個人情報の漏洩が起きた場合の対応及び責任

2020/07/03 02:30
この記事の監修者
道下 剣志郎
道下 剣志郎
SAKURA法律事務所 弁護士(第一東京弁護士会)
宮本 武明
宮本 武明
SAKURA法律事務所 弁護士(第二東京弁護士会)

Q: 当社は顧客の個人情報を扱う業務を行なっていますが、扱っている個人情報の漏洩が生じてしまいました。

このような場合、当社はどのように対応する必要があるでしょうか。また、当社に生じる責任について教えてください。

A:

<当局等への対応>

まず、個人情報の漏洩が生じた場合の会社における対応として、個人情報保護委員会等に以下の事項を報告する必要があります。

・ 個人情報の漏洩に関する事実関係

・ 漏洩に関する再発防止策

<顧客との関係>

顧客との間では、顧客から損害賠償請求がなされる可能性があり、個別に損害を賠償する必要が生じ得ます。しかし、従前の裁判例において認められた損害賠償の額は大きいとは言い難く、その意味で個人との関係において損害賠償が過度な負担になる可能性は高くないと考えられます。しかし、漏洩した個人情報にかかる顧客数が膨大であるなどの理由により、多数の損害賠償請求がなされた場合においては総額で考えれば多額の損害賠償となりえます。そのため、まずは自主的に漏洩した個人情報の本人に対して賠償することを検討する必要があると考えられます。

1. 個人情報と個人情報保護法の来歴

少し前までは、個人情報に対する意識が薄かった時代であったと評することができるでしょう。具体的には、名簿業者と呼ばれる業者が学校の児童や生徒の名簿、事業者の顧客名簿などが形態を問わず売買の対象となっていました。個人情報が持つ意味とその価値は認識されていたものの、それが保護されるべき対象であると認識されていなかったと評価することができるかもしれません。

現代においては、IT技術の発展により、情報の収集・交換がかつてないほどに容易に行われていますし、個々の情報を分析して統計を取るなど、単なる情報ではなくそれを利用することが世間でも認識されてきているといえます。そしてその情報を単に集めるだけにとどまらず、SNSやインターネットを通じて瞬く間に世界中に拡散することが可能になっています。

そのような背景もあり、企業が保有する情報はいわゆるビッグデータとして蓄積される場合もあり、経済活動において個人に関する情報に価値が見出されたことを示していると考えられます。

そして個人情報が拡散された場合に詐欺に利用される等、その不都合性も認められるようになりました。

情報を収集・分析することが可能になったことに伴って、個人情報の保護の必要性が認識されてきたこともあり、個人情報保護法は平成27年に大幅に改正され、平成29年5月30日から全面的に施行されました。この改正において、個人情報の取扱いルールが大幅に変更され、企業は改正法に基づく対応が必要になりますので留意を要します。

undefined

2. 平成27年改正の要点

上記の通り、平成27年に個人情報保護法が改正されました。改正内容として主要なものは、以下の通りです。

(1) 「個人情報」の定義の明確化

(2) 個人情報の管理と活用方法の規定

(3) 個人情報保護を強化

(4) 個人情報保護委員会の設置

(5) 個人情報取扱いのグローバル化

具体的には、以下のような内容が盛り込まれました。

  1. 事業者が5000件以下の個人情報を扱う場合であっても、個人情報データベースを利用する場合個人情報保護法の規制が及ぶとしたこと
  2. 個人情報取得時に利用目的を本人に明示する必要があること
  3. 個人情報の第三者提供を行う場合、あらかじめ本人に同意を得る必要があること
  4. 本人の同意を得ずに第三者提供を行うことができるオプトアウト手続きの新設(個人情報保護委員会への届け出を要する。)
  5. 要配慮個人情報(いわゆる機微情報)に関する事項

3. 漏洩時における対応

上記の通り5000件以下の個人情報を扱う場合であっても、個人情報取扱事業者に該当することになり、広い範囲の事業者が個人情報保護法の適用を受けることになりました。法律の適用を受けることにより、漏洩事件が生じた場合、事業者は個人情報保護委員会等に対して、(i)漏洩に関する事実関係、(ii)再発防止策等について速やかに報告しなければならないとされています。

その場合の連絡先は以下の通りです(2020年7月3日現在。変更されている可能性がありますので連絡する際にはご確認ください。)。

【個人情報漏洩時の報告先に関する情報】

[個人情報保護員会ホームページ]

https://www.ppc.go.jp/personalinfo/legal/leakAction/ 

4. 個人情報が漏洩した場合の、個人に対する責任

上記の通り、個人情報を第三者に提供する場合には本人の同意を要するとされています。つまり、同意を得ずに第三者に情報が漏洩された場合には本人の法的権利が侵害されたということになります。

そのため、個人情報の漏洩が生じた場合、民法における不法行為(709条)に該当し、損害賠償責任が生じることになります。

[損害賠償請求をされた場合の賠償額]

損害賠償請求がされた場合であっても、生命や身体を侵害した場合と比べて、賠償額は少額となっています、具体的には、

  1. 大阪高裁平成13年12月25日
    地方公共団体から「住民基本台帳データ(氏名、生年月日、性別、住所などが記載された住民票を編成したデータ)」約22万件分が漏洩した事件
    →1人あたり慰謝料として1万円、弁護士費用相当分として5000円
  2. 大阪高裁平成19年6月21日
    通信事業者から、「会員の氏名、住所、電話番号」が漏洩した事件
    →1人あたり慰謝料として5000円、弁護士費用相当分として1000円
  3. 東京高裁平成19年8月28日
    エステサロンから、「会員の氏名、住所、メールアドレス、いわゆるスリーサイズ、エステサロンで受けた施術コース」が漏洩した事件
    →二次被害が発生した1人あたり慰謝料として3万円、弁護士費用相当分として5000円

このように、情報が漏洩した場合には、本人に損害賠償請求が認められることがありますが、その金額はいずれも数万円の限度にとどまっています。しかし、情報の漏洩数が多数にのぼる場合には、少額の損害賠償が積み重なり大きな負担となり得まし、また、情報漏洩を起こした企業という形でレピュテーションの低下が生じることが懸念されます。

以上から、個人情報が漏洩した場合には、当該漏洩した個人情報の種類や性質等を踏まえて、事業者自らがあくまでも自主的に、個人情報の主体に対して賠償を検討することが肝要になります。

この記事の監修者
道下 剣志郎
道下 剣志郎 SAKURA法律事務所 弁護士(第一東京弁護士会)
一橋大学法学部法律学科卒業。慶應義塾大学法科大学院法務研>究科卒業。日本最大の法律事務所である西村あさひ法律事務所に勤務後、SAKURA法律事務所開業。会社法・金商法をはじめとする企業法務全般を手掛け、国内外のM&A、企業間の訴訟案件、危機管理案件、コーポレート・ガバナンス、株主総会対応等、幅広い案件を取り扱う。
宮本 武明
宮本 武明 SAKURA法律事務所 弁護士(第二東京弁護士会)
慶應義塾大学法学部法律学科卒業。慶應義塾大学法科大学院法務研>究科卒業。4大法律事務所の1つであるアンダーソン・毛利・友常法律事務所に勤務後、SAKURA法律事務所開業。広くファイナンス分野を業務分野とし、資産運用会社への出向経験を活かして、上場支援、コンプライ>アンス関連業務、M&A、コーポレート・ガバナンス等の案件に従事するほか、訴訟案件や一般企業法務案件も担当する。
シェア
シェア
で送る
一覧へ
© Robot Consulting Co.,Ltd.