罰則・損害賠償の事例を紹介!企業が個人情報保護法に違反した場合どうなる?

個人情報保護法法律 2020.09.30
罰則・損害賠償の事例を紹介!企業が個人情報保護法に違反した場合どうなる?

2020年、日本の個人情報保護法は改正され、新たな規定が設けられました。これにより、個人の権利のあり方、企業の情報管理に要求される基準が大きく変わります。

ここでは、個人情報保護法の概要と違反時のペナルティ、および改正における変更箇所についての情報をピックアップしました。また、昨今強く問題視されている情報漏えいに対し、企業はどういった対策を講じれば良いのかご説明します。

1. 個人情報保護法の概要と役割

個人情報保護法は、個人の権利や利益を守りつつ、個人情報の利活用を行うための規則を定めた法律です。個人情報を取得・管理する事業者が適切に個人情報を取り扱えるような指針としても機能しており、民間企業ならほぼ例外なく個人情報保護法を遵守しなければなりません。

1.1. 個人情報の定義

個人情報は、個人を識別できる情報、あるいは他の情報と組み合わせることで簡単に個人を識別できる情報を指して呼びます。下記の通り、氏名や生年月日をはじめとする情報の他、DNAの塩基配列や指紋・掌紋などの「個人識別符号」も個人情報に該当します。

第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

二 個人識別符号が含まれるもの

出典:個人情報保護委員会「個人情報の保護に関する法律」

1.2. 2020年に公布された個人情報保護法の改正について

個人情報保護法は3年ごとに見直しがあり、2020年3月に国会へ提出されていた改正案が6月に可決、同月12日に公布されました。これにより、個人が行使できる「データの利用停止・消去などの請求」といった権利の適用要件が緩和され、より個人が自分の情報をコントロールしやすい状況となります。

2020年に公布された個人情報保護法の改正について(1).png

2020年に公布された個人情報保護法の改正について(2).png

出典:個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律(概要)」

また、企業は第三者に提供できる個人データの範囲が限定され、かつ個人データ以外の情報であっても「第三者に提供したとき個人データになると想定される情報」に関しては、データの提供時に個人の同意を得られているか否かを確認するよう義務付けられました。

総じて、改正案では個人の請求権利が強化される一方、企業には従来以上のセキュリティ意識を求める内容となっています。改正法は2021年から2022年の間に施行されると予想されているものの、規則の詳細はいまだ明確化されていないため、ガイドラインの公開が待たれます。

なお、近年ではIT化にともない個人情報の利活用を見直すべきとの意見も多く、改正案の施行にあたり以下のポイントについての適切な措置が求められています。

  • 個人情報に関する定義を、国民に分かりやすいものとすること
  • 個人情報、あるいは個人識別符号の削除・置き換えを行った仮名加工情報・匿名加工情報の作成は、個人の権利利益の保護と個人情報の利活用のバランスに配慮すること
  • 情報漏えいの報告義務の対象となる要件を明確化し、措置が不十分とならないよう配慮すること
  • データの開示・消去権など、個人の権利拡充をガイドライン等で明示すること
  • 個人関連情報の第三者提供の制限等について、解釈の基準を明確化すること
  • 個人の権利利益を保護しつつ、個人情報を利活用できるよう制度検討を随時行うこと

参考:衆議院「個人情報の保護に関する法律等の一部を改正する法律案に対する附帯決議」

個人情報を取り扱う事業者にとって、適法と違法の境界を知らない状態は危険であるため、今後はガイドラインの公表にアンテナを張っておくべきでしょう。

2. 個人情報保護法違反により企業が受ける罰則

個人情報の利用目的を明示していない、個人情報を不正に取得するなど、個人情報保護法に違反する行動を起こし、個人情報保護委員会の改善命令にも違反した場合は、懲役または罰金が科せられます。

