企業が個人情報漏洩したときのリスクとは? 回避する方法・事前事後の対応を解説 / 法律事務所桃李

法律事務所桃李 > 消費者とのトラブルにお困りの企業へのサポート > 企業が個人情報漏洩したときのリスクとは? 回避する方法・事前事後の対応を解説

企業が個人情報漏洩したときのリスクとは? 回避する方法・事前事後の対応を解説

デジタル化が進み、個人情報を含むデータの利活用が盛んになった現代では「どうデータを有効活用するか」が競争力を高める上でも重要になっています。

しかし消費者側からすれば、いつどこで個人情報が取られ、それがどのように使われているのか分かりづらいという問題もあります。

 

企業による個人情報漏洩にも敏感になっており、流出がきっかけで社会的に大きな問題に発展する事案も起こっています。どの企業も少なからず個人情報を取り扱っていると思われますし、企業は個人情報が漏洩したときのリスクを認識して、それを回避するための対策を講ずることが求められます。

 

個人情報漏洩のリスク

個人情報漏洩に伴うリスクの詳細は事案により異なりますが、大きく次の3つに分類することができます。

 

1. 顧客への損害発生と賠償金の支払い

2. 個人情報保護法等違反による罰則の適用

3. 社会的信用の失墜

 

 

それぞれのリスクの内容を説明していきます。

 

顧客への損害発生と賠償金の支払い

流出した個人情報の内容によっては顧客個人に多大な損害が生じるおそれがあります。例えばIDとパスワードが漏洩してしまうと不正アクセスの被害に遭う危険性が高まりますし、銀行口座情報やクレジットカード情報が漏洩すると第三者による不正な取引が行われるおそれもあります。
場合によっては氏名・住所・連絡先の情報が流出するだけでもストーカー被害などが発生する危険性があります。

 

さらに、顧客に直接的な損害が生じることによって、その顧客から賠償金の支払いについて請求を受けることもあります。

企業側の故意が原因である場合はもちろん、過失で漏洩させてしまった場合にも賠償責任を問われることになります。

 

一人ひとりの損害額が少額であっても、流出した件数が膨大だと非常に高額の損害賠償金が発生する危険性もあります。

 

個人情報保護法等違反による罰則の適用

個人情報の漏洩があった場合、個人情報保護法に従い、行政から是正勧告や命令などを受けることがあります。

これに対して法令に則った適切な対応を取らない場合、同法の規定により罰則が適用されるケースもあります。

 

例えば個人情報保護委員会からの命令に違反した者には最大100万円の罰金が科されることが法定されており、法人に対しては最大1億円もの罰金を科すことも認められています。
委員会に対する虚偽報告があった場合や、個人情報の不正な提供があった場合なども罰金刑に処される可能性があります。

 

また、EU加盟国等に所在する個人データに関しては「GDPR」という法令が適用されます。

GDPRは個人情報保護法より厳しい規律となっており、特に罰則が重く設定されています。
違反内容に対応して罰金の額は異なるのですが、2,000万ユーロまたは前年度の総売上高4%のいずれか高い金額が制裁金として科されます。

 

社会的信用の失墜

個人情報の取り扱いについては世間の関心度が高いことから、これを漏洩させてしまうことによって企業としての社会的信用を失墜させてしまうリスクがあります。

 

長年にわたり築かれてきたブランドイメージも一瞬にして崩れてしまう可能性があるのです。

 

ただし「個人情報を漏洩させた」という結果だけでなく、「なぜ個人情報が漏洩してしまったのか」「漏洩の発覚後どのように対応したか」などもその後の信用を左右することとなります。

 

きちんと対策を打っていたにも関わらず巧妙なサイバー攻撃により被害が発生した、という場合であって事後対応も適切であったのなら、企業側の帰責性は大きいとは言い難く信用が大きく損なわれるとは限りません。
しかしずさんな管理体制により漏洩してしまい、その後の対応も遅いような場合は信用を損なわせる可能性が高いです。

 

