一般企業法務CATEGORY
一般企業法務
代表弁護士 中川 浩秀

個人情報漏洩の防止策・企業が最低限知っておくべき基礎知識

昨今、ニュースなどでもたびたび話題になる企業による個人情報漏洩。企業にとって損害賠償などの損失を被るだけではなく社会的信用を大きく損ねるリスクのある個人情報漏洩を未然に防ぐために、企業側はどのような対策を講じればよいのでしょうか。

この記事では、企業が個人情報を漏洩する主な原因、過去の事例、個人情報漏洩が発覚した場合の対応、未然に防ぐための予防策などをまとめてご紹介します。

個人情報漏洩の原因をタイプ別に分析

個人情報漏洩は大きく分類すると以下の3つのタイプがあります。

1. 従業員によるうっかりミス

日本ネットワークセキュリティ協会(JNSA)が公表している『2018年情報セキュリティインシデントに関する調査報告書』によると、企業の個人情報漏洩の原因のトップは”紛失・置忘れ”(26.2%)、次に多かったのが”誤操作”(24.6%)
この2つを合計すると50%を超えています。

個人情報漏洩と聞くと外部からの不正アクセスやサイバー攻撃をイメージする方も多いかもしれませんが、実際は従業員による紛失や誤操作などのヒューマンエラーが原因の半数を占めているということになります。

2. 外部からの不正アクセス

”誤操作”の次に多かったのは、やはり”不正アクセス“(20.3%)。
典型的なパターンとしては、従業員が外部から送られてきたメールを開き、マルウェアが埋め込まれた添付ファイルを開くことで感染するケースがあります。
マルウェアというのは、社内のサーバーに不正侵入して個人情報などの重要なデータを盗むことを目的とするなどコンピューターの正常な利用を妨げるために開発されたソフトウェアのことです。

不正アクセスの手口は多様化・巧妙化していて、マルウェア以外にもセキュリティの脆弱性を突いて、社内のサーバーに侵入されるケースも増えています。
最近では、最先端のAI技術を活用したサイバー攻撃も登場していると言われています。

3. 悪意のある内部関係者による犯行

従業員によるミスや外部からの不正アクセスと比較すると割合は少ないですが、悪意のある内部関係者が社内の個人情報を漏洩するケースもあります。

JNSAの調査結果では、 “内部犯罪・内部不正行為“は2.9%、”“不正な情報持ち出し”は2.3%で合計すると5%を超えています。
内部関係者には社員だけではなく派遣社員や契約社員、関連会社や下請け会社の従業員、退職者も含まれます。

過去の個人情報漏洩事件と判例

実際に起きた個人情報流出事件として有名な裁判例を2つほどご紹介します。

1. ベネッセコーポレーションの顧客情報流出事件

個人情報流出事件としてメディアに大きく取り上げられて注目を浴びたのが2014年に発覚したベネッセコーポレーションの顧客情報流出事件。
ベネッセのグループ企業であるシンフォーム社の業務委託先派遣社員が、私物の記憶媒体に約3,504万件分の顧客情報をコピーして名簿業者に売却したことが顧客情報流出の原因でした。
この事件で流出した顧客情報の主な項目は以下のとおりです。

  • サービス登録者の氏名
  • 保護者又は子どもの氏名
  • 性別
  • 生年月日
  • 住所
  • 電話番号
  • メールアドレス

実際に、ダイレクトメール、Eメール、電話での勧誘などの被害を受けた顧客も多く、複数の集団訴訟が提起され、一人当たり5~10万円の損害賠償を求めました。
被害者462人が起こした集団訴訟では、2018年12月、東京地方裁判所で判決が出され、シンフォーム社に対し、顧客1人当たり3,300円の賠償が命じられました。

原告側が求めていた額は一人当たり成人が5万円、未成年が10万円でしたが、今回流出した氏名や連絡先などの個人情報について裁判所は「人が社会生活を営む上で一定の範囲の他者に開示することが予定されている個人を識別するための情報又は個人に連絡をするために必要な情報であるため、思想・信条、病歴、信用情報等とは異なり、個人の内面等に関わるような秘匿されるべき必要性が高い情報とはいえない。また、出産予定日については、予定日にすぎないので、秘匿されるべき必要性の程度が相対的に低い。」とし、情報漏洩による精神的苦痛には3千円の慰謝料が相当だと判断しています。

