企業において、顧客の個人情報の取り扱いに注意しなければならないことは、漏洩事件の報道などから認識している従業員も多いと思います。
しかし、個人情報の意味や漏洩した場合のリスク、対応方法まで十分に理解した上で、日頃の業務にあたることのできる従業員はそう多くないかもしれません。
本コラムでは、個人情報漏洩に関して、企業の経営者や従業員が知っておきたい内容をお伝えします。
個人情報とは何を指すのか
個人情報保護法における「個人情報」とは、「情報に含まれる氏名、生年月日その他の記述等によって特定の個人を識別することができるもの」もしくは「個人識別符号が含まれるもの」をいいます。
情報そのものによって特定の個人を識別できなくても、容易に知りうる他の情報と組み合わせて特定の個人を識別できるのであれば、「個人情報」にあたります。
なお、法律によって保護されるのは、生存する個人の情報に限定されており、死者や法人の情報は保護の対象とされていません。
個人情報漏洩で企業はどうなる?
企業が個人情報を漏洩してしまうと、他の企業に不正に利用されたり、なりすまし等によって不当な請求を受けたりするなど、顧客への重大な被害が生じる可能性があることは言うまでもありません。
しかし、個人情報漏洩は、顧客だけでなく漏洩した企業自身にとっても深刻な被害を生じさせるリスクがあります。
個人情報漏洩によって企業に生じる主なリスクは、次のとおりです。
民事上の責任や刑事上の責任を負う
個人情報が漏洩すれば、企業は、顧客から民事上の責任を追及されるリスクがあります。
具体的には、流出した個人情報によって特定される本人から、損害賠償請求を受ける可能性があるということです。
具体的な慰謝料の金額ですが、1人1000円~3300円程度の慰謝料が相当であるとした裁判例があります。
1人あたりの金額はそう大きくは感じないかもしれませんが、扱っている個人情報の数が多いと総額は非常に高額 (例えば、【100万人】×【一人あたりの金額】になります。)
また、個人情報保護法などの法令や行政処分によって、罰金や懲役などの制裁や業務停止などの処分を受けるリスクもあります。罰則の内容については、後述します。
社会的信用の低下
例えば、顧客になりうる層から「あの会社は前に個人情報漏洩の事件を起こしたよね。」などと思われて敬遠されてしまうといったようなことが考えられます。
このように社会的な信用が低下してしまうことは、非常に深刻なリスクといえるでしょう。
個人情報の漏洩事件を起こしてしまうと、「安心して個人情報を預けることのできない企業」と捉えられることになります。
そのため、獲得できるはずだった潜在的な顧客を失うだけでなく既存の顧客までも失ってしまう可能性があります。また、取引先からも、取引の停止や入札資格の喪失を告げられるリスクもあります。
損失やコストの発生
個人情報が漏洩した場合には、調査のためにシステムを停止したり、処分を受けて業務を停止したりしなければならないケースがあります。
そういったケースでは、業務やシステムを再開するまで売上を伸ばせないので、その分の損失が発生します。
また、個人情報漏洩がきっかけとなって、自社の株価が下落し、そのことによって損失が発生する可能性もあります。
さらに、事後的に、原因究明のための人件費や外部コンサルタントの導入などの対策に関するコストをかけなくてはならず、これもリスクの1つといえるでしょう。
漏洩等報告が必要なケース
個人情報を漏洩してしまった場合、発覚日から3~5日以内にまずは「個人情報漏洩が起こった」という速報を出します。
次に、どのような経緯で起こったのか・どのくらいの被害なのかを把握し、30日以内に続報(確報)を発表します。
この個人情報漏洩が不正な目的で行われたおそれがある場合には、60日以内に発表します。
また、以下のようなケースでは漏洩等報告が義務付けられています。
①要配慮個人情報が含まれる個人データの漏洩またはそのおそれ
要配慮個人情報とは、「人種・信条・社会的身分・病歴・犯罪の経歴・犯罪により害を被った事実・その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等」のことです。(個人情報保護法第2条(第3項))
簡単な例を挙げると、「病院で使用している患者情報(診療内容など)を記録しているPCが不正アクセスを受けた」というケースです。
②不正に利用されることにより財産的被害が生じる恐れがある個人データ(または保有個人情報)の漏洩またはそのおそれ
例えば、オンラインショップなどのECサイトやオンライン手続き用のマイページ等で、クレジットカード情報や氏名住所などの個人データが漏洩してしまった場合です。
