健康マインド 
つい最近もLINEの個人情報の流出事件があったように、「個人情報」の流出は、重大な社会問題になるばかりでなく、個人にとってとても大きな問題=死活問題にもなってしまう大変な問題なのです。
ネット社会におかれている僕たちの生活を守るために自分の「個人情報」をまもってくれる法律や配信方法のきまりやルールについて知っておくことは実はものすごく重要なことなんです。
基本的なことを分かりやすく、解説しますのでじっくり読んで、あなただけでなく、家族や周りの人たちを守ってください。
そもそも個人情報って何?
個人の情報を守ってくれる法律はあるのか?
その答えは、ズバリYESです。
でも個人が発信する特定の個人の情報に対して保護するという法律ではないのです。残念ながら…。
もしかして、個人情報保護法があるでしょ!って思われるかもしれませんね。
個人情報保護法は、主に個人情報を取り扱う民間事業者の遵守すべき義務等を定める法律なのです(個人情報保護法第4章~第7章)。
つまり、その個人情報保護法とは、あくまで、取扱事業者がちゃんと個人情報を扱うように定められた法律であって個人が発信する特定の個人の情報に対してではないのです。
そして、そのことによって、個人の権利利益を保護することを目的とした法律なのです。
正式には「個人情報の保護に関する法律」という法律で、一般的には「個人情報保護法」と呼ばれ平成15年5月に公布され、平成17年4月(2005年)に全面施行されています。
構成(詳しく調べたい場合は法令検索で)
個人情報保護法の背景目的
背景
情報化社会の進展とともに氏名や住所、クレジットカードの番号といった個人情報の重要性が増し、それとともに不正に取得された個人情報が犯罪などに悪用されるケースが増えてきました。
あいまいなままの個人情報の取り扱いというのは非常にリスクが高くなりますよね!
なので個人情報を扱う場合には、法整備により個人情報の適切な管理と取り扱いを行うことが必要になってきたことが背景となっている。
目的
「個人情報」として氏名や住所、クレジットカードの番号といった情報を明確に定義し、外部に流出して不正に悪用されるといったようなことを防ぐといった目的で管理を厳重にすることを意図して制定された。
個人情報とは(法律上の定義)
法律である「個人情報保護法」での「個人情報」とは、生存する個人に関する情報であって、
①当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
②個人識別符号*が含まれるもの
個人識別符号*とは
・指紋データや顔認識データのような個人の身体の特徴をコンピュータの用に供するために変換した文字、番号、記号等の符号
・旅券番号や運転免許証番号のような個人に割り当てられた文字、番号、記号等の符号
これを、かんたんに要約して言うとこんな感じ
氏名、住所、性別、生年月日、顔の画像などの個人を識別する情報に限らず、個人の身体、財産、職種、肩書などの属性に関して事実、判断、評価を表す全ての情報。
それは評価情報、公刊物等で公になっている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。
具体的な個人情報とはこんな感じ
- 本人の氏名
- 生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報
- 防犯カメラに記録された情報等、本人が判別できる映像情報
- 本人の氏名が含まれる等の理由により、特定の個人を識別できる音声録音情報
- 特定の個人を識別できるメールアドレス(kojin_ichiro@example.com 等のようにメールアドレスだけの情報の場合であっても、example 社に所属するコジンイチロウのメールアドレスであることが分かるような場合等)
- 個人情報を取得後に当該情報に付加された個人に関する情報(取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、又は照合された結果、生存する特定の個人を識別できる場合は、その時点で個人情報に該当する。)
- 官報、電話帳、職員録、法定開示書類(有価証券報告書等)、新聞、ホームページ、SNS(ソーシャル・ネットワーク・サービス)等で公にされている特定の個人を識別できる情報
「個人情報」「個人データ」「保有個人データ」の関係性について
個人情報保護法では、「個人情報」、「個人データ」、「保有個人データ」という3つの「個人」が含まれる用語が使われているので、その関係性を図表でわかりやすく表したものがコチラです。
個人データも保有個人データも個人情報であって保有個人データは個人データに含まれる関係性なのです。
ただ、同じ個人情報でも、右側の具体例のとおり、それぞれの情報内容、特性によってデータの種類が異なるということが分かりますね。
個人情報漏えいのペナルティ
個人情報取扱事業者である企業が、個人情報保護の為に必要な措置をとっていなく(=過失)或いは故意に個人情報を漏えいしてしまった場合、企業は顧客に対して不法行為に基づく損害賠償責任を負うことになり、顧客から民事訴訟を提起される恐れがあるのです。
個人情報を漏洩してしまった場合は、事業者や企業だけの単なるイメージダウンだけでは済まされません。
イメージダウンはもちろんとても大きなマイナスですが、その情報漏えいをした張本人である事業者には、以下の2つの責任と3つのペナルティがあるのです!
