EVENT | 2019/12/30

桜を見る会、神奈川県でも問題になった杜撰なデータ管理。流出時の罰則は?【連載】FINDERSビジネス法律相談所(18)

Photo By Shutterstock
過去の連載はこちら
日々仕事を続ける中で、疑問や矛盾を感じる出来事は意外...

SHARE

  • twitter
  • facebook
  • はてな
  • line

Photo By Shutterstock

過去の連載はこちら

日々仕事を続ける中で、疑問や矛盾を感じる出来事は意外に多い。そこで、ビジネスまわりのお悩みを解決するべく、ワールド法律会計事務所 弁護士の渡邉祐介さんに、ビジネス上の身近な問題の解決策について教えていただいた。

渡邉祐介

ワールド法律会計事務所 弁護士

システムエンジニアとしてI T企業での勤務を経て、弁護士に転身。企業法務を中心に、遺産相続・離婚などの家事事件や刑事事件まで幅広く対応する。お客様第一をモットーに、わかりやすい説明を心がける。第二種情報処理技術者(現 基本情報技術者)。趣味はスポーツ、ドライブ。

(今回のテーマ)
Q.最近、神奈川県庁のハードディスクが流出し、史上最悪の情報漏洩だと大騒ぎになりました。一方で、「桜を見る会」では政治家にとって不都合と思われる招待名簿データをさっさと廃棄するなど、個人情報管理の意義があらためて問われています。個人情報の管理不行き届きや漏洩した時の罰則はありますか?

情報化社会で重要性を増す個人情報

情報化社会が進み、個人情報の重要性は大きくなり続ける中、個人情報の取り扱いについて一歩間違うと大きな事件となってしまうこともしばしば。

最近では、「桜を見る会」の招待者名簿のデータの管理が問題となり、野党から厳しく追及を受けました。

さらには、世界最大規模の情報流出とも言われている、神奈川県庁の個人情報流出が問題となりました。 神奈川県庁の行政文書を蓄積した18個のハードディスクが、ネットオークションを通じて転売されていたとのことですが、神奈川県民にとっては怒り心頭の事件です。神奈川県やハードディスクを扱っていたリース会社に対して損害賠償できるのではないか?という声もあがっています。

では、個人情報を漏洩した場合の法律上の規定はどのようになっているのでしょうか?

実は2年前に厳格化された「改正個人情報保護法」

Photo By Shutterstock

個人情報について定める法律としては、個人情報の保護に関する法律、いわゆる「個人情報保護法」があります。

この法律の第1条の目的規定には、重要な個人情報について、それを取り扱う自治体や事業者が守るべき事項をしっかりと定めておくことで、個人の権利が害されることがないようにしておきましょうということが前置きされています。

実はこの法律は最近、2017年5月に改正法が施行されました。同改正で、「5000件要件」(個人情報を5000件以上保有している事業者のみが規制対象となること)と言われる縛りが撤廃され、たった1件でも個人情報を取り扱っている事業者は、すべて個人情報保護法が適用されることになりました。つまり、厳格化されたのです。

1件でも取り扱っている事業者となると、ベンチャー企業や1人で会社をやっているところなど、大方の企業が含まれることになります。

こうして個人情報の取扱いに関する規制が強化されている中で、これを漏洩してしまった場合の「罰則」や取るべき「責任」について、きちんと理解している人は少ないのではないでしょうか。

改正法で初めて規制対象となったベンチャーや個人事業主に近い会社とて、「知らなかった」では済まされない問題です。

「個人情報漏洩」が企業にもたらす損失は甚大

過去の個人情報漏洩事件で記憶に新しいところでは、2014年に起きた通信教育最大手企業のベネッセコーポレーションによる個人情報漏洩事件があります。

同社のグループ企業の従業員が顧客情報を持ち出し、名簿業者に転売してしまい、会員となっている子どもや保護者の氏名、住所、電話番号、性別、生年月日などが漏洩し、その件数は3504万件にも上りました。これにより、謝罪金をはじめ、謝罪広告費、セキュリティ対策費など合わせて、同社は200億円以上の損失となっています。

このように、組織内での管理体制の不備によって個人情報漏洩事件は発生します。そして、ちょっとしたことがきっかけであっても、一度漏洩事件を起こせば、企業として存続不可能なほどの損失となる可能性もある点が、個人情報漏洩の恐ろしさでもあるのです。

そこで今回は、会社が個人情報を漏洩してしまった場合の罰則、支払うことになる損害賠償の額、そして個人情報漏洩を未然に防ぐための対策などについて、解説していきます。

そもそも「個人情報」の法的な定義は?

