令和２年３月２日、内閣官房内閣サイバーセキュリティセンター（ＮＩＳＣ）より、「サイバーセキュリティ関係法令Q&A ハンドブック Ver1.0」が公表されました。Q1～Q73として網羅的な設例及びその解説が紹介されています。
　例えば、「会社の事業継続にとってサイバーインシデントが及ぼす影響が看過できない状況下においては、この「リスク」の中に、サイバーセキュリティに関するリスクが含まれ得るため、リスク管理体制の構築には、サイバーセキュリティを確保する体制の構築が含まれ得る。」(16P)「会社法は、「業務の適正を確保するための体制の整備」について取締役会が決すべきものとしているが、当該体制の具体的な在り方は、一義的に定まるものではなく、各会社が営む事業の規模や特性等に応じて、その必要性、効果、実施のためのコスト等様々な事情を勘案の上、各会社において決定されるべき事項である。また、取締役会が決めるのは「目標の設定、目標達成のために必要な内部組織及び権限、内部組織間の連絡方法、是正すべき事実が生じた場合の是正方法等に関する重要な事項（要綱・大綱）4」でよいと解されている。サイバーセキュリティに関していえば、当該体制の整備としては、「情報セキュリティ規程」「個人情報保護規程」等の規程の整備や、CSIRT(Computer Security Incident ResponseTeam)などのサイバーセキュリティを含めたリスク管理を担当する部署の構築等が考えられる。」(18P)「取締役（会）が決定したサイバーセキュリティ体制が、当該会社の規模や業務内容に鑑みて適切でなかったため、会社が保有する情報が漏えい、改ざん又は滅失（消失）若しくは毀損（破壊）（以下本項において「漏えい等」という。）されたことにより会社に損害が生じた場合、体制の決定に関与した取締役は、会社に対して、任務懈怠（けたい）に基づく損害賠償責任（会社法第423 条第1 項）を問われ得る。また、決定されたサイバーセキュリティ体制自体は適切なものであったとしても、その体制が実際には定められたとおりに運用されておらず、取締役（・監査役）がそれを知り、又は注意すれば知ることができたにも関わらず、長期間放置しているような場合も同様である。」(20P)などの指摘があり、標準的な見解を理解する上では有益であると言えます。
　今後、様々な質問や事例が積み重ねられ、議論がより深化していくことが期待されるところです。