個人情報流出事故への対応方法について！

企業が個人情報を漏洩する事件が相次いでいます。顧客の情報を扱う以上、企業規模に関わらず個人情報の漏洩は対岸の火事ではありません。

仮に個人情報の漏洩を引き起こしてしまった場合はどのように対処したらいいのでしょうか。

実際に起きた企業の個人情報漏洩事件や漏洩時の適切な対処法、企業が知っておきたい改正個人情報保護法の基礎知識などを弁護士が分かりやすく解説します。

⇒ネット投稿誹謗中傷でお困りの方はこちら！

Contents

個人情報とは何か
企業はなぜ個人情報を流出させてはいけないのか
- 個人情報漏洩時の個人のリスク
- 個人情報漏洩時の企業側のリスク
個人情報流出事故時に必要な対応
個人情報流出事故は企業側に報告義務はあるのか
個人情報流出事故の企業側への罰則
- 企業への罰則｜罰金や懲役など
- 民法上の企業の責任
実際にあった個人情報流出事故
最後に

個人情報とは何か

個人情報漏洩とは企業などが「個人情報」を社外に流出させることです。

ただ、顧客にまつわる情報にはさまざまあるため、個人情報とは具体的にどのような情報を指すのか分からなければ適切な対処や保護につながりません。まずは個人情報とはどのような情報を指すのか説明します。

改正個人情報保護法とは

改正個人情報保護法（個人情報の保護に関する法律）とは平成15年に公布され平成17年に施行された「個人の情報を守るための法律」です。改正個人情報保護法は民間事業者が個人情報を守るための義務を定めています。改正個人情報保護法は国や自治体、独立行政法人などにも一部適用されます。

サービス提供の中で個人の情報を多く扱う企業だからこそ、個人にとって重要な情報の扱いについてルールが定められているというわけです。

改正個人情報保護法の「個人情報」とは

改正個人情報保護法が守る個人情報とは「生存している個人に関する情報」であり、「個人を特定できるもの」です。他の情報と合わせることで個人を特定できる場合も個人情報に該当します。

具体的には以下のような情報が個人情報になります。

氏名
生年月日
住所
連絡先（メールアドレスや電話番号など）
映像情報や音声情報で本人を特定できるもの

→防犯カメラの映像など

官報や新聞などで公開されている個人を特定できる情報
SNSなどで公開された個人を識別できる情報
会社の役職や所属と本人の名前などを組み合わせた情報
マイナンバーやパスポート番号、免許証の番号、年金基礎番号、保険証番号といった各種の番号　　など

この他に生存している個人のDNA塩基配列や声紋、指紋、静脈の形状なども個人情報に該当します。企業（民間事業者）はこのような生存している個人を判別・特定できる情報の取り扱いには細心の注意を払わなければいけません。仮に情報を漏洩させた場合は適切な対処が必要になります。

個人情報は保護されるべき情報ですから、企業は使用目的を限定し、目的を超えて利用することはできません。使用の目的は個人に通知しなければならず、取得した個人情報を第三者に教えることはできません。個人情報を管理している企業の社員が個人的な目的で利用することも許されません。

また、企業が管理する個人情報について修正や削除を求められた場合やクレームを受けた場合は、企業側は迅速に応じる必要があります。

個人情報はただ管理すればいいというわけではなく「漏らしてはいけない守るべき情報」として、注意を払って取り扱わなければいけません。

個人情報取扱業者（個人情報を扱う企業、民間事業者）とは

個人情報取扱業者とは「データベースなどで体系的に個人情報を扱う業者・企業のこと」です。

たとえば電子データで顧客データを管理していたとします。このような企業が個人情報保護法の対象になる事業者に該当します。

改正前の個人情報保護法は、法律の指す個人情報取扱業者は「5,000件以上個人情報を持っている業者」でした。多くの個人情報を管理している企業に限定されていたのです。

