1個人情報の漏洩とは
個人情報の漏洩とは、企業が有する個人情報が意図に反して外部に漏れてしまう事態をいいます。
個人情報を企業に提供する個人は、その企業が個人の情報を適切に管理するものと信じて個人情報を提供しています。個人情報の漏洩は、個人情報の対象である本人の信頼に背く事態といえます。
2個人情報保護法(個人の情報の保護に関する法律)について
個人情報保護法は、平成15年に成立した法律で、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人情報の保護を図ることを目的としています。(同法1条)
その後、改正が重ねられ、平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。
個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。
したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。
また、法人(企業や団体など)は生きている個人ではないため、法人情報も「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。
3個人情報が漏洩したときに企業が負う責任
(1)民事上の責任
個人情報が漏洩すると、民事上の法的責任(損害賠償義務)が発生します。
賠償金額は事案によって異なりますが、1人あたり数千円から数万円となることがあります。漏洩の件数が多い場合、総額では数千万円以上の損害になる可能性もあります。
(2)刑事上の責任
個人情報の漏洩が発生した場合、以下の規定に抵触すると、刑事上の責任を負うことになります。
ア個人情報保護委員会からの命令等に対する違反
個人情報保護法では、個人情報取扱事業者に一定の個人情報保護法違反があった場合、個人情報保護委員会は、当該事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を「勧告」することができます(個人情報保護法148条1項)。
上記の勧告を受けたにもかかわらず、個人情報取扱事業者が正当な理由がなく、その勧告に係る措置をとらなかった場合において、個人情報保護委員会が、個人の重大な権利利益の侵害が切迫していると認めるときは、当該事業者に対し、その勧告に係る措置をとるべきことを「命ずる」ことができます(個人情報保護法第148条第2項)。
さらに、上記の勧告がなされていない場合でも、一定の場合において、個人情報保護委員会が、個人の重大な権利利益を害する事実があるため「緊急に」措置をとる必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを「命ずる」ことができます(個人情報保護法第148条第3項)。
令和2年の個人情報保護法の改正後は、法人の従業者等が、その業務に関して命令や緊急命令に違反したときは、法人等に対しても、1億円以下の罰金刑が科される旨規定されました(個人情報保護法第184条1項1号)。
イ個人情報データベース等の不正提供等
個人情報取扱事業者やその従業者、またはかつてこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものも含まれます。)を、自己もしくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、刑事罰が科されます(個人情報保護法179条)。
令和2年の個人情報保護法の改正後は、法人の従業者等が、その業務に関して個人情報データベース等の不正提供等をしたときは、法人等に対して、1億円以下の罰金刑が科される旨規定されました(個人情報保護法184条1項1号)。
4情報漏洩発生時の損害賠償について
実際に、個人情報の漏洩によって企業に損害賠償が課された裁判例は次のとおりです。
(1)顧客の個人情報を漏洩してしまった場合の慰謝料の金額については、判例上、以下の3点を主に考慮して金額が決められています。
①漏洩した情報の項目
氏名や住所、電話番号、メールアドレスなど一般的な連絡先情報が漏洩したにとどまる場合は賠償額が低額にとどまる理由になります。
一方、病歴や信用情報など人に通常伝えることのないセンシティブな情報まで含まれる場合は、賠償額が高額化する理由になります。
②二次被害の有無
漏洩した個人情報が第三者に悪用されることを「二次被害」といいます。
漏洩した個人情報が第三者に悪用されて、迷惑メールやダイレクトメールが届くなど、情報漏洩による実際の被害が出ている場合は、賠償額が高額化する理由になります。
③情報漏洩後の会社の対応
会社から事故後、被害者にすみやかに連絡し、謝罪している場合や、お詫びの品を送付している場合は、賠償額が低額にとどまる理由になります。
④損害賠償・慰謝料の金額の相場
漏洩した情報の項目がセンシティブなものを含まず一般的な連絡先情報にとどまり、二次被害もない場合は、慰謝料額は1人あたりおおむね「3000円~5000円」が相場です。
一方、漏洩した項目がセンシティブな情報を含み、かつ、二次被害が出ているケースでは、1人あたり「35,000円」の損害賠償を認めた判例も存在します。
(2)実際の判例の損害賠償・慰謝料額は次のとおりです
以下で判例の事案の詳細をご説明します。
ア ベネッセコーポレーション事件(東京地方裁判所平成30年12月27日判決)
ベネッセコーポレーションの関連会社からの顧客情報漏洩事件で被害に遭った顧客ら462人が個人情報漏洩に関する損害賠償を求めた事件です。
(漏洩した情報項目)
氏名
性別
生年月日
郵便番号、住所
電話番号、ファクシミリ番号
メールアドレス
出産予定日
未成年者については保護者の氏名
(裁判所の判断)
裁判所は、1人あたりの損害賠償額を3300円(慰謝料3000円、弁護士費用相当損害金300円)としました。