2. JALの個人情報流出・プライバシー侵害事件

過去には“思想信条など他社にみだりに開示されたくない私的領域の情報”を含む個人情報が流出して問題になった事件もあります。
有名なのは、2007年2月に発覚した日本航空の最大労働組合であるJAL労働組合が収集していた従業員約7,000人のプライバシーに関わる個人情報が流出した事件です。
この事件で流出した従業員の個人情報には、氏名などの基本情報に加えて以下のような情報が含まれていました。

  • 思想・信条(共産党員、左翼的思想あり、共産党員など)
  • 健康状態・病歴(自律神経失調症、脳腫瘍で手術、流産など)
  • 家庭環境(独身、バツイチ、シングルマザーなど)
  • 家族の職業・経済状況(父が外務員、父は教員、大金持ちなど)
  • 容姿(美人、かわいい、スタイル抜群など)
  • 性格(いじわる、ずるがしこい、バカ、精神異常など)
  • 趣味や嗜好(競馬、酒好きなど)

これらの情報は、企業として把握するべき従業員情報の範囲を大きく逸脱しています。
この事件では、日本航空の従業員193人が損害賠償を求めた訴訟を起こし、2010年の判決では「同意を得ずに個人の情報を収集しており、プライバシーを侵害する不法行為にあたる」とされ、原告一人あたり1万円の損害賠償の支払いが命じられました。

JAL側は、これらの情報は個人情報保護法の施行以前の2005年3月までに入手したものであり、2005年4月以降は組合団体保険の運用に係わる生年月日のみが会社から提供されていると説明していました。

たしかに、個人情報保護法が施行される以前はプライバシーに関わる個人情報の取得について規制する法律は存在しませんでした。
しかし、2017年5月30日に全面施行された改正個人情報保護法では、思想・信条や病歴など差別や偏見につながる可能性のある個人情報は「要配慮個人情報」として定義され、本人の同意なく取得することが禁止されました。

改正個人情報保護法の罰則規定と損害賠償

従来の個人情報保護法では、保有している個人情報によって識別される特定の個人の数の合計が過去6ヶ月以内のいずれの日においても5,000を超えていない事業者は規制対象外とされていましたが、2017年5月30日に施行された改正個人情報保護法ではその要件は撤廃されました。

つまり、1件でも個人情報を扱っている事業者は“個人情報取扱事業者等”とみなされて改正個人情報保護法の規制対象となり、法に違反した場合には刑事罰を課せられる可能性が出てきたのです。

改正個人情報保護法の罰則規定の内容や民事訴訟による損害賠償の平均額について説明します。

1. 改正個人情報保護法が定める刑事責任

改正個人情報保護法施行後は、個人情報保護委員会という内閣府の外局として設置された委員会が個人情報取扱事業者等に対して必要な指導・助言、報告徴収・立入検査を行い、法令違反があった場合には勧告・命令等を行う権限を持つことになりました。

個人情報保護委員会に報告を求められた際、報告や資料の提出を怠ったり、虚偽の報告をしたりした場合30万円以下の罰金が刑事罰として課されます。

また個人情報取扱上の義務違反があった場合、個人情報保護委員会は事業者に対して是正を勧告することができ、さらに状況が切迫していると認められる場合は命令を出すことができます。
この命令に違反した事業者には6ヶ月以下の懲役又は30万円以下の罰金が課せられます。

2. 民事訴訟による損害賠償

刑事罰に加えて、個人情報漏洩による実被害を受けた被害者からの集団訴訟などで損害賠償を請求される民事責任が問われる可能性もあります。損害賠償の額は過去の裁判例では、被害者一人あたり3千円~1万円程度です。

ただし、被害者一人当たりの金額は少額だったとしても、トータルでは莫大な賠償金の支払いが必要になる可能性もあります。
日本ネットワークセキュリティー協会の2017年情報セキュリティーインシデントに関する調査報告によると、個人情報の漏洩事件の一見あたりの平均想定損害賠償額は5億4850万円にも上ります。
ベネッセの事件では、お詫び状送付費用、問い合わせ対応費用など計260億円の特別損失が計上され、同時に役員2名の辞任も発表されました。

