債権回収、消費者被害、訪問販売トラブル、ネットワークビジネストラブル、企業トラブルは法律の専門家への相談が解決の近道です

デジタル化が進み、個人情報を含むデータの利活用が盛んになった現代では「どうデータを有効活用するか」が競争力を高める上でも重要になっています。

しかし消費者側からすれば、いつどこで個人情報が取られ、それがどのように使われているのか分かりづらいという問題もあります。

企業による個人情報漏洩にも敏感になっており、流出がきっかけで社会的に大きな問題に発展する事案も起こっています。どの企業も少なからず個人情報を取り扱っていると思われますし、企業は個人情報が漏洩したときのリスクを認識して、それを回避するための対策を講ずることが求められます。

個人情報漏洩のリスク

個人情報漏洩に伴うリスクの詳細は事案により異なりますが、大きく次の3つに分類することができます。

1.　顧客への損害発生と賠償金の支払い

2.　個人情報保護法等違反による罰則の適用

3.　社会的信用の失墜

それぞれのリスクの内容を説明していきます。

顧客への損害発生と賠償金の支払い

流出した個人情報の内容によっては顧客個人に多大な損害が生じるおそれがあります。例えばIDとパスワードが漏洩してしまうと不正アクセスの被害に遭う危険性が高まりますし、銀行口座情報やクレジットカード情報が漏洩すると第三者による不正な取引が行われるおそれもあります。
場合によっては氏名・住所・連絡先の情報が流出するだけでもストーカー被害などが発生する危険性があります。

さらに、顧客に直接的な損害が生じることによって、その顧客から賠償金の支払いについて請求を受けることもあります。

企業側の故意が原因である場合はもちろん、過失で漏洩させてしまった場合にも賠償責任を問われることになります。

一人ひとりの損害額が少額であっても、流出した件数が膨大だと非常に高額の損害賠償金が発生する危険性もあります。

個人情報保護法等違反による罰則の適用

個人情報の漏洩があった場合、個人情報保護法に従い、行政から是正勧告や命令などを受けることがあります。

これに対して法令に則った適切な対応を取らない場合、同法の規定により罰則が適用されるケースもあります。

例えば個人情報保護委員会からの命令に違反した者には最大100万円の罰金が科されることが法定されており、法人に対しては最大1億円もの罰金を科すことも認められています。
委員会に対する虚偽報告があった場合や、個人情報の不正な提供があった場合なども罰金刑に処される可能性があります。

また、EU加盟国等に所在する個人データに関しては「GDPR」という法令が適用されます。

GDPRは個人情報保護法より厳しい規律となっており、特に罰則が重く設定されています。
違反内容に対応して罰金の額は異なるのですが、2,000万ユーロまたは前年度の総売上高4％のいずれか高い金額が制裁金として科されます。

社会的信用の失墜

個人情報の取り扱いについては世間の関心度が高いことから、これを漏洩させてしまうことによって企業としての社会的信用を失墜させてしまうリスクがあります。

長年にわたり築かれてきたブランドイメージも一瞬にして崩れてしまう可能性があるのです。

ただし「個人情報を漏洩させた」という結果だけでなく、「なぜ個人情報が漏洩してしまったのか」「漏洩の発覚後どのように対応したか」などもその後の信用を左右することとなります。

きちんと対策を打っていたにも関わらず巧妙なサイバー攻撃により被害が発生した、という場合であって事後対応も適切であったのなら、企業側の帰責性は大きいとは言い難く信用が大きく損なわれるとは限りません。
しかしずさんな管理体制により漏洩してしまい、その後の対応も遅いような場合は信用を損なわせる可能性が高いです。

個人情報漏洩によるリスクを回避する方法

個人情報漏洩によるリスクを回避するには、事前の対策により個人情報の流出が起こらないようにすることと、事後の迅速な対応が重要となります。

そして事前の対策としては、従業員による人的なミスを防ぐこと、外部からの攻撃を防ぐことなどが重要といえます。

従業員に対する教育やルール厳守の徹底

個人情報漏洩などの事案の多くは実際のところ社内の人的な問題により引き起こされているといわれています。誤操作や資料・端末等の置き忘れ、紛失などの過失が原因です。大きなコストをかけて非常にセキュリティ性能の高いシステムを導入したところで、操作ミスなどがあると安全性を確保することはできないのです。

そこで従業員に対する研修などの実施、マニュアル等を策定してそのルールの厳守を徹底する、などの対策を講ずることがまずは重要と考えられます。

近年でいえば特にリモートワーク時の作業ルールについて留意する必要があるでしょう。

作業に使用して良いデバイス、作業場所の環境、禁止事項などをまとめ、全従業員に周知します。

就業規則に個人情報保護に関する条項を設けることも検討してみましょう。
「業務に関係ない情報を不当に取得してはいけない」といった基本事項、また「退職に際しては、会社や取引先などに関わるデータ・書類を返還しないといけない」など退職後に関するルールを設けることも有効です。

堅牢なシステムの利用と維持

クラウドサービスの利用は業務効率を向上させ、リモートワークを推進する上でも役に立つ存在です。

しかし脆弱性の有無、セキュリティ機能やその水準の高さなどにも着目して選定を行う必要があります。

オンプレミス環境で導入する場合でも堅牢なシステムを選定することはとても重要です。また、クラウドサービスの場合はメンテナンスやアップグレードなどは自動的に反映されて常に最新の状態で使うことができますが、自社で定期的な点検や評価を要するシステムもあります。

導入時点では安全性の高いシステムでも徐々に攻撃を通してしまうリスクは高まっていきますので、常に更新していくものと考えてセキュリティ水準の高さを維持するよう取り組まなくてはなりません。

取引先との共有や委託への留意

個人情報の利用が社内で完結するとは限りません。外部との取引にあたり個人情報を委託することもあります。

そのような場合は、委託先に対する管理も必要です。そこで例えば業務委託契約書を交わすときに「乙は、業務を第三者に対して再委託してはならない。ただし、甲が許可をしたときはこの限りでない」などと制限する条項を設けることなども検討しましょう。

迅速な事後対応に取り組む

個人情報の漏洩に対しては事後対応もとても重要です。特に不正アクセスなど外部からの攻撃に関しては完全に防ぐことが難しいです。攻撃手法も日々巧妙になっていますので、完璧に防ぐことばかり考えるのではなく、攻撃は受けてしまうものと捉えてその後の対処について考える必要があります。

事故に適切に対処する体制を整備するなど、社内のセキュリティレベルを向上させる際は「ISMS」や「Pマーク」の取得も目指してみると良いです。

強い目的意識を持って取り組むことができますし、認証を受けることで対外的に高い評価を受けることができます。

※ISMS：国際規格に準じて、セキュリティマネジメントが適切にできているかどうかを第三者機関に審査・認証してもらう制度

※Pマーク：個人情報保護に特化して、体制の整備ができていることを示す国内の制度。

個人情報漏洩の事案は当事務所にご相談ください

個人情報の漏洩がきっかけで自社に多大な損失が生じる可能性がありますし、何より顧客に大きな被害が及びます。

こうしたリスクがあることは、法務に携わる方だけでなく全従業員が理解する必要があります。

もし、すでに「個人情報の漏洩事故が起こってしまい顧客への対応に困っている」「顧客から賠償責任について追及を受けている」といった問題でお困りなら当事務所にご相談ください。