정보유출과 이사의 내부통제시스템 구축 의무
旬刊 상사 법무 No.2117 (11月25日号)
토오지이타루히로시 - 변호사 ∙ 동경 대학 객원 교수
마츠바라타카히로 - 변호사
목차
一. 시작하기
二. 최근의 정보관리에 관한 입법 등
三. 정보유출 사안의 제3자 위원회 보고
四. 정보유출 방지를 위한 이사의 선관주의 의무
|
一. 들어가며
최근 개인정보 유출 사안의 소식에 접할 기회가 점점 늘고 있다. 이들 사안에 대해서 적지 않은 소송이 제기되고 판결로 손해 배상이 인정되거나 화해로 해결이 이루어 지고 있다. 소송에 이르지 않더라도 기업이 자발적으로 손실을 충당하는 경우도 많다. 그 결과로 기업들이 손실을 입는데, 그 경우에 기업이 적절하게 정보를 관리하고 있었으면 손실을 회피할 수 있었다는 경우에는 이사의 선관주의 의무 위반의 존재 여부가 문제가 된다.
요즘 표적형 사이버 공격 피해 사안의 증대에 따른 개인정보를 포함한 영업비밀 유출에 관련된 기업 방위의 의식의 고조를 받아 다양한 입법 조치, 행정청의 지침의 책정, 유출 사안에 있어서의 제3자 위원회의 보고 등이 이루어지고 있다. 본고는 이러한 사회 정세를 토대로 이사로서 정보의 안전관리 때문에 무엇을 어디까지 해야 할 것인지, 주로 내부통제 시스템 구축 의무의 측면에서 논하는 것이다.
이하에서는, 우선 개인정보 등의 관리에 관여한 입법 조치, 행정청 등의 각종 가이드라인 및 판례·재판 사례를 살펴본다.그 후 적절한 정보관리란 무엇인가라는 것에 대해서 구체적으로 논하는 데 있어 특히 중요한 피해가 발생했다고 생각되는 정보유출 사안에 있어서의 제3자 위원회 보고에 대해 검토함으로써 이사(본고에서는 주로 대기업인 감사 설치 회사의 이사를 상정하고 있다)가 지는 선관주의 의무의 구체적인 내용에 대해서 논급하기로 한다.
二. 최근의 정보 관리에 관한 입법 등
입법조치
개인정보 등의 유출 방지에 관계하는 법률은 「개인정보 보호에 관한 법률」(이하" 개인정보보호법"이라 함.), 「사이버보안기본법」, 「행정 절차에 특정 개인을 식별하기 위한 번호의 이용 등에 관한 법률」 등이 있다. 예를 들어 개인정보보호법은 개인 데이터의 유출 등을 막기 위한 취지에서 개인 데이터의 안전 관리 때문에 적절한 조치를 찾아야 한다. (개인 정보보호법 제20조)로 되고, 위탁업체로부터 개인 데이터의 누설이나 부정 이용 등을 방지하는 취지에서 위탁업체에 적절한 감독을 해야 한다(동법 제20조) 등으로 되어 의무 규정이 존재한다(註 1). 한편, 「사이버보안기본법」은 사업자 등의 입장마다 요구 수준의 차이가 있지만 "사이버 보안의 확보"에 "노력"(사이버보안기본법 제6조~제8조) 또는 "필요한 주의를 기울이도록"(동법 9조) 하고 노력 의무에 그친다.
행정청 등의 각종 가이드라인
개인정보 보호 관계
개인정보보호법은 이 법을 근거로 사업 분야별로 주무 장관이 가이드라인을 책정한다 (註 2) 사업자 등이 실시하는 개인정보의 적절한 취급 확보에 관한 활동을 지원하는 구체적인 지침으로 있다. 예를 들어, 먼저 소개한 동법 제20조의 안전관리 조치에 대해 경제 산업성 책정 「개인정보 보호에 관한 법률」에 대한 경제 산업 분야를 대상으로하는 가이드 라인(註 3)과 금융청 책정의 「금융 분야의 개인정보 보호 지침」(註 4)는 개인정보의 수집, 이용, 보관 등의 각 단계에 맞는 "조직적 안전 관리 조치”, “인적 안전 관리 조치” 및 “기술적 안전 관리 조치”를 포함하여야 한다고 하고 이들에 대한 구체적인 지침을 제공하고있다. 이러한 요구사항은 크게 나누면,
① 평시 체제 정비 및 운용, ② 유사 시에 대비한 체제정비 및 운용으로 정리할 수 있다(註 5). 또한 「개인정보 보호에 관한 법률」에 대한 경제산업 분야를 대상으로 한 가이드라인은 적절한 안전 관리 조치를 강구하고 있다고는 말할 수 없는 경우로써 도쿄 지판 2007년 2월 8일(註 6)을 감안한 사안을 부연한 것(註 7) 등의 구체적인 문제 사례도 소개했다.
