個人情報を漏洩させるとどのような罰則がある？
予防策と起こったときの4つの対処法を解説

個人情報漏洩のニュースが後を絶ちません。2022年には上場企業とその子会社だけで165件の事故があり、全部で約593万人分の個人情報が流出しました。事故を起こすと、被害者から損害賠償を請求される可能性があるだけでなく、社会的信用を失うなど、企業にとっては大きなダメージになります。個人情報の漏洩はどのような企業・組織でも起こり得る問題です。リスクや罰則を把握し、万全の対応を講じる必要があります。

本記事では個人情報の漏洩の罰則や予防策、事故が起こったときの対処法を解説します。

navigate_next参考：東京商工リサーチ　2022年「上場企業の個人情報漏えい・紛失事故」調査

個人情報の漏洩を防止するために知っておくべきポイント

多くの団体・企業では、何らかの個人情報を管理しています。顧客の情報はもちろん、従業員の氏名や住所も個人情報保護法の対象です。従ってほぼ全ての団体・企業は、個人情報を流出させないよう、十分な対策を取らなければなりません。
まずは個人情報保護法の概要を説明し、次に個人情報の収集・管理・第三者へ提供の3つの段階で注意点を解説します。

個人情報と個人情報取扱事業者の定義

個人情報と個人情報取扱事業者は、個人情報保護法（正式名称は個人情報の保護に関する法律）によって明確に定義されています。

個人情報とは？

個人情報とは、特定の個人を識別できる情報で、具体的には生存している個人に関する氏名や住所、生年月日などです。関連する情報も含めると、以下のような情報が個人情報に該当します。

人種や病歴、犯歴などの不当な差別や不利益を受ける可能性のある情報は、要配慮個人情報として、特に慎重に取り扱わなければなりません。

個人情報取扱事業者とは？

個人情報をリストにして保管している者を個人情報取扱事業者といいます。かつては個人情報の件数が5,000件以下の場合は個人情報取扱事業者の適用を受けませんでしたが、2017年にこの要件は削除されました。
個人情報取扱事業者となる対象は企業だけではありません。町内会やPTA、趣味の仲間が集まっているサークルも、個人情報を収集している場合は、個人情報取扱事業者として適正に個人情報を取り扱う必要があります。団体だけでなく個人も対象です。
なお報道機関や宗教団体、政治団体については、一定の目的で個人情報を取り扱う場合は、個人情報保護法の規定は適用されません。

navigate_next参考：政府広報オンライン「個人情報保護法をわかりやすく解説 個人情報の取扱いルールとは？」／コラム「個人情報保護法」の改正

個人情報を収集するときの注意点

個人情報を収集する際には、どのような目的に情報を利用するのかを本人に伝えなければなりません。不正な手段によって個人情報を取得するのも禁止されています。

個人情報を利用・保管するときの注意点

個人情報を取り扱う際には、できる限り利用目的を特定する必要があります。個人情報取扱事業者は、個人情報のデータの内容を正確で最新の状態に保ち、必要がなくなった場合はデータを速やかに消去しなければなりません。データを取り扱う際には、漏洩などがないように、安全
管理に必要な措置を講じる義務があります。また個人情報データの漏洩やき損があった場合は、個人情報保護委員会への報告と本人への通知が必要です。

個人情報を第三者に提供するときの注意点

個人情報データを第三者に提供するときは、原則として本人の同意を得る必要があります。グループ会社などは第三者に当たりますが、下請けに業務を委託する場合は第三者提供には該当しません。

個人情報を漏洩したときの罰則の概要

個人情報を漏洩したときの罰則は、徐々に強化される傾向にあります。違反の恐れがある事業者は、個人情報保護委員会への報告や資料の提出、立ち入り検査などの対象となります。
違反が明らかになった場合は勧告を受け、それに従わないと命令の処分が下ります。また命令にも従わなければ公表され、違反の内容によっては以下のように刑事罰が下される可能性があります。

