個人情報保護法とは
個人情報保護法とは、個人情報を取り扱う民間事業者の遵守すべき義務等を定める法律をいいます。
2003年に成立した法律ですが、2017年に改正法が施行されています。
さらに、個人情報保護法は、2020年にも改正されました。
2020年の改正法は、一部を除き2022年4月1日から施行されます。
改正の背景
2017年の改正の背景
近年、ITの進化によって、ビッグデータの収集・分析が可能となっています。
ビッグデータは、新たな産業を創出し、日本経済の発展に役立つと期待されています。
他方で、ITの活用によって、個人情報が悪用されたり、プライバシーが侵害されることが懸念されています。
消費者の立場からすると、個人情報は適正に取り扱われ、安心・安全を確保することが重要です。
また、経済・社会活動のグローバル化に伴い、個人情報を含むデータの国境を越えた流通が増えており、国際的にも個人情報を保護しつつ、円滑なデータ流通を確保することが求められています。
このような状況を踏まえ、2017年5月に改正個人情報保護法が施行されることとなりました。
大きな改正点として、従来は保有する個人情報が5000人を超えるものに限られていましたが、改正後は、個人情報の保有件数にかかわらず、個人情報データベース等を事業の用に供する者はすべて「個人情報取扱事業者」に該当することとなりました。
この改正によって、ほとんどの事業者が「個人情報取扱事業者」に該当することになったと考えられます。
2020年の改正の背景
社会のデジタル化が進んだいま、個人情報の多くは、コンピュータで扱うデータという形になりました。
デジタル社会は、短いサイクルで急激に変化していきます。
個人情報保護法も、このようなデジタル社会の変化に合わせたベストなルールへとアップデートしていく必要があります。
このような背景から、個人情報保護法は、3年ごとに見直しをすることになりました。
2020年の個人情報保護法の改正は、このような3年ごとの見直しの一環として行われたものです。
2020年の個人情報保護法の改正で重視されたのは、次の5つのポイントです(「個人情報保護法いわゆる3年ごと見直し精度改正大綱」令和元年12月13日個人情報保護委員会)。
- ① 個人の権利利益を保護する
- ② 個人情報の保護と利用のバランスをとる
- ③ 国際的な調和や連携
- ④ 海外事業者や国境を超える個人情報の取扱いへの対応
- ⑤ AI・ビッグデータ時代の個人情報の取扱いのための環境整備
この5つのポイントを踏まえて、2020年の個人情報保護法の改正では、次のようなルールの変更が行われました。
- ① 個人情報の利用に対する新しい規制―不適正な方法による利用の禁止
- ② 漏えいなどが発生した時の行政への届出と本人への通知の義務化
- ③ オプトアウトによる第三者提供の規制の強化
- ④ 提供先で個人データとなる情報の規制
- ⑤ 「保有個人データ」を対象とする義務を強化―本人から請求できる事項の拡大など
- ⑥ 個人情報保護法に違反したときのペナルティの厳罰化
- ⑦ 国際化への対応
個人情報保護法に違反する場合とは
利用目的の特定(法15条)
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければなりません。
したがって、利用目的が抽象的な場合は、個人情報保護法違反となります。
例えば、以下の場合は違反と考えられます。
「事業活動に用いるため」
「お客様のサービスの向上のため」
反対に、以下ようなの場合、利用目的を具体的に特定していると考えられます。
「当社の◯◯事業の新商品に関する情報のお知らせのために利用します。」
目的外での利用禁止(法16条)
個人情報取扱事業者は、利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合、あらかじめ本人の同意を得なければなりません。
なお、同意を得るために個人情報を利用すること(メールの送信や電話をかけること等)は、当初特定した利用目的として記載されていない場合でも、目的外利用には該当しません。
不適切な利用の禁止(法16条の2)【改正法新ルール】
個人情報取扱事業者は、違法な行為や不当な行為を助長したり誘発したりするおそれのある方法により個人情報を取り扱ってはなりません。
たとえ利用目的の範囲内であっても、違法な行為や不当な行為を助長・誘発するおそれのある方法での個人情報の利用は禁止です。
例えば、以下の場合は違反と考えられます。
