企業が個人情報を流出させてしまった場合、場合によっては損害賠償の責任を負ってしまうこともあります。
企業が支払わなくてはいけない損害賠償の金額はどれくらいなのか、実際に損害賠償が発生した事例も交えて紹介します。
企業が個人情報を流出させてしまった場合の賠償責任は2種類
企業が個人情報を流出させた場合、個人情報保護法に基づいた罰則の対象になることがあります。
まずは個人情報が流出した企業に対して、命令や勧告が主務大臣から出されます。
もしこの命令や勧告にも従わなかった場合、企業(代表者)には6ヶ月以下の懲役、または30万円以下の罰金という「刑事上の責任」が科されることになります。
もう1つは、企業において個人情報を流出させた張本人である従業員に対する「民事上の責任」です。
個人情報が流出した原因が、その従業員の過失であると認められた場合、民法709条に基づいて、従業員は賠償責任を負うことになります。
ちなみに企業の従業員による個人情報流出の場合、ほとんどは過失があると認められることになります。
もちろん、従業員だけが民法上の責任を負う訳ではありません。
企業は従業員の管理・監督を怠ったと判断され、民法715条の「使用者責任」という規定に違反したことになります。
つまり1人の従業員によって個人情報が流出した場合、企業がその責任を取る義務があるということです。
個人情報流出によって損害賠償が発生した事例を紹介します
1999年に、京都府宇治市で発生した個人情報流出事件です。
宇治市は住民基本台帳のデータ入力を業者に委託したのですが、その下請け先の従業員がデータを不正にコピーし、名簿業者に販売していたことが発覚しました。
この行為によって、約22万人分の個人情報(氏名、住所、生年月日など)が流出し、歴史的な大事件となってしまいました。
結局、宇治市は流出した個人情報1件に対して15,000円の損害賠償を支払うことが命じられています。
15,000円と聞くとそれほど大きな額でないように思いますが、流出したデータの数は約22万件です。
実際の原告は3名しかいなかったものの、もしこの事例において約22万人全員が訴訟を起こしていた場合、宇治市は約30億円という莫大な損害賠償を支払うことになっていたのです。
この事例は非常に悪質で、名簿業者に販売された住民基本台帳のデータはさらに転売されていたことも発覚しています。
企業はこのような事例があることを把握し、1人の従業員が個人情報を流出させることによって、壊滅的なダメージを負う可能性があることを認識しましょう。
またこの事例は、宇治市の職員が引き起こした個人情報の流出でないというところがポイントです。
正確には委託先の従業員に責任があるのですが、訴訟の対象は宇治市になってしまったというところも、話題になった原因でしょう。
まとめ
個人情報の流出によって企業が賠償責任を負った場合、立て直しが不可能なほどのダメージを負う可能性があるというのは、理解して頂けたかと思います。
企業はJAPHIC(ジャフィック)マークなどの「第三者認証マーク」を取得し、適切な自社の個人情報保護体制を作り上げ、損害賠償からはかけ離れた安全な企業を目指しましょう。