違反内容	量刑
個人情報保護委員会の勧告・命令に従わなかった場合	懲役1年以下または罰金100万円以下（法人の場合は1億円以下）
個人情報データの不正目的での提供・盗用	懲役1年以下または罰金50万円以下（法人の場合は1億円以下）
個人情報保護委員会への報告義務違反・検査の拒否	罰金50万円以下

navigate_next参考：e-Gov法令検索「個人情報の保護に関する法律　第百八十四条 一」

個人情報の漏洩により企業が受けるダメージ

個人情報が漏洩すると、企業は法律を違反したとして刑事罰や罰金が科せられるだけでなく、さまざまなダメージを受ける可能性があります。刑事罰を受けるのはよほど悪質なケースだと考えられますが、刑事事件にならなくても、企業にとっては重大な影響を受け得ることを考慮しなければなりません。個人情報流出が企業に及ぼす主なダメージを3つに分けて解説します。

社会的評価の低下

個人情報の流出がニュースなどで一般に知れわたると、企業の信用が低下します。顧客離れや取引の停止などに発展した場合は、業績に多大な影響を及ぼすでしょう。信用を落とすのは一瞬ですが、それを回復するには長い時間と大変な労力が必要です。また情報の流出そのものだけでなく、その後の対応に不備があると、さらに企業の評判を落とす原因になると考えられます。

損害賠償請求のリスク

個人情報が漏洩すると、被害者から損害賠償請求の訴訟を起こされる可能性があります。個人情報流出の場合、一人当たりの損害賠償金額の相場はそれほど高くはありません。慰謝料が3,000円〜30,000円、弁護士費用が5,000円程度
といわれています。しかし、数十万人単位の個人情報が流出して全員から請求されれば、金額は数億円に上るでしょう。

対策にかかる費用と業務の負担

社会的信用の低下や損害賠償だけでなく、事後の対応にも費用や新たな業務が発生します。先述の通り個人情報を漏洩させた者には、法律に基づき情報漏洩を伝える義務があります。被害者以外にも、顧客・取引先企業からの問い合わせ・クレームへの対応が必要です。さらには、原因の究明や再発予防策の構築などにも求められるため、費用や人的リソースを割かなければなりません。

個人情報が漏洩するパターン

個人情報の漏洩にはさまざまなパターンが考えられます。主なパターンを4つご紹介します。

記録媒体などの紛失・盗難

1つ目のパターンは、個人情報の入っているパソコンや記録媒体を社外に持ち出してうっかり紛失したり、盗難にあったりするケースです。テレワークが増加していることによって、さらに情報流出の危険性が高まっています。

誤送信・操作ミス

メールの送信ミスやパソコンの操作ミスによっても、情報の漏洩は起こります。社内でやりとりをしている個人情報を間違って社外の人に送信したり、同報メールの設定をBCCにすべきところをCCにして、多くの人にメールアドレスが知れわたってしまったりするケースもよくあることです。またWeb上に公開すべきでない情報を公開したり、個人情報の閲覧の設定を間違えて不特定多数の人が個人情報を閲覧できてしまったりするミスも同様の、ヒューマンエラーといえます。

外部からの不正アクセス

外部からの不正アクセスの方法はさまざまです。例えば、サイバー攻撃によってシステムの脆弱性を突かれて内部情報を持ち出されるケースが考えられます。悪質なケースでは、ランサムウェアを使って持ち出したデータを暗号化し、復元と引き換えに身代金を要求するような手口もあります。
2022年10月には大阪急性期・総合医療センターがランサムウェアの被害に遭い、電子カルテをはじめとする院内のシステムが使えなくなりました。診療業務に大きな影響を与え、復旧したのは約2カ月後です。Winnyなどのファイル共有ソフトの脆弱性を利用して情報が流出するケースも知られています。

navigate_next参考：厚生労働省「サイバーセキュリティインシデント事案の対応報告」

内部の人間による不正な持ち出し

内部の人間が不正に社内情報を持ち出し、外部の人間に売却するという、悪質なケースも想定しなければなりません。個人情報だけでなく企業秘密などが持ち出されて、競合他社に売却されるケースもあります。

個人情報漏洩の防止策

個人情報が漏洩する原因は、先述の通りヒューマンエラーから専門的なコンピュータ知識に基づいて行われる犯罪行為まで多岐にわたります。情報の漏洩を防ぐためには、それぞれの原因に対応した防止策を実施しなければなりません。