しかし平成15年に改正された個人情報保護法では5,000件という条件はなくなり、1件でも個人情報を持っていれば個人情報取扱業者に該当することになりました。

1件でも個人情報を持っている会社にとって漏洩のリスクは他人事ではないということです。そして、たとえ管理している個人情報が少ない企業でも「大企業ほど情報はないから」と甘く考えず、情報の取り扱いには細心の注意を払う必要があります。

気をつけたいのは、個人情報＝顧客情報ではないという点です。企業に勤める従業員の情報も個人情報にあたりますので注意してください。従業員や顧客の情報が一切存在しない会社はほぼ存在しないはずです。このように考えると、大企業・中小企業はほぼ個人情報保護法の対象となる事業者になります。

仮に個人情報を流出させた場合は罰則の対象になる可能性があり、適切な対処も求められるのです。個人情報漏洩の罰則や漏洩時の対処については後の見出しで詳しく解説します。

企業はなぜ個人情報を流出させてはいけないのか

個人情報の取り扱いには細心の注意を払い、流出や私的利用があってはいけません。なぜ個人情報はこれほど厳格に保護されているのでしょうか。実際の個人情報漏洩事件や処罰、対応などについて説明する前に、企業側が個人情報を漏洩するリスクについても解説します。

企業側が個人情報を漏らしてはいけないのは、企業側と個人側にそれぞれリスクがあるからです。

個人情報漏洩時の個人のリスク

個人情報の漏洩は個人（顧客や従業員）に「第三者に情報を使われるリスク」と「情報を使われた結果、損害を受けるリスク」「二次被害や三次被害など被害が拡大するリスク」があります。

たとえばA企業が個人情報を流出させたとします。個人情報が漏れてしまった顧客は勝手にクレジットカードや住所氏名などを使われてしまいました（情報使用のリスク）。また、クレジットカード情報を勝手に決済に使われてしまい、不正利用分が引き落とされてしまいました（損害を受けるリスク）。さらに個人情報がネット上の第三者の目に触れるところに流出してしまったため、二次被害、三次被害を受ける結果になったのです（被害が拡大するリスク）。

企業側が個人情報を流出させることにより、顧客や従業員などの個人は極めてリスクの高い状況に置かれることになります。結果、実際に被害を受け、生活にも影響を受けるケースがあるのです。

そもそも、個人を特定できる情報を漏らされて良い気分になる顧客や従業員はいないのではないでしょうか。個人は自分にまつわる情報を不特定多数に知られたくない、漏らされたくないと思うはずです。それを漏らされてしまったわけですから、企業への不信感や怒りにつながります。個人が不快感や精神的な痛手を受けることもリスクです。

個人情報漏洩時の企業側のリスク

個人情報漏洩は企業側にとっても看過できないリスクがあります。「信用低下のリスク」「業務効率低下のリスク」「損害賠償などで痛手を受けるリスク」「罰を受けるリスク」などです。

個人情報を漏らすと大々的に報道されます。皆さんもテレビや新聞で企業の個人情報漏洩関連のニュースを目にした記憶があるのではないでしょうか。テレビや新聞などの媒体で取り上げられることにより、個人情報流出事故を起こした企業は「個人情報を漏らした会社」という印象がついてしまいます。

たとえば同じようなサービスを提供しているA社とB社がありA社が個人情報漏洩事件を起こした場合、見込み客はどちらの企業を選ぶでしょうか。また、既得意客はそのままA社を利用しようと考えるでしょうか。

個人情報流出事故は会社の評判や信用を落とすだけでなく、顧客の流出やサービスの申込、ひいては会社の業績にも関わるリスクです。

個人情報流出すると顧客からの問い合わせやクレームが殺到します。サービスの解約申込なども増加する可能性が高いため、従業員はクレーム処理や問い合わせ、解約などの対処に忙殺されて通常業務の効率が低下します。個人情報の流出にシステムが関係していた場合、システムへの対処も必要です。またお詫びなど顧客対応も必要になりますから、個人情報流出事故によって業務は圧迫されることになります。