- 差別を助長するような個人情報の利用―例えば、破産した人の情報を集めてインターネットに公開し、不特定多数の人が見れるようにすること
- 違法な行為につながる可能性のある個人情報の利用―違法な行為をする可能性のある者(たとえば、いわゆるオレオレ詐欺の集団)に個人情報を提供すること
このルールは、2020年の個人情報の改正で新しく導入されたルールです。
2022年4月1日から有効になります。
ケーススタディ
官報という、政府がさまざまなことを公表するために毎日発行している冊子があります。個人が裁判所で破産の決定を受けると、この官報に掲載されることになっています。
ある事業者が、官報に掲載されている破産者の情報を集めて、ウェブサイト上でデータベースとして公開しました。
個人情報保護委員会は、このウェブサイトは個人情報保護法上問題があるとして、事業者に行政指導を行いました。
その結果、この事業者はウェブサイトを閉鎖しました。
個人情報保護委員会の行政指導は、①個人情報の利用目的を通知・公表していなかった、②本人の同意を得ることなく個人データを第三者提供した、ということを理由とするものでした。
さらに、改正法による新ルールでは、違法な行為や不当な行為を助長したり誘発したりするおそれがある方法により個人情報を取り扱うことが禁止されます。
この事業者が作成したウェブサイト(破産者のデータベース)は、この新ルールのもとでも違反になるものと思われます。
なぜならば、このウェブサイトでは、破産した人に対する差別を助長したり、プライバシーを侵害したりするおそれがある方法で個人情報を利用されていると判断される可能性があるからです。
改正法のルールのもとでは、自社の個人情報の利用が、違法な行為や不当な行為を助長・誘発するおそれのある方法でないか、改めて確認する必要があるでしょう。
(平成31年5月個人情報保護委員会による行政指導が行われた事例より)
個人情報の適切な取得(法17条)
個人情報取扱事業者は、偽り等の不正の手段により個人情報を取得してはなりません。
例えば、以下の場合は違反と考えられます。
- 個人情報の利用目的等について、意図的に虚偽の情報を示して個人情報を取得する場合
- 他の事業者に指示して不正の手段で個人情報を取得させる場合
ケーススタディ
あるタクシー会社が、自社のタクシーの車内に、乗客に向けて広告の動画を流す機械を取り付けていました。
この機械にはカメラがついており、タクシーの座席に座った人の顔を撮影して、男性か女性かをAIで判別し、判別結果に基づいて流す広告動画を切り替えていました。
機械についていたカメラは目立たないものであり、また、タクシー車内には、機械にカメラがついていることや、乗客の顔画像を撮影しているというアナウンスや掲示はされていませんでした。
つまり、乗客は、自分の顔画像が撮影されていることに気づきにくい状況であったといえます。
このタクシー会社に対して、個人情報保護委員会は、行政指導を行いました。
カメラで個人の顔を撮影するのは、個人情報の取得にあたります。個人の顔が映った画像は、特定の個人を識別できるからです。
そして、撮影されていることを本人が気づかないような方法で顔の撮影を行うことは、個人情報保護法で禁止されている「不正の手段」による個人情報の取得にあたると考えられています。
このタクシー会社のケースも、乗客が気付かないような方法で個人情報(顔画像)を撮影したことが、「不正の手段」による個人情報の取得に該当すると判断されたものではないかと考えられます。
このケースを前提に考えると、カメラで個人が特定できるような顔画像を撮影するときは、個人情報保護法の違反にならないように、本人が「撮影されている(=個人情報が取得されている)」と認識できるような方法で行う必要がある、といえるでしょう。
(平成30年11月・令和元年9月個人情報保護委員会による行政指導が行われた事例より)
個人情報の取得時の通知義務(法18条)
個人情報取扱事業者は、個人情報を取得した場合、原則として、速やかに、その利用目的を、本人に通知し、又は公表しなければなりません。
例外として、あらかじめその利用目的を公表(注)している場合、通知等の義務はありません(法18条1項)。
注:「公表」とは、不特定多数の人々が知ることができるように発表することです。
以下の場合は、公表していると考えられます。
- ホームページのトップページから1回程度の操作で到達できるページに掲載している場合
- 店舗等、顧客が訪れることが想定される場所におけるポスター等の掲示、パンフレット等の備置きや配布
