個人情報の漏洩には、罰則や多額の損害賠償の支払いといったリスクが存在します。
しかし罰則の内容まではあまり知られていないため、「個人情報漏洩のニュースを時々耳にするけれど、具体的にはどのような罰則やリスクがあるのだろう」といった疑問を感じている方も多いかもしれません。
そこでこの記事では、
- 個人情報漏洩時の3つの罰則規定
- 罰則規定以外の3つのリスク
- 罰則となった事例
- 個人情報漏洩の原因と対策
といった内容について詳しく解説します。
個人情報が漏洩すると罰則を受けるだけでなく、「企業の信用失墜による売上の低下」を引き起こしてしまう可能性もあります。個人情報漏洩による大きなリスクの発生を防ぐためにも、ぜひ最後までご一読ください。
目次
個人情報が漏洩した際の3つの罰則規定とは?個人情報保護法に基づいて紹介
個人情報漏洩時の罰則規定は、個人情報保護法によって定められています。
個人情報保護法とは、その名の通り「民間事業者の個人情報の取り扱い」について規定された法律のこと。個人情報を取り扱うすべての事業者に適用されます。
また事業者が個人情報に関するルールを遵守しているかどうかは、個人情報保護委員会が監督しています。もし個人情報の取り扱いに問題があると判断された場合は、罰則となることもあるので注意が必要です。
まずは、
- 国からの命令に従わなかった場合
- 虚偽の報告をした場合
- 従業員等が不正な利益を図るために個人情報データベースを提供・盗用した場合
の3つの罰則規定について紹介します。
【罰則1】国からの命令に従わなかった場合:6ヶ月以下の懲役または30万円以下の罰金
1つ目の罰則規定は、国からの命令に従わなかった場合です。
先述の通り、個人情報の取り扱いについては個人情報保護委員会が監督しています。つまり、国は事業者に対して立入検査や指導・助言・命令などを行うことが可能です。
よって「個人情報の取り扱いに問題がある」と判断された場合は、指導が入るケースもあります。
もちろん、指導後すぐに指摘された箇所を直した場合は、罰則が適用されることはありません。しかし国から命令を受けても指示に従わない場合は、罰則の対象となり、6ヶ月以下の懲役または30万円以下の罰金を支払う可能性もあるので注意しましょう。
【罰則2】虚偽の報告:30万円以下の罰金
2つ目の罰則規定は、虚偽の報告をした場合です。
報告内容を偽装するなどによる「虚偽の報告」が発覚した場合は、罰則の対象となり、30万円以下の罰金の支払いが求められます。
ただ個人情報の漏洩を防止するだけでなく、虚偽の報告を行わないことも重要です。
【罰則3】従業員等が不正な利益を図るために個人情報データベースを提供・盗用:1年以下の懲役または50万円以下の罰金
3つ目の罰則規定は、従業員や役員が不正な利益を図るため、個人情報データベースを提供・盗用した場合です。
たとえば個人情報データベースを盗み出し、名簿業者にデータを販売した場合などがあります。このように業務で取り扱った個人情報を、利益を得る目的で第三者に提供することで罰則の対象となります。
「データベース提供罪」とも呼ばれ、1年以下の懲役または50万円以下の罰金が適用されます。
また上記3つの罰則を受けるのは、違反行為をした本人だけではありません。
実際に違反行為をした人だけでなく、その所属法人に対しても罰則や罰金刑が課せられることになります。
【法人が受ける罰則・罰金の内容】
・命令違反:1億円以下の罰金
・虚偽の報告:50万円の罰則
・個人情報データベースの不正流用:1億円以下の罰金
法人にも罰金が課せられると聞くと、リスクの大きさに驚きますよね。ただ個人情報漏洩時は罰則だけでなく、慰謝料負担などの別のリスクも存在します。
次の見出しでは、罰則以外のリスクについて詳しく見ていきましょう。
個人情報が漏洩してしまった際の3つのリスク
個人情報漏洩時には、大きく以下の3つのリスクが存在します。
