企業が保有・管理する個人情報が流出した場合、企業にはどのような影響や責任が及ぶのでしょうか。
個人情報を取り扱う企業は、個人情報漏洩・流出のリスクや法的責任、適用されうる罰則を理解して必要な予防策を講じなければなりません。万が一、情報が流出した場合は適切な対応を取る必要があります。
この記事では、個人情報の流出・漏洩について、以下の点を解説します。
- 個人情報が流出するとどうなる?|情報漏洩の影響
- 個人情報が流出した場合にすべきこと
- 個人情報流出が発生する原因
- 個人情報流出を防ぐための対策
- 個人情報流出の事例と損害賠償額の相場
個人情報取扱事業者の方は、ぜひご参考になさってください。
個人情報が流出するとどうなる?|情報漏洩の影響
ここでは、個人情報流出により企業に生じるリスクや適用されうる罰則について解説します。
情報流出により企業に生じるリスク
企業が保有・管理する顧客等の個人情報が外部に流出した場合、以下のようなリスクが生じます。
ひとつずつ説明します。
社会的信用の失墜
自社が保有・管理する個人情報が流出・漏洩した場合、社会的信用や企業イメージが低下する可能性があります。
社会的信用や企業イメージが低下すれば、顧客離れ・取引停止、営業機会の損失などの損害が発生しかねません。
利益や売上の低下
社会的信用の失墜により顧客・ユーザー離れや営業機会の損失が進むと、利益や売上げの減少に繋がることも考えられます。
業務効率の低下
個人情報流出がメディアなどで報道されると、顧客や取引先等から問い合わせや苦情が殺到したり、SNS等で誹謗中傷の書き込みが増えたりすることも考えられます。
従業員の業務時間や労力がそれらの対応に割かれ、業務効率が悪くなるばかりでなく、従業員の士気が低下して、離職者が増加するおそれもあります。
株価の下落
社会的信用や企業イメージの低下は、株価下落などに繋がる可能性もあります。
上場企業の場合には、個人情報流出により企業価値が損なわれたとして、株主から役員の責任を追及する声が強まり、株主代表訴訟を提起される可能性もあります。
調査・賠償・対策のコスト増
個人情報流出により、顧客等に損害が発生した場合は、損害賠償の支払いに応じなければならないことがあります。顧客1人あたりの賠償額が高額でなくとも、被害者の数が多ければ賠償金の総額が数千万円を超えることもあります。
公共機関や大企業から委託を受けて個人情報を取り扱っている場合には、受注先の損害の補填を求められるケースもあります。
その他、事後対応において以下のような費用が発生する可能性があります。
情報流出により企業が受ける罰則・法的責任
情報流出により企業が受ける罰則や法的責任には、次のものがあります。
ひとつずつ説明します。
刑事上の罰則
個人情報保護法の義務に違反し、個人情報保護委員会の改善命令に従わなかった場合、違反した行為者と法人に対し、以下のとおりそれぞれ刑事罰が科されます。
個人情報取扱事業者である場合にあっては、その代表者や役員、従業者等が、その業務に関して取り扱った個人情報データベース等を自己もしくは第三者の不正な利益を図る目的で提供または盗用したときは、行為者および法人に対し、それぞれ以下の刑事罰が科されます。
民事上の損害賠償責任
個人情報の流出により、顧客等に損害が発生した場合は、民事上の損害賠償責任が生じます。賠償金額は事案によって異なりますが、顧客1人あたり数千円から数万円が相場とされています。被害者の数が多ければ賠償金の総額が数千万円以上になることもあります。
個人情報が流出した場合にすべきこと
ここでは、個人情報流出事故発生後に企業がとるべき対応について解説します。
ひとつずつ説明します。
事実確認・調査
個人情報の流出・漏洩が判明したら、5W1H(いつ、どこで、誰が、何を、なぜ、どうしたのか)に基づき、経緯・原因・影響範囲などを詳細に調査します。
事実関係を裏付ける情報や証拠を確保します。
被害拡大・二次被害の防止
情報流出・漏洩の事実を確認したら、被害が拡大しないよう対策を講じる必要があります。
例えば、個人情報を保管しているデータベースがインターネットに接続されている場合は、サーバーを停止し、インターネット接続を遮断しなければいけません。
報告・通知・公表
個人情報の流出・漏洩が判明した場合、その事実関係と再発防止策を個人情報保護委員会に速やかに報告しなければなりません。
紛失・盗難のほか、内部不正や不正アクセスなど犯罪性がある場合は、警察に届け出ます。
流出・漏洩した個人情報の本人には、流出事故が起こったことを通知し、想定される被害やその対応策を説明します。
すべての関係者への個別通知が困難な場合などは、ホームページでの情報公開や記者会見による公表・報告を行います。
ただし、情報の公開が被害拡大を招くおそれある場合は、公表の時期や対象を考慮する必要があります。
問い合わせ・苦情対応
流出事故を公表することにより、被害者からの苦情や他の顧客からの問い合わせが入ることが予想されます。その際、適切な対応がとれるよう、想定される質問への回答を準備する必要があります。
