罰金だけじゃ済まないかも！個人情報保護法違反のリスクと情報漏洩事例【弁護士が解説】

2022年4月、個人情報保護法が改正されました。ご自身の企業ではしっかりと対応できているでしょうか？　何を守るための法律なのか、企業が求められる義務とは何なのか、経営者として把握しているでしょうか？

『経営ノウハウの泉』では中小企業経営者向けウェビナーを開催。日比谷タックス＆ロー弁護士法人 堀田陽平先生にご登壇いただき、個人情報保護法の内容を改めて整理していただきました。

ここでは、その模様を4回に分けて連載していきます。本記事では第3回として、「個人情報保護法違反のリスクと漏洩事例」について解説します。

第1回：今さら聞けない個人情報の定義・概念
第2回：個人情報保護法の基礎
第3回：個人情報保護法違反のリスクと漏洩事例
第4回：ウェビナーに寄せられた質問と回答

【資料動画のダウンロードはこちらから】
※第1~4回のどの記事からでも全編の動画の閲覧URL・資料DLが可能

【登壇者】

出典: 経営ノウハウの泉

堀田 陽平（ほった ようへい）
日比谷タックス＆ロー弁護士法人

2020年9月まで、経産省産業人材政策室で、兼業・副業、テレワーク等の柔軟な働き方の推進、フリーランス活躍、HRテクノロジーの普及、日本型雇用慣行の変革（人材版伊藤レポート）等の働き方に関する政策立案に従事。「働き方改革はどうすればいいのか？」という疑問に対するアドバイスや、主に企業側に対して労務、人事トラブルへのアドバイスを行っている。日経COMEMOキーオピニオンリーダとして働き方に関する知見を発信。著書「Q＆A　企業における多様な働き方と人事の法務」（新日本法規出版）など多数。

個人情報保護に従わなかった場合の制裁

出典: 経営ノウハウの泉

個人情報保護法に従わないと、どういった制裁があるのでしょうか。個人情報の漏洩などが起こった場合、まずは“指導・助言”“報告義務”“立入検査”などがあります。このとき虚偽報告などがあれば、50万円以下の罰金が科されることもあります。さらに違反があれば“勧告”があり、勧告に従わない場合には“命令”が行なわれ、それでも改善しない場合には1年以下の懲役また100万円以下の罰金が科されます。個人情報保護法改正により刑罰が重くなっていますので要注意です。こういった刑罰を科すことで、個人情報保護法の実効性を確保する仕組みになっているのです。

他に、不適正な個人情報の取り扱いがあった場合、法律上、“苦情処理”をしなければなりませんが、特定の団体に苦情処理を申し入れることができます。

これらと平行してあり得るのが“損害賠償請求”です。民法上、裁判になることで責任追及があり得ます。

個人情報の漏洩事例

個人情報保護法に従わず、事件化した事例を挙げましょう。

漏洩事例1：ベネッセ事件

出典: 経営ノウハウの泉

民事で最高裁まで行ったのが“ベネッセ事件”です。この事例では、個人情報の管理を第三者に委託した場合でも、委託元が監督責任を負うということがわかります。個人情報の取り扱いを委託する際の業務委託契約書で、セキュリティ対策やアップデート対応の内容、報告義務を課すなどして適切に監督できるようにする必要があります。これは、個人情報保護法上の安全管理措置としても重要です。

漏洩事例2：Suica事件

出典: 経営ノウハウの泉

この事例では、そもそも違法な第三者提供は大きな問題になることが明らかになり、匿名加工情報の制定にも影響しました。第三者提供については適切に対処しなければ、行なおうとしていたビジネスも頓挫し、社会的な批判を浴びることも広く知られることになりました。

漏洩事例3：神奈川県データ流出事件

出典: 経営ノウハウの泉

この事例では、処分会社の管理体制に問題があったことが明確です。また個人データが記録された機器を破棄する場合に、データ削除ソフトを利用すること、物理的破壊する手段を選択することが重要であることが明らかになりました。利用を終了した記録媒体においても、情報の消去やハードの破壊までしっかり対応する必要があるでしょう。

企業がするべきアクション

次に企業が個人情報保護法を守るためにするべきアクションについて解説します。

・通知、公表、明示

出典: 経営ノウハウの泉

会社として個人情報保護法を守るためには、利用目的を明確にするのが一番重要です。個人情報を利用される本人が、具体的に何に使われるのかを把握できる程度に明示しておく義務があります。プライバシーポリシーには、上の表の内容を含めておくことが必要です。ほかにも講じている安全管理措置も明示しておく必要があります。これについては、個人情報保護委員会がガイドラインを出しているので、それを参考にしてください。

【参考】「個人情報取扱事業者等に係るガイドライン・Q&A等」 / 個人情報保護委員会

・同意取得

出典: 経営ノウハウの泉

いくつかの場面で同意を得なければならないことを把握しておく必要があります。目的外に利用する場合、事業継続にともなって個人情報を取得する場合、要配慮個人情報を取得する場合、国内第三者へ情報提供する場合、外国第三者への提供を行なう場合、などが該当します。

一方で、通知、公表、明示、同意取得などが不要になることもあります。法令に基づく場合や、人の生命や身体、財産の保護のために必要がある場合で本人の同意を得ることが困難な場合、国の機関から委託された場合などです。

個人情報保護法への対応ポイント

個人情報保護法への対応ポイントは以下のとおりです。

出典: 経営ノウハウの泉

まずは自社に個人情報がどういう形で存在しているのかを洗い出してみましょう。要注意なのは従業員の情報も個人情報であるということ。同じく個人情報保護法上の保護の対象になります。こういった個人情報とその取り扱いを見て、取得利用管理、第三者提供、削除というライフサイクルができているか確認しましょう。そして、組織的、人的、物的、技術的な安全管理措置を講じてくことです。個人情報を委託している場合には、委託契約を見直す必要もあるでしょう。ガバナンスと言われることもありますが、企業に個人情報の専任担当者をおくこともおすすめしたいです。選任者を置くのが難しければ、新たに採用したり外部の専門家に相談できる体制を作っておくのが大事です。

個人情報保護法を適切に順守しないことで、世間を揺るがすような事件になることは珍しくありません。個人情報の取り扱いについては、経営者だけでなく社内で共通の意識を持たねばならないでしょう。次回は、ウェビナー開催において寄せられた質問と、それに対する回答を掲載します。

*Graphs / PIXTA(ピクスタ)

【まずはここから】Withコロナ時代におけるフリーアドレスのはじめ方