情報漏洩が発生した場合、損害賠償額はどれくらい？漏洩を防ぐ対策は？

現代社会において、個人情報や企業情報の漏洩は深刻な問題となっています。もしも、情報漏洩が発生した場合、企業には莫大な損害賠償金を支払うことが求められます。そこで本記事では、情報漏洩が発生した場合の損害賠償額や、情報漏洩を防ぐための対策について解説していきます。

個人情報のおさらい

あらかじめ、個人情報保護法で規定されている「個人情報」や「個人情報取扱事業者」の定義を確認しておきましょう。

そもそも個人情報って何？

個人情報保護法における個人情報は「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等によって特定の個人を識別できるもの（他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む）、または個人識別符号が含まれるもの」と定義されています。
分かりやすく述べると次の２点を満たすものが個人情報であると考えられます。
・生存する個人に関する情報
・特定の個人を識別可能な情報もしくは個人識別符号が含まれた情報
つまり次のような情報が個人情報となります。
氏名
住所
電話番号
DNAの塩基配列
声紋
手・指の静脈の形状
指紋・掌紋
パスポートの番号
基礎年金番号
免許証の番号
住民票コード
個人番号（マイナンバー）
保険証の番号
在留カードの番号
特別永住者証明書の番号

個人番号に関しては個人情報保護法のみだけでなく、マイナンバー法においても保護対象であるため特に注意が必要であると覚えておきましょう。

個人情報取扱事業者の定義

個人情報保護法が適用され、個人情報の取り扱いの責任が要求されるのは「個人情報取扱事業者」です。なおその定義は2015年の法改正により、変更や拡大がされているので注意をはらう必要があります。法改正以前は「5000件以上の個人情報を把握する」事業主と限定的でしたが、法改正により5000件という限定が無くなり、1件でも個人情報を保有していれば個人情報取扱事業者となりました。
個人情報取扱い事業者は「個人情報データベース等」を事業に用いる業者の事です。個人情報データベース等とは、個人情報をコンピュータ等で、体系化したものを意味しています。以上より、従業員や顧客の個人情報を体系的に管理していれば個人情報取扱事業者に該当するという事になります。

個人情報取扱事業者が負う義務

個人情報取扱事業者は、個人情報の管理や取得において次のような責務を負います。
・個人情報の利用目的をできる限り特定し、目的達成に必要な範囲を超えて取り扱ってはならない
・個人情報を取得する際、利用目的を通知・公表しなければならない
・安全な方法で、個人データを管理しなければならない（安全管理措置）
・あらかじめ本人の同意を得ないまま、第三者に個人データを提供してはならない
・本人から開示請求があれば、応じなければならない
・本人から個人データの内容が事実でないという理由で、訂正や削除を求められた場合、応じなければならない
・個人情報取扱方法について、苦情を受けた場合、適切かつ迅速に処理しなければならない

判例から見る損害賠償額

実際にある判例の事案の詳細を解説していきます。

①ベネッセコーポレーション事件

ベネッセコーポレーションの関連会社からの顧客情報漏洩事件で被害にあった顧客ら462人が個人情報漏洩に関する損害賠償を請求したという事件です。
漏洩した個人情報は以下の通りです。
氏名
性別
生年月日
郵便番号、住所
電話番号、ファクシミリ番号
メールアドレス
出産予定日
未成年者については保護者の氏名
〇裁判所の判断
裁判所は1人あたりの損害賠償額を3300円（慰謝料3000円、弁護士費用相当損害金300円）としました。
〇判断の理由
裁判所は金額算定の理由として次の点を指摘しています。
●氏名や住所などの情報を他人に取得されることにより、これらの顧客への連絡が可能になり、私生活の平穏等に一定の影響が及ぶおそれがあり、精神的損害が生じる。
ただし、これらの情報は、人が社会生活を営む上で一定の範囲の他者に開示することが予定されている個人を識別するための情報又は個人に連絡をするために必要な情報であるため、思想・信条、病歴、信用情報等とは異なり、個人の内面等に関わるような秘匿されるべき必要性が高い情報とはいえない。
●出産予定日については、予定日にすぎないので、秘匿されるべき必要性の程度が相対的に低い。

