個人情報が漏洩してしまったらどうする？民事・刑事の責任を元検事の弁護士が解説

個人情報が漏洩した可能性がある場合、企業は、どのような処置をとるべきでしょうか？

いったん漏洩してしまえば、事実上、流失した情報を取り戻すことは困難ですし、被害者が多数にのぼるケースも珍しくなく、大きな被害を生む可能性があります。
また、至急対応することで被害を防ぐことができる場合もあり、迅速な対応ができたかどうかで責任の範囲が変わる可能性もあります。

個人情報が漏洩した可能性がある場合、企業は、結果の成否にかかわらず、早急に適切な対応をすることが必須です。

ここでは、個人情報保護委員会が求める、企業がとるべき措置と、漏洩によって生じる法的責任について解説します。

1. 個人情報が漏洩した場合の対処の流れ

個人情報の漏洩が判明した場合の対処方法については、個人情報保護員会がガイドラインを定めています（※）。

※平成28年11月・個人情報保護員会：個人情報の保護に関する法律についてのガイドライン（通則編）

以下、同ガイドラインにそって、対処の流れを確認します。

①会社内部での報告、被害の拡大を防止する措置

漏洩の事態を会社の責任者、上司などに直ちに報告します。事実を隠して、自分だけで処理しようなどと考えるのは事態を悪化させるだけです。

判明時より被害を拡大させない措置をします。例えば、不正アクセスやウィルスの感染の可能性がある場合には、有線・無線のネット接続を遮断します。

②事実関係の調査、原因の究明

漏洩の事実関係を調査し、原因の究明に必要な措置をとります。

漏洩とは、データの外部への流出ですが、第三者の目に触れる前に情報を回収できたならば、それは漏洩には該当しません。

例えば、個人データが誤送信されたり、誤ってネット上で閲覧可能な状態になっていたとしても、第三者がメールを開披したり、ネットで閲覧したりしていない事実をログなどから確認することができ、開披や閲覧を阻止できたケースです。

このような事実の有無や、流出経路などを調査するには、会社内部の人材、組織では能力や信頼性が不十分な場合もあります。そのようなときは、弁護士による第三者委員会を設置したり、ＩＴ技術者へ調査を委託したりする必要性もあります。

③影響範囲の特定

漏洩の態様、漏洩したデータの個々の内容、被害者本人の人数、想定される二次被害の内容など、漏洩の実害が及ぶ内容・範囲を明らかにする必要があります。

④再発防止策の検討・実施

調査結果から、再発防止策を検討し、その実施に必要な措置を講じます。

例えば、次のような措置です。

• ・セキュリティを強化する
• ・データへのアクセス制限を見直す
• ・従業員の教育・研修を徹底する

⑤個人情報保護委員会への報告・本人への通知

大きな被害が予想される事案では、個人情報保護法によって、個人情報保護員会への報告と被害者本人への通知が義務付けられています。

この報告、通知は、前述の①～④の調査・措置が終了してからではなく、①～④の調査・措置と並行するか、これに先んじて行わなくてはなりません。報告・通知については、次項で詳しく述べます。

2. 個人情報保護委員会への報告義務

2-1. 報告が必要な漏洩事態

「個人データ（※）」の漏洩で、個人の権利利益を害する危険性が高い事態の場合、個人情報保護委員会への報告が義務となります（個人情報保護法26条1項本文）。

※ここでの「個人データ」とは、個人情報のうち、データベース化され、容易に検索ができる形となっているものを指します（同法16条3項）。

個人情報保護委員会は、個人の権利利益を害する危険性が高い事態として、次の4つを定めています（個人情報保護法施行規則第7条）。

1. 1. 1号　要配慮個人情報（※）が含まれる個人データの漏洩
   2. 2号　不正利用されることで財産的被害が生じるおそれがある個人データの漏洩
   3. 3号　不正の目的をもって行われたおそれがある個人データの漏洩
   4. 4号　個人データに係る本人の数が千人を超える漏洩

※「要配慮個人情報」とは、人種・信条・社会的身分・病歴・犯罪の経歴・犯罪被害・身体や精神の障害などに関するもので、いわばセンシティブな情報です（同法第2条3項、同法施行令第2条）。

2-2. 報告するべき事項

個人情報保護委員会への報告は、①まだ事実関係を十分に把握できていない段階での「速報」と、②原因や再発防止策も含めて把握に時間を要する事項を報告する「確報」の二段階があります。

①「速報」　事実関係を十分に把握できていない段階

「速報」としては、漏洩を知った後、速やかに、次の事項のうち、その時点で把握している事項を報告する義務があります（同法施行規則第8条1項）。
「速やか」とは、ガイドラインによれば、会社のいずれかの部署が認識してから概ね3～5日です。