이상의 각종 가이드라인은 행정청의 행정 처분의 판단 기준 내지 행정 지도에 참조될 것이다. 예를 들어, 고객정보가 유출된 베넷 세(ベネッセ) 회사(이하 "베넷 세"이라고 한다)의 정보 유출 사안(註 8)에서는 경제산업 대신은 상세한 사실 관계 발각 전에 강구하던 안전관리 조치 및 발견 이후의 조치 등에 대해서 보고를 요청했다(개인정보보호법 제22조)(註 9). 그리고 징수한 보고 내용을 근거로 개인정보보호법 제20조 및 제22조 위반 사실을 인정하고(註 10), 개인정보 유출 재발 방지를 위하여 위탁업체를 포함한 개인정보보호에 관한 실시 체제의 명확화 및 정보시스템의 보안 대책을 구체화하고 법 제20조에 따른 안전 관리 조치 및 제22조에 근거한 위탁업체의 감독을 철저히 할 것을 권고했다(동법 제34조 1항)(註 11).
각종 가이드라인은 재판에서 직접 적용하는 법 규범이 아니라 또 관할 행정청에 의한 권고에서 인정받은 사실은 재판의 사실 인정에 그대로 원용되는 것은 아니지만, 재판에서 하나의 판단 기준 또는 사실 인정에 해당하는 중요한 참작 사유가 될 수 있다(註 12).
사이버 보안 관계
사이버 보안에 대해 내각 관방 내의 사이버보안센터(NISC)는, 2014년 6월 25일자로 「고급 사이버 공격 대처를 위한 위험 평가 등의 지침」을 책정(2016년 10월 7일 개정) 정보 처리 추진기구(IPA)는, 2014년 9월 20일자로 「고급 표적공격 대책을 위한 시스템 설계 가이드」를 책정하는 등 실무적인 지표를 공표하고 있다.
또한 「사이버보안기본법」은 사업자 등에 노력 의무를 부과하는데 그치지만, NISC는 2016년 8월 2일부로 「기업 경영을 위한 사이버 보안의 개념」을 공표하고 사업 운영에 IT 의 활용이 불가결하게 되면서 사이버 보안의 확보는 기업의 경영진이 완수해야 할 책임의 하나이며, 책임에 대한 내용은 보안 위험 관리도 회사법에서 이사회의 결의 사항이 되고 “내부 통제 시스템 구축의 기본 방침”에 포함된다고 생각할 수 있다고 설명하고 있다 (註 13). 특히 "모두가 이어지는 사회에서 사이버 보안에 임하는 것은 사회적 요구, 요청이다"라고 지적하고 있으며, 이는 IoT 시대의 사이버 보안이 기업의 내부통제에 중요한 사항으로 자리 매김할 것을 시사하고있다. 또한 "공급망에서의 사이버 보안의 확보" 지적도 주목할 점이다. 기업 집단의 외부도 염주에 넣은 정보보안에 대해 이사회의 승인으로 요구되는 수준을 결정하는 하나의 사정이 될 수있다.
판례, 재판 사례
개인정보 유출에 대해 내부통제시스템 구축 의무 위반을 이유로 이사의 책임을 인정한 판례, 재판 사례는 보이지 않지만, 개인정보를 유출시킨 기업이나 공공단체에 대한 손해 배상 청구에서 위자료의 금액 기준은 일인당 5천엔에서 5만엔 정도이다 (註 14). 개인정보 유출 대상자에 대하여 회사가 그 판단으로 금권 등(註 15)를 송부하는 조치도 존재하지만, 이러한 조치에 비해 재판에서 인정받은 위자료는 높고 (註 16) 또한, 향후 인터넷 등을 통한 집단 소송 등에 의해 원고가 더 많아지는 경우에는 기업에 개인정보 유출로 인한 비용 부담은 더욱 커진다. 또한 그러한 금전적인 직접 손해에 그치지 않고 정보 유출에 따른 기업에 대한 신뢰 훼손도 심한 것이며 정보 유출은 점점 경시할 수없는 리스크로 인식해야 한다.
三. 정보 유출 사안의 제3자 위원회 보고
기업 등에 대하여 법령 위반, 사회적 비난을 초래하는 부정·부적절한 행위 등이 발생한 경우 외부자를 포함한 위원회를 두고 조사를 의뢰하는 경우를 많이 볼 있으며, 개인정보 유출에 대해서 해당 기업의 원인 규명과 재발 방지를 위해서 활용되고 있다(註 17). 이러한 제3자 위원회의 보고는 이사가 구축해야 할 내부통제 시스템의 구체적 내용을 검토함에 있어서 매우 중요한 자료라고 생각한다. 이사로서는 사회에서 발생하는 중대한 정보 유출 사안의 원인과 재발 방지책에 대해서 적극적으로 정보를 수집하고 회사의 정보 안전 관리를 위해서 이용해야 하며, 그 일은 법적 의무를 구성할 수도 있다고 생각한다. 이하, 외부로부터의 부정한 접속에 관해서는 일본 연금기구의 조사 보고서, 내부로부터의 유출에 관해서는 이 조사 보고서를 검토한다.
우선 일본연금기구의 정보 유출 사안((註 18)에 대한 "검증보고서"(일본연금기구의 부정 접근에 의한 정보유출 사안 검증위원회(註 19)는, 표적형 공격에 대한 대응책으로서, 상기 二. 2(2)에서 언급한 NISC와 1PA가 책정한 가이드라인을 참고하여((註 20) 표적형 공격의 바람직한 대비책으로 "시스템 설계", "운영 관리", "사고 대응"을 구별하고 이들에 대한 미리 요청해야 할 대책을 분석하고 각 단계에 대해서 일본연금기구의 문제점을 밝혔다. 이 보고서에서는 행정청 및 독립 행정법인 등이 책정한 가이드 라인이 평시 및 유사사고 발생 직후의 대응, 재발 방지책 등의 각 장면에서 그 타당성을 판단하기 위한 준칙으로서 참조되고, 그 판단의 형태는 재판에서도 참고가 될 수 있다.
