個人情報漏洩時の罰則は？ 漏洩防止対策についても解説

個人情報を漏洩させたしまった場合、どのようなペナルティがあるのでしょうか。

1. （1）個人情報保護委員会による行政処分

   漏洩をしたときは、個人情報保護委員会により、以下のような行政処分を受けることがあります。

   • 報告徴収
   • 立入検査
   • 指導、助言
   • 勧告、命令

   個人情報保護委員会が公表している「令和5年度年次報告」によると、令和5年度の個人情報取扱事業者の漏洩等事案に関する報告の処理件数は7057件で、報告徴収が73件、指導・助言が333件、勧告が3件となっています。
   
   また、個人情報を取り扱う事業者が個人情報保護委員会による命令に違反するとその旨が公表されることがあります。

2. （2）損害賠償責任

   個人情報を取り扱う事業者が個人情報を漏洩させた場合、不法行為が成立しますので、被害者に対して、損害賠償責任を負わなければなりません。日本の慰謝料は低額な傾向があるとはいえ、漏洩した個人情報の数だけ掛け算をされるため、近年の漏洩時の拡散力からすると、莫大な賠償額になっている事例が複数見られます。
   
   このような高額な賠償が必要になると企業の経営にも重大な影響が生じてしまいますので、個人情報の管理を徹底することが重要です。

3. （3）刑事罰

   個人情報を取り扱う事業者が個人情報保護法に違反した場合には、以下のような罰則が科されます。令和4年に改正個人情報保護法が施行され、法令違反に対する罰則が強化されていますので注意が必要です。

   ① 措置命令違反の罰則
   個人情報を取り扱う事業者が個人情報を漏洩した場合、個人情報保護委員会から違反行為の中止などの勧告が出されます。事業者が勧告に応じない場合は、勧告に従うよう命令が出されます。
   
   事業者が個人情報保護委員会からの命令に違反すると、個人に対しては1年以下の懲役または100万円以下の罰金が、法人に対しては1億円以下の罰金が科されます。
   
   なお、改正前の個人情報保護法では、措置命令違反の罰則は、個人に対しては6か月以下の懲役または30万円以下の罰金、法人に対しては、30万円以下の罰金となっていました。
   
   ② 報告義務違反の罰則
   個人情報保護委員会は、個人情報を取り扱う事業者に対して、必要な資料の提出や報告を求めることができるとされています。事業者が報告を拒否したり、虚偽の報告をするなどの報告義務に違反すると、50万円以下の罰金が科されます。
   
   なお、改正前の個人情報保護法では、報告義務違反の罰則は、30万円以下の罰金とされていました。
   
   ③ 個人情報データベース等の不正流用の罰則
   個人情報の漏洩があったとしても直ちに罰則が適用されるわけではありませんが、不正な利益を得る目的で個人情報の漏洩をしたような場合には、個人情報データベース等の不正流用として直ちに罰則が適用されます。
   
   この場合の罰則は、個人に対しては1年以下の懲役または50万円いかの罰金、法人に対しては1億円以下の罰金が科されます。
   なお、個人情報データベース等の不正流用の罰則については個人情報保護法の改正前後で変更はありません。

4. （4）社会的評判の低下

   個人情報の漏洩が広く世間に知られてしまうと、企業の社会的評判が低下するというリスクが生じます。近年では、個人情報保護に関する意識の高まりもあり、個人情報の漏洩は重大なリスクとして認知されています。
   
   個人情報の漏洩による企業の社会的評判の低下は、回復困難な損害を生じさせるおそれもありますので、個人情報の管理を徹底することが重要です。

以下では、過去に発生した具体的な個人情報漏洩事件を紹介します。

1. （1）Yahoo！BB個人情報漏洩事件

   通信サービス大手のYahoo！BBが外部からの不正アクセスにより約1100万件の会員情報が漏洩したという事件です。
   
   この事件の対応として運営元であるソフトバンクBBは、会員全員に500円分の金券を送付することになり、同社が公表した被害総額は100億円を超えています。
   
   金券の送付だけでは納得できない会員から損害賠償請求訴訟が提起され、裁判所は1人あたり6000円（慰謝料5000円、弁護士費用1000円）の支払いを命じています。

2. （2）TBC個人情報漏洩事件

   エステ業界大手のTBCが顧客情報を保管するwebサーバーに適切なアクセス権限を設定していなかったため、外部から自由に閲覧できる状態になっており、約5万人分の個人情報が漏洩したという事件です。
   
   同社の会員からプライバシー侵害を理由とする損害賠償請求訴訟が提起され、裁判所は、特に2次被害が生じた原告らに対し、3万5000円（慰謝料3万円、弁護士費用5000円）の支払いを命じています。他の事案より高くなった理由としては、流出した情報のプライバシー性（他人に知られたくない度合い）が高かったことも影響していると考えられます。

