個人情報保護法については、たびたび改正がなされており、内容も複雑になっています。

 今回のコラムでは、個人情報の漏えいが発生した場合、企業はどれくらいの損害賠償義務を負う可能性があるのかについて、解説します。

第1 個人情報保護法に関する基礎知識

1 個人情報保護法とは

個人情報保護法(正式名称:個人情報の保護に関する法律)は、平成15年に成立した法律です。

この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。

平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。

 

2 個人情報とは(概要)

個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。 

したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。

また、法人(企業や団体など)は生きている個人ではないため、法人情報も「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。

第2 個人情報が漏洩した場合に企業が負う責任

1 民事上の責任

個人情報が漏洩すると、民事上の法的責任(損害賠償義務)が発生します。

賠償金額は事案によって異なりますが、1人あたり数千円から数万円となることが多いです。漏洩の件数が多い場合、総額では数千万円以上の損害になる可能性もあります。

後ほど、裁判所で認定された具体例について紹介します。

2 刑事上の責任

個人情報の漏洩が発生した場合、以下の規定に抵触すると、刑事上の責任を負うことになります。

⑴ 個人情報保護委員会からの命令等に対する違反

個人情報保護法では、個人情報取扱事業者に一定の個人情報保護法違反があった場合、個人情報保護委員会は、当該事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を「勧告」することができます(個人情報保護法第148条第1項)。

上記の勧告を受けたにもかかわらず、個人情報取扱事業者が正当な理由がなく、その勧告に係る措置をとらなかった場合において、個人情報保護委員会が、個人の重大な権利利益の侵害が切迫していると認めるときは、当該事業者に対し、その勧告に係る措置をとるべきことを「命ずる」ことができます(個人情報保護法第148条第2項)。

さらに、上記の勧告がなされていない場合でも、一定の場合において、個人情報保護委員会が、個人の重大な権利利益を害する事実があるため「緊急に」措置をとる必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを「命ずる」ことができます(個人情報保護法第148条第3項)。

令和2年の個人情報保護法の改正後は、法人の従業者等が、その業務に関して命令や緊急命令に違反したときは、法人等に対しても、1億円以下の罰金刑が科される旨規定されました(個人情報保護法第184条第1項第1号)。

⑵ 個人情報データベース等の不正提供等

個人情報取扱事業者やその従業者、またはかつてこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものも含まれます。)を、自己もしくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、刑事罰が科されます(個人情報保護法第179条)。

令和2年の個人情報保護法の改正後は、法人の従業者等が、その業務に関して個人情報データベース等の不正提供等をしたときは、法人等に対して、1億円以下の罰金刑が科される旨規定されました(個人情報保護法第184条第1項第1号)。

第3 個人情報の漏洩によって損害賠償が認められた裁判例

実際に、個人情報の漏洩によって企業に損害賠償が課された裁判例を紹介します。

1 エステティックサロンの事例

この企業では、顧客の個人情報につき、それらの情報を格納していた電子ファイルに、第三者からのアクセス制限がなされていませんでした。その結果、第三者の不正アクセスを許してしまい、顧客ファイルが流出しました。

そのファイルには、住所、氏名、年齢、職業、電話番号等の他、身体的状況や関心のあるエステのコース名などの情報もありました。

なお、この企業では、情報管理業務などは委託先企業に任せていました。

裁判所は、委託元のエステティックサロンにも使用者責任があったとして、1人あたり3万5千円の損害賠償を認めました。

この金額は、個人情報の漏洩の事案では非常に高いものです。

理由としては、個人情報でも身体的な事情などの、特に他人には知られたくない性質の情報が入っていたことが考えられます。

2 通信教育の企業の事例

この企業は、システム管理を子会社に委託し、この子会社はさらに別の企業に再委託をしていました。

個人情報を流出させたのは、再委託先の会社の社員であり、この者が個人情報を不正に持ち出しました。

この事例では、親や子の氏名・性別・生年月日、住所、電話番号など、最大約3500万件の個人情報が流出しました。

発覚のきっかけは、この通信教育の企業に登録した情報に基づき、別の企業からダイレクトメールが来るという苦情でした。

その後、全国各地の裁判所で、この企業に対して訴訟がおこされました。

この企業では、流出の対象となった被害者に対して500円の金券を配布していましたが、各地の裁判所では、請求を棄却する判断もあれば、約3000円の賠償を命じる判断もありました。

なお、この件は連日報道されることになり、この企業は上場来初の赤字に転落したほか、役員の引責辞任や、株主代表訴訟がおこされるなど、波紋が広がりました。

第4 個人情報の漏洩を防ぐために、企業が準備すべきこと

1 法令遵守の徹底

当然ですが、個人情報が漏洩しないよう、適切な取り扱いをしなければなりません。

いま一度、社内の個人情報の取り扱いに関する規定を見直し、さらに、不正アクセスへの対策や情報セキュリティの整備をすることが必要です。

2 従業員等に対する教育

これまで見てきたように、一人の社員がおこなったことでも、企業等に対して責任追及がなされることになります。

そのため、従業員や役員に対し、個人情報の保護に関する教育を徹底する必要があります。

3 判断に迷った場合の相談窓口を確認する

個人情報保護法違反の漏洩が疑われる事態が生じた場合、どのように対処すればよいのかわからないという場合もあると思います。

そのような場合に、遅滞なく対応するために、どの弁護士に相談するか決めておくとよいでしょう。

なお、個人情報保護法の解釈や個人情報保護制度についての一般的な質問については、個人情報保護委員会が設置する「個人情報保護法相談ダイヤル」に問い合わせるという方法もあります。 

第5 最後に

個人情報漏洩に関しては、企業は法的には損害賠償責任を負う可能性があります。

もっとも、さらに大きなデメリットとして、社会的な評価の低下が挙げられます。

個人情報の漏洩が発生すると、報道等により、その事実が大きく拡散されてしまう可能性があります。

現に、個人情報の漏洩が報道され、大きな社会的反響を呼んだケースもあります。

このような問題が起こると、消費者は当該企業に対し、自らの個人情報を渡すことを躊躇し、結果として事業活動に影響が出かねません。 

また、企業のイメージダウンにより採用活動がうまくいかなくなる、取引先との関係が悪化するなど、思わぬ方面にも影響が出る可能性があります。

この影響は長期化するリスクもあり、場合によっては、事業の存続にも関わってくる可能性すらあります。

個人情報の取り扱いについてのご不安やご相談がある場合は、ぜひ当事務所までお問い合わせください。

■この記事を書いた弁護士

弁護士法人グリーンリーフ法律事務所
弁護士 赤木 誠治

弁護士のプロフィールはこちら