CIOのキャリアを脅かす6つの法的「罠」

CIOの雇用主やその法務チームは、CIOが職務を遂行する際の多くの法的保護を提供しています。とはいえ、CIOの行動が法的な閾値を超えたとみなされたり、職務に固有のリスクが適切に対処されていないと見なされた場合、CIOは自己防衛しなければなりません。

過去に、CIOが自らの会社が契約を結んでいる会社からのリベートを受け取ったとして訴えられたり、重大なデータ侵害を招くデータのセキュリティを確保しなかったりして訴えられることもありました。

今年、Gartnerは政府の元研究部門ディレクターを、競業避止および非勧誘契約違反および商業秘密の不正使用の疑いで訴えました。

CIOが注意すべき法的な「罠」は何か、そして自分自身をどのように守れるのでしょうか。

以下はITリーダーとしての法的なリスクに関して心に留めておくべき6つの問題点です。

1. 様々な理由で個人的に責任を問われる可能性があります

これらの理由には、受託者の責任違反、詐欺、利己的な取引、利益相反、州および連邦法の違反、疑わしい雇用慣行、知的財産の窃盗、データの誤取扱いなどが含まれます。

2. 責任保険の欠如はあなたをリスクに晒す

会社があなたの責任について守ってくれると思っているかもしれません。そして、会社が役員の責任に関するカバレッジを持っており、あなたが役員である場合はその考えは正しいかもしれません。しかし、あなたの会社は経営幹部のための責任保険を有していますか？

多くのFortune 500企業は経営幹部のための責任保険を有しているのが標準ですが、多くの民間および非営利企業は保険料の上昇に直面しており、責任保険を有していない可能性があります。

CIOの職に応募する場合、面接を受ける会社が経営幹部のための責任保護や補償保険を提供しているかどうか確認するのが賢明です。

3. 責任保険は全てをカバーするわけではない

経営幹部の責任保険はすべてをカバーしているのでしょうか。答えは「いいえ」です。

Kresz Lawの弁護士、マット・クレスゾ氏「D&O（取締役および役員）の保険は、通常、財産損害、違法行為、経営者間の訴訟をカバーしない。財産損害は、ランサムウェア攻撃などのサイバー攻撃の結果として生じるコンピュータ、ネットワーク機器、データの損害をカバーしない可能性があるが、サイバー責任保険はD&Oのカバレッジが及ばないところもカバーすることができる」と述べています。

クレスゾ氏は、違法とみなされる行為のグレーゾーンが存在することも指摘しています。「保険によっては、被保険者が違法であることを知っていた行為を除外するよう指示するものもあれば、違法であることを知っていたかどうかにかかわらず、あらゆる違法行為を対象とするものもある。」と彼は述べています。さらに、経営者同士の訴訟は、一方の経営者が他の被保険者を訴えることによる保険詐欺を防ぐために除外されていると言います。

簡単に言えば、会社が提供する法的保護範囲を徹底的に確認するのが賢明です。なぜなら、すべてがカバーされているわけではないからです。

4. 隠すより明らかにする方が良い

あるCIOはスタッフから数千の顧客レコードがサイバー攻撃で流出したかもしれないとの知らせを受けました。しかし、その後の影響を恐れたCIOはCEOや取締役会にこれを報告しませんでした。結局、顧客に訴訟をちらつかされて初めて情報漏洩が明らかとなりました。言うまでもなく、CIOは解雇されました。彼は過失や職務怠慢で訴えられる可能性もありました。

5. 従業員の問題は文書化すべき

私が初めてITマネジャーになったとき、部下の扱いが荒い通信担当の上司に当たり、自分自身も何の仕事をすればいいか分からないという状況に陥りました。彼女は上級副社長の妻という理由でその地位を与えられていました。

私が担当することになったIT部門は、業績が芳しくありませんでした。私は、おそらく彼女を解雇しない限り、士気回復、業績向上はできないだろうと考えていました。

彼女が副社長の妻であることを念頭に、私は人事部と手を取り合いました。私は彼女のパフォーマンスの問題を詳細に文書化し、HRと私は何度も本人と合同会議を開きました。残念なことに、素行の悪さと業績は一向に変わりませんでした。結局、私は彼女を解雇するしかありませんでした。

するとその人物は、私と会社に対して不当解雇と男女差別で訴訟を起こすと脅してきました。結局、彼女は脅迫を取り下げましたが、私は教訓を得ました。業績上の問題や従業員との話し合いがある場合は、必ず包括的に文書化すること。関係者との面談が必要な場合は、人事部もこの面談に参加させ、立会人を確保しましょう。

6. 企業のセキュリティを自分事として捉える

CIOが訴えられたり、解雇されたりする場合、それは大きなサイバーセキュリティ侵害が原因であることが多いです。CIOは企業情報を守る最終的な責任者であるため、侵入が発生した場合、それは常にCIOの監督下で起こったとみなされます。そして、その影響は深刻なものとなる可能性があります。

リスクを減少させ、責任を果たすために、CIOは定期的にCISOやセキュリティチームリーダーとミーティングを開催し、週次のセキュリティモニタリングレポートを確認し、適切なセキュリティフレームワークやツールが配置されているか、また従業員やCEO、取締役会が適切な情報セキュリティポリシーと実践に精通しているかを確認する必要があります。 CIOはこのプロセスに個人的に関与すべきです。なぜなら、最終的な責任者であるあなたが無知であることは、セキュリティ侵害の訴訟において守りにはならないからです。