従業員の教育

個人情報は多くの社員が取り扱います。そのためコンピュータに詳しくない社員であっても、個人情報漏洩のリスクを認識し、セキュリティ意識を高めるような教育・研修が必要です。自分の従事している業務が、個人情報保護法に関係しているとの認識を持ってもらわなければなりません。

セキュリティソフトの導入

セキュリティソフトを導入し、外部からの侵入・攻撃を防ぎましょう。コンピュータウイルスやサイバー攻撃の手口は日々進化しているので、ソフトウェアを常に最新の状態にアップデートするような管理体制も、構築しなければなりません。ファイアウォールなどを導入し、外部からの不要なアクセスをブロックするのも有効です。

情報の取扱いに関するルールを決める

ヒューマンエラーをなくすには、情報取扱いのルールを決め、そのルールを厳格に運用することが重要です。「メールの誤送信には注意しましょう」と掛け声をかけるだけでは、人為的なミスはなくなりません。そもそも個人情報をメールでやりとりしないように制限するルールを作ったり、ファイルが添付されているメールは一定時間社内のサーバーに保管してから送信するシステムに変更したりといった対策を取ることで、リスクを回避できるでしょう。

個人情報漏洩の保険に加入する

近年は大規模な個人情報の漏洩事件が相次いでいるので、損害保険各社から個人情報の漏洩に備える保険が販売されています。個人情報が漏洩した・または漏洩した恐れがある際に、損害賠償に関わる費用やトラブル対応に要する費用が補償の対象となるのが、一般的です。

個人情報が漏洩した場合に取るべき対応策

個人情報の流出の防止は、どんなに対策を講じていても万全とは言い切れません。万が一情報の漏洩が確認された場合は、速やかに対応策を講じ、被害の拡大を抑える必要があります。予防策だけでなく、万が一情報が漏洩したときを想定し、日頃から対応方法を検討しておきましょう。

状況を正確に把握する

個人情報が漏洩した可能性がある場合や、具体的な漏洩の事実が確認された場合、まずは速やかに正確な状況を把握します。

被害の拡大を防止する

被害の拡大を防止するために取るべき対策には、2つのポイントがあります。
1つ目はさらなる情報の漏洩を防ぐことです。例えば、パスワードが流出している場合は、すぐにパスワードの変更をしなければなりません。ウイルスに感染した場合は、システムの変更が必要となります。
もう1つのポイントは、流出した情報が犯罪などに悪用されるのを防ぐことです。クレジットカード情報が流出した場合は、被害者本人およびクレジット会社に連絡し、クレジットカードの利用をストップしてもらわなければなりません。

被害状況の通知・報告

2022年4月 以降、個人の権利や利益を侵害するような個人情報が漏洩した場合は、本人と個人情報保護委員会への報告が必要になりました。以下のようなケースが発生したら3～5日以内を目途に、個人情報保護委員会に報告しましょう。

• 要配慮個人情報が含まれている
• 財産に被害を及ぼす可能性がある
• 不正目的で漏洩が起こった
• 1,000人を超える個人情報が漏洩した

場合によっては、ホームページやマスコミへの公表も行う必要があります。

navigate_next参考：個人情報保護委員会「漏えい等報告・本人への通知の義務化について」

navigate_next参考：厚生労働省「個人情報保護法改正に伴う漏えい等報告の義務化と対応について」

事後の対応

再発防止策を講じるとともに、被害者への補償を検討します。
法律・社内規定に違反する行為や管理上のミスがあった場合は、関係者の処分も考慮しなければなりません。

【まとめ】個人情報の漏洩対策には予防と起きたときの対応の両方が重要

どのような企業・団体にも個人情報が漏洩するリスクはあります。1つの対策に頼ることなく複数の方法を組み合わせて情報漏洩のリスクを下げ、常に最新の方法にアップデートしなければなりません。また、予防するだけでなく日頃から個人情報漏洩のリスクを関係者全員に周知徹底し、もし情報漏洩が起きたときの対応策もあらかじめ計画しておく必要があります。
MylogStarシリーズは、サーバー・ファイルへのアクセスログやEメール・USBの持ち出しに関するログの管理、不自然な操作の検知など多くの機能に対応したログ管理ツールです。ログの分析機能も充実しているので有事の際にも素早く対応できます。無料体験版を用意しているのでぜひ一度お試しください。