個人情報が漏洩した場合、企業に科せられる罰則と損害賠償の事例

企業に罰則が適用される可能性もある個人情報漏洩事故。いったい、どのような原因で発生するケースが多いのでしょうか？

「特定非営利活動法人　日本ネットワークセキュリティ協会」の調査によると、2018の個人情報漏洩事件で、もっとも多かった原因は、従業員による「紛失・置き忘れ」の116件で、全体の26.2％です。次いで、「誤操作」の109件で、全体の24.6％、3番目に多かった原因が、「不正アクセス」の90件で、全体の20.3％となっています。
この3つの原因で、全体の70％以上となっており、従業員のミスや外部からの不正侵入被害を防ぐ必要性が高いことが明らかとなっています。

次に、個人情報保護法で規定されている「個人情報」や「個人情報取扱業者」の定義を確認しましょう。

1. （1）個人情報とは

   個人情報保護法において、個人情報とは「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等によって特定の個人を識別できるもの（他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む）、または個人識別符号が含まれるもの」と定義されています。
   
   わかりやすく言うと、以下の2つの条件を満たすものが個人情報です。

   ●生存中の個人に関する情報
   ●特定の個人を識別できる情報または個人識別符号が含まれる情報
   
   
   

   例を挙げると、以下のような情報が個人情報として保護の対象になります。

   • 氏名
   • 住所
   • 電話番号
   • DNAの塩基配列
   • 声紋
   • 手・指の静脈の形状
   • 指紋・掌紋
   • パスポートの番号
   • 基礎年金番号
   • 免許証の番号
   • 住民票コード
   • 個人番号（マイナンバー）
   • 保険証の番号
   • 在留カードの番号
   • 特別永住者証明書の番号
   
   
   

   個人番号については、個人情報保護法のみならず、マイナンバー制度を定めるマイナンバー法によっても保護対象となるので、取り扱いの際には、特に注意が必要です。

2. （2）個人情報取扱事業者とは

   個人情報保護法が適用されて、個人情報の取り扱いについての責任を求められるのは、「個人情報取扱事業者」に限られます。ただし、その定義は、2015年における法改正によって、変更・拡大されているので、注意が必要です。法改正以前は、「5000件以上の個人情報を把握する」事業主という限定がありましたが、法改正によって、5000件という限定が外されて、1件でも個人情報を把握していたら、個人情報取扱事業者となりました。
   
   個人情報取扱事業者は、「個人情報データベース等」を事業に用いている業者です。個人情報データベース等とは、個人情報をコンピューター等で、体系化したものを意味します。
   以上より、顧客や従業員の個人情報を体系的に管理していたら、どの会社も、個人情報取扱事業者に該当します。

3. （3）個人情報取扱事業者の責務

   個人情報取扱事業者は、個人情報の取得や管理に際し、以下のような責務を負います。

   • 個人情報の利用目的をできる限り特定し、目的達成に必要な範囲を超えて取り扱ってはならない
   • 個人情報を取得する際、利用目的を通知・公表しなければならない
   • 安全な方法で、個人データを管理しなければならない（安全管理措置）
   • あらかじめ本人の同意を得ないまま、第三者に個人データを提供してはならない
   • 本人から開示請求があれば、応じなければならない
   • 本人から個人データの内容が事実でないという理由で、訂正や削除を求められた場合、応じなければならない
   • 個人情報取扱方法について、苦情を受けた場合、適切かつ迅速に処理しなければならない

もし、企業が個人情報を漏洩させてしまったら、どの程度の罰則が適用され、また罰則以外に、どういったリスクが発生するのでしょうか？

1. （1）刑事上の罰則

   まず、刑事上の罰則を確認しましょう。個人情報を漏洩すると、国から是正勧告を受けますが、従わない場合、「6ヶ月以下の懲役又は30万円以下の罰金刑」が科されます。
   不正な利益を得る目的をもって、個人情報を漏洩した場合の罰則はより重くなり、1年以下の懲役又は50万円以下の罰金刑が科されます。また、行為者のみならず、会社に対しても、50万円以下の罰金刑が科されます。

2. （2）民事上の損害賠償責任

   個人情報を漏洩すると、刑事上の罰則のみならず、民事上も法的責任（損害賠償責任）が発生します。賠償金額は、ケースによって異なりますが、1人あたり数千円から数万円、合計すると数千万円以上になる可能性もあります。

3. （3）その他の間接的損害

   法的な罰則以外にも、さまざまな間接的損害が発生します。
   
   ●信用低下
   社会における企業への信頼が大きく低下し、取引をしにくくなったり、契約を打ち切られたり、商品が売れなくなったりする可能性が高まります。
   
   ●コスト
   漏洩原因の検証、システムの復旧や改善等のコストがかかります。
   
   ●業務効率の低下
   個人情報漏洩事件が報道されると、顧客や取引先等から苦情や問い合わせが殺到するでしょう。対応する従業員たちの業務時間や労力が割かれて、大きく業務効率が低下してしまいます。
   
   以上のように、企業が個人情報を漏洩させると、刑事的な罰則を始めとして、多大なリスクが発生します。くれぐれも、個人情報を流出させないように、十分な保護措置をとっておく必要があります。

