情報漏洩による損害賠償に要注意|賠償額や予防策を元検事の弁護士が解説

[投稿日]
弁護士 上原 幹男

弁護士 上原 幹男

第二東京弁護士会所属

この記事の監修者:弁護士 上原 幹男

司法修習後、検事任官(東京地方検察庁、奈良地方検察庁等)。検事退官後、都内法律事務所にて弁護士としての経験を経て、個人事務所を開設。 2021年に弁護士法人化し、現在、新宿事務所の他横浜・立川にも展開している。元検事(ヤメ検)の経験を活かした弁護活動をおこなっている。

プロフィール詳細

上原総合法律事務所では、顧問先企業等から、個人情報に関するご相談をいただきます。企業が個人情報などを漏えいさせてしまうと、評判が著しく損なわれますし(レピュテーションリスク)、損害賠償のリスクを負うことになります。情報漏洩対策は企業にとって必須です。

本記事では、企業の情報漏洩による損害賠償のリスクについて、賠償額の目安や予防策などを解説します。

1. 企業における情報漏洩の主な原因

企業が取り扱う個人情報などは、さまざまな原因による漏えいのリスクに晒されています。

たとえば以下のような原因で、情報漏洩を生じさせてしまうケースがよく見られます。

  • メールの誤送信
  • 書類の紛失
  • 不正アクセス
    (例)

    • リスト型攻撃:何らかの方法により入手したユーザーIDとパスワードのリストを使って、不正ログインを試みること
    • SQLインジェクション攻撃:アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作すること
  • 業務システムのプログラムミス

など

企業としては、情報漏洩のリスクを正しく認識した上で、その効果的な予防策を講じることが大切です。

2. 個人情報とは

「個人情報」とは、生存する個人に関する情報であって、以下のいずれかに該当するものをいいます(個人情報保護法2条1項)。

  1. 当該情報に含まれる氏名、生年月日その他の記述等により、特定の個人を識別できるもの(他の情報と容易に照合でき、それによって特定の個人を識別できるものを含む)
    (例)本人の氏名、生年月日や連絡先(住所・居所・電話番号・メールアドレス)などと本人の氏名を組み合わせた情報など
  2. 個人識別符号(同条2項)が含まれるもの
    (例)DNA情報、旅券番号、基礎年金番号、免許証番号、住民票コード、個人番号(マイナンバー)、健康保険証の被保険者記号・番号など

企業が取り扱う個人情報には、顧客や取引先に関するもののほか、従業員に関するものも含まれます。いずれの個人情報についても、個人情報保護法に従って適切に管理しなければなりません。

個人情報の漏洩を生じさせた場合には、個人情報保護法違反による行政処分等の対象になるほか、場合によっては本人に漏えい等が生じたことを伝えなければいけませんし、漏洩個人情報を漏えいされた被害者本人から損害賠償を請求されるおそれがあるので注意が必要です。

3. 個人情報漏洩による損害賠償の金額を左右する要素

個人情報の漏えいが生じ、被害者(本人)が事業者に対して損害賠償を請求する場合、賠償額は主に以下の要素を考慮した上で決定されます。

  1. 漏えいした個人情報の項目
    本人を特定し得る情報(氏名など)と紐づいた状態で漏えいした情報の秘匿性が高ければ高いほど、賠償額は高額となる傾向にあります。
  2. 漏えいによる二次被害の有無
    漏えい個人情報を漏えいされた被害者本人が実際に二次被害(誹謗中傷や迷惑行為など)を受けた場合は、賠償額が高額となる傾向にあります。
  3. 漏えい後の事業者による対応
    個人情報の漏えいが発生した後、事業者が被害の拡大を抑えるための適切な措置を講じなかった場合は、賠償額が高額となる傾向にあります。

4. 過去の個人情報漏洩事件に見る損害賠償額の相場

過去に発生した個人情報漏洩事件においては、1件当たり3,000円から5,000円程度の損害賠償が認められる傾向にあります。具体的な事情によっては、それを上回る損害賠償が認められた事案も存在します。

