General Corporate

什麼是內部控制系統？日本公司法與金融商品交易法上的義務與董事的責任

2023.11.02

General Corporate

內部控制系統，是指為防止違法行為和避免信息洩露等問題而在企業內部建立的機制。內部控制系統在日本公司法和金融商品交易法中都有明確的定義，對於符合一定條件的公司，有義務建立內部控制系統。

在企業經營中，適當地建立和運營、維護內部控制系統對於遵守法規（Compliance）非常重要。

本文將解釋什麼是內部控制系統，並特別闡述如何通過內部控制系統來降低網絡事件的風險，以及董事所需承擔的責任。

何謂內部控制系統

內部控制系統，是企業或組織為了符合法律法規、規範和行業標準，建立和實施適當的流程和制度的系統。

特別是對於上市公司來說，為了提升公司的信譽和品牌形象，需要適當地建立內部控制系統並進行風險管理。

日本公司法中的內部控制系統

根據日本公司法第362條第4項第6號[日語]，

為確保董事執行職務符合法律和公司章程，以及為確保股份有限公司及其子公司等企業集團的業務適當，需要建立由法務省規定的體制。

這被定義為董事會的專權事項。

日本公司法中的內部控制，可以說是為了確保股份有限公司及其子公司等集團公司的業務適當而建立的體制。

日本金融商品交易法中的內部控制系統

根據日本金融商品交易法，上市公司等有提交內部控制報告書的義務。上市公司等必須根據日本金融商品交易法建立內部控制系統，並對其內容進行公開。

日本金融商品交易法中的內部控制系統，與日本公司法不同，是從保護投資者的角度要求的。

負責建立內部控制系統的公司是什麼

滿足一定要求的公司，必須建立內部控制系統。負責建立內部控制系統的公司，是由日本公司法和金融商品交易法所定義的。

根據日本公司法，必須建立內部控制系統的是設有董事會的大公司。大公司是指，資本金超過五億日元或者負債金額超過二千億日元的公司（日本公司法第2條第6號）。

已經建立內部控制系統的公司，必須在業務報告書中記載內部控制系統的運行狀況概述。此外，在設有監察人的公司中，監察人需要執行內部控制系統審核，作為對董事執行職務的一項審核。

另一方面，根據金融商品交易法，必須建立內部控制系統並公開其內容的是需要提交有價證券報告書的上市公司等。上市公司等每個業務年度，都需要與有價證券報告書一同公開內部控制報告書。

內部控制系統的疏漏，董事也需負責

在與內部控制系統相關的事故中，當發生非法訪問或信息洩露等網路事件時，誰將承擔這個責任呢？

如果安全系統存在漏洞，導致信息洩露等事件，可能會被遭受損害的人（如客戶等）以民法上的債務不履行責任或侵權行為責任追問，並可能被要求賠償損害。

董事在公司法上被公司委託經營，有義務以善良管理者的注意力來執行業務，以免對公司造成損害（善管注意義務）。

根據法院的判例，建立內部控制系統的義務被視為善管注意義務的一部分。

因此，如果發生信息洩露等事件，並且遭受損害的人向公司提出損害賠償請求，那麼如果董事沒有提高安全等級或採取措施消除漏洞，可能會被認為違反了善管注意義務，並可能被要求對董事進行損害賠償。

關於內部控制系統的判例

如上所述，公司和董事有義務建立內部控制系統。接下來，讓本所根據具體的判例進行解釋。

關於「養樂多事件」東京地方法院判決（2004年12月16日）

養樂多公司在進行高風險的衍生性金融商品交易以彌補有價證券的潛在損失等目的時失敗，反而擴大了損失。對此，股東對當時的管理層提出了533億日元的賠償要求，並提起了股東代表訴訟。

本案中，爭議的焦點是是否已建立了與衍生性金融商品交易相關的風險管理體系。

在審判中，法院命令擔任資產運營負責人並負責衍生性金融商品交易的前副社長支付67億日元，理由是「違反了董事的注意義務」。然而，對於其他管理層的責任，法院認為「公司已有一定的風險管理體系」，因此不予認定。此外，由於損失發生後，對衍生性金融商品交易風險的認識迅速發展（=當時的認識並不充分）等原因，法院否定了風險管理體系的不足。2008年5月的東京高等法院判決也支持了一審的判決，最高法院也支持了一、二審的判決。

在這次審判中，內部控制系統的內容應參考行政研究和風險案例來決定。

關於「J-COM股票誤下單事件」東京高等法院判決（2013年7月24日）

這是一起由於瑞穗證券的員工將應該輸入「賣出J-COM股票61萬日元1股」的訂單誤輸入為「賣出1日元61萬股」，給客戶造成了巨大損失的事件。

瑞穗證券發現錯誤並進行了撤銷手續，但由於東京證券交易所的系統缺陷，撤銷未能實現，由於大量的賣出訂單，股價暴跌。結果造成超過400億日元的損失。瑞穗證券主張，由於東京證券交易所的系統存在錯誤，無法撤銷誤下的訂單，導致超過400億日元的損失，因此向東京證券交易所提出損害賠償要求。

在這次審判中，「系統的錯誤是否構成重大過失」成為了重要的爭議點。東京高等法院認為「未能及時行使停止交易的權限，構成東京證券交易所的重大過失」，因此命令東京證券交易所支付約107億日元。

關於東京證券交易所是否有技術上的可能性發現並處理這個錯誤也成為了爭議點，但東京高等法院認為，「提交的專家意見書的主張相互矛盾，難以判定優劣」，因此避免了對技術面的判斷。

然而，東京證券交易所明明注意到有明顯異常的交易正在進行，卻沒有撤銷交易，對此，東京高等法院認定了東京證券交易所的重大過失。

因此，當法院無法在技術層面作出判斷時，可能會關注技術以外的問題，並確認非法行為的存在。

總結：請向律師諮詢有關建立內部控制系統的問題

特別是上市公司，為了風險管理，需要適當地建立和運營內部控制系統。

萬一發生了與資訊安全相關的事故，如果被認定為未根據公司規模和業務內容等採取適當的資訊安全措施，公司可能面臨債務不履行責任的風險。在這種情況下，也可能會因為違反善管注意義務，對董事提出損害賠償的要求。對於與資訊安全相關的內部控制系統，請儘早向熟悉IT和企業法務的律師諮詢。

本所事務所的對策介紹

MONOLITH律師事務所是一家在IT，特別是互聯網和法律兩方面具有高度專業性的律師事務所。內部控制系統的建立對於法律審查的需求正在不斷增加。本所事務所致力於遵守合規性，為許多公司提供解決方案。

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag: General Corporate IPO

什麼是內部控制系統？日本公司法與金融商品交易法上的義務與董事的責任