②Yahoo！BB顧客情報漏洩事件

Yahoo！BBの会員がサービス提供会社による個人情報漏洩事故について損害賠償を請求したという事件です。
漏洩した個人情報は以下の通りです。
氏名
住所
電話番号
メールアドレス、ヤフーメールアドレス
ヤフーID
サービス申込日
〇裁判所の判断
裁判所は、1人あたりの損害賠償額を5500円としました。
裁判所は金額算定の理由として以下の点を指摘しています。
●住所・氏名・電話番号・メールアドレス等の情報は、個人の識別等を行うための基礎的な情報であって、その限りにおいては、秘匿されるべき必要性が高いものではない。
●しかし、このような個人情報についても、本人が、自己が欲しない他者にはみだりにこれを開示されたくないと考えることは自然なことであり、そのことへの期待は保護されるべきものである。

③TBC顧客アンケート漏洩事件

エステサロンなどを運営する会社がウェブ上で行った顧客アンケートが漏洩した事件です。

漏洩した個人情報は以下の通りです。

氏名
職業
年齢
性別
住所
電話番号
メールアドレス
個人情報を登録フォームに入力して送信した日時
関心を有していたコース名
アンケートに対する回答の内容等

〇裁判所の判断
裁判所は、1人あたりの損害賠償額を35000円（ただし、迷惑メールが送られるなどの二次被害がない被害者については22000円）としました。

裁判所は金額算定の理由として以下の点を指摘しています。

●エステティックサービスに関心があることは、純粋に私生活上の領域に属する事柄であって、一般に知られていない事柄でもある。

本件情報は、氏名、住所等の基本的な識別情報のみの場合と比較して、秘匿されるべき必要性が高い。

●情報流出事故の発生以後に、情報漏洩の被害があった顧客らに迷惑メールが送信され、ダイレクトメールが送付され、いたずら電話がかかるなどしている。

このように、判例上、漏洩した情報項目が通常は人に伝えないようなセンシティブな情報に関連するものなのか、それとも氏名や住所等、社会生活において人に伝えることのある情報なのかで、損害賠償の額が大きく変わる傾向にあります。

判例からわかる損害賠償額の傾向

顧客の個人情報を漏洩した場合の慰謝料の金額は、判例に基づくと以下の3点が重視されています。

①どのような個人情報が漏洩したか

住所や氏名、電話番号などの連絡先情報が漏洩した場合は、賠償額が低額にとどまります。
一方で、病歴などの人に通常伝えないようなセンシティブな個人情報が含まれていた場合には、賠償額が高額化します。

②二次被害はあったか

前提として「二次被害」とは、個人情報が漏洩しその情報を第三者に悪用される事です。
悪用されると、迷惑なメールが多数届いてしまうなど、被害が拡大し、賠償金が高額化します。

③情報漏洩後に会社がどのように対応したか

企業側から漏洩後はいち早く連絡し謝罪を入れている場合、もしくはお詫びの品を送付している場合には賠償額が低額化する可能性があるので、迅速な対応を心掛けましょう。

情報漏洩時の罰則について

個人情報保護法には、個人情報の漏洩に対して罰則が適用されます。違反した場合、最初に国から「是正勧告・改善命令」が出されます。違反した従業員には最大6か月の懲役もしくは最大30万円の罰金が科される可能性があり、会社にも最大30万円の罰金が科される可能性があります。不正な利益を得る目的で漏洩が行われた場合には、最大1年の懲役、最大50万円の罰金が科される可能性があります。会社に対しても最大50万円の罰金が科されます。不正の場合は一度で罰則が科されることになります。