2020年に公布された改正個人情報保護法により罰則が大幅に厳格化されています。
- 刑事上の責任(罰則)
- 民事上の責任(損害賠償・謝罪金)
これらはどれか1つだけ科されるというわけではなく、3つすべてが科される可能性もあります。
次の項目から順番に確認していきましょう。
1.刑事上の責任(罰則)
罰則-「即アウトではない」ケース(命令違反)
個人情報保護法に違反し、情報漏えいしてしまった場合でもいきなり、刑事罰を受けることはありません。
まず個人情報保護委員会からの改善命令があり、それにも従わない場合には、
その漏えいした従業員に対して…
「1年以下の懲役または100万円以下の罰金」
その漏えいした従業員を雇用している事業者(会社)に対して…
「一億円以下の罰金」
罰則-「一発アウト!」のケース(不正提供・盗用)
不正な利益を得る目的で個人情報を漏洩した場合には、即、一発アウト!
その漏えいした従業員に対して…
「1年以下の懲役または50万円以下の罰金」
その漏えいした従業員を雇用している事業者(会社)に対して…
「一億円以下の罰金」
罰則-「一発アウト!」のケース(検査妨害等)
個人情報保護委員会の検査、調査を妨害するような行為をした場合には、即、一発アウト!
従業員と事業者(会社)は同額の罰金となります。
その妨害した従業員に対して…
「50万円以下の罰金」
その妨害した従業員を雇用している事業者(会社)に対して…
「50万円以下の罰金」
2.民事上の責任(損害賠償・謝罪金)
個人情報の漏えいにより被害者が出てしまった場合には、国からのペナルティである刑事罰とは別に、その被害者に対し、損害賠償責任や謝罪金の支払いが発生する場合があります。
損害賠償責任
不法行為によって誰かに損害を与えてしまったときに、その損害を賠償するために発生する責任のこと。
これを、不法行為に基づく「損害賠償責任」といいます。
*「不法行為」とは、他人の権利や利益を違法に侵害する行為のこと
実際の損害が発生していても、その情報漏えいが、従業員が、わざとでもうっかり不注意でもないのであれば、損害賠償責任を追う必要はないのです。
その漏えいした従業員に対して…
「損害賠償責任」発生
その漏えいした従業員を雇用している事業者(会社)に対して…
「損害賠償責任」発生(使用者責任があるので)
謝罪金
損害賠償金とは別に、漏えいした従業員個人ではなく、事業者側が「謝罪金」として自主的に金券などを配る場合があります。
その場合は個人情報が流出してしまった全ての人に対してお詫びのしるしとして「謝罪金」が配布され、現金ではなく「金券」や「電子マネー」、「ポイント」などが配布されることが多いようです。
その漏えいした従業員を雇用している事業者(会社)に対して…
「謝罪金」(自主的)
その相場としては、ほとんどの場合は1人あたり500円~1,000円と少額ではありますが、配布件数をトータルでみた場合には企業にとっては莫大な賠償金となるため、そのダメージはかなり大きいものとなるのです。
個人情報漏えいの具体的な手法
不正アクセス行為
他人のIDやパスワード等の識別符号を不正に取得・保管する行為
不正アクセスを助長する行為
フィッシング行為
これらのケースは、詐欺、背任、横領などの刑法上の犯罪となるので懲役とともに罰金刑となることが多い。
漏洩等の被害が発生した民法上の損害賠償のケース
- 裁判所が賠償請求に応じて判決を下すもので、懲役自体はない
従業員・・・不法行為責任を負う。
事業者・・・使用者責任に基づいて(民715条)、または、自ら不法行為者(民709条)として、不法行為責任を負う。
個人情報の公開又は漏えい
プライバシー権の問題(侵害)
個人情報漏えい事件の判決例
| 内容 | 漏えい事実 | 賠償額 |
|---|---|---|
| 転居に伴って電話帳への氏名、電話番号、住所を掲載しないよう求めていたにも かかわらず、電話帳に掲載。原告が、NTTに対し、プライバシー権侵害を理由に、 損害賠償(慰謝料300万円)請求。 |
氏名、電話番号及び住所 | 慰謝料 10万円 |
