はじめに
2017年5月に改正個人情報保護法が施行されました。
今回の改正で5000件要件(個人情報を5000件以上保有している事業者のみが規制対象となること)が撤廃され、たった1件でも個人情報を取り扱っている事業者は、すべて個人情報保護法が適用されることになりました。
このように個人情報の取扱いに関する規制が強化される中、これを漏洩してしまった場合の「罰則」や会社が取るべき「責任」について、きちんと理解している方は少ないのではないでしょうか。
とくに、改正個人情報保護法で初めて規制対象となったベンチャー企業などにとって、「知らなかった」では済まされない問題となります。
そこで今回は、会社が個人情報を漏洩してしまった場合どのような罰則があるのか、損害賠償はどれくらい支払うことになるのか、また、個人情報を漏洩しないための対策などについて、分かりやすく解説していきます。
目次
1 個人情報とは
「個人情報」とは、以下の定義をみたすもののことをいいます。
- 生きている個人に関する情報で、その情報に書いてある名前や生年月日などにより特定の個人を特定できるもの
- 生きている個人に関する情報で、他の情報と簡単に照合することができて、それによって特定の個人を識別できるもの
具体的には、人の氏名(①)や、顧客名簿と紐づけられた販売リスト(②)などがあります。
現在、ほとんどの事業者が顧客データや自社の従業員データなどの個人情報を保管していると思います。この「個人情報」は、上手く活用すれば新たなビジネスチャンスにつなげることができる宝物です。
一方で、間違った取扱いをしてしまうと、取り返しのつかない事態にもなりかねません。ニュースなどで大企業の情報漏洩の報道を見たことがある方も多いかと思いますが、報道により世の中に広く大きな影響を及ぼし、会社のイメージが回復不可能なほど下がってしまう可能性もあります。
そのため、個人情報は慎重に、大切に取り扱わなければならないのです。この、個人情報の取り扱いルールを定めた法律が「個人情報保護法」です。
※個人情報保護法の概要・ポイントを知りたい方は、「2017年個人情報保護法改正の概要とは?4つのポイントを徹底解説」をご覧ください。
※個人情報を第三者に提供するときのルールについては「個人情報の第三者提供とは?事業者が知るべき4つのポイントを解説!」を、個人情報をビッグデータとして活用したい方は「ビッグデータビジネスの要!匿名加工情報の活用方法と5つのポイント」をご覧ください。
2 個人情報を漏洩した事例
実際に個人情報の漏洩が問題となった事例をいくつか紹介します。
-
【事例-1】京都府宇治市住民基本台帳データ漏洩事件(1999年)
自治体による、初めての大規模個人情報漏洩事件。京都府宇治市の住民基本台帳データ21万7,617件分が、外部業者により持ち出され名簿業者へと販売された事件。市民により損害賠償請求訴訟が提起され、個人情報の基本4情報(住所・氏名・性別・生年月日)が漏洩した場合の慰謝料が確定した初の判決となった。
-
【事例-2】TBC個人情報漏洩事件(2000年)
エステ業界大手のTBCによる事件。顧客情報をWEBサーバー上に保管していたが、アクセス制限をしなかったため、約5万人分の顧客データが誰でも閲覧可能の状態となった。その後、漏洩したデータが悪用され、迷惑メールなどの二次被害が発生。会員から損害賠償請求され、過去最高の慰謝料額である「3万円」が命じられた。
-
【事例-3】Yahoo!BB個人情報漏洩事件(2004年)
通信サービス大手のYahoo!BBによる事件。不正アクセスにより約1100万件の会員情報が漏洩した。被害総額は100億円超。運営元であるソフトバンクBBは、全会員に500円分の金券を配り謝罪したが、納得できない会員らから損害賠償請求をされている。
-
【事例-4】アメリカンファミリー個人情報漏洩事件(2007年)
大手保険会社のアメリカンファミリーによる事件。代理店社員が使用していたパソコンが盗難にあい、15万2,758人分、20万4,716件分の顧客情報が漏洩した。保険業界では過去最大の漏洩件数となった。
-
【事例-5】ベネッセ個人情報漏洩事件(2014年)
通信教育の最大手企業であるベネッセコーポレーションによる事件。グループ企業の従業員が顧客情報を持ち出し、名簿業者へと転売。会員である子供や保護者の氏名、住所、電話番号、性別、生年月日などが漏洩し、その件数は3,504万件にも上った。謝罪金やセキュリティ対策、謝罪広告費など合わせて200億円以上の損失となった。