これは民間業者・行政機関どちらでも起こり得るケースです。民間でも行政でも、どちらも漏洩等報告が必要ですので注意しましょう。
③不正の目的をもって行われたおそれがある個人データ(または保有個人情報)の漏洩またはそのおそれ
例えば、第三者からの不正アクセスによる個人データの流出や、ランサムウェア等により個人情報が暗号化されてしまった場合、従業員が顧客リストを持ち出し第三者に売り渡すといったケースが挙げられます。
この「不正の目的」とは個人情報を管理している側だけでなく、第三者も含んでいます。
④個人データに係る本人の数が1000人を超える(行政機関の場合は100人)漏洩またはそのおそれ
顧客へのメルマガ配信時に誤ってCC欄にメールアドレスを入力し一括送信してしまった、インターネット上で1000人以上の個人情報の閲覧が可能な状態になってしまっていた場合等が当てはまります。
⑤条例要配慮個人情報が含まれる保有個人情報の漏洩またはそのおそれ
①は民間を対象としていますが、こちらは地方公共団体機関・地方独立行政法人が対象です。
個人情報漏洩の罰則は
事業者は、「個人情報保護委員会の命令に違反した場合」や「虚偽の報告等をした場合」、「従業員等が不正に利益を得る目的で個人データベースを提供・盗用した場合」には、個人情報保護法の規定により刑事罰を受ける可能性があります。
また個人情報保護委員会の命令に従わないときには、「6か月以下の懲役または30万円以下の罰金」に処される可能性があります。
弁護士個人情報保護委員会とは、個人情報が正しく扱われているかどうかを監督する独立した行政機関です。国としての意思決定ができるほか、企業への立ち入り検査が認められているなど強い権限を持っています。
これらは、個人情報の漏洩があっても、それだけでただちに罰則が適用されるわけではなく、命令が出されたにもかかわらず従わなかった場合に、罰則が科されるということです。
もっとも、虚偽の報告や立入検査を拒むなどの行為があれば、「30万円以下の罰金」に処される可能性はあります。なお、事業者や従業員が不正に利益を得るために、個人データーベースを提供または盗用した場合には、「1年以下の懲役または50万円以下の罰金」の刑事罰が適用されます。
個人情報漏洩時にとるべき4つの対応
個人情報漏洩が明らかになった場合には、企業には次のような4つの対応をとる必要が生じます。
①漏洩した情報の把握
個人情報漏洩が明らかになった場合には、まず、企業内部で責任ある立場の者に事態を報告することが大切です。そして、被害の拡大防止に努める必要があります。
具体的にどのような個人情報が漏洩したのか事実関係を調査して、影響範囲を特定しましょう。漏洩した原因についても、究明するための措置を講じます。
②個人情報保護委員会等に報告
企業には、個人情報漏洩が明らかになった場合に、原則として個人情報保護委員会等にすみやかに報告する努力義務があります。
そのため、個人情報保護委員会(認定個人情報保護団体の対象者は、認定個人情報保護団体)に、報告をおこないます。なお、業種によっては、監督省庁等にも報告しなければならないこともあるので、注意が必要です。
③再発防止策の検討・実施
個人情報漏洩の事実関係の調査や原因の究明をもとに、再発防止策を検討します。
企業として、どのような対策を講じれば同じような事態を回避できるのかを事案に応じて検討して、実施していきます。
④ケースに応じて本人への謝罪・外部への公表
個人情報漏洩によって直接的な被害を受ける可能性があるのは、漏洩したデータで特定される本人です。
例えば、DV被害者の個人情報がDV加害者に漏洩すれば、事態は深刻で本人にできるだけ早く連絡をとる必要があることは、お分かりいただけると思います。
そのため、二次被害を防止する意味でも、速やかに本人に連絡をとり、本人が個人情報の漏洩を知ることができるようにすることが大切です。
被害者への連絡・謝罪をする時期は早ければ早いほど二次被害を防ぐことができる可能性が高まります。
ただし、場合によっては情報漏洩の発生日時・発覚日時等の経緯や今後の相談窓口を説明する必要があるため、それらの情報を迅速にまとめ連絡・謝罪する必要があります。
また、二次被害や同じような事案が発生することを防ぐために、外部に公表することが求められるケースもあります。
被害者に慰謝料請求をされた場合の対応
【2.個人情報漏洩で企業はどうなる?(1)民事上の責任や刑事上の責任を負う】でも軽く触れましたが、個人情報漏洩の被害者から慰謝料請求されるケースもあるかと思います。この場合、真摯に対応することを考えれば慰謝料を支払うべきと考えてしまうでしょう。