다음에 이 "조사 보고서"(개인정보 유출사고 조사위원회) (註 21)는 부정행위 등의 원인에 관한 정보보안에 대해서 기업 그룹 전체에서 총괄적으로 관리하는 부서가 존재하지 않은 것이나 개인정보관리 책임부서가 불명확했다는 것 등을 들고 있다. 또한 재발 방지책으로 내부 부패 대책의 기본방침의 책정, 조직적 책임의 명확화, 감시 기능의 조직 강화, 임직원의 의식 개혁 등을 들고 있다. 또한 의식 개혁의 점은 정보보안 시스템에 대한 과신이나 내부에서 업무에 종사하는자가 악의적으로 대량의 개인정보를 유출시킬 수 있지 않는다는 착각이 거듭되지 않도록 노력할 필요가 있다고 하고 있다. 이 보고서는 정보관리를 위한 조직이나 체제의 적절성 외에도 임직원의 주관적인 사실에도 심도있는 인정, 판단을 하고 있으며, 소송에서 이사의 선관주의 의무 위반이 제기된 때 책임 판단의 기초가 되는 유형적인 사실로 참조될 수 있을 것이라고 생각한다.
四. 정보 유출 방지를 위한 이사의 선관주의 의무
회사법상의 내부통제 시스템 구축의무
회사법은 이사회 설치회사에서 법령 준수 등에 대한 내부통제 시스템 구축을 이사회의 결정 사항으로 하고 있다(회사법 제362조 제4항 6호, 회사법 시행규칙 제100조). 내부통제 시스템의 구축은, 중요한 업무의 결정이자 집행이기 때문에, 일반적으로 이사회에서 그 대강을 결정하고, 업무 집행을 담당하는 대표이사 및 업무 담당 이사는, 그 대강을 감안하여 담당하는 부서에서 내부통제 시스템을 구체적으로 결정할 의무를 진다고 되어 있다.(註 22). 즉 이사는, 이사회의 구성원으로서 그 직책을 부담하며, 또한 대표 이사 및 업무 담당 이사는, 내부 통제 시스템을 이사회의 결정을 업무 집행으로 현실에 구축 할 의무가 있다. 또한 각 이사는, 대표 이사 및 업무 담당 이사가 내부통제 시스템을 구축 할 의무를 적정하게 이행하고 있는지 여부를 회사에 대한 선관주의 의무 · 충실 의무의 일환으로 감시할 의무가 있다(오사카 지판 2000년 9월 20일 (註 23) 참조).
내부 통제 시스템 구축 의무에 관한 판단 기준
(1)일본 시스템 기술사건 판결
사례 판단이지만, 주주 대표 소송에서 회사 임원의 내부통제 시스템 구축 의무 위반에 대한 최고판 2009년 7월 9일 (이하 "일본 시스템 기술 사건 판결"이라 한다) (註 24)와 함께 동 의무 위반으로 인정하지 않은 판례를 검토하고 내부통제 시스템 구축 의무에 대한 법원의 판단의 기준을 고찰한다.
우선 일본 시스템 기술사건 판결은, 일심 및 원심에서 내부통제 시스템 구축 의무 위반을 인정했지만, 파기자판(破棄自判)한 사례 판결로 원심으로 인정된 사실 관계에 대해서, "통상 예상되는 가상 매출의 계상 등의 부정행위를 방지할 수 있는 정도의 관리체제는 갖추었다" 라고 판단하고, "재무부에서의 리스크 관리 체제가 기능하지 않았다고 말할 수는 없다"라고 판단했다. 이 판결은 그 밖에도 대표이사에서 "부정행위 발생을 예견했어야 한다는 특별한 사정도 찾아볼 수 없다"고 판단하고 "리스크 관리 체제를 구축해야 할 의무를 위반한 과실"을 기초짓는 요소에 대해서도 판단하지만, 내부통제 시스템 구축 의무 위반에 관한 판단의 틀로서는, “통상적으로 예상되는 부정행위를 방지할 수 있는 정도의 관리체제가 갖춰진 것” 및 “리스크 관리체제가 작동하고 있었다”라는 두가지 요인이다(註 25)
(2)하급심의 동향
내부통제 시스템 구축의무 위반이 인정되는 판례는, ①다이와 은행(大和銀行) 사건 (註 26), ② 신쵸샤(新潮社) 포커스 사건 (오사카 지판 2002년 2월 19일 (註 27), ③ 마루소오증권(丸荘証券) 사건 (도쿄 지판 2002 년 2월 27일 (註 28)), ④ 저지 타카기 유업(ジャージー高木乳業) 사건 (나고야-가나자와 지판 2005년 5월 18일 (註 29)) ⑤ 대기산업(大起産業) 사건 (나고야 지판 2012년 4월 11 일 (註 30)) ⑥ 세익레스토(セイクレスト) 감사 책임 추궁 사건 (오사카 지판 2013년 12월 26일 (註 31)) 등이 있다.