このように、ちょっとしたミスや管理体制の甘さによって個人情報漏洩事件は簡単に発生してしまいます。一度漏洩事件を起こせば、企業として存続不可能なほどの損失となる可能性もあるため、事前の対策がとても重要となります。
※漏洩を予防するための対策については、「5 個人情報が漏洩しないための対策」で解説します。
3 漏洩した場合のペナルティ
個人情報を漏洩してしまった場合、単なるイメージダウンだけでは済まされません。情報漏洩の張本人である(もしくは漏洩の原因を作った)事業者には、以下のようなペナルティが用意されています。
- 刑事上の責任(罰則)
- 民事上の責任(損害賠償・謝罪金)
これらはどれか1つだけ科されるというわけではなく、3つすべてが科される可能性もあります。
次の項目から順番に確認していきましょう。
4 個人情報を漏洩した場合の刑事上の責任(罰則)
個人情報保護法には、事業者が個人情報を漏洩してしまった場合の罰則が定められています。
事業者が個人情報保護法に違反し、情報漏洩をしてしまった場合、まずは国から「是正勧告・改善命令」が出されます。これにも違反した場合には、違反した従業員に対して、
- 最大6ヶ月の懲役
- 最大30万円の罰金
のどちらか、もしくは両方が科される可能性があります。
また、その従業員を雇っている会社に対しても、
- 最大30万円の罰金
が科される可能性があります。
このように、個人情報保護法では、個人情報漏洩に対して「即アウト!」という判断はしていません。一度、国からの指導をはさみ、これにも従わなかった場合に罰則を科す、というルートになります。
もっとも、不正な利益を得る目的で個人情報を漏洩した場合には、
- 最大1年の懲役
- 最大50万円の罰金
のどちらかが科せられる可能性があり、会社に対しては、
- 最大50万円の罰金
が科されることになります。
こちらは「不正な目的」があるため、一発アウトとなっています。
5 個人情報を漏洩した場合の民事上の責任(損害賠償・謝罪金)
個人情報の漏洩によってユーザーの中に被害者が出てしまった場合、国からのペナルティとは別に、被害者に対し、
- 損害賠償責任を負う可能性
- 謝罪金を支払う可能性
があります。順番にみていきましょう。
(1)損害賠償責任
企業が個人情報を漏洩させてしまう行為は、「不法行為」にあたります。「不法行為」とは、他人の権利や利益を違法に侵害する行為のことをいいます。仮に、不法行為によって誰かに損害を与えてしまったとしたら、その損害を賠償する責任が発生します。これを不法行為に基づく「損害賠償責任」といいます。
もっとも、どんな場合でも損害賠償責任を負うわけではありません。「損害賠償責任」というくらいですので、被害者に実際に損害が発生していない場合には、賠償する必要はないのです。
たとえば、ユーザーのクレジットカード情報が流出してしまい、これを不正利用されてしまったような場合(=二次被害)、実際に損害が発生しているといえるでしょう。一方、情報は流出したもののこれを原因として何も起こらなかったような場合は、現実的な損害がないため、法的な損害賠償責任は負わなくてよいのです。
また、損害賠償責任が認められるためには、行為者に「故意(わざと)」または「過失(うっかり、不注意)」がなければいけません。そのため、実際に損害が発生していたとしても、従業員などがわざと、もしくはうっかり不注意で情報漏洩したのでなければ、損害賠償責任を追う必要はないのです。要するに、損害賠償責任が発生するケースとしては、
-
わざとorうっかり個人情報を漏洩してしまい、漏洩による損害が実際に存在する場合
となります。
なお、個人情報を漏洩してしまった従業員を雇っている会社も、その従業員の監督を怠ったという落ち度があります。そのため、会社は「使用者責任(従業員が誰かに損害を与えたなら、会社もその責任を負いなさい、というルール)」に基づき、被害者に対して損害賠償責任を負うことになります。
(2)損害賠償額(慰謝料+弁護士費用)の相場・基準
被害者への損害賠償額については、過去の事例からある程度の「相場」が形成されています。この「相場」は、漏洩した個人情報がどの程度デリケートな情報であったか、を基準に判断されていて、その情報が、人に知られたくないものであるほど損害賠償額も高くなる傾向にあります。
たとえば、きわめて基本的な個人情報(住所・氏名・年齢・性別など)が漏洩した場合には、損害賠償額はわりと低く算定されます。
