企業が個人情報を漏えいさせた場合のペナルティや損害

情報セキュリティ

企業は個人情報保護法を遵守し、氏名や生年月日など、特定の個人を識別できる情報を適切に取り扱わなければいけません。
もし、個人情報を不手際により漏えいさせてしまった場合は、ペナルティを受けたり、損害を受けたりすることになります。
今回は、これらのペナルティや損害について詳しく解説しましょう。

個人情報漏えいで企業が受けるペナルティ

企業の個人漏えいに対するペナルティには、刑事上のものと民事上のものがあります。
それぞれ順番に見ていきましょう。

刑事上のペナルティ

企業が個人情報を漏えいさせてしまっても、いきなり刑事上のペナルティを受けることはありません。
漏えいさせた企業に対しては、まず国から是正勧告が行われます。
こちらは行政指導の1つであり、対象企業は勧告書の内容に従って法違反を是正し、報告しなければいけません。
もちろん、企業にこちらを拒否する権利はなく、従わずに無視してしまった場合は、刑事上のペナルティが発生します。
具体的には、6ヶ月以下の懲役または30万円以下の罰金が科されます。
また、個人情報の漏えいが事故ではなく、不正に利益を得る目的を持って、故意に行われたものである場合、企業のペナルティはさらに重くなり、1年以下の懲役または50万円以下の罰金が科されることになります。
ちなみに、こちらのケースでは、実際に不正を働いた行為者、所属する企業の両方が刑事上のペナルティを受けます(企業は50万円以下の罰金)。

民事上のペナルティ

個人情報を漏えいさせた企業が受ける民事上のペナルティとは、簡単にいうと損害賠償責任のことを指しています。
どれくらいの金額を負担しなければいけないのかについては、ケースによって変わってきますが、基本的には1人あたり数千円~数万円になることが多いです。
これだけ聞くと、それほど大きな金額ではないように聞こえますが、実際企業が個人情報を漏えいさせるケースでは、何百人分、何千人分といった規模の情報を漏えいさせてしまいことも多いです。
つまり、数百万円、数千万円単位の損害賠償責任が発生する可能性もあるということです。
特に中小企業にとって、これほどの損失が出ることはかなりの痛手となります。

企業が個人情報を漏えいさせた場合の損害

刑事上、民事上のペナルティを受けること自体も、企業にとって十分大きな損害ですが、これだけでは収まらないのが個人情報漏えいの怖いところです。
法的なペナルティによるもの以外にも、企業は以下のような損害を受けることになります。

・信用の低下
・支出の増加
・業務効率の低下

信用の低下

故意かそうでないかは問わず、一度企業が個人情報を漏えいさせてしまうと、どうしても信用は低下してしまいます。
また、こちらの影響により、自社の商品が売れなくなったり、サービスの利用者が減少したりすることも考えられます。
もちろん、信用が下がるのは顧客だけではありません。
新たな取引先との取引が難しくなったり、既存の取引先との契約を打ち切られてしまったりする可能性も十分あります。

支出の増加

個人情報が漏えいした場合、企業は必ず原因を追究しなければいけません。
また、漏えいが不正アクセスによるものだった場合は、システムの復旧や改善にも取り組む必要があります。
これらの作業を行うには、当然コストがかかるため、企業は支出を増加させることになります。

業務効率の低下

個人情報漏えい後、企業は二次災害などを防ぐため、できる限りスピーディーに行動しなければいけません。
また、顧客や取引先等から寄せられる苦情、問い合わせに対しても、優先的に対応する必要があります。
しかし、このような状況が続くということは、本来行われる業務に影響が出るということであり、企業は業務効率や生産性を大きく低下させてしまいます。

企業がペナルティや損害を受けないためにすべきこと

企業が個人情報漏えいに伴うペナルティ、損害を受けないためには、とにかく基本的な漏えい対策を徹底しなければいけません。
具体的な対策は、大きく以下の5つに分けられます。

・個人情報の持ち出しに厳しい規制をかける
・資料の廃棄処理は復元できない方法に統一する
・特定の場所において、私用機器の持ち込みを禁止する
・例外を除き、独断によるアクセス権の貸与を一切禁じる
・紛失等の発覚時、スピーディーに報告するよう普段から従業員に呼びかける

企業の個人情報漏えいにおける原因のほとんどは、紛失や置き忘れ、誤操作といった管理者の注意不足によるものです。
そのため、上記のような対策により、従業員に高い個人情報保護の意識を植え付けることは、非常に効果的だと言えます。

まとめ

ここまで、企業が個人情報漏えい時に受けるペナルティ、損害の詳細を見てきましたが、いかがでしたでしょうか?
企業は前述のようなダメージを受けることがないよう、“JAPHICマーク”の取得などにより、個人情報についての理解を深めましょう。
JAPHICマークを取得すれば、個人情報について適切な保護措置を講じている企業として認められます。

タイトルとURLをコピーしました