契約書その他の書面(懸賞応募はがき等)による記載、ネット上(ユーザー入力画面)への打ち込み等により、直接本人から個人情報を取得する場合、原則として、あらかじめ、その利用目的を明示(注)しなければなりません(法18条2項)。
この場合、あらかじめ利用目的を公表していたとしても、明示義務を免れないので注意が必要です。
具体的には、以下のようなケースが考えられます。
- 本人の氏名等が記載された申込書等を本人から取得する場合
- 氏名等が記載されたアンケートを本人から取得する場合
- ホームページからイベント参加希望者の氏名等を取得する場合
注:利用目的の明示とは以下のような場合が考えられます。
- 利用目的を明記した契約書等の書面を本人に手渡し、又は送付する場合
- 本人がアクセスした自社のホームページ上に利用目的を明示する場合
以下のいずれかに該当する場合、利用目的を通知する必要がありません(法18条4項)。
- 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 事業者の権利又は正当な利益を害するおそれがある場合
- 国の機関等の事務を遂行することに対して協力する必要がある場合であって、当該事務の遂行に支障を及ぼすおそれがあるとき。
- 取得の状況からみて利用目的が明らかであると認められる場合(注)
注:問題となるケース(名刺を交換する場合)
名刺交換も書面等によって個人情報を取得する場合に該当します。
この場合、今後の連絡のためという利用目的であるような場合は、「取得の状況からみて利用目的が明らか」であると評価できます。
しかし、ダイレクトメール等の目的に名刺を取得する場合、該当しない場合があるので注意が必要です。
ケーススタディ
上記のタクシー会社のケースでは、タクシー車内に、機械が乗客を撮影しているというアナウンスや掲示がありませんでしたが、それだけでなく、撮影した顔写真をどのような目的で利用するのか、その利用目的の公表・通知がされていませんでした。
実際には、このタクシー会社は、撮影した顔画像(=個人情報)を、どの広告動画を流すかを決定するために利用していたわけですから、そのような利用目的を公表または通知する必要がありました。
この点も、行政指導が行われた理由のひとつであったと考えられます。
(平成30年11月・令和元年9月個人情報保護委員会による行政指導が行われた事例より)
安全管理措置(法20条)
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません。
従業者への監督義務(法21条)
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たって、上記⑤の安全管理措置を遵守させるよう、当該従業者に対し必要かつ適切な監督をしなければなりません。
「必要かつ適切な監督」については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況等に起因するリスクに応じて、個人データを取り扱う従業者に対する教育、研修等の内容及び頻度を充実させるなど、必要かつ適切な措置を講ずることが望ましいとされています。
委託先への監督義務(法22条)
個人データの取扱いの全部又は一部を委託する場合、委託先において個人データについて安全管理措置が適切に講じられるよう、必要かつ適切な監督をしなければなりません。
これは、⑤の安全管理措置と同等の措置を講じる必要があります。
- 適切な委託先の選定
委託先の選定にあたっては、当該委託先において安全管理措置が確実に実施されていることを確認する。 - 委託契約の締結
必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい。 - 委託先における個人データ取扱状況の把握
委託先に対して定期的に監査を行う。委託先が再委託を行おうとする場合は、委託を行う場合と同様、再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行うこと、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施する。
漏えいなどの事案が起きた場合の報告義務(法22条の2)【改正法新ルール】
個人情報取扱事業者は、個人データの漏えい(外にもれること)、滅失(「めっしつ」。消えてしまうこと)、毀損(「きそん」。壊れてしまうこと)、あるいはそのほか個人データの安全確保がおびやかされるような事態が発生したときは、①個人情報保護委員会に報告、②本人に通知をしなければなりません。
