【事例あり】個人情報漏洩が発生した際の罰則とは?対策も合わせて解説
個人情報保護について考えたことはあるでしょうか?Web3.0の登場によりこれから更に情報伝達が加速していく中で個人情報を適切に扱うことが必要不可欠になってきます。
本記事では情報漏洩が発生した際の被害や責任、対策について徹底的に解説していきます。
ぜひご一読ください。
目次
1.そもそも個人情報とは?
個人情報とは以下の定義を満たすもののことを言います。
1.個人を特定できる名前や生年月日
2.本人を識別できる音声や画像など
具体的には人の氏名や住所(1にあたる)や防犯カメラや動画(2にあたる)などがあります。
2.個人情報保護法で定められていること
「個人情報保護法」とは、事業者がユーザーや取引先などから取得した「個人情報」の取り扱いに関するルールを定めた法律です。個人情報は上手く利用すればビジネス拡大のチャンスに繋がりますが、一方でその取り扱い方を一歩でも間違ってしまうと大きな被害を受ける事になります。こうして個人情報の漏洩や不正利用から個人の権利や利益を守るための共通のルールとして個人情報保護法が作られました。
3.個人情報が漏洩したらどのような罰則がある?
個人情報が漏洩した場合どのような罰則があるのでしょうか?
個人情報に定められている規定を見ていきましょう。
3.1.国からの命令に従わなかったら
1つ目は国からの命令に従わなかった場合です。個人情報の取り扱いについては個人情報保護委員会が努めています。よって国は個人情報の取り扱いについて企業や団体へ指導や助言、命令等をすることが可能です。
もちろん、指摘された箇所に対しすぐに対処した場合は、罰則が適用されることはありませんが、国から命令を受けても指示に従わない場合は、6ヶ月以下の懲役または30万円以下の罰金を支払う可能性があります。
3.2.虚偽の報告をしたら
2つ目の罰則規定は、虚偽の報告をした場合です。報告内容を偽装し虚偽の報告をした場合、罰則の対象になり、30万円以下の罰金の支払いが求められます。個人情報の取り扱いを報告する場合は注意して行うようにしましょう。
3.3.個人情報データベースを不適切に扱ったら
3つ目の規定は個人情報データベースを企業の従業員や役員が利益を得るために不正に扱った場合です。例えば個人情報データを盗用しデータを販売したなどのデータベース提供罪では1年以下の懲役または50万円以下の罰金が科せられます。
4.個人情報の漏洩が発生した際の民事上の責任
個人情報の漏洩によってユーザーの中に被害者が出てしまった場合、国からのペナルティとは別に被害者に対して損害賠償責任であったり謝罪金を払う可能性があります。詳しく見ていきましょう。
4.1.損害賠償責任
企業が個人情報を流出させてしまう行為は不法行為に当たります。不法行為によって誰かに損害を与えてしまった場合、損害賠償責任を負う必要があります。
しかし実際に被害者に被害が出ていない場合には責任を負う必要はありません。
よって企業の情報漏洩によって何かしら被害が出てしまった場合企業はその責任を取ることになります。
4.2.損害賠償額
被害者への損害賠償額については過去の事例から相場が決められています。
漏洩した情報がどれだけ機密性が高いのかによって判断され、デリケートな情報が漏洩した場合にはより多くの損害賠償を払う必要があります。
例えば、基本的な個人情報である住所や氏名、年齢などが漏洩してしまった場合には、損害賠償は比較的低めに算定されます。
逆にエステのコース内容や女性の体重などデリケートな情報が漏洩してしまった場合には多額の賠償金を支払う必要があります。
4.3.謝罪金
裁判での損害賠償とは別に企業側がお詫びとして自主的に金券などを配る場合があります。
基本的には個人情報が流出してしまった全てのユーザーに対してお詫びが配賦される事になります。
相場としては500円から1000円程度であるようです。某大手通信教育企業における個人情報流出事件においても500円の金券が配布されました。これには金額が低すぎるという反感の声もあり物議を醸しています。
5.損害賠償だけではない!あわせて発生するリスクは?
情報漏洩してしまった際に、損害賠償に加えて企業はどのようなリスクを企業は負わなければならないのでしょうか?具体的に見ていきましょう。
5.1.ブランドイメージの低下
一度情報漏洩をしてしまうと「情報管理を正しく行っていない会社」というイメージが付いてしまいます。これによって消費者だけでなく取引先にもマイナスなイメージを与えてしまい売上の低下に繋がってしまいます。また信用を得るには時間がかかりますが失うのは一瞬です。
社会的信用を失わないためにも個人情報保護には慎重に扱うようにしましょう。
5.2.再発防止にかかるコスト増
情報漏洩時には再発防止に努めるよう社内の管理体制を改善していかなければなりません。
再発防止策として
・漏洩の原因追及
・二次被害防止のシステム構築
・従業員の教育
など様々な措置をとらなければなりません。それに伴いコストも大いにかかってしまいます。
6.なぜ情報漏洩は発生する?
