企業のリスクとして名前が上がることが多いのが、個人情報漏洩です。
損害賠償義務が発生することのみならず、ニュースで繰り返し報道されたりSNSで繰り返し避難されることになり会社の信用が大きく損なわれ、苦情の電話への対応に追われるなど、発生すると大きな問題となります。
そこでこのページでは、個人情報漏洩を防ぐための方法や、個人情報が流失した場合に取るべき対策に、どのようなものがあるかについてお伝えします。
個人情報漏洩とは?
個人情報漏洩とは、企業が保有している個人情報が外部に漏洩することをいい、損害賠償や企業の信用の大幅低下など企業が注意すべき重大なリスクです。
個人情報とは
個人情報とは、個人情報の保護に関する法律(個人情報保護法)第2条1項目に次のように定義されています。
(定義)
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。
次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
デジタル庁
法律の条文なので明確かつ網羅的な記載が必要で、このように複雑な表現をしていますが、重要な部分としては、
- 生存する個人に関する情報
- 個人を識別することができるもの という部分です。
なぜ個人情報は保護されるべきなのか
個人情報を保護すべき理由は、個人情報保護法1条の個人情報保護法の目的に記載されています。
個人情報保護法1条の内容を要約すると、デジタル社会の進展にともない、営業活動などに有用性がある一方で、不適切に利用される可能性があることが指摘されています。
たとえば、あるネットショップの運営会社は、顧客のクレジットカードに関する情報を管理しています。
この情報が漏洩すると、クレジットカードが不正利用される可能性があります。
その他にも、望まないDMを送られる、自宅を特定される、など不適切な利用によって迷惑な目にあうことから、犯罪の被害にあう可能性があるなど、様々な悪用の可能性があります。
個人情報保護法があるにもかかわらず漏洩がなくならない背景
個人情報保護法によって、企業は個人情報を保護するために様々な義務を負っています。
にもかかわらず、現実に個人情報の漏洩は無くなりません。
その背景としては、情報化社会において個人情報はデータベース化されるなどで大量に取り扱うことが可能となっており、インターネットや記録媒体を通じて不正にアクセスする・持ち出すことが容易となっていることが挙げられます。
また、インターネットが普及した現代では、公にならない形で個人情報のような不正に入手したものを取引することが容易であることも、漏洩がなくならない背景であるといえるでしょう。
個人情報が漏洩すると発生する問題は?
では実際に個人情報が漏洩すると、どのような問題が生じるのでしょうか。
企業の信頼を失う
企業の信用を失います。
個人情報漏洩は、報道で公になり、SNSなどで拡散されるなどして、広く知れ渡ることになります。取引先の喪失、営業活動が難しくなる、株価が下がるなどの損害に繋がります。
損害賠償義務を負うことになる
個人情報が漏洩すると、被害にあった個人から損害賠償を求められることになります。
漏洩した個人情報の量や内容、個人に発生した被害などに応じて、金銭的な賠償義務を負うことになります。
様々な費用がかかる
個人情報の漏洩によって、社内のシステム改築、お詫びの広告の掲出や謝罪のDMの送付、専用コールセンターの開設、弁護士費用など、様々な費用がかかります。
機会損失が発生する
個人情報漏洩によって、一時的に事業を停止するなどで、機会損失が発生する可能性があります。
本人・監督官庁への報告義務
令和4年4月1日より、個人データの漏洩によって
- 要配慮個人情報が含まれる事態
- 財産敵被害が生じるおそれがある事態
- 不正の目的をもって行われた漏洩が発生した事態
- 1,000人を超える漏洩等が発生した事態
に該当する場合には、本人および個人情報保護委員会などへの報告が必要となります。
手続き的負担が発生することに注意が必要です。
最近の個人情報漏洩事件
最近あった個人情報漏洩事件には次のようなものがあります。
スイーツパラダイスオンラインショップ(井上商事株式会社)
井上商事株式会社は、日本全国に展開している飲食店スイーツパラダイスを運営しており、通販部門としてオンラインショップを自社ホームページで展開していました。
2022年6月7日、井上商事株式会社は、2021年8月28日~12月8日にクレジットカード決済をした7409人のクレジットカード情報が漏洩したことを発表。
クレジットカード名義人・クレジットカードの番号・有効期限のみならず、決済に必要なセキュリティコードまで漏洩したことから、一部の顧客のクレジットカードが不正利用されました。
個人情報が漏洩した原因は、オンラインショップの脆弱性をついた不正アクセスによるもの。
本件では、個人情報の漏洩が発覚してから、公表まで半年以上かかったことから、対応の遅さを批判する声が多く挙げられています。
野村不動産販売株式会社
不動産業を営む野村不動産販売は2022年5月13日に、メールアドレス1,023件が漏洩したと発表しました。
本件は、従業員が会員向けに送信した電子メールにおいて、本来ならばBCCに入力すべきメールアドレスを、宛先に入力して送信したもので、これによってメールを受け取った会員は他の会員のメールアドレスを閲覧できるようになったものです。
ハウスドゥ(株式会社AndDoホールディングス)