【報告事項（個人情報保護法施行規則第8条1項各号）】

1. 1号　概要
2. 2号　漏洩等が発生し、又は発生したおそれがある個人データの項目
3. 3号　漏洩等が発生し、又は発生したおそれがある個人データに係る本人の数
4. 4号　原因
5. 5号　二次被害又はそのおそれの有無及びその内容
6. 6号　本人への対応の実施状況
7. 7号　公表の実施状況
8. 8号　再発防止のための措置
9. 9号　その他参考となる事項

②「確報」　原因や再発防止策も含めて把握に時間を要する事項

「確報」の期限は、（ⅰ）漏洩を知った日から30日以内、（ⅱ）不正の目的をもって行われたおそれがある漏洩の場合は、漏洩を知った日から60日以内です。

努力を尽くしても不明の事項は、その時点で判明した事項を報告し、不明事項が判明次第、報告を追完することが必要です。

2-3. 個人情報保護委員会以外の報告先

個人情報保護委員会は、必要があれば、漏洩の報告先を、個人情報を取り扱う会社の事業を所管する行政庁に委任できます（同法150条1項）。

その場合は、個人情報保護委員会ではなく、同委員会から委任された行政庁に報告することになります。自社の報告先がどこなのかは、個人情報保護委員会に問い合わせをし、確認することができます。

【報告先の具体例】

• ・電気通信業、放送業→総務省
• ・債権管理回収業→法務省
• ・農業協同組合→農林水産省
• ・マンション管理業→国土交通省

3. 本人への通知義務

3-1. 本人の利益保護のための通知

個人情報保護委員会への報告が必要な漏洩があったときは、個人情報の本人にも、速やかに通知する義務があります（同法26条2項本文、同法施行規則10条）。漏洩を知らせ、本人の権利・利益を保護する機会を与えるためです。

3-2. 通知するべき事項

通知するべき事項は、個人情報保護委員会への報告事項9項目のうちの5項目です（同法第8条1項、同法施行規則10条）。

【同法第8条1項各号のうち、本人に通知を要する事項】

1. 1号　概要
2. 2号　漏洩等が発生し、又は発生したおそれがある個人データの項目
3. 4号　原因
4. 5号　二次被害又はそのおそれの有無及びその内容
5. 9号　その他参考となる事項

3-3. 通知の方法

通知の方法は定められておらず、文書の郵送やメールでも構いません。

また、連絡先や転居先が不明で、本人への通知が困難な場合には、本人の権利利益を保護するために必要な代替措置をとれば、通知は不要です（同法26条2項但書）。

例えば、ホームページ上で漏洩の事実を公表して、本人が被害を確認するための窓口や連絡先を掲載する方法などです。

4. 社会一般への公表は必要か？

個人情報保護委員会への報告、本人への通知の他に、社会一般に対して公表することは義務ではありません。

ただし、ガイドラインでは、事案によっては、二次被害や、類似の漏洩事件を防止するなどの観点から、漏洩の事実関係や、これに対する再発防止策について、速やかな公表が望ましい場合もあるとされています。

5. 行政処分

個人情報の漏洩それ自体に対する行政処分はありません。しかし、往々にして、漏洩は、企業の個人情報の取扱いが、法の定める安全管理措置の義務を果たさない不適切な場合に生じます。

このような場合、個人情報保護委員会は、報告を求め、立入検査を実施し（同法146条）、指導・助言を行います（同法147条）。また、義務違反行為を中止・是正するよう勧告し、これに従うよう命令することもできます（同法148条）。

報告の求めに応じなかったり、立入検査を拒んだり、虚偽報告をしたりした場合等には、50万円以下の罰金が科されます（同法182条）

命令に違反すると、個人情報保護委員会に、命令違反を公表される場合があり（同法148条4項）、命令違反者には、1年以下の懲役刑又は100万円以下の罰金刑が科されます（同法第178条）。

6. 本人からの個人情報の利用停止請求

個人情報保護委員会への報告が必要な漏洩で、流出した個人情報が「保有個人データ（※）」に該当する場合は、本人から、その情報の利用停止や第三者への提供の停止を請求される可能性があります（法35条）。

※「保有個人データ」とは、保有する事業者に、データの開示・訂正・追加・削除・利用の停止・消去・第三者への提供停止といった権限がある個人データのことです（同法16条4項）。