한편, 내부통제 시스템 구축 의무 위반이 인정되지 않은 판례는, (i)미쓰비시 상사(三菱商事) 흑연 전극 카르텔 사건 (도쿄 지판 2004년 5월 20일 (註 32)), (ii)야쿠르트(ヤクルト) 사건 도쿄 지판 2004년 3월 16일 (註 33)), (iii) 다스킨(ダスキン) 사건 (오사카지판 2004년 12월 22일 (註 34)), (iv)설인 식품(雪印食品) 쇠고기 위장 사건 (도쿄 지판 2005년 2월 10일 (註 35)), (v)신초샤((新潮社) 타카노 하나 사건 (도쿄 지판 2009년 2월 4일 (註 36)) (vi)닛케이 신문 내부자 사건 (도쿄 지판 2009년 10 월 22일 (註 37), (vii)니시 마츠 건설(西松建設) 사건 (도쿄 지판 2014년 9월 25일 (註 38)), (viii) 동일본 여객 철도 시나노가와 발전소 사건 (도쿄 지판 2015년 4월 23일 (註 39)) 등이 있다.
이상의 판례에서, 내부통제 시스템의 구체적인 내용은、경영 판단에 관련된 사항으로 재량이 인정되고, 또한 회사의 규모에 따라 타이사 등에 대한 신뢰의 원칙이 인정되는 경향이있다(註 40). 내부통제 시스템 구축에 대한 구체적인 기준을 명시하는 것은 곤란하고, 또한 명시하지 않는 판례가 많다. 그 중에서도 일반적으로 예상되는 부정 행위를 방지할 수 있는 정도의 관리 체제가 정돈되어 있던 것에 대해, 일본 시스템 기술 사건 판결 이전의 하급심에서는 (i) 미츠비씨 흑연 전극 카르텔 사건은 단순히 종업원 등이 불법 행위를 했다는 사실의 존재만으로는 즉시 내부 통제 시스템의 구축 의무 위반이 인정 받게해서는 안되고 (註 41) 「각종 업무 매뉴얼 제정」, 「법무 부문의 충실」, 「직원에 대한 규정 준수 교육의 실시 등」, 「북미에 진출하는 기업으로 독점 금지법의 준수를 포함 준수체제를 대강은 구축하고 있다」 고 인정했다. (ii) 야쿠르트 사건은 해당 사안에 대해 「당시의 사업 회사의 이사에 일반적으로 기대되는 수준에 비추어 분명 불합리하였다고까지 말하는 것은 곤란하다」고 판단했다. 일본 시스템 기술 사건 판결 이후의 하급심에서는 동일본 여객 철도 시나노 발전소 사건은 해당 사안에 대해 「일반적으로 예상되는 범위의 불법 취수 등을 방지 할 수 있는 정도의 관리 체제를 갖추고 있었다고 인정됨이 상당하다」고 판단했다.
내부통제 시스템 구축 의무의 구체적 내용
이상 설명한 바와 같이, 일반적으로 내부통제 시스템의 구체적인 내용으로 "보통 예상되는 법령 위반 행위 등을 방지할 수 있는 정도의 관리 체제”가 무엇인가하는 관점이 중요하다는 것을 지적 할 수있는데, 그럼 정보 유출방지를 위한 내부통제 시스템 구축에 관해서 일반적으로 예상되는 법령 위반 행위 등을 방지 할 수있는 정도의 관리 체제를 마련하기 위해 어느 정도의 구체적인 요구 수준을 충족시킬 필요가 있는지가 문제이다.
“일반적으로 예상되는”에 대해서는 동종 업종 타사와 비교해서 수준을 고려하는 방법을 생각할 수 있겠지만, 반드시 같은 업종의 수준은 명확하지 않고 다양한 업종에서 폭넓게 정보를 수집하는 소관 행정기관이 발신하는 정보는 유익하다. 이와 관련하여, 상기 2(2)(ii) 야쿠르트 사건은 "리스크의 파악과 구축해야 리스크 관리체제의 내용, 또 리스크를 밟고 어떤 조치를 취해야 하는지는 위험을 감안하여 어떤 조치를 취할 것인가는 리스크가 표면화되면서 생기는 여러가지 손실 사례의 축적과 리스크 관리에 관한 실무 상 내지 행정 연구·교육의 발전에 따라 충실할 것이기 때문”이라고 밝혔다. 그래서 이 「실무상의 연구·지도」와 「행정 연구지도」에 대해 다음에 검토한다.
우선, 「행정의 연구와 강의」에 대해 상기 - 二. 2에서 언급한 행정청 책정의 각종 가이드라인의 요구 사항은 "해야 한다 "(註 42)로 규정하는 사항도 존재하거나, 조직 체제 등에 관한 안전관리 조치를 강구하는 것으로 되어 있다. 이들은 본래 주무 장관이 법령 위반을 판단하기 위한 준칙이다. 재판에서 법 해석을 위해 그대로 적용되는 것은 아니지만, 내부통제 시스템 구축의 목적인 법령 준수 등에 대한 실무 상의 중요한 지침으로 평가된다. 행정 행위와 관련하여 재판례하고 하면 행정청으로부터의 권고 및 행정지도가 존재했으나, 회사가 대응하지 않은 사안에서 권고 후나 행정지도 후에서 내부통제 시스템 구축 의무 위반을 인정했다.