ハウスドゥという屋号で不動産業を営む株式会社AndDoホールディングスは、2022年1月18日、同社の子会社である「株式会社ハウスドゥ住宅販売」に所属していた従業員が、64件の顧客情報を不正に持出したことを公表しました。
本件の原因はいわゆる「手土産転職」と呼ばれるもので、転職後に成績をあげるために情報を持ち出したことであることが警察の取り調べにより発覚しています。
この行為は、不正競争防止法違反に該当するもので、同社は刑事告訴を行い、元従業員は逮捕されました。
個人情報漏洩を防ぐための対策3選
では、個人情報漏洩を防ぐためにはどのような対策が必要でしょうか。
1 技術的ミスを防ぐ
冒頭のスイーツパラダイスの事例のように、ハッキング・不正アクセスなどの技術的ミスを防ぐことが一つ目の対策です。
自社での検討や、外部のコンサルタントなどに相談し、個人情報漏洩のリスクをしっかり把握して、適切な対策を確実に行います。
また、業務で利用するパソコンに、きちんとセキュリティソフトを導入するなど、不正アクセスなどへの基本的な対策を怠らないようにします。
2 人為的ミスを防ぐ
人為的ミスを防ぎます。
野村不動産販売のメールの送信のケースでは、外部へのメール送信について、ダブルチェックを行うなどで、防げる可能性が高まります。
また、個人情報が保存されている媒体を事業所から持ち出して、盗難・紛失するなどするようなミスもあるので、持ち出しを禁止する・持ち出しについて厳格なルールを決めるなどで、ミスを防ぐようにしましょう。
3 故意による個人情報漏洩を防ぐ
ハウスドゥの事例のような、故意による個人情報漏洩を防ぎます。
会社での守秘義務に関する教育を徹底したり、不正な利益を得るために漏洩をしないために守秘義務に関する書面を取り交わすなどの施策を行います。
パワハラ・セクハラなどによって従業員が不満を抱くようなことがあると、怨恨から個人情報の漏洩をすることもあるので、従業員の労働環境に配慮することも、個人情報漏洩の防止策といえます。
個人情報が流失した場合の取るべき対策とは
個人情報が流失した場合に取るべき対策には次のようなものがあります。
すみやかに対策を行える体制をとる
個人情報の漏洩があったような場合には、すみやかに対策を行える体制を整えましょう。
個人情報があった場合の社内での対応マニュアルなどが整備されていることがほとんどなので、必要な報告を行い、責任者の指導のもと対策を行うための体制をとります。
原因を特定して初動の対応を行う
個人情報の原因を特定して初動の対応を行いましょう。
特に、ハッキングなどで放置しておくと被害がどんどん広がってしまうような場合には、ウエブサイトを閉鎖するなどの対策をすみやかに行う必要があります。
一方で、復旧や被害の特定などに、情報などの保存を行う必要があることもあるので注意をしましょう。
公表・報告手続き・損害賠償などの対応を行う
初動の対応が終わると、事態の公表、監督官庁への報告、損害賠償に応じるなどを行うことになります。
特に漏洩した情報にもとづいて顧客に損害が発生している場合や、個人情報の漏洩の規模が多い場合には、大きく報じられることにもなるので、対応は慎重かつ迅速に行う必要があります。
個人情報を漏洩した従業員に対する法的処置について
前述ハウスドゥ(株式会社AndDoホールディングス)の事例のように、特に意図的に個人情報を持ち出した従業員に対して、企業は以下のような法的処置を行うことができます。
判断に迷う場合もあるかと思いますので、弁護士に相談しながらどのような法的処置を行うかを検討するとよいでしょう。
懲戒処分
企業の就業規則で守秘義務違反が懲戒事由として規定されている場合、企業は従業員に対して懲戒処分を行うことができます。
ただし、守秘義務違反の内容に対して懲戒処分の内容が見合わない場合には、その処分が無効となるケースもあるため注意が必要です。
例えば、数件の氏名・メールアドレスを流出させた従業員を懲戒解雇とするには、重すぎる処分です。
懲戒処分には「戒告・譴責・減給・降格・諭旨解雇・懲戒解雇」の6段階があります。どのような懲戒処分にすべきか判断に迷う場合には弁護士に相談し、決定するとよいでしょう。
損害賠償請求
企業は、個人情報を漏洩させた従業員に対して損害賠償請求を行うことができます。
ただし、企業が受けた被害全額を請求することはできない可能性が高いことには注意しましょう。
また、前述スイーツパラダイスオンラインショップ(井上商事株式会社)の事例のように、不正アクセスが原因の個人情報漏洩事件では、特定の従業員に対して損害賠償請求を行うことは難しい場合もあります。
損害賠償請求をできる案件なのかどうか難しいケースの場合には、一度弁護士に相談し確認するとよいでしょう。
まとめ
このページでは、個人情報の漏洩を防ぐ方法と、個人情報の漏洩があった場合の対応などについてお伝えしました。
個人情報の漏洩があると、損害賠償や社会的信用の失墜など、企業にとっては大きな痛手となります。
個人情報の漏洩対策や、万が一漏洩してしまった後には、弁護士への相談が必要となるケースもあります。
弁護士 黒田悦男
大阪弁護士会所属
弁護士法人 茨木太陽 代表
住所:大阪府茨木市双葉町10-1
電話:0120-932-981
事務所として、大阪府茨木市の他、京都市、堺市にて、交通事故被害者側に特化。後遺障害認定分野については、注力分野とし、医学的研鑽も重ねています。
また法人の顧問をはじめ事業上のトラブルにも対応をしています。