7. 刑事罰

7-1. 個人情報保護法違反

個人情報の漏洩行為、それ自体に対する刑事罰としては、「個人情報データベース等不正供与罪」が定められています（同法179条）。

これは、個人情報取扱事業者である会社において、代表者・役員・従業員が、業務に関して取り扱った個人情報データベース等を、自己もしくは第三者の不正な利益を図る目的で提供または盗用する行為を処罰対象とします。法定刑は、1年以下の懲役刑また50万円以下の罰金刑です。

しかも、これには会社も処罰する両罰規定があり、従業員などの行為者とは別に、法人に対しても、1億円以下の罰金刑が科せられます（同法184条1項1号）。

7-2. 不正競争防止法違反

漏洩した個人情報が、企業の営業秘密にあたる場合、不正の利益を得る目的や、企業に損害を与える目的による漏洩行為等を行った者は、不正競争防止法違反として、10年以下の懲役もしくは2千万円以下の罰金刑となり、懲役刑と罰金刑の両方が科されることもあります（不正競争防止法21条1項）。

8. 民事責任　その1：会社に対する損害賠償請求

8-1. 会社も使用者責任を負うことがある

漏洩された個人情報の本人は、故意によるプライバシー権侵害を理由に、個人情報を漏洩した行為者個人に対し、不法行為による損害賠償として慰謝料を請求することが可能です（民法709条）。

漏洩した者が従業員や役員の場合、会社も使用者責任を問われ、漏洩した行為者個人と同様の慰謝料支払義務を負います（民法715条）。

判例：最高裁平成29年10月23日判決

通信教育会社ベネッセコーポレーションのデータベースから大量の個人情報が漏洩した事案で、原審である高裁判決は、原告が不快感・不安を超える損害（例えば、迷惑行為を受けたとか、財産的な損害を被ったなど）を受けたと主張・立証していないから、損害賠償請求は認められないとしました。

しかし、最高裁は、漏洩した個人情報は、法的保護を受けるプライバシーであり、原告の精神的損害の有無・程度につき十分な審理を尽くしていないとして、判決を破棄し、原審に差し戻しました。

差し戻しを受けた高裁では、ベネッセに対し、慰謝料1000円の支払を命じました（大阪高裁令和元年11月20日判決）。  

8-2. 被害者の慰謝料額は多額ではない

この事件の差戻審では、原告が求めた10万円の慰謝料に対し、1000円の慰謝料しか認められませんでしたが、最高裁が、迷惑行為や財産的損害がなくとも、不快感や不安感があれば精神的損害を認めうることを示した点に、この判例の意味があります。

ただし、この漏洩事件では、別の被害者ら約5700人による集団訴訟も起き、1人5万5000円の損害賠償を求める請求に対して、原告1人当たり3300円の損害賠償（慰謝料3000円、弁護士費用300円）を認め、被告ベネッセらに総額約1300万円の支払いを命じる判決が出ています（東京地裁令和5年2月27日判決）。

このように、個人情報の漏洩それ自体による慰謝料の金額は、1人当たりにすると僅かな金額ですが、漏れた情報が大量で、被害者が多数になれば、総額も大きくなってしまう危険性があります。

8-3. お詫びの金券は必要か？

過去においては、お詫びとして、被害者本人に一律500円程度のギフト券などを配布するケースが見られました。前述のベネッセ事件でも、ベネッセ側が同様の方法で謝罪しています。

このような対応は、法的な義務ではありませんし、慰謝料を請求された場合に、慰謝料額から差し引けるとも限りません。

ただ、慰謝料の算定にあたっては、諸般の事情が考慮され、漏洩後、会社が誠実に対応したか否かも、考慮される事情に含まれますから、全く意味のないことではありません。

金券などの配布の有無がポイントなのではなく、被害者の慰謝に真摯に向き合ったかどうかが問われていることに注意してください。

9. 民事責任　その2：会社から漏洩した個人に対する損害賠償請求

会社は、漏洩した行為者個人に対して、不法行為に基づく損害賠償請求が可能です。会社が、被害者本人らに慰謝料等を支払ったならば、行為者個人に求償することもできます（民法715条3項）。

10. まとめ

個人情報の漏洩が発生したら、早急に調査や報告を行って、被害拡大を阻止し、再発防止策を講じなくてはなりません。
個人情報漏洩が判明していないからと放置せず、適切な対応を急ぐことが大切です。

弁護士　上原 幹男

第二東京弁護士会所属

この記事の監修者：弁護士　上原 幹男

司法修習後、検事任官（東京地方検察庁、奈良地方検察庁等）。検事退官後、都内法律事務所にて弁護士としての経験を経て、個人事務所を開設。 2021年に弁護士法人化し、現在、新宿事務所の他横浜・立川にも展開している。元検事（ヤメ検）の経験を活かした弁護活動をおこなっている。

プロフィール詳細

関連記事はこちら