罰則・損害賠償の事例を紹介!企業が個人情報保護法に違反した場合どうなる?

個人情報保護法法律 2022.03.29
罰則・損害賠償の事例を紹介!企業が個人情報保護法に違反した場合どうなる?

2020年、日本の個人情報保護法は改正され、新たな規定が設けられました。これにより、個人の権利のあり方、企業の情報管理に要求される基準が大きく変わります。

ここでは、個人情報保護法の概要と違反時のペナルティ、および改正における変更箇所についての情報をピックアップしました。また、昨今強く問題視されている情報漏えいに対し、企業はどういった対策を講じれば良いのかご説明します。

個人情報保護法の概要と役割

個人情報保護法は、個人の権利や利益を守りつつ、個人情報の利活用を行うための規則を定めた法律です。

個人情報を取得・管理する事業者が適切に個人情報を取り扱うための指針としても機能しており、民間企業ならほぼ例外なく個人情報保護法を順守しなければなりません。

個人情報の定義

個人情報保護法における「個人情報」とは、個人を識別できる内容を含む情報全体を指します。氏名や生年月日、DNAの塩基配列や指紋・掌紋などの「個人識別符号」を含む情報全体も個人情報に該当します。法文上の定義は以下の通りです。

第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

二 個人識別符号が含まれるもの

出典:個人情報保護委員会「個人情報の保護に関する法律」

氏名のように、単に個人を特定できる情報だけが個人情報ではありません。

例えば「〇〇さんがAという場所を訪れた」といった情報の場合、「〇〇さん」の部分だけではなく「〇〇さんがAを訪れた」という事実全体も個人情報に該当します。

【関連記事】
パーソナルデータと個人情報の違いとは?活用方法と活用時の注意点を解説 | Priv Lab

2020年に公布された個人情報保護法の改正について

個人情報保護法は3年ごとに見直しがあり、2020年3月に国会へ提出されていた改正案が6月に可決、同月12日に公布されました。2022年4月には全面施行が予定されており、個人が行使できる「データの利用停止・消去などの請求」といった権利の適用要件が緩和され、より個人が自分の情報をコントロールしやすい状況となります。

2020年に公布された個人情報保護法の改正について(1).png

2020年に公布された個人情報保護法の改正について(2).png

出典:個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律(概要)」

また、企業は第三者に提供できる個人データの範囲が限定され、かつ個人データ以外の情報であっても「第三者に提供したとき個人データになると想定される情報」に関しては、データの提供時に個人の同意を得られているかを確認するよう義務付けられました。

総じて、改正案では個人の請求権利が強化される一方、企業には従来以上のセキュリティ意識が求められています。

個人情報保護法違反により企業が受ける罰則

「個人情報の利用目的を明示していない」「個人情報を不正に取得する」など、個人情報保護法に違反する行動を起こし、個人情報保護委員会の改善命令にも違反した場合は、懲役または罰金が科せられます。

改正個人情報保護法では、従来よりもペナルティが厳格化されました。特に法人への罰金刑は、「個人と同額(50万円あるいは30万円以下)」から「1億円以下」へと大幅に引き上げられており、注意が必要です。

個人情報保護法違反により企業が受ける罰則.png

出典:個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律(概要)」

また、個人情報保護法に違反した場合は刑事上の罰則だけでなく、多額の損害賠償をともなう民事上の問題にも発展してしまいます。

個人情報の漏えいにより損害賠償を請求された事例

ここでは、情報漏えいにより損害賠償が請求された有名な事例をご紹介します。

Yahoo! BBの個人情報漏えい

2004年、Yahoo! BBのサービス加入者の氏名・住所・連絡先などが漏えいし、これに対して原告(顧客)がBBテクノロジー株式会社とヤフー株式会社に対して損害賠償を請求しました。
BBテクノロジーは、顧客情報の流出を確認して間もなく、情報漏えいの事実を顧客に対して通知。さらに、全サービス利用者に500円の金券を交付して謝罪をした後、セキュリティ強化の姿勢を見せました。
その後、具体的な二次流出もなく、上記のように真摯な対応が行われたことも考慮され、原告に対する1人あたりの慰謝料は5,000円、弁護士費用は1,000円が妥当だとの判決がBBテクノロジーに下されました。ヤフー株式会社に対する賠償請求は棄却されました。

ベネッセの個人情報漏えい

2014年、株式会社ベネッセコーポレーションの子会社「株式会社シンフォーム」に勤務するエンジニアによる顧客情報の持ち出しが発覚。ベネッセコーポレーションのサービスを利用する子どもや保護者の氏名、住所や連絡先などが流出し、原告(顧客)がベネッセコーポレーションとシンフォームに対し損害賠償を請求しました。

情報漏えいを把握した後に謝罪して500円相当の補償を実施したこと、および相談窓口の設置や情報拡散防止活動などの対策を講じたことから、裁判所は社会通念上許されない範囲の行為ではないと判断。ベネッセコーポレーションに対する請求は棄却され、シンフォームには原告1人あたり慰謝料3,000円、弁護士費用として300円を支払うことが妥当だとの判決が下されました。