| 眼科診療所を営む眼科医が、電子掲示板に、無断で氏名、職業、診療所の住所、 電話番号を掲載され、嫌がらせの電話が頻繁にかかるようになった。原告である 眼科医が、ニフティ株式会社に対し、プライバシー権侵害を理由に、損害賠償 (慰謝料181万360円)請求。 |
氏名、職業、診療所の住所 及び電話番号 |
慰謝料 20万円 |
| 宇治市が住民基本台帳のデータを使用した乳幼児健診システムの開発業務を 民間業者に委託したところ、委託先のアルバイトの従業員が宇治市の全住民 約22万人の住民基本台帳データを不正にコピーし名簿業者に販売。宇治市の住民 数名が、当該データの流出によって精神的苦痛を被ったと主張して、プライバシー 権侵害を理由として損害賠償(慰謝料30万円及び弁護士費用3万円)請求。 |
個人連番の住民番号,住所, 氏名,性别,生年月日, 転入日,転出先,世带主名, 世带主との統柄等 |
1人あたり 慰謝料1万円, 弁護士費用5千円 |
| 早稲田大学が、江沢民の講演会が開催された際、講演会に参加した学生1400名の 名簿を講演前に警視庁の公安当局等に提出。原告である学生が、同大学に対し、 プライバシー権侵害を理由に、損害賠償(慰謝料30万円及び弁護士費用3万円) 請求。 |
氏名,住所,電話番号 (学生は氏名と学籍番号) |
1人あたり 慰謝料5千円 |
| 愛媛県大洲市が住民投票条例制定請求に係る署名収集活動受任者の名簿を 情報公開。原告である署名活動受任者の大洲市市民が、大洲市に対し、 プライバシー権侵害を理由に、損害賠償(慰謝料10万円)請求。 |
署名活動受任者の氏名, 住所,生年月日 |
慰謝料5万円 |
| Yahoo!BBの顧客情報として保有管理されていた個人情報を、業務委託先から ソフトバンクBB株式会社に派遣され、同社の顧客データベースのメンテナンスや サーバ群の管理を行う業務に従事していた者が外部に転送し、ハードディスクに 保存して不正に取得し、それがDVD-RやCD-Rに記録され恐喝未遂犯の手に渡った。 |
住所、氏名、電話番号, メールアドレス,申込日 yahoo!JAPAN ID |
1人あたり 慰謝料5千円, 弁護士費用1千円 |
| 株式会社ベネッセコーポレーションの子会社「株式会社シンフォーム」に勤務する エンジニアがベネッセコーポレーションのサービスを利用する子どもや保護者の 個人情報を流出させた。 顧客がベネッセコーポレーションとシンフォームに対し損害賠償を請求しました。 |
氏名,住所や連絡先 |
1人あたり 慰謝料3千円, 弁護士費用300円 |
損害賠償額(慰謝料+弁護士費用)の相場・基準
損害賠償額については、過去の事例からある程度の「相場」が形成されています。
この「相場」である金額は、”どの程度デリケートな情報であったか”、を基準に判断されているのが現状です。
その情報が、人に知られたくないものであるほど損害賠償額も高くなる傾向にあります。
たとえば、きわめて基本的な個人情報(住所・氏名・年齢・性別など)が漏洩した場合には、損害賠償額はわりと低く算定されます。
漏えいした個人情報が基本的なものである場合は、大体5,000円~1万5,000円が損害賠償額の相場感
基本4情報(住所・氏名・性別・生年月日)の漏えいの場合の損害賠償額
1人あたり1万5,000円(慰謝料1万円+弁護士費用5,000円)
基本2情報(住所・氏名)+αの漏えいの場合の損害賠償額
1人につき6,000円(慰謝料5,000円+弁護士費用1,000円)
一方、漏洩した個人情報が秘匿性の高いものであったり、デリケートなものである場合には、損害賠償額は高めに算定されます。
漏えいした個人情報に、基本的なものだけではなくプライベートなものまで含まれている場合には、大体1万円から3.5万円が損害賠償額の相場感
【事例】TBC個人情報漏えい事件
住所・氏名・電話番号などの基本情報に加え、エステのコース名やスリーサイズなど、人に知られたくない情報が含まれていた。
そのため、後に提起された損害賠償請求訴訟では、賠償額が過去最高の3万5,000円(慰謝料3万円+弁護士費用5,000円)となった。
漏えい発生時の企業対応