隠蔽は絶対ダメ!個人情報漏洩の報告義務とは

企業による個人情報漏洩が発覚した場合、刑事責任や民事訴訟による損害賠償責任が発生するだけではなく、企業のイメージダウンによる経営不振など大きなリスクを背負う可能性があります。そのため、個人情報漏洩の事実をなんとか隠蔽したいという気持ちが生じるのは無理のないことかもしれません。

しかし、隠蔽は結果的に事態を悪化させることにもなりかねませんので、適切な対応とともに報告を行いましょう。
自社で個人情報漏洩が発覚した場合の報告先や報告義務について説明します。

1. 個人情報保護委員会等へ速やかに報告

「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)という告示により、個人情報漏洩が発覚した場合、その事実関係と再発防止策等について、個人情報保護委員会等に対し、速やかに報告するよう努めることが求められています。

個人情報保護委員会の公式サイトには漏えい等事案の報告フォームが設置されていますので、報告する際は原則としてそのフォームを使用します。

2. 2020年以降は報告が義務化

現時点では、個人情報漏洩が発覚した場合の個人情報保護委員会への報告は義務ではありません。

しかし、日本経済新聞社などの報道によると、政府は個人情報を漏洩した企業に対して報告を義務付ける方針を固めており、2020年に国会提出となる見通しだそうです。
背景として、商品開発やサービス向上などの目的で個人情報を収集して活用する企業が増えており、サイバー攻撃などによる個人情報漏洩が重大な自己を引き起こすリスクが高まっていることが挙げられています。

個人情報流出時の対応や謝罪の具体的方法

「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)には、個人情報漏洩時の対応について以下の項目が示されています。

事業者内部における報告及び被害の拡大防止

  1. 事実関係の調査、原因の究明
  2. 影響範囲の特定
  3. 再発防止策の検討及び実施
  4. 影響を受ける可能性のある本人への連絡等(一定の場合)
  5. 事実関係及び再発防止策等の公表(一定の場合)
  6. 個人情報保護委員会等への報告

影響を受ける可能性のある本人への連絡や事実関係及び再発防止策等の公表に関しては、二次被害の防止や会社の社会的信用に大きく影響する可能性があります。
法律に準拠した適切な対応を行うためにもIT業界にも精通した弁護士に相談しながら進めると安心です。

また、個人情報の漏洩が確認された顧客に対し、お詫び状や報告書と一緒に一人当たり500円~10,000円程度の商品券等を自主的に配布するなどの対応も検討しましょう。
適切な初動対応は、被害の拡大を防ぐことや社会的信用の低下を最小限に抑えることにつながります。

事例から学ぶ個人情報漏洩の防止策

個人情報漏洩を未然に防ぐためにはどのような対策を行えばよいのでしょうか。
過去に大きな個人情報漏洩事件を起こしてしまったベネッセが現在行っている取り組みや経済産業省のガイドラインの内容をご紹介します。

1. ベネッセの情報セキュリティ強化の取り組み

ベネッセホールディングスは、過去に起こしてしまった個人情報漏洩の再発防止に向けて、2014年10月に情報セキュリティ監視委員会を設立しました。
日本で最も信頼度の高い情報セキュリティ専門会社として知られるラック社をはじめ、社外有識者の監査やアドバイスを受けて、世界最高水準の情報セキュリティ構築を目指しているそうです。

以下はベネッセが実施している具体的な対策の一部です。

  • 派遣社員やアルバイトを含む全従業員を対象とした個人情報保護WEB研修の実施
  • 情報セキュリティの重要性を改めて確認する朝礼の実施
  • 金属探知ゲートやボディスキャナーの導入
  • プライバシーマークの取得
  • ISO 27001(ISMS)の取得

大手企業だからこそ実現可能な対策も含まれていますが、全従業員を対象とした研修や朝礼などは中小企業でも取り入れやすいのではないでしょうか。

2. 経済産業省のガイドライン

経済産業省が発表していた「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成29年5月30日に改正法の施行に伴い廃止)では、以下の4種類の安全管理措置が定義されていました。