京都府宇治市の個人情報漏えい

1999年、京都府宇治市が「乳幼児検診システム」の開発を民間業者に委託し、開発のために必要な住民基本台帳データを預けたところ、再々委託先となった業者のアルバイト従業員が同データを不正にコピー。同従業員が名簿販売業者に対してデータを売却するとその名簿販売業者がデータの転売を進め、合計21万7,617件もの個人情報が流出しました。

この情報漏えいに対しては、住民が精神的苦痛を理由に宇治市に対して裁判を起こし、その結果、住民1人当たり15,000円(慰謝料10,000円、弁護士費用5,000円)の支払いが命じられています。

早稲田大学の個人情報漏えい

1998年、早稲田大学は中国の江沢民主席(当時)の講演会を開催する際、参加を希望する学生の個人情報(氏名、学籍番号、住所、電話番号等)を参加者名簿として収集。講演の開催前に警視庁からの要請に応じ、参加者の許諾を得ずに同名簿を提供しました(通称:早稲田大学江沢民講演会名簿提出事件)。

講演開始後、ある学生らが叫ぶなどして威力業務妨害罪で逮捕され、早稲田大学は当該学生らにけん責処分を科しました。しかし当該学生らは、同意のない名簿提供によるプライバシー権の侵害を理由に、処分の無効や謝罪文章の掲示、慰謝料30万円+弁護士費用30,000円などの支払いを求めて訴訟を提起。

判決では、大学側の名簿の提供に「警備のため」という正当な理由があったことや、当該学生らが最初から講演の妨害を目的に参加していたことなどが考慮され、1人当たり5,000円と大幅に減額された慰謝料の支払いが命じられています。

エステティックサロンの個人情報漏えい

2002年、エステティックサロンを営む「TBC(東京ビューティーセンター)」のサーバー移設にともなうアクセス権限の設定ミスにより、顧客の個人情報およそ5万人分が、第三者が閲覧できる状態でインターネット上に漏えいしました。
事件発生後、TBCは速やかにサーバー上から個人情報を削除しましたが、すでに流失した情報は回収できず、第三者が迷惑メールの送付などに悪用していることが確認され、原告10人がプライバシーの侵害を理由にTBCに対して1人当たり115万円の慰謝料を求める訴訟を提起しました。

裁判所は、流出した個人情報に、氏名・電話番号・住所・年齢などと共に関心のあるエステコース名などの守られるべきプライバシー情報が含まれていたことから、1人当たり慰謝料30,000円及び弁護士費用5,000円と、同種の国内事例と比較して高額な支払いを命じています。

個人情報の漏えいを防止するための対策5つ

企業が個人情報の漏えいを防止するための対策として、現実的な手段は大きく5つ挙げられます。

  • 社内情報の持ち出しに厳しい規制をかける
  • 資料の廃棄処理は復元不可能な方法に統一する
  • 特定の場所において、私用機器の持ち込みを禁じる
  • 例外を除き、独断によるアクセス権の貸与を一切禁じる
  • 紛失等の発覚時、迅速に報告するよう普段から呼びかける

こうして「社員の意識へ働きかける対策」を推奨することには、明確な根拠があります。
なぜなら、日本ネットワークセキュリティ協会の資料によると、情報流出の原因は半数以上が紛失や置忘れ、誤操作といった管理者の注意不足によるものだからです。

個人情報の漏えいを防止するための対策5つ.png

出典:日本ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに関する調査報告書【速報版】」

パソコンやモバイル端末、利用しているインターネットサービスのセキュリティ機能が高いとしても、それを使用する者の意識がともなっていなければ、情報漏えいへの配慮が十分とはいえません。社内で「常に注意を怠らない文化」を形成することが不可欠です。

また、前述した損害賠償の事例から分かるように、万が一の個人情報漏えい時には企業として迅速かつ真摯な対応を行うことが重要です。金銭的な被害や顧客の精神的苦痛を最小限に留めることはもちろん、社会通念上正しいとされる対応を施すことで、その姿勢を裁判時に考慮してもらえる可能性があります。

まとめ

今回の個人情報保護法改正により、企業が同法に触れてしまった場合の罰則は大幅に引き上げられます。民事による損害賠償請求も考慮すると、小規模な情報漏えい事故であっても会社にとって甚大なダメージを与えることになりかねません。

エステティックサロンの事例に見られるように、情報漏えいは人為的ミスによっても起こりうるインシデントです。ミスの可能性を最小限にするためには、二重三重のチェック体制の構築や社員全員のセキュリティ意識の醸成が求められます。

これを機に、改めて社内の体制・意識に問題はないかを見直し、2022年4月と目前に迫った改正法の施行に万全の備えを講じておきましょう。

公開日:2020年9月30日

パーソナルデータの取扱いにお悩みの方に

  • 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
  • 誰にどこまで同意を取ったか管理するのが大変…
  • ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
  • 同意は管理できても他社システムを上手く連携して使えないと…

Trust 360で、すべて解決!