個人情報漏洩により賠償などが発生すれば会社財産のリスクになりますし、個人情報流出には罰則もあります。企業にとってはマイナスばかりではないでしょうか。だからこそリスクや被害を最小限に食い止めるために企業は適切かつ迅速な対処を求められるのです。

⇒ネット投稿誹謗中傷でお困りの方はこちら！

個人情報流出事故時に必要な対応

企業が個人情報を外部に漏らしてしまったときはどのような対処が望ましいのでしょうか。問題なのは何もせず状況の放置や隠ぺいをすることです。個人情報流出時の対応については個人情報保護委員会が対応のガイドラインをまとめています。

事業者内部における報告及び被害の拡大防止
事実関係の調査及び原因の究明
影響範囲の特定
再発防止策の検討及び実施
影響を受ける可能性のある本人への連絡（事案に応じて）
事実関係及び再発防止策等の公表（事案に応じて）

引用 : 事業者において個人データの漏えい等の事案が発生した場合等の対応（概要）

個人情報を漏洩した企業は「被害を拡大させない」ために動く必要があります。基本的には以下のふたつを迅速に行うことが重要です。

ネットでの公表・謝罪

最初に行うのは個人情報が流出した旨の公表と謝罪です。

個人情報が流出した旨を公表することで顧客側が「自分にもリスクがあるかもしれない」と慎重に動くようになります。結果、被害拡大を食い止められる可能性があるのです。もちろん流出の責任もありますから、企業側の謝罪も必要です。

個人情報流出は大きく取り上げられる傾向にあるため、公表や謝罪には勇気がいるかもしれません。しかし、顧客側にも被害に注意してもらうためにも、流出の事実公表は重要なことです。

顧客への個別の連絡

個人情報が流出した顧客や流出の可能性がある顧客などに企業側で連絡・通知する必要があります。ネットで公表してもすべての顧客が見ているとは限りません。だからこそ個別に連絡や通知をして、個人情報流出の旨を知ってもらうことが必要です。

すでにお話ししたように、個人情報流出を知ってもらうことで、顧客の方でも被害を食い止める、あるいは注意する行動が可能になります。ネットを見ていない顧客にも通知などを使って謝罪や状況を説明しておきましょう。

問い合わせ窓口の設置と対応

個人情報流出後は問い合わせ窓口を設置し、顧客などからのクレームや問い合わせに対応する必要もあります。

情報を流出された個人だけでなく、企業のサービスを利用している個人も不安を覚えることでしょう。不安や疑問、実際に起きた被害などを把握するためにも迅速に問い合わせ窓口を設置し対応をスタートすることが重要です。顧客に個人情報流出の通知をするときやサイトで謝罪などを行うときに窓口を付記できるようにしておくこともポイントになります。

再発防止の措置を講じる

個人情報流出事故への通知や問い合わせ対応などを行うことも重要ですが、再発防止策を講じることも必要になります。

個人情報流出の原因は何か。なぜこのような事態になったのか。問題点はどこなのか。以上のようなポイントを情報収集、状況分析し、具体的な対策を打ち出す必要があります。再発防止の具体策は、ケースによっては公表を要します。

個人情報流出事故は企業側に報告義務はあるのか

個人情報の漏洩をした場合、個人情報保護委員会への報告義務はあるのかが問題になります。

現行の個人情報保護法では個人情報漏洩の際の個人情報保護委員会への報告はあくまで「努力義務」です。報告が義務として課されているわけではありません。

しかし、個人情報保護法の改正により個人情報保護委員会への報告が努力義務から「速やかに報告する義務」へ変わります。改正は2022年4月～6月に施行予定です。

また、以下のような情報漏洩ケースでは本人への通知も要します。

要配慮個人情報の漏洩、あるいは漏洩の恐れ / 要配慮データとは差別や偏見を生じる恐れのある情報
財産的被害が発生する恐れのある情報 / クレジットカード情報やネットバンキングのID、パスワードなど
故意による情報漏洩や漏洩の恐れ / 従業員の情報持ち出しや不正アクセスなど
大規模な情報流出、漏洩の恐れ / 情報の性質や内容を問わず1,000件以上