上に挙げた事例でいうと、【事例-1】京都府宇治市住民基本台帳データ漏洩事件では、市民の個人情報(住所・氏名・性別・生年月日など)が漏洩しましたが、損害賠償額は1人あたり1万5,000円(慰謝料1万円+弁護士費用5,000円)と判断されました。基本4情報に基づいた慰謝料の算定が初めてなされた裁判のため、その後の漏洩事件の慰謝料額の参考にされています。
【事例-3】Yahoo!BB個人情報漏洩事件の損害賠償請求訴訟では、1人につき6,000円(慰謝料5,000円+弁護士費用1,000円、すでに送付した金券500円分を含む)の損害賠償額が認定されています。漏洩した個人情報が、「住所・氏名・電話番号・申込日・メールアドレス」だったため、宇治市の事件よりは安く算定されたとみられます。
このように、漏洩した個人情報が基本的なものである場合は、大体5,000円~1万5,000円が損害賠償額の相場となります。
一方、漏洩した個人情報が秘匿性の高いものであったり、デリケートなものである場合には、損害賠償額は高めに算定されます。
【事例-2】TBC個人情報漏洩事件では、住所・氏名・電話番号などの基本情報に加え、エステのコース名やスリーサイズなど、人に知られたくない情報が含まれていました。そのため、後に提起された損害賠償請求訴訟では、賠償額が過去最高の3万5,000円(慰謝料3万円+弁護士費用5,000円)となりました。
このように、漏洩した個人情報に、基本的なものだけではなくプライベートなものまで含まれている場合には、企業側の責任も重くなると判断される傾向にあります。
(3)謝罪金の相場・基準
被害者が裁判で損害賠償請求する場合とは別に、企業側がお詫びとして自主的に金券などを配る場合があります。
基本的には、個人情報が流出してしまったすべてのユーザーに対してお詫び(謝罪金)が配布されることになります。金券や電子マネー、ポイントなどが配布されることが多いようです。
相場としては、ほとんどの場合は1人あたり500円~1,000円となっています。Yahoo!BBやベネッセの事件でも、500円分の金券や電子マネーが配布されました。この金額が妥当なのかという点については、「名前も住所も漏洩されたのに安すぎない・・?」と感じる方も多いかもしれません。この金額に特に根拠は無いようで、過去の事例にならって企業側が判断しているようです。
もっとも、1人あたりの金額はとても少なく感じても、トータルでみた場合企業にとっては莫大な賠償金となるため、ダメージはかなり大きくなります。
6 個人情報を漏洩しないための対策
それでは最後に、個人情報の漏洩事件を起こさないための対策について解説します。
対策としては、
- 個人情報を扱う個人の対策
- セキュリティ上の対策
があります。順番にみていきましょう。
(1)対策1:個人情報を扱う個人の対策
個人情報を取り扱う上で、各自が気をつけなければならない点は以下のとおりです。
- 個人情報を許可なく持ち出さないこと
- 個人情報を目の届かない場所に放置しないこと
- 個人情報を安易に破棄しないこと
- 私物の電子機器を許可なく職場に持ち込まないこと
- 自分に与えられた管理権限を勝手に他人に貸与・譲渡しないこと
- 業務上知り得た情報を許可なく公言しないこと
- 情報漏洩に気づいたらまずは報告すること
①個人情報を許可なく持ち出さないこと
自宅などで業務を行うために、勝手に会社のパソコンや書類を持ち帰ることは厳禁です。情報漏洩の原因の約半数がパソコンや書類の紛失・置き忘れ・盗難であり、個人情報を社外に持ち出すとこれらの事故につながる可能性が高まります。
②個人情報を目の届かない場所に放置しないこと
個人情報の記載された大切な書類を机の上に出したまま帰宅したり、席を離れる際にパソコンにロックをかけないなど、日常のささいな不注意が個人情報の漏洩につながります。業務上大切な書類やパソコンなどは、席を離れる際には鍵のかかる引き出しにしまうなどしましょう。
③個人情報を安易に破棄しないこと
業務に使用していたパソコンをきちんとデータ消去しないまま廃棄したり、重要書類をシュレッダーに掛けずにゴミ箱に捨てた結果、個人情報が漏洩してしまったというのはよくあるケースです。情報を破棄する場合はきちんと会社のルールに従った処理をすることが大切です。
④私物の電子機器を許可なく職場に持ち込まないこと
たとえば、私物のUSBメモリなどがウィルスに感染していた場合、インターネットを通じて一気に個人情報が拡散してしまう可能性があります。私物のパソコンやUSBメモリを業務用のパソコンなどと接続する行為は非常に危険です。
⑤自分に与えられた管理権限を勝手に他人に貸与・譲渡しないこと