(判断の理由)
裁判所は金額算定の理由として以下の点を指摘しています。
①氏名や住所などの情報を他人に取得されることにより、これらの顧客への連絡が可能になり、私生活の平穏等に一定の影響が及ぶおそれがあり、精神的損害が生じる。
ただし、これらの情報は、人が社会生活を営む上で一定の範囲の他者に開示することが予定されている個人を識別するための情報又は個人に連絡をするために必要な情報であるため、思想・信条、病歴、信用情報等とは異なり、個人の内面等に関わるような秘匿されるべき必要性が高い情報とはいえない。
②出産予定日については、予定日にすぎないので、秘匿されるべき必要性の程度が相対的に低い。
イ Yahoo!BB顧客情報漏洩事件(大阪高等裁判所平成19年6月21日判決)
Yahoo!BBの会員がサービス提供会社による個人情報漏洩事故について損害賠償を求めた事件です。
(漏洩した情報項目)
氏名
住所
電話番号
メールアドレス、ヤフーメールアドレス
ヤフーID
サービス申込日
(裁判所の判断)
裁判所は、1人あたりの損害賠償額を5500円としました。
裁判所は金額算定の理由として以下の点を指摘しています。
①住所・氏名・電話番号・メールアドレス等の情報は、個人の識別等を行うための基礎的な情報であって、その限りにおいては、秘匿されるべき必要性が高いものではない。
②しかし、このような個人情報についても、本人が、自己が欲しない他者にはみだりにこれを開示されたくないと考えることは自然なことであり、そのことへの期待は保護されるべきものである。
ウ TBC顧客アンケート漏洩事件(東京地方裁判所平成19年2月8日判決)
エステサロンなどを運営する会社がウェブ上で行った顧客アンケートが漏洩した事件です。
(漏洩した情報項目)
氏名
職業
年齢
性別
住所
電話番号
メールアドレス
個人情報を登録フォームに入力して送信した日時
関心を有していたコース名
アンケートに対する回答の内容等
(裁判所の判断)
裁判所は、1人あたりの損害賠償額を35000円(ただし、迷惑メールが送られるなどの二次被害がない被害者については22000円)としました。
裁判所は金額算定の理由として以下の点を指摘しています。
①エステティックサービスに関心があることは、純粋に私生活上の領域に属する事柄であって、一般に知られていない事柄でもある。
本件情報は、氏名、住所等の基本的な識別情報のみの場合と比較して、秘匿されるべき必要性が高い。
②情報流出事故の発生以後に、情報漏洩の被害があった顧客らに迷惑メールが送信され、ダイレクトメールが送付され、いたずら電話がかかるなどしている。
このように、判例上、漏洩した情報項目が通常は人に伝えないようなセンシティブな情報に関連するものなのか、それとも氏名や住所等、社会生活において人に伝えることのある情報なのかで、損害賠償の額が大きく変わる傾向にあります。
5損害賠償の時効
個人情報漏洩を理由とする損害賠償請求権は、大きく分けて、不法行為に基づく損害賠償請求の場合と、契約違反(債務不履行責任)に基づく損害賠償請求の場合があり、両者で時効期間が異なります。
(1)不法行為に基づく損害賠償請求の場合
見込み客のアンケートの漏洩など、漏洩した企業と契約関係がない個人の個人情報については、不法行為に基づく損害賠償請求が問題となります。
不法行為に基づく損害賠償請求については、「被害者が情報漏洩被害を知ったときから3年間」または「情報漏洩被害があったときから20年間」のいずれか早い時期に時効になります(民法第724条)。
(2)不法行為責任と債務不履行責任の両方の請求が可能な場合
これに対し、顧客情報の漏洩など、漏洩した企業との間で契約関係にある個人(顧客)の情報の漏洩については、不法行為に基づく損害賠償請求と債務不履行責任に基づく損害賠償請求の両方が可能です。
そして、債務不履行に基づく損害賠償請求については、「被害者が情報漏洩被害を知ったときから5年間」または「情報漏洩被害があったときから10年間」のいずれか早い時期に時効になります(民法第166条)。
6情報漏洩発生時には早めに弁護士にご相談ください。
個人情報漏洩に関しては、企業は法的に損害賠償責任をはじめとする責任が発生します。さらに大きなデメリットとして社会的な評価が低下し、企業としての競争力を失ってしまう危険があります。
個人情報の漏洩が発生すると、報道されることにより、全国的に知れ渡ってしまう可能性があります。
実際に、報道により大きな社会問題になった事例もあります。
この影響は長期化するリスクもあり、場合によっては、企業の存続に関わってくる可能性もあります。
個人情報漏洩事故を起こしてしまった場合、正しい対応をした上で、必要に応じて個人情報保護委員会等への報告を行うことが、トラブルを迅速に解決するためのポイントです。
特に漏洩時の初期対応を誤ると、問題がこじれ、解決が困難になりますので、漏洩事故があった場合は、速やかなご相談をおすすめします。
Last Updated on 9月 24, 2024 by kigyo-kumatalaw
この記事の執筆者:熊田佳弘 私たちを取り巻く環境は日々変化を続けており、様々な法的リスクがあります。トラブルの主な原因となる人と人の関係は多種多様で、どれ一つ同じものはなく、同じ解決はできません。当事務所では、まず、依頼者の皆様を温かくお迎えして、客観的事実や心情をお聞きし、紛争の本質を理解するのが最適な解決につながると考えています。どんなに困難な事件でも必ず解決して明るい未来を築くことができると確信し、依頼者の皆様に最大の利益を獲得して頂くことを目標としています。企業がかかえる問題から、個人に関する問題まで、広く対応しています。早い段階で弁護士に相談することはとても重要なことだと考えています。お気軽にご相談にお越しください。 |