個人情報は一挙に大量の件数が漏えいすることも多く、その場合はきわめて多額の損害賠償責任を負うことになり得るので要注意です。

過去事例 認容された損害賠償額
ベネッセコーポレーション事件(東京地方裁判所平成30年12月27日判決) 1件当たり3,000円(弁護士費用300円)
Yahoo!BB事件(大阪高等裁判所平成19年6月21日判決) 1件当たり5,000円(弁護士費用1,000円)
京都府宇治市住民基本台帳データ漏洩事件(大阪高判平成13(2001)年12月25日) 1件当たり1万円(弁護士費用5,000円)
TBC顧客アンケート漏洩事件(東京地方裁判所平成19年2月8日判決) 1件当たり3万5,000円(原告のうち1人は二次被害が証明できず2万2,000円)

5. 個人情報漏洩による損害賠償請求権の消滅時効

個人情報漏洩に関する損害賠償請求権は、以下の期間が経過すると時効により消滅します。

損害賠償請求権の法的根拠 時効期間
不法行為 以下のうちいずれか早く経過する期間(民法724条)

  1. ①被害者または法定代理人が損害および加害者を知った時から3年
  2. ②不法行為の時から20年
債務不履行 (例)契約上の秘密保持義務違反など 以下のうちいずれか早く経過する期間(民法166条1項)

  1. ①権利を行使できることを知った時から5年
  2. ②権利を行使できる時から10年

時効完成までには、不法行為の場合で最低3年、債務不履行の場合で最低5年の経過が必要です。個人情報漏洩が発生してから上記の期間が経過するまでは、損害賠償のリスクを負い続けることになります。

6. 個人情報漏洩を防ぐための対策

企業が個人情報の漏えいを防ぐためには、以下の対策を講じることが求められます。

  1. 情報システム上のセキュリティ強化
  2. 個人情報保護に関する責任者の設置
  3. 個人情報の取り扱いルールの明確化
  4. 従業員に対する教育・研修

6-1. 情報システム上のセキュリティ強化

メールの誤送信などの人為的ミスや、社内システムへのハッキングなどのサイバー攻撃を防ぐためには、情報システム上のセキュリティを強化することが求められます。

たとえば以下のような対策により、システム上の原因に起因する個人情報の漏洩リスクを防止しましょう。

  • 保存フォルダについてアクセス権を設定する
  • コンピュータウイルスの検出ソフトを導入する
  • メール送信時に確認メッセージを表示する

など

6-2. 個人情報保護に関する責任者の設置

個人情報の取り扱いを統括する責任者(個人情報保護責任者)を設置すれば、社内全体で個人情報保護を強化できます。

個人情報保護責任者が行うべき主な業務は、以下のとおりです。

  • 対内的および対外的な個人情報の取り扱いルールの策定およびアップデート
  • 個人情報の取り扱いルールの従業員に対する周知
  • 個人情報漏洩時の対応

など

小規模な会社では個人情報保護責任者が他部署を兼任するケースが多いですが、さらなる個人情報保護強化のためには、専任の責任者を設置することも検討すべきでしょう。

6-3. 個人情報の取り扱いルールの明確化

社内における個人情報の取り扱いルールを明確化するため、マニュアルやガイドラインを整備しておくことが望ましいです。

マニュアルやガイドラインにおいては、個人情報保護法の規定に沿って、以下の事項などを定めましょう。

  • 個人情報の利用目的の特定および制限
  • 個人情報の取得手続き
  • 個人データの更新および消去
  • 個人データの安全管理
  • 個人データの第三者提供に関する同意取得
  • 保有個人データの公表、開示、訂正等の手続き
  • 個人情報に関する苦情処理の手続き

6-4. 従業員に対する教育・研修

個人情報保護に関する社内マニュアルやガイドラインの内容を周知するため、定期的に従業員に対する教育・研修を行いましょう。

たとえば講師を呼んで研修を実施する方法や、eラーニングを活用する方法などが考えられます。

7. 個人情報保護についてお困りの方はお気軽にご相談ください

個人情報保護を徹底するためには、漏えい等を防止するための対策が重要です。また、万が一個人情報の漏えい等が生じた場合には、迅速に事態の収拾を図る必要があります。

上原総合法律事務所では、企業の実情に応じた効果的な個人情報の漏洩対策をご提案するとともに、実際に漏えいが発生してしまった場合の対応についても全面的にサポートいたします。
個人情報の漏洩防止対策や、実際に発生した個人情報の漏えいに関する対応については、お気軽にご相談ください。

関連するコラム
コラムカテゴリー

刑事事件コラム

ビジネス法務コラム