企業の情報漏洩の原因は何なのでしょうか?主な原因として以下のような理由が挙げられます。
・ウイルス感染・不正アクセス
・誤表示・誤送信
・紛失・誤廃棄
・盗難
・フィッシングやスキミングによる手口
・退職者・離職者による漏洩
このように企業の内側から起こる内的要因もあれば、企業の外側から起こる外的要因もあります。
企業はこのようなリスクに対してあらゆる対策を講じていかなければなりません。
7.実際の情報漏洩の事例
ここでは情報漏洩の実際の実例を見ていきます。実際に起こった実例を元に対策を講じるのも有効な手です。それでは見ていきましょう。
7.1.顧客情報転売
通信教育の大手企業でグループ企業の従業員が顧客の情報を社外へ持ち出し、名簿業者に転売した事件です。ユーザーであった子どもや保護者の氏名や住所・生年月日・電話番号などの個人情報が漏洩し大きな被害をもたらしました。漏洩した情報は合計で約3,000万件に上るとされています。また経済産業省より個人情報に基づく勧告を受け、改善報告書を提出。情報漏洩の対象となったユーザーにはお詫びの品として500円分の金券を配賦しました。この事件による被害額は、200億円以上と言われています。
7.2.データ不正持ち出し
医療検査機器の製造販売を手掛ける企業で、従業員が医療機関から提供を受けた患者の情報などを、USBを使用して不正に持ち出した事件です。
900名近い患者の氏名や検査データ・アンケート回答者の個人情報を、従業員の私物のパソコンに移し替えていたことがわかりました。
同社ではこれらへの対策としてコールセンターを設置し問い合わせに対応すると共に、データを盗み出した元従業員を懲戒解雇処分にした上で、刑事告訴しました。
7.3.サイバー攻撃
大手電機メーカーがサイバー攻撃を受け、個人情報7700万件・クレジットカード情報1,000万件が漏洩した事件です。
同社ではデータセンター移管などのセキュリティ対策のほか、ソフトウエアのバージョンアップなどの対策を実施しました。
この個人情報漏洩事件による被害額は、140億円以上と言われています。
8.情報漏洩を起こさないためにやるべきこと
情報漏洩のために会社はどのような対策をしていかなければならないのでしょうか?ここでは従業員へ対して、またセキュリティ面に対しての2点から詳しく見ていこうと思います。
8.1.従業員に対して
従業員に対しては以下の8点のことを講じる必要があります。
8.1.1.持ち出しの禁止
従業員が家で業務をする際に会社のパソコンや書類を持って帰るのは危険です。情報漏洩の多くが盗難や置き忘れでありこれらの事故に巻き込まれてしまいます。
近年テレワークも進む中、徹底的した情報管理が求められるでしょう。
8.1.2.放置の禁止
個人情報が含まれた媒体を誰もがアクセスできるよう放置しておくことは非常に危険です。
会社で離席する際には鍵のかかったロッカーに入れておくなど些細なことから気を配っていくことが大切です。
8.1.3.破棄の禁止
個人情報が含まれた媒体を安易に廃棄することは危険です。会社で規定された廃棄方法に沿って慎重に破棄することが大切です。
8.1.4.私物の電子機器の持ち込み禁止
私物のUSBメモリなどを会社のパソコンと接触させることも危険です。万が一私物のUSBメモリがウイルスに感染していた場合、情報漏洩のきっかけになってしまう可能性があるので注意が必要です。
8.1.5.管理権限の変更禁止
自分に与えられているアクセス権やログイン権を許可なしに第三者に教えることも危険です。またログイン情報などを会社のパソコンに貼り付けておくなどしてしまうと第三者が容易にアクセスできてしまい情報漏洩に繋がってしまいます。
8.1.6.公言の禁止
業務上知った情報を不用意に公言することは注意が必要です。気づかぬうちに自分が情報漏洩源にならないよう自分の発言・行動には注意しましょう。
8.1.7.報告の徹底
個人情報が漏洩していたらまずは上司に報告しましょう。情報漏洩が起こってから対処するまでのスピードは被害を最小限に抑える上でとても大切です。
8.1.8.社内教育の徹底
以上述べてきたことが起こらないようなにかしらの形で社員に教育していくことが必要です。情報保護について学べるコンテンツを利用したりワークショップを行うなど積極的に教育を行っていくことで大惨事を防ぐ事ができます。
8.2.セキュリティ面
続いてセキュリティ面における対策を見ていきましょう。
8.2.1.機密性
個人情報にアクセスできる人を限定することを言います。こうすることによって情報漏洩のリスクを減らすとともに、万が一起こった時の対応も迅速になります。
8.2.2.完全性
個人情報が不正に変更・改善されていない状態に確実にしておくことです。
例えば閲覧権のみを持った人が日々チェックを行うなどがあります。
8.2.3.可用性
個人情報にいつでも安心にアクセスできるようシステムを構築することです。例えばシステムを2重化し、仮に災害などで1つのシステムが倒れても、もう一つのシステムでカバーできるようにするなどがあります。
9.まとめ
いかがだったでしょうか?
本記事では情報漏洩による企業が被る影響を解説してきました。
情報の取り扱いを間違えると情報漏洩に繋がり多額の罰金だけでなく企業の信頼の失墜にもつながります。
ISMS認証などの取得によって情報セキュリティガバナンスを確立させましょう。
株式会社UPFには、ISMS認証取得支援のサービスがあります。
ISMS取得についてお悩みの企業様・ご担当社様は、Pマーク取得の実績No.1のコンサル会社UPFまでどうぞお気軽にお問い合わせください
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]
