企業が個人情報を流出させてしまった場合、“刑事責任”または“民事責任”を負うことになります。
ただ、具体的にどんなペナルティを、どんな流れで受けるのかについては、意外と知らない方も多いかと思います。
今回は、企業が個人情報を流出させたときに受けるペナルティについて、詳しく解説します。
企業が個人情報を流出させたときに受けるペナルティ①刑事責任
個人情報保護法には、企業が個人情報を流出させた場合の刑事責任についての規定がされています。
企業が個人情報を流出させると、まず国から“是正勧告”、“改善命令”というものが出されます。
これは、企業の体制において誤っている部分を正しく修正すること、そして改善することを命令するものです。
この時点で、企業にまだ刑事責任は発生していません。
ただ、上記の命令が出されたにも関わらず、無視をしたり、正しく修正、改善しなかったりという違反行為が見られた場合は、刑事責任が発生します。
具体的には、命令に対する違反行為があった企業の従業員に、上限6ヶ月の懲役、または上限30万円の罰金が科されます。
懲役と罰金、両方が科される場合もあります。
また、その違反行為があった従業員が属する企業にも、上限30万円の罰金が科されることがあります。
このように、個人情報保護法の規定では、企業が個人情報を流出させたとしても、すぐにペナルティを受けないことになっています。
ただ、これはあくまで、企業や従業員に個人情報を悪用するつもりがなかったときに限ります。
もし、個人情報を悪用するつもりで流出させたのであれば、その時点で従業員には上限1年の懲役、上限50万円の罰金、企業にも上限50万円の罰金が科されます。
企業が個人情報を流出させたときに受けるペナルティ②民事責任
個人情報を流出させた企業は、国から受けるペナルティだけでなく、“損害賠償責任”を負う可能性もあります。
企業が個人情報を流出させてしまうことは、“不法行為”に該当し、これに該当する場合は、被害に遭った方に対して、損害賠償を支払わなければいけません。
ただ、個人情報が流出しても、流出の対象となった方に実害が発生していなければ、損害賠償を支払う必要はなくなります。
また、支払い損害賠償の金額は、流出した個人情報の内容によって大きく異なります。
例えば、氏名や住所などの基本的な個人情報の場合、それほど損害賠償の金額は高くならない傾向にあります。
しかし、例えば“薄毛のクリニックに通っている”といったような、あまり人に知られたくない情報などが流出すると、損害賠償の金額は高くなりがちです。
まとめ
ここまで、企業が個人情報を流出させたときに受けるペナルティについて解説しました。
従業員と企業、それぞれが受けるペナルティの種類と、ペナルティが発生する条件を知ることで、企業はより意識して情報セキュリティ、従業員教育の強化に繋げられるでしょう。
また、すでに情報セキュリティ体制に不安がある企業は、取り返しのつかないことになる前に、ぜひ体制の見直しを行ってください。
具体的には個人情報保護の第三者認証制度の”JAPHIC(ジャフィック)マーク”等がお勧めです。
社内外にその取り組みを周知することが出来る上に、年商5億円までの事業所に関しては最大700万円の損害賠償保険が付帯しているというのもその理由となります。