どんなに常日頃、個人情報管理に気を付けていたとしても、内外の様々な要因によって情報漏洩事故が発生してしまうことがあります。
事業者としては「事故は必ず起きるもの」という前提で情報セキュリティ管理をしっかりとつくっておく必要があります。
情報漏洩事故発生時の一般的な対応プロセスと対処について、解説しますね。
① 関係者への報告・連絡
情報漏洩事故が発生した場合に真っ先に行わなければならないのが、漏えいされた本人を始めとした関係者への報告・連絡です。
(1)説明責任を果たす
企業として情報漏洩の事実を隠そうとすることはNG。
顧客や取引先はもちろん社会に対しても情報漏洩の原因や、企業としてどのような対応を行ったのかなどについて企業が説明責任を果たすことが大切です。
(2)漏洩事件に関する情報の開示で透明性をアピール
社内の「漏洩事件調査委員会」等がその「範囲」「原因」「架空請求」などや二次被害の有無などを調査した結果を、適時に自社ホームページやマスコミを通じて社会に公表していくことが重要です。
② 個人情報保護委員会等への報告
個人情報取扱事業者※は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、個人情報保護委員会等に対し、速やかに報告するよう努めることとされております。(個人情報保護委員会 HPより)
※個人情報保護委員会は、日本の行政機関の一つである。内閣府の外局として、内閣総理大臣の所轄に属する行政委員会である。
個人情報の保護に関する法律に基づき、2016年(平成28年)1月1日に設置。
権限委任のある分野の業種では業種ごとに、その会社業務を管轄する省庁に、個人情報漏洩の事実と今後の対応策などについて報告しなければなりません。
対応策については、「被漏えい者に迷惑をかけない」「二次被害を防ぐ」ためのものが主となります。
<権限委任のある分野の一例>
|
業種
|
届け出関係省庁
|
|
一般メーカー
|
経済産業省
|
|
通信関係
|
総務省
|
|
宅地建物取引業
|
国土交通省
|
|
医療関係
|
厚生労働省
|
罰則規定も設けられ2022年度の春からは、不正アクセスによる情報流出などが発生した場合において、当局や被害者への報告を怠った企業に対して、最大1億円の罰則が科されることになりました。
違反企業に対して経済的な損失を与えることで、個人情報流出による被害者を守ろうという方針です。
③ 被害拡大の防止と二次被害対策
漏洩した情報は、必ずといっていいほど犯罪者が狙っています。
僕も実際にあったのですが、まったく知らない業者から莫大な額の通信料、インターネット・サイト閲覧料の請求など詐欺行為が横行しているので、本当に迅速な拡大防止が求められます。
そのため、事業者としては情報漏洩事件対応策も含めた個人情報保護体制の確立が不可欠という事です。
情報が漏洩してしまったとき一番怖いのは、顧客を含め関係者に二次被害が及ぶことですから。
コンピューターウィルスが原因で漏洩した場合の対応方法
IPA※に届け出ましょう。
その具体的な対策について相談に対応してくれます。
※IPA
「独立行政法人情報処理推進機構」。
コンピュータウイルスやセキュリティに関係する調査・情報提供や、中小コンピュータソフトベンダーの債務保証事業などのソフトウェア開発補助事業を行っている。
天才的プログラマの発掘のための未踏ソフトウェア創造事業、特に若年の開発者を対象とした未踏ユース制度などの人材育成事業も行っている。
④ 漏えいルート・原因の調査
漏洩ルートを突き止めることにおいて最も重要なことは「記録」です。
具体的にはアクセス記録、情報の持ち出し記録、個人情報を扱う部屋への入退室記録などです。
これらの記録を普段から残していなければ、漏洩ルートを究明することはできないばかりか再発防止策を検討することもできません。
万一の場合に備えてきちんと記録を残しておくことが、事故発生時に企業が受ける損害を最小限に抑えるポイントになります。
記録さえきちんと残していれば、こういった記録を入念に調査することで、漏洩原因や漏洩ルートの手がかりを得ることができます。