- ブランドイメージの低下による、売上低下や取引先との契約解消の可能性
- 損害賠償による、慰謝料負担や業務の圧迫
- 個人情報漏洩の再発防止にかかわるコストと業務の負担増
ここでは、3つのリスクについて順番に解説します。
【リスク1】ブランドイメージの低下による、売上低下や取引先との契約解消の可能性
1つ目のリスクは、企業のブランドイメージの低下による売上低下や、取引先との契約解消の可能性です。
一度個人情報が流出してしまうと、「情報の取り扱いに注意していない企業」と見なされ、企業に対するイメージが悪化してしまいます。
すると消費者だけでなく、主要な取引先にもネガティブな印象を与えてしまい、売上の低下や契約解消の可能性もでてくるでしょう。
「黙っていればわからないのでは……」と感じるかもしれませんが、被害の拡大や再発防止のため、情報漏洩後は早期の報告・対応が必須。よって情報漏洩を黙っていることは難しいと言えます。
また一度情報が漏洩すると、信頼を取り戻すために時間がかかります。経営の立て直しが難しくなり、最悪の場合倒産してしまうこともあります。
【リスク2】損害賠償による、慰謝料負担や業務の圧迫
2つ目のリスクは、損害賠償による、慰謝料の負担や業務の圧迫です。
個人情報漏洩時には、民法上の損害賠償責任が発生するため、情報漏洩の規模や内容によっては、損害賠償を請求される可能性も高いです。
このリスクの大きな問題点は、ただ損害賠償の支払いが必要になるだけでなく、通常業務が圧迫されることにあります。
損害賠償の支払いに関する業務に追われると、通常業務が圧迫され、機会損失となることも。また損害賠償の額がそれ程大きくない場合でも、長期的に見ると経営の悪化につながるケースも少なくありません。
\不正発覚した時に企業としてどう対応しますか?/ 
【リスク3】個人情報漏洩の再発防止にかかわるコストと業務の負担増
3つ目のリスクは、個人情報漏洩の再発防止にかかわるコストと業務の負担増加です。
個人情報漏洩時には、「情報漏洩の再発防止策」と「損害賠償請求の対応」の2つ作業を、通常の業務と並行して行うことになります。
再発防止策としては、
- 漏洩の原因追求
- 二次被害防止のための応急処置
- システムの改善
などの作業を行う必要があり、金銭面・リソース面共に負担が大きくなり、コストだけでなく社員の負担も増加してしまいます。
では、実際に個人情報が漏洩した場合は、どの程度の規模のリスクが発生するのでしょうか。次の見出しでは、実際に個人情報漏洩してしまった企業の事例について見ていきましょう。
個人情報漏洩により問題となった事例3選
個人情報漏洩により、大きな問題となってしまうケースは非常に多いです。
ここでは、個人情報漏洩の以下の3つの事例を紹介します。
- 通信教育大手企業の顧客情報転売事件
- 医療検査機器の製造販売を手掛ける企業のデータの不正持出し事件
- サイバー攻撃による大手電機メーカーの個人情報漏洩事件
1つずつ詳しく見ていきましょう。
【事例1】通信教育大手企業の顧客情報転売事件
通信教育の大手企業でグループ企業の従業員が顧客の情報を社外へ持ち出し、名簿業者に転売した事件です。
会員である子どもや保護者の氏名や住所・生年月日・電話番号などの個人情報が漏洩し、大きな問題となりました。漏洩した情報は約3,000万件に上るとされています。
また経済産業省より個人情報に基づく勧告を受け、改善報告書を提出。情報漏洩の対象となった会員には、お詫びの品として500円分の金券を送付しました。
この事件による損失額は、200億円以上と言われています。
【事例2】医療検査機器の製造販売を手掛ける企業のデータの不正持出し事件
医療検査機器の製造販売を手掛ける企業で、従業員が医療機関から提供を受けた患者の情報などを、USBを使用して不正に持ち出した事件です。
