グループ・ガバナンスに関連する重要判例(ベネッセ損害賠償東京高裁判決が全文開示されました!)
今年6月、こちらの「ベネッセ情報流出事件ー親会社に初の賠償命令」と題するエントリーで、6月27日に出された東京高裁判決のニュースをご紹介しておりました。そしてようやく(?)最高裁HPにこの東京高裁判決の全文が開示されましたので、さっそく全文に目を通しました。ベネッセが保有していた顧客情報の管理ミスについて、客観的関連性ありとして、子会社とともに親会社であるベネッセコーポレーション(事業会社)の共同不法行為責任を認めていますね(民法719条 なお、ベネッセグループの完全親会社は持株会社であるベネッセホールディングスです)。
子会社の従業員もしくは子会社の委託先従業員の不適切行為について、親会社の管理監督責任を論じるにあたり、このベネッセの損害賠償東京高裁判決は、昨年のイビデン・セクハラ内部通報最高裁判決に続いて重要な判決になるものと思います(たしか控訴人、被控訴人ともに上告受理申立てをされているので、まだ最高裁でどのような判断が下されるのかはわかりませんが・・・)。
会社法の世界では、グループガバナンスに関する実務指針が公表されて「グループガバナンス」への関心が高まり、またアスクルとヤフーにおける子会社支配権に関連する紛議を通じて「子会社のガバナンス」と「親会社による事業ポートフォリオ管理」の狭間における企業集団内部統制が議論されている中で、このベネッセ情報流出事件の高裁判決は、ぜひとも著名な研究者の方に解説をお願いしたいところです(私のようなごく普通の弁護士ではちょっと大所高所からみた判決の意義を述べることは無理そうですー笑)。
ただ、当判決を読んだ「企業コンプライアンスに関心を持つ実務家」として一言申し上げるとすれば、①グループ親会社の経営トップは情報セキュリティについては重大なリスクとして検討しなければならず、②せめて取締役もしくは執行役員の中に、情報セキュリティに詳しい最高責任者をひとり選任する必要があり、③不幸にして情報流出事故が発生した場合には、自浄作用を発揮することが損害額にも影響を及ぼすことを認識しなければならない(自浄作用を発揮しなければ、役員の株主代表訴訟のリスクが格段に高まる)、ということです。ぜひ多くの方にお読みいただきたい判決文です。
| 固定リンク
コメント
山口先生
初めて投稿をさせていただきます。
ご示唆に富むブログありがとうございます。
ベネッセの過失についてご質問をさせていただきたいもですが、全文を読みますと、委託・再委託という文言は散見されるものの、親子関係や資本関係に関する記載は見当たらないように思われます。
また、ベネッセ側の予見可能性に関して、P.11以降に出てきますように、シンフォームを委託先として選んだことが不適当とは言えないけれども、書き出し制御措置が講じられているか否か報告を求めていればよかったのに、という趣旨の記載があるように思います。
ベネッセの過失については、親子関係の文脈において、子会社の情報管理に親会社の責任が追及された、という理解も納得できるのですが、業務委託契約の締結における、委託先のデューデリ上の過失という文脈にも読めると考えております。
この点につき、どのように理解すればよろしいでしょうか?
投稿: | 2019年8月22日 (木) 11時08分
ご質問、ありがとうございます。私もまったく同様の疑問をもったために研究者の方々による判例解説が必要かな、と思いました。私の個人的な意見は後者のほうに近いと考えており、すべての親子関係の管理問題にまで言及するのではなく、あくまでも情報セキュリティという分野においては親会社自身の目で見るべきか、あるいは子会社を通じて管理しなければ「過失」は認められる可能性が高いと判断すべきではないかと思います。「書き出し制御措置」が講じられているかどうか、報告を求める、といったことも、親会社の適切な管理がないと(一般的に上場会社に求められる程度の管理という意味ですが)責任を追及されてしまうリスクがある、ということは言えると思います。
投稿: toshi | 2019年8月22日 (木) 11時37分
早速のご回答ありがとうございます。
お考えがよくわかりました。
確かに、解説等がなされるとありがたいですね。
個人的な感想ですが。
P.13にある「情報それ自体に重要な価値が認められるというより、顧客名簿として大量に集積されているところに価値が認められるのが通常~」
の箇所も、「ビッグデータを学習させたAIは誰のもの?」という議論において参考になるものだなぁと感じました。
投稿: | 2019年8月22日 (木) 13時15分