情報漏洩時の損害賠償と謝罪金について

個人情報の漏洩で被害者が出ると、国に対するペナルティと別に被害者に対し、損害賠償や謝罪金を支払わなければならない可能性があります。

①損害賠償責任とは

企業が個人情報を漏洩させるのは「不法行為」に当たります。不法行為によって損害を誰かに与えると、その損害に対する賠償責任が発生します。これを不法行為に基づく「損害賠償責任」と言います。
ただし、どのような場合においても損害賠償を負う訳ではありません。被害者に被害が及ばない場合は賠償する必要はないためです。
また、損害賠償責任が認められる為には行為者に故意や過失がある必要があります。そのため、うっかりミスでの情報漏洩は損害賠償を負う必要がないのです。なお、わぞとや被害が出た場合は、会社も使用者責任に基づき、被害者に損害賠償を負います。

②損害賠償額の相場と基準

被害者への損害賠償額は、過去の事例を基に相場が形成されています。この相場は、漏洩した個人情報がどの程度センシティブな情報であったかを基準とされていて、その情報が人が秘密にしたいものであればあるほど損害賠償額も高くなる傾向にあります。

③謝罪金の相場と基準

被害者が裁判で損害賠償を要求するのとは別に、企業側が謝罪の意味を込めて自主的に金券などを配る場合があります。基本的には漏洩した全てのユーザーに対してお詫びとして、金券、電子マネー、ポイント等が配布されることが多いようです。
過去の事例にならった金額を送るケースが多く、少ない金額でもトータルでは企業にとって大ダメージとなります。

情報漏洩はどう対策する？

これまで解説したように情報漏洩で背負う責任や、影響力は多大なるものです。パートナー関係にある企業が不正を犯した場合にも責任を負わなければならない場合が在ります。業務委託契約書に、機密情報の扱いについて記述するだけでなく、セキュリティ教育などセキュリティに対する姿勢や体制の確認も行う必要があると言えるでしょう。

①個人情報を扱う社員の対策

個人情報を取り扱う企業が社員に対して行わなければならない対策について解説していきます。

(1) 情報取扱方法のルールを定める

情報管理ルールを定める必要があります。個人情報を取得する際には、誰がどのような方法で管理するのか決めるということです。
自社内でしっかりと管理体制を整えましょう。

(2) 許可なく個人情報を持ち出さない

自宅勤務など、社外で業務を行う為に、許可なく会社のパソコン・書類を持ち帰ることは厳禁です。情報漏洩の原因の約半数がパソコン・書類の紛失や盗難となっており、社外に持ち出す危険度の高さを示しています。

(3) 私物の電子機器を職場に持ち込まない

例えば、私物のUSBメモリなどがウイルスに感染していた場合、インターネット経由で一気に個人情報が漏洩してしまう可能性があります。私物のパソコン・USBメモリを業務に用いるパソコンなどの機器と接続する行為は危険性が高いです。

(4) 目の届かない場所に放置しない

個人情報等が記載されている書類をデスクの上に置いたままにしたり、離席時にパソコンにロックをかけていないなど、些細な不注意が大きな損失に繋がる意識を徹底しましょう。鍵のかかる引き出しにしまうことや画面ロックを心掛ける必要があります。

(5)インターネットに接続しない

個人情報をパソコンで管理している場合、インターネットにつながないことを心掛けましょう。少しのセキュリティ意識で、大きく不正アクセスのリスクを低下させることが出来ます。

(6)安易に廃棄しない

業務に使用していたパソコンのデータを消去しないまま廃棄したり、個人情報が記載されている書類をシュレッダーに掛けずにゴミ箱に捨てた結果、漏洩してしまうケースは大変多く見受けられます。個人情報破棄は、会社の管理ルールに従った処理をすることが大切です。

(7) 管理権限を他人に譲渡・貸与しない
会社内では、それぞれが業務内容や体制に応じて管理権限が与えられています。このため、他人と権限を共有したり貸与したりすることは決して行ってはいけません。また、パソコンなどにログイン用のIDとパスワードを貼り付けておくことも非常に危険です。他人のIDやパスワードを使ってログインすることは、不正アクセス禁止法に違反するため、厳重に注意が必要です。

(8) 業務の中で知った情報を公言しない

個人情報を取り扱う場合には、業務で知り得た情報を他人に漏らさないことが必要です。しかし、最近ではSNS上で、業務上の情報を軽々しく発信してアクセス数を増やそうとする人が増えています。このような行動は、自分が情報漏洩の原因になる可能性があるため、避けなければなりません。

