個人情報保護・IT
3,305 PV

個人情報を漏洩した事業者の責任は?4つの対策とともに弁護士が解説

###

はじめに

個人情報保護の重要性が高まるなか、個人情報が漏洩したというニュースが後を絶ちません。

何らかの理由で顧客の個人情報が漏洩してしまった場合、事業者にはどのような責任が発生するのでしょうか?
従業員に危機意識を持ってもらうためには、情報漏洩に対する法的責任の理解を深めてもらうことも必要です。

今回は、個人情報が漏洩した場合の法的責任と事業者がとるべき対策について、弁護士がわかりやすく解説します。

1 個人情報漏洩により事業者が負う責任

個人情報を漏洩した場合、事業者は以下の3つの種類の法的責任を負う可能性があります。

  1. 民事上の責任
  2. 刑事上の責任
  3. 行政上の責任

2 民事上の責任

事業者は、漏洩した個人情報に係る本人との関係で、以下の責任を負う可能性があります。

(1)債務不履行責任

債務不履行責任」とは、契約上の義務に違反した場合に、これによって相手方に生じた損害を賠償しなければならないというものです。

そのため、個人情報漏洩について、事業者が債務不履行責任を負うことになるのは、事業者と個人情報を漏洩された本人との間で、個人情報の取扱いに関して何らかの契約が締結されていることが前提となります。

近年では、個人情報管理の重要性が高まっているため、事業者が保有する個人情報について一定のセキュリティ対策を講じることを契約で定めるケースも少なくありません。

この場合、事業者がセキュリティ対策を講じていなかったことに起因して、個人情報が漏洩したと認められる場合には、事業者は契約上の義務に違反したといえ、債務不履行責任を負う可能性があります。

(2)不法行為責任

不法行為責任」とは、他人の権利や利益を違法に侵害した場合に、これによって相手方に生じた損害を賠償しなければならないというものです。

たとえば、従業員が個人情報を漏洩し、これによって他人の権利・利益を侵害した場合、その従業員は不法行為責任を負います。

この場合、事業者は使用者責任を負う可能性があり、また、事業者自体が不法行為責任を負う可能性があります。

3 刑事上の責任

事業者が個人情報を漏洩してしまった場合、事案の内容に応じて、個人情報保護委員会から是正勧告・改善命令が出されることがあります。

この場合において、勧告や命令に従わなかった従業員は、

  • 最大1年の懲役
  • 最大100万円の罰金

のいずれかを科される可能性があります。

また、当該従業員を雇用している事業者に対しても、

  • 最大1億円の罰金

が科される可能性があります。

4 行政上の責任

個人情報を漏洩した事業者は、個人情報保護委員会により以下の対応を受ける可能性があります。

  • 報告徴収
  • 立入検査
  • 指導・助言
  • 勧告・命令


これに対し、たとえば、虚偽の報告や虚偽の資料を提出し、また、立入検査を拒否したような場合は、罰則の対象となります。

5 個人情報漏洩の対策

個人情報が漏洩する原因はさまざまですが、そのなかでも従業員が原因を作出しているケースは多いといえます。
そのため、事業者は、個人情報漏洩の対策の一環として、従業員をきちんと管理することが必要になってきます。

具体的には、以下のような管理方法が考えられます。

  1. ルールの策定
  2. 持ち出しの禁止
  3. アクセス権の制限
  4. 漏洩に伴う法的責任の周知

(1)ルールの策定

個人情報の取扱いについて、社内のルールを策定することが必要です。

具体的には、自社が保有する個人情報について、誰がどのような方法で管理するかを明確にしておくことが考えられます。
管理方法がしっかりと決められていないと、当然ながら情報漏洩のリスクは高くなります。

(2)持ち出しの禁止

可能なかぎり、顧客情報などを社外に持ち出すことを禁止することが必要です。
もっとも、テレワークが増えている昨今、全面的に持ち出しを禁止すると、業務上支障が生じる可能性もあります。

情報を持ち出す場合には、持ち出し可能な情報を選定するとともに、持ち出す際のルールを明確にしておくことが必要になるでしょう。

(3)アクセス権の制限

個人情報へのアクセス権を一定の者に限って付与し、それ以外の者が情報にアクセスできないようにすることが必要でしょう。

アクセス権に制限が設けられていないと、すべての従業員が個人情報にアクセスすることが可能になり、情報漏洩のリスクは高くなります。

たとえば、個人データにパスワードを設定し、パスワードを知っている者だけが個人データにアクセスできるようにすることが考えられます。

また、個人情報に関する資料などは、すべて鍵付きの棚に保管するなどして、一定の者だけが確認できるような環境を整えることが必要です。

(4)漏洩に伴う法的責任の周知

個人情報を漏洩した場合に、どのような責任が生じるのかを従業員に認識させることも大切です。

たとえば、漏洩された本人との関係では損害賠償責任を負う可能性があり、また、刑事罰を受ける可能性、懲戒解雇処分を受ける可能性などを認識させることにより、一定の抑止力を期待することができます。

6 まとめ

個人情報は極めて重要な情報であるため、いったん漏洩してしまうと、事業者の信用は大きく低下することになります。

2020年12月施行の改正個人情報保護法により、法人に対する罰金刑などが引き上げられました。
事業者はいまいちど個人情報の管理体制を見直し、必要に応じて体制の強化を図る必要があります。

弊所は、ビジネスモデルのブラッシュアップから法規制に関するリーガルチェック、利用規約等の作成等にも対応しております。
弊所サービスの詳細や見積もり等についてご不明点がありましたら、ぜひお気軽にお問い合わせください。


なお、記事の内容は投稿時の法令・制度に基づいており、投稿後に法改正等がなされている可能性があります。
記事をご参考にされる際は、必ずご自身の責任において最新情報をご確認下さい。

   

勝部 泰之 (Yasuyuki Katsube)

                     

弁護士(35487 / 東京弁護士会)。証券会社勤務時代に携わったシステム開発案件を中心に、決済、暗号資産、特許関連法務を多く手掛ける。また、エンジェル投資家としてスタートアップ企業の成長を多角的にサポートする活動も行う。 George Washington University Law School (LL.M.・知財専攻) 卒業(2016)。経済産業省 中小企業庁主催 適正取引講習会 「下請法(実践編)」講師(2024)

"個人情報保護・IT"の人気記事はこちら

まだデータがありません。

"個人情報保護・IT"の最新記事はこちら
TOPCOURTコミュニティに参加しませんか?
あなたのビジネスや法的なお悩みを気軽にお話ください。私たちがすぐにフォローアップいたします。
お問い合わせ