事態が発生したのに、個人情報保護委員会への報告や本人への通知をしなかったときは違反になります。
報告・通知の義務がある事態は、次のとおりです。
- ① 要配慮個人情報が含まれている個人データが漏えい、滅失、毀損した場合、またはそのような事態が発生したというおそれがある場合。
「要配慮個人情報」とは、個人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害者となったことなど、差別、偏見などが生じないように特に配慮を要する個人情報のことです。 - ② 不正に利用されて本人の財産に被害が出るおそれのある個人データが漏えい、滅失、毀損した場合、またはそのような事態が発生したというおそれがある場合。
「不正に利用されて本人の財産に被害が出るおそれのある個人データ」とは、例えば、クレジットカードの番号を含む個人情報などが該当すると考えられます。 - ③ 不正の目的をもって個人情報の漏えい、滅失、毀損が行われた場合、またはそのような事態が発生したおそれがある場合。
例えば、何者かがサーバへの不正アクセスをしたことによって個人データが漏えいしたような場合などが該当すると考えられます。 - ④ 1000人分を超える個人データの漏えい、滅失、毀損が行われた場合、またはそのような事態が発生したおそれがある場合。
①から④のいずれの場合も、事態が本当に発生したと確認できた場合だけでなく、事態が発生した「おそれがある」だけでも個人情報保護委員会への報告と本人への通知をする義務がありますので、注意が必要です。
「速報」と「確報」の二段階で報告することが求められます。
まず、個人情報取扱事業者は、事態の発生を認識したあと、「速報」として個人情報保護委員会に速やかに報告をしなければなりません。
さらに、30日以内(上記③のケースの場合は60日以内)に改めて「確報」としての報告が必要です。
個人情報保護委員会への報告は、次のような内容としなければなりません。
「速報」の段階では、その時点でわかっていることだけを報告すればよいことになっています。
- ① 事態の概要
- ② 漏えいなどの事態の対象となった個人データの項目
- ③ 漏えいなどの事態の対象となった個人データの人数
- ④ 原因
- ⑤ 二次被害の可能性と内容
- ⑥ 本人への対応の状況
- ⑦ 事態の公表の実施状況
- ⑧ 再発防止措置
- ⑨ そのほか参考となる事項
本人への通知は、事態の発生を認識したあと、速やかに行わなければなりません。
通知する事項は、上記の①、②、④、⑤、⑨とされています。
報告・通知の対象となるケースが発生したり、または発生したおそれがあるのに、それを隠したり、報告・通知をしなかったりすると、違反になると考えられます。
なお、このルールは、2020年の個人情報の改正で新しく導入されたルールです。
2022年4月1日から有効になります。
第3者提供の制限(法23条)
個人情報取扱事業者は、原則的に、あらかじめ本人の同意を得た場合以外には、第3者に個人データを提供することができません。
例えば、以下の行為は違反と考えられます。
- 子会社が親子会に個人データを提供する行為
- フランチャイズ組織の加盟店が本部に個人データを提供する行為
以下のいずれかに該当する場合、本人の同意を要しません。
- 法令に基づいて個人データを提供する場合
- 人(法人を含む。)の生命、身体又は財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人データの提供が必要であり、かつ、本人の同意を得ることが困難である場合
- 公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難である場合
- 国の機関等が法令の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であって、協力する民間企業等が当該国の機関等に個人データを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合
ケーススタディ
上記で紹介した、ある事業者が官報から破産者の情報を集めて、データベースにしてウェブサイト上で公表した事件では、この事業者が本人の同意を得ることなく個人情報の第三者提供をした、という点も行政指導の理由のひとつになっていました。
個人情報をインターネットで公表することは、個人情報の第三者提供に該当します。
