什么是内部控制系统?公司法和金融产品交易法的义务以及董事的责任

内部控制系统是指为防止违法行为和信息泄露等，而在企业内部建立的机制。内部控制系统在日本公司法和金融商品交易法中都有定义，对于满足一定条件的公司，有义务构建内部控制系统。

在企业经营中，适当地构建、运营和维护内部控制系统对于合规性至关重要。

本文将解释什么是内部控制系统，并特别解释用于控制网络事件风险的内部控制系统，以及董事所承担的责任。

什么是内部控制系统

内部控制系统是企业或组织为了符合法律法规、规章制度和行业标准，建立和实施适当的流程和制度的系统。

特别是对于上市公司来说，为了提高公司的信誉和品牌形象，需要适当地建立内部控制系统并进行风险管理。

公司法上的内部控制系统

根据日本公司法第362条第4款第6项[ja]，公司法上的内部控制系统定义为：

为确保董事执行职务符合法律和公司章程，以及为确保股份公司及其子公司组成的企业集团的业务的适当性，需要建立法务省令规定的体制。

这被视为董事会的专权事项。

可以说，公司法上的内部控制是为了确保股份公司及其子公司等集团公司的业务的适当性而建立的体制。

金融商品交易法上的内部控制系统

根据日本金融商品交易法，上市公司等有提交内部控制报告书的义务。上市公司等必须根据金融商品交易法建立内部控制系统，并对其内容进行公开。

金融商品交易法上的内部控制系统与公司法不同，是从保护投资者的角度要求的。

承担建立内部控制系统义务的公司是什么

满足一定要求的公司，有义务建立内部控制系统。承担建立内部控制系统义务的公司，是由日本公司法（Japanese Company Law）和金融商品交易法（Japanese Financial Instruments and Exchange Act）定义的。

根据日本公司法，被要求建立内部控制系统的是设有董事会的大公司。大公司是指，资本金超过5亿日元或者负债超过200亿日元的公司（日本公司法第2条第6号）。

已经建立内部控制系统的公司，必须在业务报告书中描述内部控制系统的运行情况概述。此外，在设有审计官的公司中，审计官需要执行内部控制系统审计，作为对董事执行职务的审计之一。

另一方面，根据金融商品交易法，有义务建立内部控制系统并公开其内容的是需要提交有价证券报告书的上市公司等。上市公司等每个业务年度，都需要与有价证券报告书一同公开内部控制报告书。

董事也需对内部控制系统的缺陷负责

在与内部控制系统相关的事故中，当发生网络安全事件，如非法访问或信息泄露等，谁应该承担责任呢？

如果安全系统存在漏洞导致信息泄露等情况，可能会被遭受损害的人（如客户）以民法上的违约责任或侵权责任追问，可能会被要求赔偿损失。

董事在日本公司法上被公司委托管理，有义务以善良的管理者的注意力进行业务，以避免给公司造成损害（善良管理者注意义务）。

根据判例，建立内部控制系统的义务被视为善良管理者注意义务的一部分。

因此，如果发生信息泄露等情况，遭受损害的人向公司提出赔偿要求，董事没有提高安全级别或采取措施消除漏洞，可能被视为违反善良管理者注意义务，可能会被要求对董事进行赔偿。

关于内部控制系统的判例

如上所述，公司和董事有义务建立内部控制系统。接下来，让我们以具体的判例来进行解释。

关于乳酸菌饮料制造商“酸奶”事件的东京地方法院判决（2004年12月16日）

酸奶公司在进行高风险的衍生品交易以弥补有价证券的潜在损失等目的时失败，反而扩大了损失。对此，股东对当时的管理层提起了要求赔偿533亿日元的股东代表诉讼。

本案中，争议的焦点是是否已经建立了关于衍生品交易的风险管理体系。

在审判中，法院命令作为资产运营负责人处理衍生品交易的前副总裁支付67亿日元，理由是“违反了作为董事的注意义务”。然而，对于其他管理层的责任，法院并未承认，理由是“公司已经有了一定的风险管理体系”。此外，由于损失发生后，对衍生品交易风险的认识迅速发展（=当时并不充分），法院否认了风险管理体系的不足。2008年5月的二审东京高等法院判决以及最高法院的判决都支持了一审的判决。

在这个审判中，法院指出，内部控制系统的内容应参考行政研究和风险案例来决定。

关于J-COM股票误发订单事件的东京高等法院判决（2013年7月24日）

这是一起事件，其中，瑞穗证券的员工错误地将客户委托的J-COM股票的“卖出61万股，每股1日元”的订单输入为“卖出61万股，每股1日元”，从而给客户造成了巨大的损失。

瑞穗证券发现错误后，进行了撤销程序，但由于东京证券交易所的系统缺陷，撤销未能实现，由于不可能的大量卖出订单，股价暴跌。结果，造成了超过400亿日元的损失。瑞穗证券主张，由于东京证券交易所的系统存在漏洞，无法撤销误发的订单，从而造成了超过400亿日元的损失，因此向东京证券交易所索赔。

在这个审判中，“系统的漏洞是否构成重大过失”成为了重大的争议点。东京高等法院判决，“未能及时行使停止交易的权力，构成东京证券交易所的重大过失”，因此命令东京证券交易所支付约107亿日元。

关于东京证券交易所是否有技术可能发现并处理这个漏洞也成为了争议点，但东京高等法院表示，“提交的专家意见书的主张相互矛盾，难以判断优劣”，因此避免了对技术方面的判断。

然而，东京证券交易所明显注意到了明显异常的交易正在进行，但没有撤销交易，法院认定这是东京证券交易所的重大过失。

因此，当法院在技术方面无法做出判断时，可能会关注技术以外的问题，认定存在非法行为。

总结：请向律师咨询内部控制系统的构建

特别是在上市公司中，为了风险管理，需要适当地构建和运行内部控制系统。

万一发生信息安全相关的事故，如果被认定为没有根据公司规模和业务内容等采取信息安全措施，公司可能面临债务不履行责任的风险。在这种情况下，可能会要求违反善管注意义务的董事赔偿损失。关于信息安全的内部控制系统，请尽早向熟悉IT和企业法务的律师咨询。

相关文章：如何防止委托方的安全事件？解释委托方的内部控制系统的构建和运行[ja]

我們事務所的對策介紹

Monolith法律事務所是一家在IT，特別是互聯網和法律兩方面都具有高度專業性的法律事務所。內部控制系統的建設對於法律審查的需求正在不斷增加。我們事務所致力於遵守合規性，為許多公司提供解決方案。詳細內容請參見下文。

Monolith法律事務所的業務範疇：IT和創業公司法律事務[ja]