再発防止と復旧のための措置
事故の原因を究明したら、再発防止策を検討・実施します。
停止したシステムを再び使える状態に戻すためには、まず流出原因を究明するためにシステムを停止させて調査する必要があります。サイバー攻撃や不正アクセス、ウイルス感染が原因であればその原因や感染源を突き止め、復旧作業を行います。
事後対応
被害者に対する損害の補償等について必要な措置(賠償金の支払いお詫び品の配布など)行います。
従業員による漏えいに対しては、社内での処分(懲戒免職、降格等)を行うことが考えられます。
これらの対応・処分について必要に応じて情報を開示します。
個人情報流出が発生する原因
ここでは、個人情報流出が発生する原因について解説します。
サイバー攻撃や不正アクセス、ウイルス感染などの外部原因
情報流出・漏洩を引き起こす原因として、サイバー攻撃や不正アクセス、ウイルス感染などが挙げられます。
ネットワークを通じてパソコンのシステムを攻撃・破壊されたり、内部の情報が抜き取られたり、アクセス権限を持たない第三者が悪意をもって企業のサーバーやシステムにアクセスしたりして、情報が漏洩・流出した事件が少なくありません。
外部からウイルス付きのメールが送信されたり、アクセスしたサイト上でウイルスに感染したりして、情報漏洩・流出だけでなくシステムダウンなどの被害が生じることもあります。
人為的なミス・誤送信などの内部原因
社内の人間が、メールの送信先を間違えたり、誤って個人情報をウェブ上に掲載してしまったりするなど人為的なミス・誤送信で個人情報が流出・漏洩することがあります。
従業員が個人情報の入ったパソコンやUSBなどを持ち出し、社外に置き忘れたり紛失・盗難に遭ったりして、情報が流出するケースも少なくありません。
個人情報流出を防ぐための対策
ここでは、個人情報の流出・漏洩を防ぐための対策について解説します。
セキュリティソフトの導入・更新
セキュリティソフトの導入・更新は、外部原因による情報流出・漏洩に最も有効な対策です。
ファイアウォール、WAF、IDS/IPSなどの各種セキュリティソフトで多層防御することで、ウイルス感染やサイバー攻撃から自社のネットワークを防御できます。
内部不正対策には、IT資産管理ツール、ログ管理製品などを導入すると良いでしょう。
アクセス権限の制限
個人情報にアクセスできる人が多ければ多いほど、情報の流出・漏洩のリスクが高まります。
経営者や役員、特定の従業員しか情報にアクセスできないようにアクセス権限を制限したり、個人情報データを印刷・コピーをできない設定にしたりしましょう。
個人情報の取扱いに関する社内ルールの策定
社内の人間が個人情報を漏洩させた場合の罰則などを盛り込んだ社内ルールを策定し、個人情報の取扱いに関する自社の指針を周知させるのも有効な対策の一つです。
例えば、情報の種類に応じて持ち出しの可否を設定したり、私物のパソコンやUSBの社内持ち込みを禁止したりするなどが挙げられます。
社内ルール明確にして従業員に正しく理解させることで、紛失や置き忘れなどの人為的ミスを未然に防ぐ効果を期待できます。
従業員の教育・研修
情報漏洩事故の多くは、紛失や置き忘れ、誤送信など人為的ミスによるものです。
人為的ミスを未然に防ぐためには、従業員に対して教育を徹底することが有効です。
情報漏洩のリスクや発生原因を認識させ、情報の持ち出しや管理方法、私物の通信機器の持ち込みに関する社内ルールを徹底させることが教育の一例です。
全従業員を対象とした研修や朝礼などを定期的に行うことも有効です。
個人情報流出の事例と損害賠償額の相場
ここでは、個人情報流出の事例に応じた損害賠償額の相場について解説します。
流出した個人情報が基本的なものである場合
氏名や住所、電話番号、メールアドレスなどの個人情報が流出した場合の賠償金の相場は、被害者1人あたり5,000円~1万5,000円程度です。
流出した個人情報が秘匿性の高いものである場合
病歴やクレジットカード番号、口座情報など秘匿性の高い個人情報が流出した場合の賠償金の相場は、被害者1人あたり1万7,000円~3万円程度です。
秘匿性の高い情報が流出し、二次被害が発生した事案では1人あたり3万5,000円の賠償金を認めた判決もあります。
企業が自主的に配布するお詫び金
裁判外で企業が自主的に配布するお詫び金の相場は、1人あたり500円~1,000円程度です。
大手企業等による個人情報の流出事故では、事故発生の公表とともに自主的にお詫び金や金券等が配布されるケースも少なくありません。
まとめ
個人情報を流出・漏洩させた場合は、刑事上の罰則だけでなく、民事上の損害賠償責任も発生します。企業の社会的信用やイメージが低下すれば、顧客離れや取引停止、株価下落などにより利益や売上が大幅に減少するおそれもあります。
個人情報流出事故が発生した場合は、迅速かつ適切な対応が必要です。
平時から、マニュアル作成や報告・連絡体制整備等の措置を講じ、緊急時にはなるべく早く弁護士に相談することをおすすめします。