会社内では、業務内容や体制に応じた権限が各自に与えられているため、これを誰かと共有したり譲渡する行為は絶対にしてはいけません。また、ログイン用のIDとパスワードをパソコンなどに貼り付けておく行為もセキュリティ上とても危険です。他人のID・パスワードを使ってログインした場合、不正アクセス禁止法に違反することになるので注意が必要です。
⑥業務上知り得た情報を許可なく公言しないこと
業務上知り得た情報を他の人に言わないこと(=守秘義務)は、個人情報を取り扱う場合の大前提となります。また、最近ではSNS上で、アクセス数を増やすために業務上の情報を安易に発信してしまう人が多く見受けられます。自分が情報の漏洩源とならないよう、このような行動は控えなければいけません。
⑦情報漏洩に気づいたらまずは報告すること
個人情報が漏洩していることに気づいたら、自分で判断せずにまずは上司や管理者に報告しましょう。これにより、被害を最小限に抑えられる可能性があります。
個人が行う漏洩対策につき、さらに詳しく知りたい方は、情報処理推進機構セキュリティセンターの「情報漏えい対策のしおり」をご参照ください。
(2)セキュリティ上の対策
セキュリティ上の対策として、「情報セキュリティの3要素」と呼ばれる以下の3つがあります。
- 機密性の確保
- 完全性の確保
- 可用性の確保
①機密性の確保
個人情報を、正当な権利を持った人だけが使用(アクセス)できる状態にしておくことをいいます。たとえば、アクセス権を設定したり、入室制限をするなどの対策があります。
②完全性の確保
個人情報が、不正に変更・改ざんされていない状態を確実にしておくことをいいます。たとえば、一定の権限者以外の人には閲覧許可のみを与えたり、データを暗号化しておくなどの対策があります。
③可用性の確保
個人情報が、必要なときにいつでも安全に使用(アクセス)できる状態のことをいいます。たとえば、システムを二重化し、一方がシステムダウンしても他方でカバーできるようにしておく、などの対策があります。
以上が、個人情報を漏洩しないための対策です。ただし、ここに挙げたものはあくまでも最低限守るべきルールです。より確実に情報漏洩を防ぐためにも、社内で独自の予防対策を用意することをおススメします。
7 小括
個人情報漏洩事件の原因は、ちょっとしたミスや不注意によるもの(ヒューマンエラー)がほとんどであり、約8割は会社内の人間が引き起こしているというデータもあります。情報漏洩の事実が世間に知られれば、会社がうけるダメージも計り知れないものとなります。
このような自体を招かないためにも、情報漏洩に関する社員教育や、セキュリティーポリシーの周知を普段から徹底することが重要です。
8 まとめ
これまでの解説をまとめると以下のとおりです。
- 「個人情報」とは、①生きている個人に関する情報で、その情報に書いてある名前や生年月日などにより特定の個人を特定できるもの、②生きている個人に関する情報で、他の情報と簡単に照合することができて、それによって特定の個人を識別できるもの、のことをいう
- 少しのミスや管理体制の甘さによって個人情報漏洩事件は簡単に発生するため、事前の対策がとても重要となる
- 個人情報を漏洩した場合、①刑事上の責任と②民事上の責任を負うことになる
- 刑事上の責任として、国からの命令勧告に従わなかった場合に最大6ヶ月の懲役・最大30万円の罰金のどちらかもしくは両方が科される可能性がある
- 不正な利益を得る目的で個人情報を漏洩した場合には、最大1年の懲役もしくは最大50万円の罰金が科される可能性がある
- 民事上の責任として、損害賠償責任を負う可能性と謝罪金を支払う可能性がある
- 損害賠償額は、漏洩した個人情報がどの程度デリケートなものであったかを基準に判断されていて、基本的な個人情報が漏洩した場合は5,000円~1万5,000円が相場となっている
- 企業が自主的にお詫びとして配る謝罪金は500円~1,000円が相場
- 個人情報を漏洩しないための対策として、①個人情報を取り扱う個人の対策、②セキュリティ上の対策がある
- 個人の対策として、①個人情報を許可なく持ち出さないこと、②個人情報を目の届かない場所に放置しないこと、③個人情報を安易に破棄しないこと、④私物の電子機器を許可なく職場に持ち込まないこと、⑤自分に与えられた管理権限を勝手に他人に貸与・譲渡しないこと、⑥業務上知り得た情報を許可なく公言しないこと、⑦情報漏洩に気づいたらまずは報告すること、がある
- セキュリティ上の対策として、①機密性の確保、②完全性の確保、③可用性の確保がある