実際に、事業者が個人情報を漏洩してしまったら、どの程度の損害賠償義務が発生するのでしょうか？
以下で、代表的な事例を2つ、ご紹介します。

1. （1）1人あたり1万円の慰謝料が認められた京都府宇治市事件

   地方公共団体である京都府宇治市が、システム開発のために、民間業者に業務委託したところ、その業者のアルバイト従業者が、住民の個人情報（氏名や住所、生年月日や性別等）を持ち出し、販売等の不正行為をした事件です。
   住民が、宇治市に損害賠償請求を求めたところ、裁判所は、宇治市に住民1人あたり1万円の慰謝料（プラス弁護士費用5000円）の賠償命令を下しました。

2. （2）1人あたり5000円の慰謝料が認められたYahoo! BB事件

   Yahoo!BBを運営していた「BBテクノロジー株式会社」が、顧客の氏名や住所、電話番号等の個人情報を漏洩させた事案です。被害者は、同社に対し、1人について10万円の損害賠償の支払いを求めて裁判を起こしました。
   裁判所は、BBテクノロジー社の責任を認め、被害者1人あたり慰謝料5000円（プラス弁護士費用1000円）の損害賠償命令を下しました。
   （大阪地裁平成18年5月19日判決）

個人情報漏洩は、多くの場合、従業員の故意や過失による行為が原因で発生します。
刑事の罰則が科されたり、民事の賠償責任が発生して、信用を失わないようにするには、従業員の管理が非常に重要です。

以下では、従業員に向けた個人情報漏洩対策方法をご紹介します。

1. （1）情報取扱方法のルール化

   まずは、情報管理方法を「ルール化」する必要があります。たとえば、マイナンバー等の重要な情報やプライバシー情報を取得するとき、社内で、誰が、どのような方法で管理するかを決めていないと、ずさんな管理が行われて、漏洩の危険が高まることが明らかです。
   罰則を受けないためにも、自社内できちんと個人情報取扱方法を定めましょう。

2. （2）アクセス権の制限

   自社内の誰もが個人情報にアクセスできる状態だと、いつ、誰が、情報漏洩するかわかりません。対応としては、「アクセス制限」を科し、特定の従業員や関係者しか、情報にアクセスできないようにすべきです。たとえば、データにIDやパスワードの設定をして、一定の権限がある者からしかアクセスできないようにし、書類は、鍵付きの棚に分離して、保存します。個人情報データについては、コピーや印刷をできない設定にする方法も有効です。

3. （3）ネットに繋がない

   個人情報をパソコン内で管理している場合、ネットに繋がないようにしましょう。こういったセキュリティー対策により、ずいぶんと不正アクセスのリスクを低下させられます。

4. （4）持ち出し困難な状態にする

   従業員による不正行為を防止するため、情報の持ち出しを困難な状態にします。たとえば、私物のUSBメモリやパソコン等の社内持ち込みを禁止したり、データを暗号化したりする施策等が考えられます。

5. （5）漏洩が発覚しやすい環境を作る

   万一、従業員が、個人情報を漏洩したら、すぐに見つけることができる環境を構築しましょう。たとえば、レイアウトを工夫して、従業員が個人情報をコピーしようとしていたら、すぐにわかるようにしたり、防犯カメラを設置して、そのことを社内に周知し、各従業員に注意喚起したりします。

6. （6）言い逃れできないようにする

   不正行為が行われた際、従業員が、罰則適用を免れるために、「個人情報とは知らなかった」などと言い出す可能性があります。そこで、あらかじめ、言い逃れできない状況を作りましょう。
   たとえば、個人情報が含まれている資料に、「マル秘」、「社外秘」マークをつけるのも1つですし、社内研修を開催して、プライバシー保護の重要性やプライバシー権侵害に該当する行為、個人情報保護法等の法律による規制内容や適用される罰則等について、周知させるのも良いでしょう。秘密保持誓約書等を締結させる方法も有効です。

7. （7）罰則等の漏洩リスクを知らせる

   個人情報を漏洩させたときのリスクも、認識させるべきです。たとえば、懲戒や損害賠償、従業員本人に罰則が適用される可能性、罰則が適用されると、前科がつく可能性もあるなどと認知させれば、あえて不正な持ち出しをしようとする従業員も減少するはずです。

8. （8）コミュニケーションを密にとる

   従業員のモチベーション維持や会社への帰属意識、貢献意欲を強めるため、密にコミュニケーションをとり、ワークライフバランスを実現するための施策をとることなども、間接的な不正予防方法として役立ちます。

個人情報保護法には、刑事的な罰則もありますし、ずさんな管理をしていると、企業の信用が低下して、損害賠償責任も発生し、大きなリスクを負う結果になります。
安全に企業経営を進めていくには、法律についての正確な知識が必須です。
当事務所の弁護士は、個人情報保護法やマイナンバー法などの情報管理に関する法律のみならず、労働関係や取引関係、M&Aまで広く企業サポートを行っています。
個人情報漏洩による罰則等が心配なご担当者様は、お気軽にご相談ください。