2 (2) ②신초사포커스 사건 (註 43) 및 동 ④저지타카유업 사건이 존재한다. 이상을 감안하면 행정청 책정의 각종 가이드라인이 정하는 지침은 이사가 내부통제 시스템을 구축 할 의무를 제대로 이행하고 있는가하는 점에서 이사의 선관주의 의무·충실 의무 위반에 관한 중요한 사실이 될 수 있다고 생각한다(註 44). 다음에 "실무상의 교육 연구"에 대해서인데, 여기에서는 정보 유출의 제3자위원회의 보고가 중요하다. 개인정보의 유출 방지에 관한 내부통제 시스템 구축 의무의 구체적인 요구사항에 대해 체계적으로 판단한 판례, 재판 사례는 보이지 않지만, 개인정보 보호에 관한 각종 가이드라인에서 제시된 개념에 입각하여 (a) 평시의 체제 정비 및 운용 (b)유사시에 대비 한 체제 정비 및 운용의 관점에서 검토해야 한다.
유사시에 대비한 체제 정비, 특히 사고 발생 직후의 대응에 관해서는, 상기 2 (2) (iii) 다스킨 사건은 사건의 발생시 대책을 조기에 마련 할 수 있었다고 인정하고 이사의 선관주의 의무 위반과 손해의 인과관계의 기초로 삼았다. 특히 정보 유출에 관해서는 유사시 신속하고 적절한 경영 판단이 가능한 구조를 미리 정비할 필요가 있다.
이러한 점에 관하여, 업종이나 회사규모를 구별하지 않고 구체적인 요구 수준을 일반화하는 것은 어렵지만, 실무의 축적으로서, 일본 연금 기구의 정보 유출 사안의 검증 보고서가 제시한 대응책을 정보 유출 대책으로 일반화하는 것은 일고할만 하다. 앞서 언급했듯이, 이 보고서는 표적형 공격에 바람직한 대비책으로 ‘시스템 설계’, ‘운영 관리’, ‘사고 대응’으로 나누어 분석하고 있는데, 이러한 개념은 표적형 공격 뿐만 아니라 일반적인 정보 유출 대책이나 개인정보 등의 정보 관리 일반에 대한 내부통제를 생각하는 기준으로도 효과적이지 않을까 생각한다. 즉, 기업들은 업종과 규모, 업무의 실태, 안고 있는 위험의 내용에 따라서 적절한 시스템 설계를 실시하고, 취약점 관리 등 정보 유출의 위험성을 최소화하기 위해 시스템의 운영 관리 철저를 도모하고, 유사 시를 상정한 긴급대응 체제를 수립하는 등의 시책을 강구해야 하며, 이사도 그 시책을 구현하기 위해 내부통제 시스템을 구축해야 한다고 생각한다. 특히 유사시에 대해 일본연금기구의 검증 보고서는, “정보 유출의 가능성을 파악한 때”에는, 그런 의심 사건 감지 직후의 신속한 초동은 피해를 줄이는데 필수적이다. 그래서 초동 조직 횡단적인 대응을 일원적이고 신속하게 수행하고, 긴급 대응 체제를 미리 정비하고 지속적인 훈련 등으로 대응 능력의 향상에 노력할 필요가 있다고하고있다.
이메일의 보급은 물론, IoT와 핀테크 등 시대는 인터넷에 대한 의존도를 높이고있다. 이러한 상황에서 기업과 인터넷과의 연결을 일시적으로라도 차단하는 것은 해당 기업의 사활의 문제가 될 수도 있다. 그러나 정보 유출이 발생한 경우에는 인터넷과의 차단을 신속 과감하게 실시해야 할 필요성에 직면 할 수있다. 이러한 경우에 대비하여 이 보고서도 지적 하는 것 처럼 CSIRT (Computer Security Incident Response Team)의 조성 등 내부통제 시스템 구축 의무의 일부를 구성하는 기업도 있다고 볼 수 있을 것이다.
위에서 설명한 바와 같이, 정보 보안에 관한 행정 지침이나 실제 정보 유출 사안에 대한 일반적으로 이용 가능한 정보가 이사의 내부통제 시스템 구축 의무에 큰 영향을 미칠 것으로 생각된다
(注 1)우기 마사히로 = 타가야 카즈 테루 = 타지 야스히코 = 미야케 히로시 편 "새로운 기본법 콘멘타루 정보 공개법 · 개인 정보 보호법 · 공문서 관리법」(일본평론사, 2013) 207페이지 ~ 211페이지 [新保史生]、우카 카츠야 "개인정보 보호법의 축조 해설 〔제4판) (유비각, 2013) 97 페이지 ~ 104페이지.
(注 2)개인정보보호위원회는、「가이드라인 등」(개인정보 보호에 관한 관계 부처의 가이드라인 등)으로 각 지침을 일람표로 한 「개인정보 보호에 관한 지침」(2015년 11월 25일 현재)을 공표하고 있다. 각 지침은 개인정보 보호법 조항의 일부에 대한 구체적인 예와 설명을 적는다. 또한 위원회는 참고로 법령, 지침의 관계를 그림으로 정리 한 「개인정보 보호에 관한 법률 지침의 체계 이미지」를 공개하고있다.