データを持ち出した理由は明らかにされていませんが、900名近い患者の氏名や検査データ・アンケート回答者の個人情報を、従業員の私物のパソコンに移し替えていたことがわかりました。
同社ではコールセンターを設置し問い合わせに対応すると共に、データを盗み出した元従業員を懲戒解雇処分にした上で、刑事告訴しました。
【事例3】サイバー攻撃による大手電機メーカーの個人情報漏洩事件
大手電機メーカーにサイバーテロ行為が行われ、個人情報7700万件・クレジットカード情報1,000万件が漏洩した事件です。
同社ではデータセンター移管などのセキュリティ対策のほか、ソフトウエアのバージョンアップなどの対策を実施しました。
この個人情報漏洩事件による被害額は、140億円以上と言われています。
企業で個人情報が漏洩する原因として、何があるのか
日頃から個人情報の取り扱いに気をつけていても、情報が漏洩してしまうこともあります。
企業で個人情報が漏洩する原因は、主に以下のようなものです。
- マルチウェアの巧妙化
- フィッシングやスキミングなどの手口
- 関係者による作業ミスや誤操作
- データの持ち出しや紛失
もちろんマルウェア感染やフィッシング詐欺による拡大も大きいですが、以下のグラフのように、情報漏洩の多くは関係者による端末等の紛失や誤操作などのミスであることがわかっています。
よって個人情報漏洩を防止するには、事前の対策が非常に重要となります。
個人情報漏洩の原因については以下の記事でより詳しく紹介していますので、あわせてご一読ください。
個人情報漏洩の発生リスクは、残念ながら少なくありません。
では、どのように対策していけば良いのでしょうか。
以下からその対策について詳しく解説していきます。
個人情報漏洩の対策としてすべきこととは?導入のしやすい順に4つ紹介
個人情報漏洩の対策としてすべきことは、以下の4つが挙げられます。
- セキュリティソフトの導入・更新
- WEBサイトやソフトの脆弱性対策を行い、個人情報漏洩を防ぐ
- 個人情報流出に関する教育を行う
- 守秘義務に関する書面を取り交わし個人情報漏洩を防ぐ
導入しやすいものは、「セキュリティソフトの導入・更新」や「WEBサイトやソフトの脆弱性対策の実施」などの作業です。
個人情報漏洩対策と聞くと非常に難しく手間のかかる作業を行うように感じるかもしれませんが、セキュリティソフトの導入やバージョンのアップデートなどでも防止することができます。
個人情報漏洩対策については以下の記事でも詳しく紹介していますので、あわせてご一読ください。
まとめ:個人情報漏洩のリスクは罰則だけではない
この記事では、個人情報漏洩時の罰則の内容や、その他の発生リスクについて解説しました。
ここでは2021年時点の情報を基に紹介しましたが、個人情報保護法は3年に一度改正されているため、最新情報を常に確認しておくことが重要です。
今後の流れとしては、2022年の春までに新しい保護法が全面施行となる予定です。
個人情報保護法が改正されると、罰則の内容など様々な点が変更になります。次回の改正までに時間も限られているため、早めの対策が重要と言えるでしょう。
\不正発覚した時に企業としてどう対応しますか?/
なお不正検知サービスを提供しているcaccoでは、2021年の12月末までサービスのトライアルを特別価格で受け付けています。サイトにJavaScriptのコードを埋め込むだけで、不正アクセスのデータを取得・分析し、結果をレポートにて確認することができます。
トライアルを行うことで、不正アクセス数や手口などの以下のような情報を簡単に把握でき、個人情報漏洩の防止に役立ちます。
個人情報漏洩に関して対策していきたい方は、以下よりお気軽にお問い合わせください。
不正アクセスレポートを作成して、リスク確認も可能!
今なら期間限定の初期費用キャンペーン中
O-MOTIONのトライアルはこちら!