3. （3）ベネッセ個人情報漏洩事件

   通信教育大手のベネッセコーポレーションがグループ企業の従業員による顧客情報の持ち出しおよび名簿業者へと転売により、会員である子どもや保護者の氏名・住所・電話番号、などの個人情報が漏洩したという事件です。流出した顧客情報は最大で3504万件にも及ぶとされています。
   
   この事件の対応としてベネッセコーポレーションは、情報漏洩の対象となった会員に500円分の金券を送付することになり、同社の損害額は200億円以上にも及ぶといわれています。
   それでおさまらず、複数訴訟の対象にもなり、賠償金も認められる判決が相次ぎました。

個人情報の漏洩が生じると企業にはさまざまなリスクが生じます。このようなリスクを回避するには、個人情報漏洩の原因を踏まえて適切な対策を講じることが重要です。

1. （1）個人情報漏洩の原因

   特定非営利活動法人日本ネットワークセキュリティ協会が公表している「情報セキュリティインシデントに関する調査報告書」（2018年）によると、主な情報漏洩の原因は、以下のようになっています。

   • 紛失、置き忘れ（116件、26.2％）
   • 誤操作（109件、24.6％）
   • 不正アクセス（90件、20.3％）
   • 管理ミス（54件、12.2％）

   このような統計を踏まえると、情報漏洩の原因には不正アクサスやウイルス感染といった外部的な要因もありますが、主な原因は、紛失・置き忘れ・誤操作・管理ミスといった人為的なミスが多いことがわかります。
   
   このような人為的なミスを回避するためには、社内での情報漏洩対策が重要になります。

2. （2）個人情報を漏洩しないための対策

   企業が個人情報の漏洩を防ぐためにできる対策としては、以下のようなものが考えられます。

   ① 情報機器や情報そのものの取り扱いに関するルールを社内で作成・徹底
   個人情報を取り扱う事業者は、情報機器や情報そのものの取り扱いに関するルールを作成し、従業員に対して周知・徹底することが重要です。
   
   セキュリティポリシーを明確に設定することにより、従業員がとるべき行動を判断する際の指針になりますので、人為的なミスによる情報漏洩を回避することができます。
   
   また、個人情報を持ち出す際のルールもしっかりと策定しましょう。たとえば、紛失しやすいSDカードやUSBメモリでの情報の持ち出しを禁止する、持ち出す際には暗号化するなどのルールが考えられます。
   
   ② システムのセキュリティの強化
   個人情報の漏洩は、外部からの不正なアクセスやウイルス感染により生じることもありますので、そのようなリスクから個人情報を保護するには、最新のセキュリティソフトの導入が必須となります。
   
   また、個人情報を取り扱う端末については外部ネットワークから切り離した端末でのみアクセスが可能な状態にすることで、外部からの不正なアクセスによる情報漏洩を防ぐことができます。
   
   ③ 情報が漏洩した場合に適切に対応できる体制整備
   個人情報の漏洩対策を十分に行っていたとしても、個人情報の漏洩が生じてしまうことがあります。このような情報漏洩が生じてしまったときでも、早期に発見し、適切な対応をとることで被害を最小限に抑えることが可能です。二次被害が生じると、賠償額は増大します。
   
   個人情報の漏洩による被害の拡大を防ぐためにも、情報が漏洩した場合に適切に対応できる体制整備も並行して進めていくようにしましょう。

個人情報の取り扱いに関するお悩みは、専門家である弁護士に相談するのがおすすめです。

1. （1）個人情報の漏洩を防ぐための体制整備をサポート

   個人情報の漏洩が生じると企業には莫大な賠償金が発生し、企業イメージの低下など回復困難な損害が生じるおそれがあります。このようなリスクを回避するには、情報漏洩を防ぐための社内体制の整備が必要となります。
   
   個人情報の漏洩を防ぐために必要となる社内体制は、企業規模や扱う個人情報の量や内容に応じて異なりますので、適切な体制整備にあたっては専門家である弁護士のサポートが不可欠です。法的な見地から情報漏洩のリスクを最小限に抑えるためにも、まずは弁護士に相談するようにしましょう。

2. （2）個人情報が漏洩した場合の対応を任せられる

   個人情報が漏洩してしまった場合、被害拡大防止に向けた対応、外部へのプレスリリース、被害者への賠償などの対応に迫られます。対応が遅れたり、誤った対応をしてしまうと被害が拡大するおそれもありますので、このような対応は弁護士に任せるのが安心です。
   
   顧問弁護士を利用して定期的に相談していれば、このような事態が発生したとしても迅速に対応してもらうことができます。

個人情報の漏洩が生じると個人情報取扱事業者には、行政処分・刑事罰・賠償責任といったリスクが生じますので、このようなリスクを回避するためにも適切な情報管理体制の構築が求められます。

近年では、情報セキュリティ対策の重要性が高まっていますので、専門家である弁護士と相談しながら適切な社内体制の整備を進めていくようにしましょう。

個人情報の取り扱いや情報漏洩対策に関してお悩みの経営者の方は、ベリーベスト法律事務所までお気軽にご相談ください。