  • 組織的安全管理措置
  • 人的安全管理措置
  • 物理的安全管理措置
  • 技術的安全管理措置

それぞれの安全管理措置の内容を具体的に見ていきましょう

組織的安全管理措置

組織的安全管理措置とは、組織として安全管理に関する従業者の責任と権限を定めるとともに、安全管理の基準となる規定やマニュアルを策定して、適切に運用することを意味します。

従業者が守るべき役割と責任を明確化した内部規定だけではなく、対外的な契約書などにもその内容を明文化することも大切です。
また、自社の公式サイトにプライバシーポリシー(個人情報保護方針等)を公開し、その方針に沿った社内体制を確立することも重要です。

人的安全管理措置

人的安全管理措置は、従業者による個人情報漏洩を防ぐための対策全般を指します。この記事の冒頭でご紹介したデータでは、企業の個人情報漏洩の原因の半数以上はヒューマンエラーが原因という結果が出ていますので、一番注力すべき安全管理措置と言えるのではないでしょうか。

具体的な内容としては、ベネッセが実施しているような派遣社員やアルバイトを含めた全従業員を対象とした個人情報保護に関するWEB研修や朝礼などがあります。
また、雇用契約を締結する段階で個人情報の非開示義務等の個人情報の取扱いに関する契約を結んでおくことも大切です。

物理的安全管理措置

物理的安全管理措置は、個人情報が存在する場所そのものに対する安全管理を指します。例えば、個人情報を取り扱う場所をパスワードやカードキー等のセキュリティが施された部屋に限定したり、離席時にパソコンのデータを見られないようにパスワード付きのスクリーンセーバーを導入したりなどの対策があります。

技術的安全管理措置

技術的安全管理措置は、文字通り技術的な面での安全管理措置のことです。具体例としては、データの暗号化、生体認証の導入、ウィルス対策ソフトのアップデートの徹底などがあります。
昨今、増加傾向にあるサイバー攻撃を防止するためには技術面での安全管理措置は欠かせません。

ただし、費用がかかる対策も多いので、費用対効果を考慮しながら段階的に導入してもよいでしょう。

内部犯行対策のための罰則規定

安全管理措置を講じることは非常に重要ですが、いくら措置を完璧に施したとしても悪意のある内部関係者による犯行を完全に阻止することは困難です。
ベネッセの事件でも、関連会社に勤務する一人の悪意ある派遣社員の犯行により、企業の信用が大きく損なわれ、ベネッセは顧客離れによる経営不振に陥りました。

逮捕された派遣社員は、生活に困っていたため、自分から名簿業者に持ちかけて大量の顧客情報を売却して数百万円もの利益を手にしていたそうです。
この派遣社員はシステムエンジニアで、顧客情報をダウンロードして記憶媒体に複製しようとするとエラー表示が出る仕組みの防止システムをすり抜けていたとのこと。

この事件をきっかけに個人情報の売買で利益を得ている名簿業者の存在が明るみになり、改正個人情報保護法では、個人情報データベース等を不正な利益を図る目的で提供するか盗用した場合には1年以下の懲役又は50万円以下の罰金が課されるという罰則規定が設けられました。

個人情報を扱う従業員に対する教育の中で、このような罰則規定について説明を行うことは、内部関係者による犯罪の予防につながります。
また、社内規定でも個人情報の取り扱いルールを明文化し、ルール違反を犯した場合は懲戒解雇などの厳しい処分を設けることも内部犯行対策として有効です。

まとめ

今回は、企業が個人情報を漏洩する主な原因、過去の事例、個人情報漏洩が発覚した場合の対応、未然に防ぐための予防策などをまとめてご紹介しました。
法的な責任を問われるだけではなく社会的信用やブランドイメージに大きなダメージを与える個人情報漏洩は、決して他人事ではありません。

未然に防ぐための予防策ももちろん重要ですが、サイバー攻撃や悪意を持つ内部関係者による個人情報漏洩を完全に防ぐことは非常に難しいため、実際に個人情報漏洩が起きたときに迅速かつ適切な対応がとれるよう万全な準備をしておくことも大切です。

代表弁護士中川 浩秀 東京弁護士会
2010年司法試験合格。2011年弁護士登録。弁護士法人東京スタートアップ法律事務所の代表弁護士。同事務所の理念である「Update Japan」を実現するため、日々ベンチャー・スタートアップ法務に取り組んでいる。