내부통제 시스템이란? '일본 회사법'과 '일본 금융상품 거래법'에 따른 의무와 이사의 책임

내부통제 시스템이란, 불법행위를 방지하고 정보유출 등이 발생하지 않도록하는 기업내의 체계를 가르킵니다. 내부통제 시스템은 일본 회사법(Japanese Company Law)과 금융상품 거래법(Japanese Financial Instruments and Exchange Act)에 각각 정의되어 있으며, 일정한 요건을 충족하는 회사에는 내부통제 시스템 구축의무가 부과되어 있습니다.

기업 경영에서는, 내부 통제 시스템을 적절하게 구축하고 운영·정비하는 것이 컴플라이언스를 위해 매우 중요합니다.

본 글에서는 내부 통제 시스템이 무엇인지에 대해 설명하고, 특히 사이버 인시던트의 위험을 줄이기 위한 내부 통제 시스템과 이사가 부담하는 책임에 대해 설명합니다.

내부통제 시스템이란?

내부통제 시스템이란, 기업이나 조직이 법률, 규정, 업계 표준에 부합하기 위해 적절한 프로세스와 제도를 구축하고 적용하는 시스템을 말합니다.

특히 상장기업에서는, 기업의 신용과 브랜드 이미지 향상을 위해 내부통제 시스템을 적절하게 구축하고 위험관리를 하는 것이 필요합니다.

회사법상의 내부통제 시스템

회사법상의 내부통제 시스템은 회사법 제362조 제4항 제6호에 따라,

이사의 직무 수행이 법률 및 정관에 부합하도록 보장하는 체계와 그 외 주식회사의 업무 및 해당 주식회사와 그 자회사로 구성된 기업 집단의 업무의 적정성을 보장하기 위해 필요한 것으로 법무부령에서 정하는 체계의 구축

으로 정의되며, 이사회의 전권사항으로 되어 있습니다.

회사법상의 내부 통제는 주식회사와 그 자회사 등의 그룹회사의 업무적정성을 보장하는 것을 목표로 한 체계라고 할 수 있습니다.

금융상품거래법상의 내부통제 시스템

금융상품거래법에 따라, 상장회사 등은 내부통제 보고서의 제출 의무가 있습니다. 상장회사 등은, 금융상품거래법에 따라 내부통제 시스템을 구축하고, 그 내용에 대해 공시해야 합니다.

금융상품거래법에 따른 내부통제 시스템은 회사법과 달리, 투자자보호 관점에서 요구됩니다.

내부 통제 시스템을 구축하는 의무를 지닌 회사란?

일정한 요건을 충족하는 회사는 내부통제 시스템의 구축이 의무화되어 있습니다. 내부통제 시스템 구축 의무를 지닌 회사는 일본 회사법과 금융상품거래법(일본의 ‘금융상품거래법’)에 정의되어 있습니다.

회사법에 따라 내부통제 시스템의 구축이 의무화된 회사는 대형회사인 이사회 설치회사입니다. 대형회사란 자본금 50억 엔 이상 또는 부채가 2,000억 엔 이상인 회사(회사법 제2조 제6호)를 말합니다.

내부 통제 시스템을 갖춘 회사는 사업 보고서에 내부 통제 시스템의 운영 상황 개요를 기재해야 합니다. 또한, 감사인 설치 회사에서는 감사인이 이사의 직무 수행에 대한 감사의 하나로서 내부 통제 시스템 감사를 실시합니다.

한편, 금융상품거래법에 따라 내부통제 시스템을 구축하고, 그 내용을 공개할 의무가 있는 회사는 유가증권 보고서를 제출하는 상장회사 등입니다. 상장회사 등은 사업연도마다 유가증권 보고서와 함께 내부통제 보고서를 공개해야 합니다.

내부통제 시스템의 미비는 이사도 책임을 지게 된다

내부통제 시스템과 관련된 사고 중, 불법접근 혹은 정보유출 등의 사이버 사고가 발생했을 경우, 누가 그 책임을 지게 될까요?

보안 시스템에 취약점이 있어 정보유출 등이 발생했을 경우, 그 정보유출 등으로 인해 손해를 입은 자(고객 등)로부터 민법상의 채무불이행 책임이나 불법행위 책임을 물어, 손해배상을 청구받을 가능성이 있습니다.

회사법상, 이사는 회사로부터 경영을 위임받고 있으며, 회사에 손해를 주지않도록 선량한 관리자의 주의를 기울여 업무를 수행할 의무(선량한 관리자의 주의의무)를 지고 있습니다.

판례에 따르면, 내부통제 시스템 구축의무는 선량한 관리자의 주의의무 중 하나로 간주되고 있습니다.

따라서, 정보유출 등이 발생하여, 손해를 입은 자로부터 회사에 대한 손해배상 청구가 제기되었을 경우, 정보유출 등이 발생하지 않도록 보안수준을 높이거나, 취약점을 없애기 위한 조치를 취하지않는 경우, 이사의 선량한 관리자의 주의의무 위반에 해당하므로, 이사에게도 손해배상을 요구할 가능성이 있습니다.

