アサヒ・アスクル「ランサムウェア」で大損害 社員が“うっかり”感染原因になっても「賠償責任」生じない?【弁護士解説】
10月31日、オフィス用品通販大手の「アスクル」は、同月19日に発生したランサムウェア感染によって顧客などの情報が外部に流出したことを明らかにした。感染に伴うシステム障害が原因で、同社の法人向け・個人向けサービスは感染当日から11月5日時点まで受注・出荷や一部サービスが停止されている。 アスクル「ご注文受付停止のお知らせとお詫び(10月31日更新)」 また10月14日には、「アサヒグループホールディングス」(以下「アサヒ」)も、9月下旬に発生したランサムウェア感染によって個人情報が流出した可能性があると発表している。同社のシステムも、いまだ完全には復旧できておらず、電話やファックスなどによる受注で対応しているという。 アスクルのシステム障害は、同社に物流業務を委託していた「無印良品」や「ロフト」にも波及しており、両社のECサイトはサービスを停止している(5日時点)。また、アサヒのシステム障害は同社の製品を販売するコンビニやスーパーなどの小売店、そしてレストランや外食チェーンに及んだ。 ランサムウェア感染は、不審なメールを開く、不審なURLをクリックする、パスワードを使い回す、業務で使用するPC・スマホの管理が甘い…など、一社員の不注意が原因で発生する場合もある。 もし、ランサムウェアの感染の原因が一人の社員にある場合、その社員には、会社に発生した損害を賠償する責任は生じるのだろうか?
通常、社員や管理職には損害を賠償する責任はない
企業法務や労働問題に詳しい雨宮知希弁護士は「原則として、社員個人が会社に対して巨額の損害を賠償する責任を負うことはない」と答える。 そもそも、企業などに勤める従業員は法律的には「使用者の指揮命令下」にあるため(民法715条、労働契約法3条4項)、「業務遂行に際して通常期待される注意義務」を尽くしていた場合には、仮に結果として損害が発生しても過失責任を問われにくい構造になっている。 また、業務で禁止されている外部サイトから不正にファイルをダウンロードしたなど、従業員が明らかに注意義務を怠った場合でも、損害賠償責任の範囲は「故意または重大な過失がある場合」に限定される。さらに、賠償する金額も相当程度に制限されるのが一般的だ(例:最高裁昭和51年(1976年)7月8日判決(川義事件))。 そして、「不審メールを開封した」「パスワードを使い回した」など社員の「過失」があったとしても、故意や著しい怠慢(重過失)があるとまでは評価されづらい。そのため、損害賠償請求が認められる可能性はきわめて低いという。 同様に、社員の行動を管理する上司やネットワーク・セキュリティのシステム管理者などの管理職層が個人として損害賠償責任を負う可能性もきわめて低い。 ただし、システム管理者が明らかに危険であると認識しながらセキュリティ対策を怠った場合や、会社のセキュリティポリシーを意図的に無視した場合、または管理職が部下の著しい不正行為を放置した場合、それらの管理者は「故意または重過失」が認められて損害賠償責任を負う可能性がある。 では、ランサムウェア被害が発生する原因となった社員や関連する管理職層が、会社から戒告・減給などの懲戒処分を科されたり、解雇されたりする可能性はあるのだろうか。 懲戒処分や解雇については、労働契約法15条・16条などに基づき「客観的合理性」と「社会的相当性」が必要とされる。そのため「単なる不注意でウイルス感染を招いた場合は、通常、会社が懲戒処分を行うことは難しいと思います」と雨宮弁護士は回答する。 ただし、会社が明示している情報セキュリティ規程に違反する行為をした場合や、繰り返し注意を受けていたにもかかわらず再び同様の行為をした場合などには、懲戒処分の相当性が認められる可能性もある。 「しかし、このような場合でも、懲戒処分が相当となるためには、故意またはきわめて重大な過失(例:マルウェアを意図的に社内に持ち込んだなど)が必要となります。そのため、懲戒処分や解雇のハードルは高いといえるでしょう」(雨宮弁護士)