(注 3)「개인정보 보호에 관한 법률에 대한 경제산업분야를 대상으로한 가이드라인」2-11, 3-11. 또한 경제산업성은「 『개인정보보호에 관한 법률에 대한 경제 산업 분야를 대상으로하는 가이드 라인」등에 관한 Q&A」를 공표하고 있다.
(注 4)「금융분야에에서의 개인정보보호에 관한 가이드라인」 제10조。또한 금융 기관은 동조의 실시 등에 대해 「금융 분야의 개인 정보 보호 지침의 안전 관리 조치 등에 대한 실무 지침」을 정하고있다
(注5)「국제 기업의 내부 통제」관련 조직적인 관리와、「책임자의 선임 및 전문 조직의 구성에 따라 규칙의 규정, 직원에게 침투 운영, 감사 등의 PDCA 사이클의 운용을 도모하는 것을 의미하고, 법은 기업 소유 정보 보호를 위해 PDCA 사이클 프레임 워크를 사용하는 것을 요구하는 것이다」고 되어 있다(코야마 가즈히코 "정보법 준수 및 내부통제 [제2판 (초판 2008) 69페이지). 또한이 책에서 PDCA 사이클은 'Plan-Do-Check-Act Cycle", "품질 관리의 조직화 제도화 모델"로 되어 ISO 및 JIS 등으로 품질의 유지·향상 및 지속적인 업무 개선 활동을 추진하는 경영 체제로 채택하고 있다(동 68페이지).
(注 6)TBC 에스테틱 사건 (판례 시보 1964호-3항, 판례 타임즈 262호 270페이지). 이 사건의 항소심은 도쿄 고판 2007년 8월 28일 (판례 타임즈 1264 호 299 페이지). 사안의 개요는 웹 사이트를 통해 수집 한 원고들의 에스테틱 살롱에 관한 앙케이트의 답변 외에도 이름, 나이, 주소, 전화 번호 등의 개인 정보를 인터넷에서 제삼자에 의한 열람이 가능한 상태로두고 실제로 다른 사람이 이를 열람하고 개인 정보를 유출 시켰다는 것이다.
( 注 7) "개인 정보 보호에 관한 법률에 대한 경제 산업 분야를 대상으로하는 가이드 라인 '2 - 2 - 3 - 2번째 [필요하고 적절한 안전 관리 조치를 강구하고 있다고 할 수 없는 경우] 사례 1.
(注 8)사안은 이 시스템 개발·운용에 대한 업무 위탁 업체의 전직 직원이 고객정보를 빼내면서 경보기능 등 부정방지의 메커니즘이 작동하지 않았던 것이다.
(注 9)경제산업성 2014년 7월 10일자 18 베넷세 코포레이션에 대해서 개인 정보 보호 법에 근거한 보고 징수를 요청했습니다」
(注 10)경제산업성 20140924정 제1호 『개인정보의 보호에 관한 법률』 제34조 제1항의 규정에 근거한 권고에 관해서」의 "2. 권고의 원인이되는 사실"참조. "개인정보에 관한 법률에 대한 경제 산업 분야를 대상으로하는 가이드 라인"의 "I. 목적 및 적용 범위"는 "본 가이드 라인은 경제 산업 대신이 법을 집행 할 때의 기준이되는 것"이 된다.
( 注 11) 일정한 요건하에 주무 대신은 개인 정보 취급 사업자가 권고에 따른 조치를 강구하지 않으면 그 권고에 따른 조치를 취할 것을 명할 수 있다고 되어있다 (개인정보보호법 제34조 제2항).
( 注 12) 우카 카츠야 『개인 정보 보호의 이론과 실무』(유비각, 2009) 61 페이지는 "손해 배상 청구가 이루어진 경우,이 지침을 준수했는지 여부가 법원이 불법 행위 책임을 인정할지 여부의 판단에 크게 영향을 미칠 수있다 "고한다.
( 注 13) 내각 관방 내각 사이버 보안 센터 "기업 경영을 위한 사이버 보안 사고" 1페이지 참조.
( 注 14)TBC 에스테틱 사건 · 전술(注 6) "Yahoo! BB 사건(오사카 지판 2006년 5월 19일(판례시보 1948호 122페이지, 판례 타임즈 1230호 227페이지)、오사카 고판 2007년6월12일(판례집 미등재), 最決 2007년 12월 14일(판례집 미등재)).두 사건 모두 개인 정보 보호법 제 4장 시행 전의 사안이기 때문에 안전 관리 조치 (개인 정보 보호법 제 20조)은 불법 행위에 있어서 주의 의무 위반의 근거가되지 않는다. (엔도오 미츠 타카(遠藤光貴)「개인정보를 인터넷에 유출시킨 사업자의 책임에 관한 최근의 판례 동향」금융·상사판례 1287호(2008) 12페이지). 기타 오즈시(大洲市) 정보 공개 국가 배상 청구 사건,(타카마스(高松) 고판 2004년 4월 15일(판례 타임즈1150호 125페이지)), 우지시(宇治市) 주민 기본대장 데이터 유출 사건(오사카 고판 2001년 12월 25일(쥬리스토 1224호 8페이지))、와세다 대학 장쩌민 주석 강연회 명단 제출 사건(最判 2003년 9월 12일(민집 57권 8호 973페이지 판례시보1837호 3페이지, 판례 타임스 1134호 98페이지), 차태(差戻) 항소심 도쿄고판 2004년 3월 23일(판례시보 1855호 104페이지)).