내부통제 시스템에 관한 판례

위에서 언급한 바와 같이, 회사와 이사는 내부통제 시스템을 구축하는 것이 의무화되어 있습니다. 그렇다면 이제부터는 구체적인 판례를 바탕으로 설명하겠습니다.

야쿠르트 사건 도쿄지방법원 판결(도쿄지방법원 판결 헤이세이 16년(2004년) 12월 16일)

야쿠르트는 유가증권의 잠재적 손실을 보전 목적으로 한 파생상품 거래에 실패했고, 오히려 손실이 확대되었습니다. 이에 주주들이 당시 경영진에게 533억엔의 배상을 요구하여 주주대표 소송을 제기하였습니다.

이 사건에서는 파생상품 거래에 관한 리스크 관리 체계가 마련되어 있었는지 여부가 논란의 중심이었습니다.

재판에서는 자산운용 책임자로서 파생상품 거래를 담당했던 전 부사장에게 ‘이사로서의 주의의무를 위반하였다’는 이유로 67억엔의 지급을 명령하였습니다. 그러나 다른 경영진의 책임은 ‘회사로서 어느 정도의 리스크 관리 체계가 있었다’는 이유로 인정하지 않았습니다. 또한, 손실 발생 후 파생상품 거래의 리스크에 대한 인식이 급속히 발전하였다는 점 등을 이유로 리스크 관리 체계의 미비를 부인하였습니다. 08년 5월의 2심 도쿄고등법원 판결도 1심을 지지하였고, 최고법원도 1, 2심을 지지하였습니다.

이 재판에서 내부통제 시스템의 내용은 리스크 관리에 관한 행정적 연구 등과 리스크 사례를 참조하여 결정되어야 한다고 판시하였습니다.

제이콤 주식 오발주 사건(도쿄고등법원 판결 헤이세이 25년(2013년) 7월 24일)

이 사건은 미즈호증권의 직원이 고객에게 위탁받은 제이콤의 주식을 ’61만엔 1주 팔기’로 주문해야 하는데 ‘1엔 61만주 팔기’로 잘못 컴퓨터에 입력하여 고객에게 큰 손해를 입힌 사건입니다.

미즈호증권은 실수를 인지하고 취소 절차를 진행하였지만, 도쿄증권거래소의 시스템 결함으로 인해 취소가 이루어지지 않았고, 평상시에는 불가능한 대량의 매도주문으로 인해 주가가 급락했고, 결과적으로 400억엔 이상의 손해가 발생하였습니다. 미즈호증권은 오발주를 취소하지 못하고 400억엔을 초과하는 손실을 입은 것은 도쿄증권거래소의 시스템에 버그가 있었기 때문이라고 주장하며, 도쿄증권거래소에 대해 손해배상을 청구하였습니다.

이 재판에서는 ‘시스템의 버그가 중대한 과실에 해당하는가’가 큰 논란의 중심이었습니다. 도쿄고등법원은 ‘즉시 매매 중지 권한을 행사하지 않은 것은 도쿄증권거래소의 중대한 과실에 해당한다’고 판단하여 도쿄증권거래소에게 약 107억엔의 지급을 명령하였습니다.

도쿄증권거래소가 이 버그를 발견하고 대처할 수 있었는지 여부도 논란의 중심이었지만, 도쿄고등법원은 ‘제출된 전문가의 의견서의 주장이 상충하는 것이며, 판단하기 어렵다’고 판단하여 기술적인 측면에 대한 판단을 회피하였습니다.

그러나, 도쿄증권거래소가 분명히 이상한 거래가 이루어지고 있다는 것을 인지하고 있음에도 불구하고 거래 취소를 하지 않은 것에 대해서는 도쿄증권거래소의 중대한 과실을 인정하였습니다.

이처럼, 기술적인 면에서 법원의 판단이 내려지지 않는 경우, 기술 외의 부분에 주목하여 불법 행위가 인정되는 경우가 있습니다.

요약: 내부 통제 시스템 구축은 변호사에게 상담하십시오

특히 상장기업은 위험관리를 위해 내부통제 시스템을 적절하게 구축하고 운영하는 것이 필요합니다.

만약 정보보안 관련 사고가 발생한 경우, 회사의 규모나 사업내용 등에 따른 정보보안 대책을 취하지 않았다고 인정되면, 회사는 채무불이행 책임을 행할 위험이 있습니다. 이 때, 선임관리 의무위반에 해당한다고 판단되면, 이사에게 손해배상을 청구할 가능성도 있습니다. 정보보안에 관한 내부통제 시스템에 대해서는, 사전에 IT와 기업 법무에 능통한 변호사에게 상담하십시오.

본 법률사무소의 대책 안내

모노리스 법률사무소는 IT, 특히 인터넷과 법률의 양면에 높은 전문성을 가진 법률사무소입니다. 내부 통제 시스템의 구축에 대한 법률 검토의 필요성은 점점 증가하고 있습니다. 본 사무소에서는 컴플라이언스 준수를 위해 많은 기업에 솔루션을 제공하고 있습니다. 아래 기사에서 자세한 내용을 기술하고 있습니다.

모노리스 법률사무소의 취급 분야: IT 및 벤처 기업 [ja]법무