⑤ 再発防止策の検討
- 個人情報や機密情報に近寄りにくくする
- 個人情報や機密情報の持ち出しを制御する
- 情報漏洩を見つかりやすくする
- 機密性の高い情報の意識付けと漏洩した場合のリスクを伝える
- 仕事に対する意識を高めて情報漏洩リスクを低減させる
この記事でのポイントまとめ
個人情報が漏えいする原因とは、些細なちょっとしたミスや不注意によるものであるヒューマンエラーがほとんどで、80%は会社内の人間が引き起こしているといわれています。
そして、情報漏えいの事実が世間に広まれば、その事業者、企業がうけるダメージは計り知れないものとなりますので、情報漏えいに関する社員教育や、セキュリティーポリシーの周知を普段から徹底することが本当に大切であり重要なことなのです。
「個人情報」とは
①生きている個人に関する情報で、その情報に書いてある名前や生年月日などにより特定の個人を特定できるもの、
②生きている個人に関する情報で、他の情報と簡単に照合することができて、それによって特定の個人を識別できるもののこと。
それは、少しのミスや管理体制の甘さによって個人情報漏えいは簡単に発生するので事前の対策がとても重要である。
個人情報を漏洩した場合
刑事上の責任と民事上の責任を負う
刑事上の責任
不注意による漏えいでその後、国からの命令勧告に従わなかった場合、
(個人)1年以下の懲役または100万円以下の罰金のどちらかもしくは両方
(法人)1億円以下の罰金
不正な利益を得る目的で個人情報を漏洩した場合、
(個人)1年以下の懲役または50万円以下の罰金のどちらかもしくは両方
(法人)1億円以下の罰金
民事上の責任
損害賠償責任を負う可能性と謝罪金を支払う可能性がある
・損害賠償額の相場は、5,000円~1万5,000円(個人と事業者双方に責任あり)
漏洩した個人情報がどの程度デリケートなものであったかを基準に判断される。
・謝罪金の相場は、500円~1,000円(事業者が自主的に配布)
個人情報を漏洩しないための対策
個人情報を取り扱う個人の対策
- 個人情報を許可なく持ち出さない
- 個人情報を目の届かない場所に放置しない
- 個人情報を安易に破棄しない
- 私物の電子機器を許可なく職場に持ち込まない
- 自分に与えられた管理権限を勝手に他人に貸与・譲渡しない
- 業務上知り得た情報を許可なく公言しない
- 情報漏洩に気づいたらまずは報告する
セキュリティ上の対策
- 機密性の確保
- 完全性の確保
- 可用性の確保
個人情報が漏えいしてしまったときの対応
漏えい発生時のプロセスに沿った対応をしなければならない
まとめ
個人情報とは本人にとっては非常に大切な情報です!
それを扱う事業者は、とても慎重に慎重を重ねて取り扱う必要があります。
個人情報保護法では、その個人情報にかかわる本人の権利利益を保護することを目的に取り扱う事業者に対して様々な義務を課してるのです。
ですので、各事業者はそれらの規制をちゃんと正確に理解して個人情報を運用し管理していかなければならないことになっています。
この記事では、それらを取り扱う企業の従業員や事業者が、慣れてくるとおざなりになりがちな個人の大切な情報の取り扱いについて、実はちゃんと知っていてきちっと適切に取り扱わないと、会社の存続にかかわる重大なことであるという事を、改めて認識してほしいと思って紹介しました。
わたしたち一般の人も、とくにネット社会の現代においては、パソコンやスマホでの個人情報の登録を条件に様々な利便性のあるメリットを享受できているのが実態だと思います。
個人の情報漏えいが、その人本人だけでなく、家族はもとよりさまざまに関係ある人の個人情報の漏えいにもつながりかねません。
安易に、入力や記載するのではなくちゃんとその目的やプライマシーマークがうたわれているのか、情報を渡すにあたって同意を求められているのかを良く確認したうえで、私たち一人ひとりの気にかけ方が、自分や自分の周りの人たちを守るのに大切なことであるといことを分かってほしいです。
そして、漏えいなんて絶対にない、あっても即断の対応ができる気持ちいい生活を送りたいものですね!
kenko-mind!