しかし、企業はすべての被害者に同様の対応をする必要があり、個別での慰謝料の支払いは拒否しなければなりません。慰謝料の支払いをする場合にはすべての被害者に同様に慰謝料を支払う必要があります。
慰謝料の支払いで訴訟を起こした事例
宇治市住民基本台帳事件
宇治市が管理している住民基本台帳の個人データ(住民番号・住所・氏名・生年月日等)をシステム開発業者が不正にコピーし、個人データを名簿業者に売却等した、という事件。
宇治市の住民が原告となり宇治市に対して損害賠償請求をし、裁判所は一人当たり慰謝料1万円と弁護士費用5000円の支払いを命じました。(大阪高判平成13年12月25日)
ベネッセ事件
通信教育・通信販売の事業を運営しているベネッセの委託を受けた関連企業の従業員が、故意に個人情報(氏名・住所・生年月日・保護者氏名等)を名簿業者に売却した、という事件。
保護者が原告となりベネッセ・関連企業それぞれに対し損害賠償請求をし、裁判所は関連企業に対して一人当たり慰謝料3000円と弁護士費用300円の支払いを命じました。 なおベネッセに対する請求は棄却されています。(東京地判平成30年12月27日)
個人情報漏洩が起きる原因
個人情報が漏洩すれば、企業は大きなダメージを受け、対応に追われることになります。
したがって、どのようなことが原因となって個人情報が漏洩しているのかを把握し、できるだけの対策をとることが重要になります。
個人情報漏洩の原因については、特定非営利活動法人日本ネットワークセキュリティ協会が公表する「2018年 情報セキュリティインシデントに関する調査報告書」の記載が参考になります。
本報告書によると、漏洩原因としては
- 「ウイルス感染・不正アクセス」(55.1%)
- 「誤表示・誤送信」(26.0%)
- 「紛失・誤廃棄」(15.1%)
- 「盗難」(3.0%)
などが挙げられています。
ウイルス感染や不正アクセスによる個人情報漏洩が半数以上を占めていますが、ヒューマンエラーによって個人情報が漏洩していることも少なくないことが分かります。
したがって、企業において、個人情報を扱う部署や担当者への教育や漏洩を防止するための枠組み作りは、非常に重要であることがうかがえます。
個人情報漏洩を防止するためにできること
個人情報保護法は、個人情報を取り扱う事業者に対して、個人データの安全管理措置を講じる義務を課しています。安全管理措置は、経済産業省のガイドラインによって以下の4つに分類されます。
個人情報漏洩を防止するためには、企業は、それぞれの安全管理措置が講じられているか確認し、社内の規程やシステムなどを整備・見直すなどの対策が必要になることでしょう。
組織的安全管理措置
個人情報漏洩を防止するためには、個人情報を保護するための組織的な安全管理体制をつくらなければなりません。
そのために、個人情報の安全管理措置を定める規程などの整備を行い、規程に従った運用、評価、見直しおよび改善というサイクルを構築すること求められます。
人的安全管理措置
「個人情報漏洩が起きる原因」の箇所で触れたように、人為ミスによって個人情報が漏洩することは少なくありません。
そのため、人的な安全管理措置を講じることは非常に重要です。
従業員と雇用契約や委託契約をする時に個人情報の非開示契約をしたり、従業員に対して内部規程などの周知・教育・訓練をしたりすることは、義務とされています。
技術的安全管理措置
個人情報を漏洩させないためには、個人情報へのアクセス制御や不正ソフトウェア対策など技術面での安全管理措置も重要です。
特にITを利用する企業にとっては、技術的安全管理措置が重要な役割を担います。
物理的安全管理措置
物理的安全管理措置とは、物理的に個人情報が漏洩しないようにする措置です。
例えば、入退館管理の実施や盗難等の防止、PCなどを物理的に保護するなどの物理的安全管理措置があります。
まとめ
個人情報漏洩について、企業の経営者や従業員が知っておきたい内容についてお伝えしていきました。
個人情報の漏洩は、被害者だけでなく、企業や従業員にも深刻なダメージを与える可能性があります。
そのダメージを最小限に抑えるためにも、事前に対策を行い、漏洩した場合にとるべき対応をあらかじめ知っておくことは大切です。
なお、個人情報漏洩に関するトラブルの解決や漏洩を防止するための規程の整備などは、弁護士に相談しながら進めるとスムーズです。
弁護士 松本隆
神奈川県 弁護士会所属
横浜二幸法律事務所
所在地 神奈川県横浜市中区山下町70土居ビル4階
TEL 045-651-5115
労働紛争・離婚問題を中心に、相続・交通事故などの家事事件から少年の事件を含む刑事事件まで幅広く事件を扱う