まず、「個人情報」とは何を指すのでしょうか。すぐに思い浮かぶところとして、顧客情報などがそれにあたるということはイメージしやすいかと思います。

法的な定義としては、「①生きている個人に関する情報で、その情報に書いてある名前や生年月日などにより特定の個人を特定できるもの」「②生きている個人に関する情報で、他の情報と簡単に照合することができて、それによって特定の個人を識別できるもの」のいずれかを満たすものを指しています。

①の具体例としては、人の氏名や住所、②の具体例としては、顧客名簿と紐づけられた販売リストなどです。

多くの事業者は顧客データや自社の従業員データなどの個人情報を保管していますが、こうした「個人情報」は、活用次第でビジネスチャンスにつなげることができるため、それ自体が売買されるような極めて価値のあるものなのです。

「個人情報漏洩」による罰則は?

Photo By Shutterstock

企業が個人情報を漏洩してしまった場合、確かにその企業のイメージ低下というダメージはありますが、それは事実上のダメージです。ペナルティはそれだけでは済まされません。

法的には、刑事上の責任(罰則)と民事上の責任(損害賠償・謝罪金)があり、これはいずれかひとつだけではなく、すべての責任を負い得るのです。

では、これらについてひとつずつ見ていきましょう。

刑事上の責任は?

事業者が個人情報保護法に違反して情報漏洩をした場合、まずは国から「是正勧告・改善命令」が出されます。これらが出されたにもかかわらず、それでも違反した場合には、違反した従業員に対して、最大6カ月の懲役または最大30万円の罰金、もしくは両方が科される可能性があります。

さらに、漏洩した当該従業員を雇っている会社に対しても、最大30万円の罰金が科される可能性があります(これを両罰規定といいます)。

このように、個人情報保護法では、個人情報漏洩に対して一発レッドカード的なジャッジはせずに、ワンクッションとして国からの指導という「イエローカード」を挟んで、これにも従わなかった場合にはじめて罰則(レッドカード)を科す仕組みをとっています。

他方で、「不正な利益を得る目的」で個人情報を漏洩した場合には、最大1年の懲役または最大50万円の罰金のどちらかが科せられる可能性があり、会社に対しては、最大50万円の罰金が科されることになります。つまり、「不正な目的」がある場合には「一発レッドカード」なのです。サッカーで悪質なプレーが「一発レッドで退場」になるのと同じです。

民事上で生じる責任「損害賠償金」「謝罪金」の相場は?

個人情報の漏洩によって被害者が出た場合、刑事上の責任という国からのペナルティとは別に、民事上の責任として、被害者に対し、(1)損害賠償責任の可能性と(2)謝罪金を支払う可能性が生じます。これらをひとつずつ見ていきましょう。

1. 損害賠償
企業が個人情報を漏洩させてしまう行為は、他人の権利や利益を違法に侵害する行為といえるので、「不法行為」にあたります。これによって、誰かに損害を与えた場合、その損害を賠償する責任が発生します。

言い換えると、個人情報を漏洩させてしまったとしても、漏洩された被害者に実際に損害が発生していない場合には、損害賠償責任は生じません。

たとえば、ユーザーのクレジットカード情報が流出してしまい、これを不正利用されてしまうといった二次被害があった場合、実際に損害が発生したといえます。一方で、顧客情報が流出しても結果的に何も起こらなかった場合、現実的な損害がないため、損害賠償責任は生じません。

また、個人情報を漏洩した従業員本人が責任を負う場合、雇っている会社も、その従業員の管理監督を怠ったといえるケースが少なくありません。その場合、会社は「使用者責任(従業員が不法行為責任を負う場合に、従業員を使用して利益を得ている会社もその責任を負うべきという考え方によるルール)」に基づき、会社も被害者に対して損害賠償責任を負うことになります。