個人情報漏洩によるリスクを回避する方法

個人情報漏洩によるリスクを回避するには、事前の対策により個人情報の流出が起こらないようにすることと、事後の迅速な対応が重要となります。

 

そして事前の対策としては、従業員による人的なミスを防ぐこと、外部からの攻撃を防ぐことなどが重要といえます。

 

従業員に対する教育やルール厳守の徹底

個人情報漏洩などの事案の多くは実際のところ社内の人的な問題により引き起こされているといわれています。誤操作や資料・端末等の置き忘れ、紛失などの過失が原因です。大きなコストをかけて非常にセキュリティ性能の高いシステムを導入したところで、操作ミスなどがあると安全性を確保することはできないのです。

 

そこで従業員に対する研修などの実施、マニュアル等を策定してそのルールの厳守を徹底する、などの対策を講ずることがまずは重要と考えられます。

 

近年でいえば特にリモートワーク時の作業ルールについて留意する必要があるでしょう。

作業に使用して良いデバイス、作業場所の環境、禁止事項などをまとめ、全従業員に周知します。

 

就業規則に個人情報保護に関する条項を設けることも検討してみましょう。
「業務に関係ない情報を不当に取得してはいけない」といった基本事項、また「退職に際しては、会社や取引先などに関わるデータ・書類を返還しないといけない」など退職後に関するルールを設けることも有効です。

 

堅牢なシステムの利用と維持

クラウドサービスの利用は業務効率を向上させ、リモートワークを推進する上でも役に立つ存在です。

しかし脆弱性の有無、セキュリティ機能やその水準の高さなどにも着目して選定を行う必要があります。

 

オンプレミス環境で導入する場合でも堅牢なシステムを選定することはとても重要です。また、クラウドサービスの場合はメンテナンスやアップグレードなどは自動的に反映されて常に最新の状態で使うことができますが、自社で定期的な点検や評価を要するシステムもあります。

 

導入時点では安全性の高いシステムでも徐々に攻撃を通してしまうリスクは高まっていきますので、常に更新していくものと考えてセキュリティ水準の高さを維持するよう取り組まなくてはなりません。

 

取引先との共有や委託への留意

個人情報の利用が社内で完結するとは限りません。外部との取引にあたり個人情報を委託することもあります。

 

そのような場合は、委託先に対する管理も必要です。そこで例えば業務委託契約書を交わすときに「乙は、業務を第三者に対して再委託してはならない。ただし、甲が許可をしたときはこの限りでない」などと制限する条項を設けることなども検討しましょう。

 

迅速な事後対応に取り組む

個人情報の漏洩に対しては事後対応もとても重要です。特に不正アクセスなど外部からの攻撃に関しては完全に防ぐことが難しいです。攻撃手法も日々巧妙になっていますので、完璧に防ぐことばかり考えるのではなく、攻撃は受けてしまうものと捉えてその後の対処について考える必要があります。

 

事故に適切に対処する体制を整備するなど、社内のセキュリティレベルを向上させる際は「ISMS」や「Pマーク」の取得も目指してみると良いです。

強い目的意識を持って取り組むことができますし、認証を受けることで対外的に高い評価を受けることができます。

ISMS:国際規格に準じて、セキュリティマネジメントが適切にできているかどうかを第三者機関に審査・認証してもらう制度

Pマーク:個人情報保護に特化して、体制の整備ができていることを示す国内の制度。

 

個人情報漏洩の事案は当事務所にご相談ください

個人情報の漏洩がきっかけで自社に多大な損失が生じる可能性がありますし、何より顧客に大きな被害が及びます。

こうしたリスクがあることは、法務に携わる方だけでなく全従業員が理解する必要があります。

 

もし、すでに「個人情報の漏洩事故が起こってしまい顧客への対応に困っている」「顧客から賠償責任について追及を受けている」といった問題でお困りなら当事務所にご相談ください。

当事務所が提供する基礎知識

  • 債権回収を弁護士に依頼す...