위자료의 금액이 가장 높은 오즈시 정보 공개 국가 배상 청구 사건의 사안의 개요는 정치 활동으로시에 제출 한 서명부는 개인의 정치적 사상을 알 정보를 유출시킨 것으로, 손해의 산정에 있어서는 는 유출 된 정보의 내용 (민감한 정보)를 고려했다고 할 수있다.
위자료의 금액이 가장 높은 오즈시 정보 공개 국가 배상 청구 사건의 사안의 개요는 정치 활동으로시에 제출 한 서명부는 개인의 정치적 사상을 알 정보를 유출시킨 것으로, 손해의 산정에 있어서는 는 유출 된 정보의 내용 (민감한 정보)를 고려했다고 할 수있다.
(注 15)이케 베 요시히로(池辺吉博) 「개인 정보 유출과 기업의 비용」NBL 794호(2004)12페이지 오츠카 카즈나리 아키라(大塚和成竹内朗)=다나카 카츠유키(田中克幸)=츠루마키아키라(鶴巻暁)「개인 정보 유출 대응으로 보는 실질적인 리스크 관리)」NBL 811호 (2005) 87페이지.
(注 16)예를 들어 Yahoo! BB 사건, 전게 (註 14)에서, 모든 회원에 500 엔의 금권을 교부하는 등의 사과가 이뤄졌는데, 이 사건 1심은 인당 5000엔의 위자료 및 1000 엔의 변호사 비용을 인정했다. 또한, 금권의 배포는 위자료 등의 변제로 되어있다.
(注 17)일본 변호사 연합회는 「기업 등 불상사의 제삼자위원회 지침」을 책정하고있다. 오오츠카 = 타케우치 = 다나카 = 츠루마키, 앞에 게시한 (註 15) 93 페이지에 의하면, 사내 조사위원회에 대해 "회사에 요구되는 것은 회사에 구축 된 안전관리 조치(내부통제)의 효능 · 실효성을 조사하는 시점 "이라고 한다.
(注 18)사안은 일본 연금기구의 직원이 표적형 메일의 첨부 파일을 개봉하여 약 125만 건의 개인 정보가 유출 된 것이다.
(注 19)위원회는 여섯 명의 학자 등의 다양한 전문가로 구성된, 카이 중원 대법관, 변호사가 위원장을 맡았다. 기타 참여 등으로 많은 다른 회사 감사 법인의 변호사와 공인 회계사 등이 참여하고있다.
(注 20)「검증 보고서」 5페이지.
(注 21)변호사 등의 전문가가 조사 위원이지만, 사장의 자문기관으로서의 조사위원회에서, 일변연(日弁連) 가이드라인형 제3자 위원회는 아니다. 사안은 전게 (주 8).
(注 22)오치아이 세이치(落合誠一)편 『회사법 코멘타루8⎯⎯기관(2)』(상사법무, 2009)227페이지(오치아이 세이치) '하마다 미치요(浜田道代)=쿠보리 히데아키 이바나 타케오(久保利英明稲葉威雄)편『회사소송⎯⎯소송・비송・가처분⎯⎯ 』(민사법연구회, 2013)481페이지.
(注 23)대화은행 사건(판례시보 1721호 3페이지, 판례타임스 1047호 8페이지・금융・상사판례1101호 3페이지). 또한 항소심은 화해에 의해 종결됐다.
(注 24)민집231호 241페이지, 판례시보 2055호 147페이지, 판례 타임스 1307호-7페이지, 금융・상사판례 1330호 55페이지, 금융법무사정 1887호 111페이지.
(注 25)오오츠카 카즈나리 기환(大塚和成﨑環)=나카무라 노부오(中村信男) 편저 「내부 통제 시스템의 법적 전개와 실무 대응 』(청림서원, 2015) 84페이지 ~ 135페이지 [타카야 유스케(高谷裕介)]는 내부 통제 시스템 구축 의무 위반의 유무에 대해 판례를 자세히 비교하면서 일본 시스템 기술 사건 판결을 분석하여 ① 통상 예상되는 부정 행위를 방지 할 수있는 정도의 관리 체제는 갖추고 있었는지, ②) 실제로 발생한 부정 행위 는 일반적으로 쉽게 예상하기 어려운 부정 행위 또는 ③ 당해 부정 행위를 예견할 특별한 사정이 있었는지, ④ 위험 관리 체제가 작동하고 있었는지, 네가지 판단 요소를 추출한다 (동일 128페이지, 135 페이지). 그러나, 상기 ②와 ③의 사실은 이사의 과실로 평가 장애 사실과 평가 근거 사실이 될 수 있지만, 상기 ②는 원래 상기 ①의 "보통 예상되는 부정 행위를 방지" 라는 판단 틀에서 제외 된 사실이며, 또한 상기 ③은 개별 사실의 예측 가능성에 관한 사실이기 때문에 모두 본고의 내부 통제 시스템 구축으로 요구되는 수준에 관한 사항은 아니다. 본고의 대상이되는 내부 통제 시스템 구축 의무 위반에 대한 판단 틀에 한해서 보면 상기 ①과 ④된다.