以下の通り、2020年に公布された改正個人情報保護法では、従来よりもペナルティが厳格化されました。

個人情報保護法違反により企業が受ける罰則.png

出典:個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律(概要)」

また、個人情報保護法に違反した場合は刑事上の罰則だけでなく、多額の損害賠償をともなう民事上の問題にも発展してしまいます。

3. 個人情報の漏えいにより損害賠償を請求された事例

ここでは、過去に発生し大きな話題となった情報漏えいの事例をご紹介します。

3.1. Yahoo! BBの個人情報漏えい

2004年、Yahoo! BBのサービス加入者の氏名・住所・連絡先などが漏えいし、これに対して原告(顧客)がBBテクノロジー株式会社とヤフー株式会社に対して損害賠償を請求しました。

BBテクノロジーは、顧客情報の流出を確認して間もなく、情報漏えいの事実を顧客に対して通知。さらに、全サービス利用者に500円の金券を交付して謝罪をした後、セキュリティ強化の姿勢を見せました。

その後、具体的な二次流出もなく、上記のように真摯な対応が行われたことも考慮され、原告に対する1人あたりの慰謝料は5,000円、弁護士費用は1,000円が妥当だとの判決がBBテクノロジーに下されました。ヤフー株式会社に対する賠償請求は棄却されました。

3.2. ベネッセの個人情報漏えい

2014年、株式会社ベネッセコーポレーションの子会社「株式会社シンフォーム」に勤務するエンジニアによる顧客情報の持ち出しが発覚。ベネッセコーポレーションのサービスを利用する子どもや保護者の氏名、住所や連絡先などが流出し、原告(顧客)がベネッセコーポレーションとシンフォームに対し損害賠償を請求しました。

情報漏えいを把握した後に謝罪して500円相当の補償を実施したこと、および相談窓口の設置や情報拡散防止活動などの対策を講じたことから、裁判所は社会通念上許されない範囲の行為ではないと判断。ベネッセコーポレーションに対する請求は棄却され、シンフォームには原告1人あたり慰謝料3,000円、弁護士費用として300円を支払うことが妥当だとの判決が下されました。

4. 個人情報の漏えいを防止するための対策5つ

個人情報の漏えいを防止するための対策として、現実的な手段は大きく5つ挙げられます。

  • 社内情報の持ち出しに厳しい規制をかける
  • 資料の廃棄処理は復元不可能な方法に統一する
  • 特定の場所において、私用機器の持ち込みを禁じる
  • 例外を除き、独断によるアクセス権の貸与を一切禁じる
  • 紛失等の発覚時、迅速に報告するよう普段から呼びかける

こうして「社員の意識へ働きかける対策」を推奨することには、明確な根拠があります。

なぜなら、日本ネットワークセキュリティ協会の資料によると、情報流出の原因は半数以上が紛失や置忘れ、誤操作といった管理者の注意不足によるものだからです。

個人情報の漏えいを防止するための対策5つ.png

出典:日本ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに関する調査報告書【速報版】」

パソコンやモバイル端末、利用しているインターネットサービスのセキュリティ機能が高いとしても、それを使用する者の意識がともなっていなければ、情報漏えいへの配慮が十分とはいえません。そのため、社内で「常に注意を怠らない文化」を形成することが不可欠です。

また、前述した損害賠償の事例から分かるように、もし個人情報が漏えいしてしまった場合には、迅速かつ真摯な対応を行うことが重要です。金銭的な被害や顧客の精神的苦痛を最小限に留めることはもちろん、社会通念上正しいとされる対応を施すことで、その姿勢を裁判時に考慮してもらえることもあるということを覚えておきましょう。

5. まとめ

個人情報の利活用が盛んになり、インターネット上で多くの個人情報をやり取りする時代となりました。そのため、改正個人情報保護法には既存制度の不備を解消する多くの変更が加えられています。また個人データの扱いはより厳しくなり、規定に抵触した場合のペナルティも重いものとなっています。

これを機に、改めて社内のセキュリティ意識に問題はないかを見直し、改正法の施行に早い時期から万全の備えを講じておきましょう。