    債権回収は時間との争いです。状況に適した解決策を素早く展開していかなければ、相手方の企業が倒産したり、財産を隠してしまっ...

  • 景品表示法で課徴金措置を...

    事業者は、景品表示法の規定に反する行為をすることにより、課徴金納付の義務を課せられることがあります。この課徴金納付命令が...

  • 消費者からのクーリングオ...

    消費者が安全に商品・サービスの利用等ができるように、特にトラブルの起こりやすい取引類型へ規制をかけた法律が特定商取引法(...

  • 債権回収において内容証明...

    債権回収を行う場合、配達証明付内容証明郵便を送ることで、郵便を送ったという記録が残るようにします。このとき、特定記録郵便...

  • 契約書作成とリーガルチェ...

    「契約書は、取引先が提示してくれたものをそのまま利用している。」「こちらが新しく契約書を作成する必要があるときには、以前...

  • 支払督促手続きを行うには

    支払督促手続とは、簡易裁判所に申立てを行い、裁判所書記官から相手方に対して債務を支払うように督促する手続きのことです。裁...

  • 債権回収に時効はある?

    債権回収で見落としがちなポイントが時効の存在です。債権回収には時効というものが存在しており、時効の期間は債権の種類によっ...

  • 内部統制システムとは?会...

    会社に対する高いコンプライアンス意識が要求されている中で、会社法上の内部統制システムを構築する要請も高まっているといえま...

  • 特定継続的役務提供への対...

    特定継続的役務提供については、以下の行政規制がなされており、事業者がこれらに反しないようにサービスを行う必要があります。...

  • 労務管理を弁護士に依頼す...

    「労務に関する世間の目が厳しくなってきているなか、自社の労務管理に問題がないか不安だ。」労務管理について、このようなお悩...

よく検索されるキーワード

弁護士紹介

岡本弁護士の写真
代表弁護士
岡本 仁志(おかもと まさし)
ご挨拶

解決までのスピードに自信があります。債権回収、消費者被害、訪問販売トラブル、ネットワークビジネストラブル、企業トラブルなどでお困りでしたら、法律事務所桃李までお気軽にご相談ください。


これまでに培った知識・経験を活用して、問題解決に最適な方法をご提案するだけでなく、プラスアルファとしてクライアント様からお話を聞く姿勢、そしてリーガルサービスを提供する姿勢にも心を配っています。


「法律事務所桃李に相談して良かった」とご満足頂ける、そんな安心・信頼の法律サポートを行って参ります。

  • 所属団体
    • 大阪弁護士会所属
    • 大阪弁護士会消費者保護委員会委員および裁判員本部委員
    • 刑事弁護委員会委員
    • 大阪大学法曹会幹事
    • 大阪青年会議所
  • 経歴

    大阪大学法学部卒業

    2005年(平成17年)11月 司法試験合格

    2006年(平成18年)4月 司法修習生(60期)

    2007年(平成19年)9月 大阪弁護士会に弁護士登録

    2015年(平成27年)7月 岡本仁志法律事務所開設

    2020年(令和2年)7月 法律事務所桃季開設

事務所概要

最善のリーガルサービスで理想的な解決を実現します

クライアント様の問題を的確に把握し、理想的な解決を実現するためにどんな方法が有効なのか多角的に検討し、考え得る方法の中から最善のリーガルサービスをご提供します。

ご自身の希望にかなう解決をお求めでしたら、大阪・北区東天満の法律事務所桃季までご相談ください。

信頼の解決力で理想的な解決を目指します。

事務所名 法律事務所桃李
代表者 岡本 仁志(おかもと まさし)
所在地 〒530-0044 大阪市北区東天満1丁目7番17号 東天満ビル7階
アクセス

JR東西線・学研都市線「大阪天満宮駅」より徒歩3分

電話番号/FAX番号 TEL:050-3188-5207 / FAX:06-6314-6905
対応時間 平日 9:00 -17:00 ※事前予約で時間外も対応可能です
定休日 土・日・祝日 ※事前予約で時間外も対応可能です

ページトップへ