(注 26)전게(注 23)。
(注 27)판례 타임스1109호 170페이지. 신쵸사 포커스 사건의 항소심은, 오사카 고판2002년 2월 21일(민집 59권 9호 2488페이지), 상고심은 最判 2005년 2월 10일(민집 59권 2428페이지, 판례시보 1925호 84페이지, 판례 타임즈 1203호 74페이지). 그러나 상고심에서는 내부 통제 시스템 구축 의무에 관한 판단을하는 것은 아니다..
(注 28) 판례시보1832호 155페이지.
(注 29) 판례시보1898호 130페이지, 노동판례 905호 52페이지.
(注 30) 판례시보1254호 214페이지, 금융법사정 194호 111페이지, 대기산업사건의 항소심은, 나고야 고판 2013년 3월 15일(판례시보 11189호 129페이지, 금융법무사정 1974호 91페이지).
(注 31)판례시보2220호 109페이지, 금융상사판례 1435호 42페이지.
(注 32)판례시보 1871호 125페이지, 자료 버젼/상사법무 244호185페이지.
(注 33)판례시보1888호 3페이지、판례타임즈1174호 150페이지, 금융・상사판례 1216호 19페이지. 야쿠르트 사건의 상소심은, 도쿄 고판 2009년 5월 21일(판례 사임즈 1281호 274페이지, 금융・상사판례 1293호 12페이지), 상고심은, 最決 2010년 12월 3일(자료 버전/상사법무 323호 22페이지).
(注 34)판례시보1892호 108페이지, 판례 타임스1172호 271페이지, 금융・상사판례1214호 26페이지. 다스킨 사건의 항소심은, 오사카 고판 2006년 6월 9일(판례시보1979호 225페이지, 판례타임즈1214호 115페이지)、상고심은, 最決 2008년 2월12일(상고기각, 상고불수리. 본지 1825호 56페이지).
(注 35)판례시보1887호 135페이지、자료 버전/상사법무 256호 52페이지.
(注 36)판례시보2033호 3페이지、판례타임즈1299호 261페이지。신초샤 타카 노하나(新潮社貴乃花) 사건의 항소심은, 도쿄 고판 2011년 7월 28일(판례지 미등재).
(注 37)판례시보11064호 139페이지, 판례타임즈1318호 199페이지.
(注 38)자료버젼/상사 법무 369호 72페이지.
(注 39)금융・상사판례1478호 37페이지, 자료판/상사법무 제376호 176페이지.
(注 40)판례평석에는 없지만, 에가시라 켄지로(江頭憲治郎)「주식회사법〔제6판〕 』(유비각, 2015)403페이지는, 「내부통제 시스템의 구축 및 그것을 실제로 작동시킬 수 있는 것은, 이사・감사의 선관주의의무의 내용이 되지만, 전자에 관해서는 시스템의 기준과 경영판단의 원칙과의 관계가 후자에 관해서는 이사의 신뢰의 보호가, 각각 문제된다」고 한다.
(注 41)와다무네히사,「대표 이사 등 내부통제 시스템 구축, 운영 의무와 제3자 책임」 금융상사 판례 제1283호(2008) 12페이지.
(注 42)「개인정보 보호 관련 법률에 대한 경제산업 분야를 대상으로 한 가이드라인」의 "I. 목적 및 적용 범위"는 "본 가이드라인 중 『해야 한다』고 기재된 규정에 대해서는 그에 따르지 않은 경우 경제산업 대신의 법의 규정 위반으로 판단될 수 있다"고 고한다.
(注 43)대표이사의 책임에 대해서,"불법 행위가 반복되고 있으며, 피고 회사로 법무국 등에서 각종의 권고를 받고 있었다"면서 “불법 행위의 연발을 방지할 수 있는 사내 체제를 구축·정비할 의무가 있다"라고 판단했다.
(注 44)같은 견해로, 오오츠카 카즈나리(大塚和成)「개인정보보호법이 요구하는 안전 관리 조치와 이사의 책임」금융 법무사정 1735호 (2005) 5페이지는 개인 정보 보호에 관한 지침이 「회사법 위의 해석으로는 이사 등의 작위 의무의 근거 (중요한 간접 사실 또는 해석 기준)가 있다」고 한다. 반대 의견으로 같은 5페이지에서 아사이 히로아키 「개인 정보 보호법과 금융 실무 [증보판] 」(금융재정사정연구회, 2005) 129페이지가 소개되고 있지만, 같은 200페이지는 「개인 정보의 안전 관리 체제 구축 의무는」 「그 내용이 일의적이 아니라 어떠한 체제를 구축할지에 대해 이사회에 재량권이 인정된다」며 조직적 안전 관리 조치 등의 항목에 대해 「어느 정도의 조치를 강구하는지에 (임의 규정) 대해서는 금융 사업자의 이사의 재량에 맡겨져 있다고 생각된다」며 반대 의견까지는 평가하기 어렵다 (또한 최신 버전 , 아사이 히로아키인 정보 보호법과 금융 실무 [제 4판] "(금융 재정 사정 연구회, 2016) 373 페이지).
(토오지・요시히로, 마츠바라・타카히로)