この事業者がインターネット上で公表した(=第三者提供した)個人情報は、官報から集めた破産者の情報でした。官報は公表されていますから、官報に載っている破産者の情報は、もともと世間に広く公開されていた情報であるといえます。
しかし、世間に対して公開されていることを理由に、個人情報を本人の同意をとらず第三者提供してよいということにはなりません。
個人情報を第三者に提供しようとするときは、それが世間に対してすでに公開された情報であろうがなかろうが、本来のルールどおり、本人の同意をとる必要があります。
この事業者は、本人の同意をとらず破産者の情報をインターネットに公開してしまいましたので、本人の同意を得ずに個人情報を第三者に提供したことになったものです。
(平成31年5月個人情報保護委員会による行政指導が行われた事例より)
提供先で個人データとなる情報の第3者提供の制限(法26条の2)【改正法新ルール】
2020年の改正法のルールのもとでは、「個人情報」、「仮名加工情報」、「匿名加工情報」の3つのタイプの情報が定義され、それぞれのタイプごとに、企業が守らなければならないルールが定められています。
さらに、「個人情報」、「仮名加工情報」、「匿名加工情報」のいずれにも該当しない情報にも、一定の場合には個人情報保護法のルールが課されることになりました。
それが、ここで紹介する「提供先で個人データとなる情報の第3者提供の制限」です。
民間企業は、生きている個人に関する情報で「個人情報」、「仮名加工情報」、「匿名加工情報」のどれにも該当しないもの(これを「個人関連情報」といいます)を持っていることがあります。
例えば、個人を特定できない形で収集した自社webサイトを訪問した人の行動履歴データなどが考えられます。
民間企業は、このようなデータを第三者に提供する場合、そのデータが提供先の相手企業において個人データに該当する場合には、提供をする前に、データの本人から「提供先の相手企業では個人データとして取得されることを認める」という同意がきちんと得られている、ということを確認しなければなりません。
「提供先の相手企業において個人データに該当する場合」とは、例えば、あるデータが自社内では特定の個人を識別できるものでないため個人情報に該当しないけれど、ほかの会社にそのデータを提供したところ、提供先の会社ではそのデータを手持ちのほかのデータと容易に照合(照らし合わせること)して特定の個人を識別できるようなケースをいいます。
例えば、以下のようなケースは違反になると考えられます。
自社のWebサイトで集めたcookieデータについて、自社内では個人情報に該当しないので、個人情報保護法のルールが適用されないと思いこんで、本人の同意があるかどうかを確認することなく、このデータをほかの会社に提供した。
しかし、データを受け取った提供先の会社では、そのcookieデータとほかのデータを照らし合わせると特定の個人を識別できてしまう状況であった。
このルールは、2020年の個人情報の改正で新しく導入されたルールです。
2022年4月1日から有効になります。
ケーススタディ
ある事業者が学生向けの就職情報サイトを運営していました。
学生がその就職情報サイトを通じて企業の採用に応募すると、応募先企業は管理のため個々の学生に応募者IDをつけていました。
この応募者IDは、就職情報サイトにも共有される形になっていました。
学生の氏名や住所などは応募先企業のみが知っており、就職情報サイトはこれらを知りませんでした。
したがって、就職情報サイト側では、応募者IDは持っているものの、特定の学生個人を識別できる情報(つまり、個人情報)を持っていなかったことになります。
就職情報サイトは、cookieという技術を使用して、サイトを訪問したユーザーひとりひとりの行動履歴のデータを解析し、特定の企業の内定を辞退しそうな確率を算出していました。
就職情報サイトは、そのひとりひとりの内定辞退率を応募者IDとセットにして応募先企業に提供していました。
就職情報サイト側では特定の学生(個人)を識別することができませんので、このようなデータは、就職サイト側では個人情報には該当しません。
しかし、提供を受けた企業側では、手元に応募者IDと学生の氏名などの情報をすでに持っているわけですから、就職情報サイトから提供を受けた(応募者ID+内定辞退率)のセットを、手持ちの情報(応募者ID+学生の氏名)と組み合わせれば、特定の学生(個人)を識別することができ、各学生の内定辞退率がわかるようになっていました。
