従業員に401(k)退職金制度(プラン)を提供する会社(「401(k)雇用主スポンサー」)には、各従業員のIRA(個人退職金口座)をサイバー犯罪から保護する受託者責任(fiduciary obligation)があります。現在、米国にはおよそ1億600万の確定拠出年金制度(defined contribution plan)があり、同制度の下で6.3兆ドル近くの従業員退職金が貯蓄されています。多くの従業員にとっては、各個人の401(k)口座に貯蓄される金額が最大の資産であり、唯一の退職金貯蓄手段です。しかしながら、不運なことに、ここ数年、401(k)雇用主スポンサーがサイバー犯罪の的となるリスクが増大しています。例えば、サイバー犯罪の被害に遭った某企業では、元従業員の401(k)口座から245,000ドルが不正に引き出されました。同様に、某法律事務所のパートナー弁護士の401(k)口座から400,000ドルが不正に引き出された事件もありました。
米国労働省(「DOL」)は、会社の退職金制度がサイバー犯罪に脅かされていることを受け、401(k)雇用主スポンサー、プラン受託者、関連記録管理機関(record-keeper)および401(k)プランに加入している従業員向けに、近時、サイバーセキュリティに関するベストプラクティスのためのガイダンスを発行しました。DOLがサイバーセキュリティに関してガイダンスを発行したのは今回が初めてです。本ガイダンスは、次の3つのセクションに分かれています。
- 401(k)雇用主スポンサーが、サイバーセキュリティの実施と手続きを専門とするサービス・プロバイダーを選定する際の「サービス・プロバイダーを雇うための注意点」
- 「サイバーセキュリティ・プログラムのベストプラクティス」(サイバーセキュリティ・リスクの軽減に役立つベストプラクティス・ガイドラインを12の広範なカテゴリー別に解説)
- 「オンライン・セキュリティに関するアドバイス」(401(k)個人退職金口座に関して、不正行為や損失・損害が生じるリスクが軽減されるよう、各従業員を支援するもの)
プラン受託者は、従業員退職所得保障法(Employee Retirement Income Security Act)第404条に従い、従業員とプラン受益者の利益だけを念頭に置きつつ、退職金の給付のみを目的として、401(k)プランに関わる任務を遂行しなければなりません。そのため、サイバー犯罪により、従業員の401(k)口座の一部または全部に損失が生じた場合、401(k)雇用主スポンサーが、その受託者責任を履行しなかったとみなされる可能性があり、個人賠償責任および全プランの損害について補償義務を問われることになります。上述の例においては、従業員が、貯蓄してきた退職金が不正に引き出されたことを理由に、雇用主およびプラン管理会社に対して訴訟を提起しました。雇用主は、従業員の個人退職金口座をサイバー犯罪による被害と損失から保護し、そのようなリスクを軽減するためにも、DOLガイダンスの内容を確認・実施する必要があります。サイバー犯罪の手口がますます巧妙化していることからも、サイバーセキュリティは、401(k)雇用主スポンサーにとって一度限りの検討・確認事項ではなく、継続的な責任・義務であることを常に心しておくことが重要です。
© 2024 Masuda, Funai, Eifert & Mitchell, Ltd. All rights reserved. 本書は、特定の事実や状況に関する法務アドバイスまたは法的見解に代わるものではありません。本書に含まれる内容は、情報の提供を目的としたものです。かかる情報を利用なさる場合は、弁護士にご相談の上、アドバイスに従ってください。本書は、広告物とみなされることもあります。