務を主張する控訴人の前記ア及びイの主張は,兼任期間との関係において前提(時期的要素の考慮)を欠くきらいがある。

エ 以上によれば,b社ないしc社の(代表)取締役を兼任していたことなどを理由として被控訴人Y2及び被控訴人Y5にa社の取締役としての善管注意義務があった旨をいう控訴人の上記主張は採用できない。」

 

⑵ Y1、Y3、Y4、Y6の任務懈怠責任の有無

「ア 控訴人は,被控訴人Y1らがa社の取締役として,完全子会社であるb社及びc社を含むグループ全体に対し,個人情報保護法及びそのガイドラインを遵守するための内部統制システムを構築・管理し,それを適正に運用すべき義務を有していた旨主張する。

しかしながら,前記認定事実によれば,a社及びその子会社から成る○○グループにおいては,事業会社経営管理規程等の各種規程が整備され,それらに基づき,人事や事業計画への関与,グループ全体のリスク評価と検討,各種報告の聴取等を通じた一定の経営管理をし,法令遵守を期していたものであるから,企業集団としての内部統制システムがひととおり構築され,その運用がされていたといえる。

そして,会社法は内部統制システムの在り方に関して一義的な内容を定めているものではなく,あるべき内部統制の水準は実務慣行により定まると解され,その具体的内容については当該会社ないし企業グループの事業内容や規模,経営状態等を踏まえつつ取締役がその裁量に基づいて判断すべきものと解されるところ,本件当時の国内上場企業における実務慣行に照らし,a社の内部統制システムの構築運用が水準を下回るものとみるべき事情等に関する主張立証はない。

イ 控訴人は,前記アの主張に関連して,本件調査概要報告において指摘された本件情報流出事故の原因や再発防止策に基づき,当該再発防止策を実施すべきであったとする時期を本件情報流出事故当時に遡らせ,これにガイドラインの内容を加えつつ被控訴人Y1らの作為義務の内容として述べた上で,被控訴人Y1らにはb社及びc社を調査・監督・指導すべき立場にあるa社の取締役としての善管注意義務違反があるなどとも主張する。

しかしながら,本件情報流出事故の原因についての事後的な検討・評価や将来に向けた再発防止策を明らかにしたという調査結果の内容ないし性質に照らすと,再発防止策として組織体制の改善が指摘されたからといって,本件情報流出事故までに構築・運用されていたa社ないし○○グループにおける内部統制システムに不備があったことが直ちに推認できるものではなく,そこで示された再発防止策をもって本件流出期間ないしそれ以前に被控訴人Y1ら(被控訴人ら6名全員)が採るべき措置であったと直ちに認めることもできないというべきである。

ウ 以上によれば,控訴人の前記アの主張は,被控訴人ら6名全員に対するものとしての趣旨も含め,採用できないというべきである。」

 

第3 検討

1 完全子会社の取締役の任務懈怠に起因する損害が発生した場合に親会社の取締役が任務懈怠責任を負う場面

  本判決は、子会社であるb社、c社の代表取締役を兼任していたY2、Y5の任務懈怠を論じる場面では、親会社と子会社の別法人格性を根拠に、「完全子会社から完全親会社に対して経営の委任がされていたり,これと同視できる定款の定めがあったり経営体制が敷かれていたりするなどの特段の事情がない限り,完全子会社の業務執行そのものに関して,完全子会社取締役として負う善管注意義務と同内容の善管注意義務を完全親会社の取締役としても負うものと解することはできない」と判示した上で、任務懈怠を否定する結論を導いています。

  他方で、Y1、Y3、Y4、Y6の任務懈怠を論じる場面では、内部統制システムの構築方法について経営判断原則の適用があることを述べながら、「a社及びその子会社から成る○○グループにおいては,事業会社経営管理規程等の各種規程が整備され,それらに基づき,人事や事業計画への関与,グループ全体のリスク評価と検討,各種報告の聴取等を通じた一定の経営管理をし,法令遵守を期していたものであるから,企業集団としての内部統制システムがひととおり構築され,その運用がされていたといえる。」として内部統制システム構築義務違反を否定し、このことは「被控訴人ら6名全員に対するもの」としても妥当する趣旨の判示をしています。

  特にY1らの判旨もとに考えると、本判決の前提としては、①Y1~Y6は、a社及びその子会社から成る○○グループの内部統制システム構築義務を負っているが、これらは適切に履行されていた、②b社、c社の取締役は、「b社ないしc社について個人情報の管理・運用等に万全を尽くすべき善管注意義務(b社ないしc社における企業コンプライアンスの確立・維持義務,個人情報保護に関する内部統制システム構築・運用義務)」を負っていた、③完全子会社(b社、c社)の代表取締役を兼任していた親会社取締役(Y2、Y5)は、「完全子会社から完全親会社に対して経営の委任がされていたり,これと同視できる定款の定めがあったり経営体制が敷かれていたりするなどの特段の事情がない限り」②と同様の義務を負うことはない、という思考過程があるものと思われます。

 

2 最判平成21年7月9日判時2055号147頁(平成21年判決)との関連付け

  最高裁は、代表取締役が負う内部統制システム構築義務について❶「通常想定される」「不正行為を防止しうる程度の」内部統制システムを構築する義務は一般に要求され、❷「通常容易に想定し難い方法による」不正行為については、「不正行為の発生を予見すべきであったという特別な事情」がある場合にはそれによる責任を負わないとの2段階の判断を示しています。これは、平成21年判決が1つの会社における内部統制システム構築義務が問題となった一方で、本件では、グループ会社の内部統制システム構築義務が問題となっている点で違いはあるものの、2段階に検討していることがうかがわれる点では共通します。

  整理の仕方としては、以下のようなものがあるかとは思いますが裁判例をより検討して、視点を整理していければと思います。

 

⑴①=❶、②=❷。

∴「完全子会社から完全親会社に対して経営の委任がされていたり,これと同視できる定款の定めがあったり経営体制が敷かれていたりするなどの特段の事情」=「不正行為の発生を予見すべきであったという特別な事情」

⑵①=❶、②≠❷

∴「完全子会社から完全親会社に対して経営の委任がされていたり,これと同視できる定款の定めがあったり経営体制が敷かれていたりするなどの特段の事情」≠「不正行為の発生を予見すべきであったという特別な事情」

⑶①=❶+❷、②

∴「完全子会社から完全親会社に対して経営の委任がされていたり,これと同視できる定款の定めがあったり経営体制が敷かれていたりするなどの特段の事情」≠「不正行為の発生を予見すべきであったという特別な事情」

事案の違い、例外要件の定め方等を踏まえると、個人的には⑶がしっくりきますが、いかがでしょうか。

 

3 その他事項

⑴ 内部統制システム構築義務と経営判断原則

  内部統制システム構築については経営判断原則が作用する以上、既に一定の体制が構築されてそれが一応運用されている場合には、裁判所があえて義務違反を認定することには、やはりハードルがあるように思われます。

 

⑵ 基準時の問題

   本判決では、度々基準時の問題が指摘されています。調査報告書の記載等から、判決時点で内部統制システムの構築・運用状況に不合理な点があったとしても、論じなければならないのは、あくまで不祥事が生じた時点で、それが不合理だったといえるかどうかという点である点は、胸に刻んでおきたいところです。