つまり、就職情報サイト側では個人情報に該当しなかったものが、提供を受けた応募先企業側では個人情報に該当するものだったのです。
このように、データの提供元では個人情報に該当しないものが、データの提供先では個人情報に該当するようなケースは、改正前の個人情報保護法では明確に禁止するルールがありませんでした。
しかし、個人情報保護委員会は、このようなデータ提供のあり方は「法の趣旨を潜脱した極めて不適切」なものだと述べました。
改正法の新ルールのもとでは、提供先で個人データに該当するようなデータを、本人からの同意があったと確認することなく第三者提供することは、違反となります。
(令和元年8月・令和元年12月個人情報保護委員会による勧告が行われた事案より)
保有個人データに関する事項の公表等、保有個人データの開示・訂正等・利用停止等(法27条~第34条)【改正法でアップデート】
データ個人情報取扱事業者は、保有個人データに関する事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければなりません(法27条1項)。【改正法によるアップデートあり!下記①】
そして、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、原則として、遅滞なく、これを通知しなければなりません(法27条2項、3項)。
また、個人情報取扱事業者は、本人からの要求があれば、保有個人データを開示しなければなりません(法28条)。【改正法によるアップデートあり!下記②③】
そして、内容に誤りがある場合には訂正等に応じなければなりませんし(法29条)、目的外利用などの法律上の義務に違反する取扱いや、不適正な取得方法、本人の同意なしに第三者提供している場合には、情報の利用を停止しなければならないとされています(法30条)。【改正法によるアップデートあり!下記④】
改正法によるアップデート
2020年の個人情報保護法の改正では、上記のルールがアップデートされました。
このアップデートでは、個人の権利の保護をさらに進めるため、企業(個人情報取扱事業者)に対して課される義務の内容が少し過重されました。
改正法によりアップデートされた部分は次のとおりです。
改正法のルールでは、企業が公表しなければならない項目に、企業の住所と代表者の氏名が追加されました。
これによって、民間企業は、新しく追加された項目を含むようにプライバシーポリシーをアップデートする必要があるものと思われます。
改正法のルールでは、本人が企業に対して保有個人データの開示を要求する際に、開示の方法を指定できるようになりました。
例えば、「書面ではなくデータで開示してください」のように指定することができます。
この要求を受けた企業は、指定された方法が困難な場合を除き、指定された方法にしたがって保有個人データを開示しなければなりません。
改正法のルールでは、本人は企業に対して、保有個人データの開示だけでなく、保有個人データを第三者に提供した際の記録の開示も要求できるようになりました。
企業は、本人から保有個人データの第三者提供記録の開示の要求があった場合は、これに応じなければなりません。
このように、改正法のルールのもとでは、個人が企業に対して要求できる権利が拡充されます。
企業としては、新しく拡充された個人の権利をしっかりと理解しておき、対応を誤って違反をおかしてしまうことのないよう準備することが必要です。
改正法の新ルールは、2022年4月1日から有効になります。
以上のように、個人情報保護法は、個人情報取扱事業者に対して、さまざまな義務を課しています。
まずは、上記の基本的な義務を理解しておきましょう。
個人情報保護法に違反した場合のデメリット
刑事罰【改正法でアップデート】
上記の個人情報保護法の義務に違反し、この件に関する個人情報保護委員会の改善命令にも違反した場合、違反した個人には「1年以下の懲役または100万円以下の罰金」の刑事罰が課せられます。
さらに、違反した法人に対しては「1億円以下の罰金」の刑事罰が科されます。
この刑事罰は、近年の個人情報の重要性の高まりから、2020年の法改正で厳罰化されました。
特に、法人に対する罰金の額は、改正前の「30万円以下」から改正後は「1億円以下」へと大きく引き上げられています。
2020年の法改正の新ルールは、原則として2022年4月1日から有効になることになっていますが、この刑事罰の厳罰化だけは2020年12月12日から有効になっています。
民事上の問題