個人情報流出による個人情報保護委員会への報告が義務化され、ケースによっては顧客などへの通知も必要になるため、もしものときの対策マニュアルの策定や対処法の検討が必要になります。

個人情報流出事故の企業側への罰則

個人情報を漏らした企業は罰則の対象になる可能性があります。

個人情報の漏洩は刑事罰の対象になる他、民事上の責任も発生するため注意が必要です。

企業への罰則｜罰金や懲役など

企業が個人情報を漏洩するとまずは基本的に国から是正勧告を受けることになります。国による是正勧告に従わない場合は罰金や懲役などの罰があります。

個人情報流出への罰は「6カ月以下の懲役又は30万円以下の罰金」です。個人の情報流出が不正な利益を得る目的で行われた場合は、懲役は1年になり、罰金は50万円になります。会社にも罰金が科されますので注意してください。

民法上の企業の責任

企業の個人情報流出は民事上の責任も生じます。企業側は個人情報の流出に対し損害賠償を支払わなければいけません。

損害賠償の額はケースバイケースなので、決まっていません。相場としては数千円から数万円ほどになりますが、ケースによってはひとりあたりの賠償額がこれ以上の金額になる可能性もあるのです。個人情報の流出が大規模だと賠償額は跳ね上がり、莫大な金額になる可能性があります。

実際にあった個人情報流出事故

実際にあった企業の個人情報流出事件をいくつかご紹介します。企業の対応などの参考にしたい事例です。

マッチングサイトOMIAI

OMIAIは東証一部上場企業が運営する男女のマッチングサイトです。2012年から運営されているため、マッチングサイトとしては歴史のあるサイト・システムになります。

会員数は2020年7月の時点で570万人を超えており、うち3割の会員の個人情報が不正アクセスにより流出しました。不正流出した個人情報はマイナンバーカードや運転免許証の画像などです。

不正流出の対象になった運転免許証などの画像データは、金融機関の口座作成などに悪用されてしまいます。被害は特に報告されていませんが、今後も注意が必要になります。

BBテクノロジー株式会社の事例

BBテクノロジー株式会社は「Yahoo!BB」を運営する会社です。BBテクノロジー株式会社側が顧客の住所氏名といった情報を流出させ大きなニュースになり、やがて裁判にまで発展しました。

顧客側は裁判でひとりあたり10万円の支払いを求めましたが、裁判所が下した判決では、ひとりあたり5,000円と弁護士費用の賠償となっています。

メルカリの事例

メルカリの外部ツールへの不正アクセスにより、過去の振込関連情報約17,000件やカスタマーサービスの対応情報、イベント情報、約8,000件の一部取引先情報などが漏洩した事件です。

この事件ではメルカリは被害状況を迅速に調査し、会社ホームページに情報漏洩の旨を公開しています。合わせて、不正アクセスの経緯や今後の対策などもサイトにて詳しく情報公開しています。

カプコンの事例

カプコンでは2020年頃からアクセスしにくい状況が発生しており、原因として不正アクセスが発覚していました。

システム障害の時点では顧客情報の漏洩などは確認されていません。しかし不正アクセス発覚から14日後、元従業員の情報や会社情報、財務情報の流出が発覚し、さらに1万4,000人もの個人情報が漏洩した可能性があると公表しています。日を置くこと71日後、追加で1万6,000人もの情報が流出してしまいました。同時に約6万人の採用応募者情報も流出の可能性があると公表しています。

サイバー犯罪集団がカプコンの情報を盗んだのは自分たちであることを公表し、身代金を要求しています。身代金の額は日本円にして11億5,000万円に上ります。現状、カプコンは支払いを拒否し、要求額の支払いには応じていないようです。

なお、カプコンから流出したのは顧客などの情報だけでなく、今後開発予定のゲームについても情報が漏れてしまいました。ビッグタイトルである「ストリートファイター6」や「ドラゴンズドグマ2」などが開発の可能性があるタイトルとして情報が流れてしまっています。