(9) 情報漏えいに気づいたらまず報告する

個人情報の漏洩が確認されたらすぐに上司や管理者に報告しましょう。少しでも早く対応することで被害を最小限に抑えることができます。

(10) 社員教育

社員が業務上の情報を不適切に扱ったり、セキュリティ対策を怠ったりすることが原因となることが多く、それを防ぐためには社員教育が非常に重要です。社員に対して情報漏洩のリスクや注意点、セキュリティ対策の方法やルールなどを明確に説明し、意識の向上を図ることが必要です。また、定期的にトレーニングやテストを行うことで、社員のセキュリティに対する意識を高めることができます。社員教育を徹底することで、情報漏洩リスクを最小限に抑えることができます。

(11) 日頃のコミュニケーション

従業員の不正行為を防止するためには、従業員がモチベーションを維持し、会社に帰属意識や貢献意欲を持つことが重要です。このためには、密にコミュニケーションをとったり、ワークライフバランスを実現する施策を導入することが有効な不正予防策の一つとなります。

②セキュリティ面の対策

ここまで社員に対する対策を解説してきました。ここからはセキュリティ面の対策について解説していきます。

(1) データの一元管理

パソコンごとにデータを管理すると、パソコンを紛失した場合に情報漏えいの危険性があるため、現在はビジネスにおいてモバイル活用が主流となっています。個々の機器にデータを格納して対策を講じることはコストがかかるため、今後はデータを一元管理できるクラウド化やデータレス端末の導入が進むことが予想されます。

(2) アクセス権の限定

個人情報を適切に管理するためには、正当な権利を持つ人だけがアクセスできるようにすることが必要です。このため、アクセス権限の設定や入室制限などの対策が必要です。

(3) 変更権限の制限

個人情報が、不正に変更・改ざんされていない状態を確実視しなければなりません。たとえば、一定の権限者以外の人には閲覧許可のみを与えたり、データを暗号化しておくなどの対策があります。

(4) システムトラブルを想定した態勢

個人情報が、必要なときに適切な人が安全に利用できるようにする必要があります。例えば、システムのバックアップを定期的に行い、復旧のための手順を用意しておく、などの対策があります。

(5)システムの監視

インターネットから中枢部のデータへの不正なアクセスを防ぐためには、常に新たな対策が必要です。24時間の監視（モニタリング）や、システム上のデータやプログラムの動きや攻撃のパターンの解析によって、新しい脅威への対策を継続的に行うことが必要です。

(6) 人の能力を補うシステム

機密情報へのアクセス制限には、IDとパスワードよりも生体認証がより確実で負担も減らすことができます。また、メールの誤送信を防ぐためには自動チェックや暗号化が重要です。一方で、現場では個人データの活用が鍵となっており、セキュリティ強化と共に新たな活用方法を検討することが必要です。

まとめ

ここまで解説してきたように、情報漏洩による損害賠償は、漏洩した情報の内容や量、漏洩した原因、適切な対策を取ったかどうかなどを考慮して判断されます。損害賠償金額は数億円にも及ぶことがあり、企業は、情報漏洩の防止策を講じるだけでなく、契約書の条項に損害賠償に関する規定を明示することも重要です。また、損害賠償だけでなく、ブランドイメージや信用にも深刻な影響を与えるため、情報漏洩に対するリスクマネジメントをしっかり行いましょう。

情報漏洩による被害を防ぐために、Pマークの取得をお勧めします。Pマークは個人情報保護に適したシステムが導入されていることを示す認証マークです。情報漏洩が発生した場合、企業側には莫大な損害賠償が発生する可能性がありますが、Pマークを取得することで法令遵守の証明となり、信頼性の向上につながります。また、Pマークを取得することで、お客様からの信頼度が高まり、競合他社との差別化も図れます。Pマーク取得を検討してみてはいかがでしょうか。

株式会社UPFには、業界No.1を誇る実績に基づく、プライバシーマーク（Pマーク）教育のノウハウがございます。
教育実施でお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。