個人情報の漏えいは、直接の被害者は当該情報の本人です。
そのため、被害者本人から、加害者である事業者に対して、漏えいによる被害や、慰謝料について、不法行為に基づく損害賠償請求がなされる可能性があります。
また、被害者である本人と加害者である事業者の間に何らかの契約関係がある場合で、個人情報の漏えいが契約の違反と判断された場合は、契約違反を理由に損害賠償が請求される可能性もあります。
流出した個人情報の件数が多い場合、巨額の賠償金支払いのリスクも考えられます。
例えば、ベネッセコーポレーションの個人情報流出事故は最大約2070万件と言われています。
損害賠償請求権の消滅時効
被害者による損害賠償請求には、消滅時効(しょうめつじこう)という制度が適用されます。
ここでいう消滅時効とは、被害者が損害賠償を請求できる状況で、請求をしないまま法律で定めた一定の期間が過ぎると、被害者は損害賠償の請求ができなくなる制度のことです。
不法行為に基づく損害賠償請求の場合、「被害者が個人情報の漏えいがあったことを知った時点から3年」、または「被害者が個人情報の漏えいがあったことを知ったかどうかに関係なく、情報漏えいが発生した時点から20年」の2つのうち、どちらか早く来た時点で時効になります(民法第724条)。
契約違反に基づく損害賠償請求の場合は、「被害者が個人情報の漏えいがあったことを知った時点から5年」、または「被害者が個人情報の漏えいがあったことを知ったかどうかに関係なく、情報漏えいが発生した時点から10年」の2つのうち、どちらか早く来た時点で時効になります(民法第166条1項)。
消滅時効に必要な期間が過ぎれば、情報漏えいの被害者本人の損害賠償の権利が消滅してなくなりますので、加害者となった企業は、損害賠償の責任から逃れることができます。
しかし、情報化が発達した現代社会では、情報漏えいを隠すことは難しいでしょう。
また、この記事でも紹介したように、2020年の改正法の新ルールとして、一定の情報漏えいが発生したときは、個人情報保護委員会への報告と本人への通知が義務化されました。
したがって、情報漏えいが発生してしまったときは、速やかに公表して迅速な対応をとることが、個人情報保護法の義務を守るうえでも不可欠であり、また会社のダメージを最小限に抑える最良の選択肢といえます。
時効期間が過ぎるのをじっと待つのは得策とはいえないでしょう。
復旧コスト
情報漏えいが発生すると、情報管理システムやデータの検証を行うことが想定されます。
エンジニアの稼働工数が増加したり、外注費の増加が懸念されます。
また、顧客対応といったコストの発生も想定されます。
社会的信用の失墜
個人情報の漏えい事故は、最大の問題は、企業の信用問題に直結することです。
企業の知名度があればあるほどメディア等で取り上げられる可能性が高くなります。
新聞報道等によって、当該企業の社会的信用は失墜します。
具体的には、取引先との取引停止、顧客離れ、株価の下落、退職者の増加、採用難、などの負のスパイラルに陥ります。
一度失った信用を取り戻すのは難しいため、最悪の場合倒産するリスクすらあります。
また、倒産にまで発展しないとしても、経営陣の責任追及は免れないでしょう。
ケーススタディ
ある企業(A社)は、お客さんの個人情報をデータとして持っていました。
A社は、このデータを分析して、ひとりひとりのお客さんの特性に合わせて自社の商品のプロモーションをする、という利用をしていました。
A社は、このようなデータ利用を行うシステムの開発・運用をシステム業者B社に委託していました。
B社は、このシステム開発・運用の実作業を、下請けとしてC社に行わせていました。
C社の従業員が実際に作業を行っていた時、B社のセキュリティ対策に不備があり、ある種類のスマートフォンを業務用PCにつなぐと、A社のシステム内の個人情報をスマートフォンにコピーできるようになっていることに気づきました。
B社は、セキュリティ対策として、スマートフォンを業務用PCにつないでも個人情報のコピーができないように対策されていましたが、発売されたばかりのスマートフォンへの対策がまだできていなかったことが原因でした。
C社の従業員は、これを利用して個人情報を自分のスマートフォンにコピーして外部に持ち出しました。
そして、その個人情報をいわゆる名簿屋に売りました。
このようにして、A社のお客さんの個人情報が洩れてしまいました。
民事上の問題このケースでは、自分の個人情報が洩れたお客さんの多数が、A社やB社に対して裁判を起こし、損害賠償を請求しました。
