POINT1:経営者などに問われる法的責任
ITを利活用することは、顧客の個人情報を収集・活用する、他社への差別化として技術情報を活用するなど、さまざまな重要情報を取り扱います。そのため、企業とその経営者には高い責任が求められます。
企業が個人情報などを適切に管理していなかった場合、経営者や役員、担当者は刑事罰やその他の責任を問われることになります。場合によっては、経営者が個人として損害賠償責任を負うこともあります。
POINT2:関係者や社会に対する責任
情報漏えいを引き起こした企業の経営者には、法的責任だけでなく、その情報の提供者や顧客に対して損害賠償や謝罪などが求められます。
また、会社を代表して、社会に対して情報漏えいの原因や再発防止策を明らかにする義務があります。
さらに、営業機会の喪失・売上高の減少・企業のイメージダウン・取引先との信頼関係の喪失などを引き起こすことにより、事業に大きなダメージを与え、経営者としての経営責任を果たすことができなくなります。
POINT3:海外の法律への対応も必要
サイバーセキュリティへの注目は世界中で高まっており、関連法案が世界各国・地域で施行されています。近年はWebなどで個人情報を比較的容易に収集でき、海外との直接取引も容易です。事業展開の中でこうした活動を行っている場合には、諸外国の法律に抵触しないように注意が必要です。
(例)
- 欧州連合(EU):EU 一般データ保護規則(General Data Protection Regulation:GDPR)
- 中華人民共和国:中国サイバーセキュリティ法(CS法)
- アメリカ合衆国:「NIST SP800-171」(米国政府の調達品に関するセキュリティガイドライン)
POINT4:サイバーセキュリティ対策の情報開示
5G、IoTやAIをはじめとしたICT利活用が社会・経済のあらゆる場面に浸透しつつある中、有効なサイバーセキュリティ対策を講じることは企業の経営課題となっています。
加えて、企業の社会的責任を果たし、ステークホルダーからの信頼を得るためには、それらの情報を適切に開示することも重要な視点となっています。
⇒ MISSION 3-2 サイバー攻撃を受けると企業が被る不利益