ちなみに、被害者への損害賠償額については、過去の事例からある程度の「相場」があります。情報は、人に知られたくないものであればあるほど損害賠償額も高くなる傾向にあります。

たとえば、きわめて基本的な個人情報(住所・氏名・年齢・性別など)が漏洩した場合には、損害賠償額は比較的低めに算定され、1人につき5000~1万5000円程度が相場です。

一方、漏洩した個人情報が秘匿性の高いものであったり、デリケートなものであったりする場合は、損害賠償額は高めに算定されます。たとえば、利用したエステのコース名やスリーサイズなど、他人には知られたくない情報が含まれている場合、賠償額が過去最高の3万5000円となったケースもあります。

2. 謝罪金
被害者が裁判で損害賠償請求する場合とは別に、企業側が漏洩のお詫びとして、自主的に金券や電子マネー、ポイントなどを配布するケースがあります。

相場としては、ほとんどの場合は1人あたり500~1000円が多いようです。この金額に特に根拠はないようで、過去の事例にならって企業側が判断しているようです。1人あたりの金額はとても少なく感じますが、トータルでみると企業にとっては莫大な賠償金となるのです。

個人情報の漏洩を防ぐ方法は?

まず、会社や自治体など組織としての対策としては漏洩が起こりにくい仕組みにしておく必要があります。

漏洩の8割はヒューマンエラーによるもの、残りが内部関係者によるものや外部からの悪意ある攻撃によるものであるという統計もあります。ですから、ヒューマンエラーを防ぐ仕組みや、不正アクセスを防ぐ仕組みを整えておく必要があるのです。

具体的には、メールやFAXを送信する際は、CC、BCCや送信先番号を毎回必ず確認するフローをルール化するなどがあります。

管理ミスを防ぐため、情報管理ルールを徹底する、保管期限の設定を明記する、廃棄方法を明確にする、廃棄の記録を残すなども考えられます。

PCやスマホなどのデジタルデバイスの盗難や置き忘れを防ぐために、データの持ち出しに厳格なルールを設ける、デバイスやデータにパスワードやロックをかける、持ち出すデータの暗号化を義務づける、機密情報を保持する機器は肌身離さない、盗難防止グッズを利用するなどの方法があります。

内部不正を防ぐ方法としては、重要な情報にはアクセス権限を付与する、アクセス権限を持つ従業員を限定する、データの持ち出しや持ち込みを監視する、情報機器や記憶媒体の管理を厳格化する、アクセス履歴や操作履歴の定期的な監視と監査、職場環境や処遇を見直すなどの方法があります。

そして、外部からの悪意ある攻撃を防ぐには、セキュリティソフトを導入する、ファイアウォールを活用する、サーバーのログを取得・監視する、OSやソフトを最新の状態に保つ、ファイルの共有設定を最小限にする、ファイル共有ソフトは利用しないといったことを徹底する必要があります。

このように、ざっと挙げるだけでも、これでもかというほど色々な予防法があるのです。これらのうち、どの程度が実践できているでしょうか。規模の大きい大手の会社などでは、コンプライアンス専門の部署などが設けられ、個人情報の扱いについて意識が高い企業も数多く見受けられます。

他方で、ベンチャー企業や一人会社などでは、なかなか本業以外のこうしたところにまで意識が向かず、まったくのノーガードであることも多いのです。

しかしながら、前述したように、個人情報を1件でも取り扱っている事業者であれば、会社の規模に関係なく個人情報保護法の適用対象です。重い責任を負うのは大企業と同様です。個人情報保護法の下では、大企業だろうが一人会社だろうが何のハンディも階級分けもない、無差別級としてひとつの同じ土俵に立っているということを認識しなければなりません。

資本力のある大企業に比べ、個人情報漏洩によって広範囲に損害を出してしまったときの会社へのダメージは、規模の小さい会社ほど大きいものです。

「うちは小さい会社だからそこまでやならくてもいいだろう」で済ませず、むしろ小規模な会社だからこそ、個人情報に対する意識を高める必要性が高いといえるでしょう。


過去の連載はこちら