A社のお客さんは全国各地にいたので、各地の裁判所で多くの裁判が起こされることになりました。
各裁判所の判決の中には、A社やB社には漏えいの責任があるとして、お客さん1人あたり1000円~3000円の損害賠償を支払うよう命じる判決を出したものもありました。
実際にデータを持ち出したのはB社の下請け業者であったC社の従業員でしたが、発注元であるA社、A社の委託先であったB社にも漏えいの責任があるとされたのです。
復旧コスト・対応コストこのケースでは、A社は、データ漏えいの対象になったすべてのお客さん(何万人という人数でした)に、一人あたり500円の金券を配りました。
また、A社は、データ漏えいの全容を解明する調査のため、多額のコストが必要になったものと想像できます。
A社は、このケースの後、情報漏えい対策の費用として約260億円の特別損失を計上しています。
社会的信用の失墜このケースは、大量の個人情報が流出したケースとして社会的な注目を集めました。
マスコミによってこのケースに関するニュースが毎日のように報道されました。また、A社に対する裁判が各地で定期されました。
このケースは、個人情報の漏えいが非常に大きなインパクトを引き起こした事例でした。
個人情報の取扱いに不備があると大きなデメリットに発展してしまう可能性があることがよくわかる一例といえそうです。
(最高裁平成29年10月23日判決、東京高裁令和元年6月27日判決、大阪高裁令和元年11月20日判決、東京地裁平成30年12月27日などのケース)
リスクにつながる要因
個人情報の流出事故は、程度の差はありますが、多くの企業において発生していると考えられています。
メディア等で大きく取り上げられるのは、まさに氷山の一角です。
流出事故が発生する要因としては、以下の点が考えられます。
経営陣の健全な危機意識
まずは経営陣が情報漏えい事故のリスクについて自覚することが重要です。
企業の存続にまで影響しかねない問題であることを自覚し、「絶対に情報漏えい事故を発生させない」という強い決意が必要です。
規定等の整備
次に、個人情報の取扱規定や委託先との契約書等について、整備することが必要です。
情報漏えい事故を防止するためには、出来合いのものではなく、自社や関連企業の内情を踏まえた規定等を整備しなくてはなりません。
関係者の教育
いくら規定等のマニュアルが完璧でも、それを適切に運用していなければ意味がありません。
そこで、自社の従業員はもちろん、役員、関連会社の社員等を含めた教育を徹底する必要があります。
当事務所の弁護士に相談するメリット
個人情報保護法に強い弁護士のサポート
当事務所の企業法務部には、個人情報保護法に精通した弁護士が所属しており、顧問先企業等に対し、個人情報保護についてサポートしています。
まず、企業の実情についてヒアリングを行い、状況を分析してから、課題を特定します。
その上で、課題解決のための施策をご提案いたします。
例えば、規定に不備があれば規定の整備をサポートいたします。
また、従業員を対象とした研修講師なども行っております。
個人情報の漏えいなど重大事案発生時の弁護士によるサポート
個人情報の漏えいなど、個人情報に関する重大事案が発生してしまったときは、個人の権利への被害を最小限にとどめ、企業としての責任を果たすべく、速やかに行動することが必要です。
そうすることが、最終的には企業の価値を守ることにつながります。
当事務所は、個人情報保護法に強い弁護士によって重大事案発生時の企業の対応を力強くサポートします。
刑事弁護士によるサポート
当事務所には、刑事弁護に注力した弁護士で構成される刑事専門チームがあります。
個人情報保護法違反によって、刑事事件に発展した場合、刑事弁護士が全力で会社をサポートします。
まとめ
- 個人情報保護法のルールは定期的にアップデートされる
- 知らずに違反してしまうことのないよう、法改正に注意
- 最新の改正は2020年に決定された。新ルールは2022年4月1日から
- 違反しないためには個人情報保護法のルールの基本をよく理解しておく
- 改正法の新ルールについて詳しい説明はこちら
- 違反してしまった場合のデメリットはとても大きい!時には企業の存続に影響がでる可能性も
- 普段から違反しないような社内体制づくりが重要!
- 社内体制づくりは個人情報保護法に強い弁護士のサポートを受けることもできます
- もし違反してしまったら、迅速な対応が不可欠!会社への影響を最小限に!
- 違反時の対応は個人情報保護法に強い弁護士のサポートを受けると心強い!
