弁護士が語る！経営者が知っておきたい法律の話（第13回）明日は我が身…個人情報を流出させないための第一歩

公開日：2015.10.05

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　たびたび世間で話題となる個人情報流出問題。最近も大手企業から3,500万件を超える個人情報が流出したとして、世間で話題となっています。

　そこで今回は、個人情報が流出してしまった場合の問題点と、その防止策を考えてみましょう。

管理すべき個人情報は何か

　そもそも個人情報とは、個人情報保護法にて【1】生存する個人に関する情報であって、【2】特定の個人を識別可能な情報のことと定められています。そのため、顧客だけでなく、社員などの住所、氏名、電話番号などはもちろん、防犯カメラの記録された映像なども個人情報となります。

　しかし、上記に該当しない場合（法人に関する住所録、個人名などの入っていないメールアドレスなど）であっても、流出によって、プライバシーや名誉・信用が侵害される場合には、損害賠償の原因となります。

　そのため、企業が管理すべき個人情報とは、個人情報保護法で定める範囲よりも広く、個人や企業に関する情報と認識しておくべきでしょう。

　なお個人情報は、その情報ごとに重要度が異なります。社会的な差別につながるおそれのある情報、たとえば政治的な活動歴、宗教、犯罪歴、医療情報などは、住所や氏名などの情報よりも、機密性が高く、漏えいによる損害も大きいため、厳重に管理しなければいけません。
　そのため、これらの情報は、むやみに収集・保持をしないほうが得策といえます。

個人情報が流出するとどうなるのか

　では、個人情報が流出した場合、企業にどのような悪影響があるのでしょうか。

　個人情報が流出した場合、個人情報保護法違反として勧告・命令など行政による規制を受ける可能性があります。また、プライバシー侵害等を理由とした賠償責任が生じます。苦情などに対応するために従業員の時間も割かれ、業務も停滞しかねません。

　最近は、上記の賠償責任を意識して、情報流出に対する補償金を500円として問題解決を図っている企業が多いようです。しかし裁判によっては、流出した情報内容や二次被害の有無などもふまえ、数千円から数万円程度の損害が認められていることもあります。そのため、情報流出した場合、500円では済まない可能性があることは意識する必要があるでしょう。

　さらに、このような事態になれば、会社の情報管理体制を疑われ、消費者や取引先からの信用は一気になくなることも予想されます。これらの結果、株主代表訴訟などにより、役員の責任追及がなされることもあります。

　このように、個人情報が流出した場合には、さまざまな悪影響があります。情報化社会において企業が保有する個人情報は増加しています。そのため、1件1件の賠償額が小さくても、企業が倒産するリスクすらあるのです。

個人情報をどう管理するか

　では、そのような個人情報をどのように管理すればよいのでしょうか。…

　個人情報保護法では、個人情報取扱事業者（個人情報保護法2条3項）に対し、個人情報の安全管理のために必要・適切な措置を講じることを義務付け（同法20条）、また、従業者や委託先を監督することも義務づけています（同法21条、22条）。しかし、法律には具体的な内容までは記載してありません。

　そこで参考になるのが、国が定めた個人情報の保護に関するガイドラインです。ここでは、27分野について39のガイドラインが策定されています。一般的な企業は、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン（PDF）」を参考にすると良いでしょう。

　上記ガイドラインを元に、自社で個人情報が管理できているか否かが確認できるチェックリストを作成してみみました。このチェックリストに一つでも該当するようであれば要注意です。自社の状況をチェックしてみましょう。

　□　個人情報の管理に関し、内部規定がない
　□　個人情報の取得、利用、管理、消去などの作業担当者、責任者が決められていない
　□　雇用契約時などに個人情報等の守秘義務を課されていない
　□　個人情報に関する教育、研修がない
　□　離席時に、個人情報が入った書類等を放置することがある
　□　個人情報のバックアップをとっていない
　□　個人情報にアクセスする際にID、パスワードなどが不要である
　□　従業員等がアクセスできる個人情報の範囲、内容が同じである
　□　ウイルス対策ソフトなどを導入していない
　□　個人データをインターネット等で送信する際に暗号化していない

情報流出事例から予防策を考える

　ところで、これまでの情報流出事件では、何が原因で情報が流出していたのでしょうか。

　実は、社員が個人情報の入ったパソコンを置き忘れた、個人情報を誰でもアクセスできるサーバーに保存してしまったという「うっかり」事案や、内部のものが名簿業者などに個人情報を売るなどして流出する「裏切り」事案がほとんどであり、いわゆるハッカーなどによる個人情報の流出などはそこまでは多くありません。しかも、問題なのは、「裏切り」事案の場合、流出者にアクセス権限があるため、セキュリティーの高さとは無関係に情報流出がおこります。

　そのため、情報流出をさせないためには、「従業員等」に対し、個人情報の重要性を十分に教育する必要があります。また、「裏切り」事案の場合には、待遇などの不満が引き金となることがあるため、実は労働環境の整備も重要になってきます。

　個人情報の具体的な管理方法などは、営業秘密の保護と重なるところが多いため、「第2回　『営業秘密』を不当に持ち出されてしまう前に」での管理方法も参考にしてください。

　もっとも、どんな措置を講じたとしても情報流出の可能性は完全にはなくなりません。そのため、できる限り不要な情報を持たないとの意識を持つことも重要です。これまでは、できる限り多くの情報を保有したいと考えていた企業が多かったかもしれません。しかし、今後は、どのような情報を何のために使うのかをより明確にし、不要な情報は捨てる時代がくるのではないでしょうか。

もしも個人情報が流出したら

　情報流出を100％防げない以上、情報流出してしまったときのことも考えておきましょう。ここで最も大切なことは、「誠実さ」です。対応によっては、むしろ企業価値を高めることにもつながるため、しっかりと対応したいところです。もっとも、事件が起こってから考えたのでは十分な対応ができないことも考えられるため、事前に対応手続きを定めておくべきです。

　では、どのような内容を定めるべきでしょうか。
　まず必要なことは、速やかな原因究明です。場合によっては、警察とともに原因究明をすることも検討しましょう。

　次に、迅速・適切な情報開示（原因、規模、内容等）が必要です。流出した情報によっては、二次被害などが予想される一方で、流出の事実を事前に伝えることでその被害を防げるもの（架空請求など）もあります。そのため、被害を少なく見積もるなどせず、むしろ、不確定ではあるがということで情報公開・予防をし、のちに流出していなかったと訂正するような対応のほうががよいのではないでしょうか。

　さらに、情報の流出先からの情報の回収、再利用の禁止なども二次被害の防止のために必要です。

　情報流出の被害者たちをたらいまわしにしないために、専門の電話回線を設けるなどし、対応部署や対応方針も決めましょう。この場合の対応としては、「第1回　悪質なクレーマーから会社を守るために必要なこと」も参考にしてください。

　そして、最後には、謝罪や補償金の支払い、再発防止策の提案などとともに、役員等の処分を適切に行うことも必要でしょう。

　このように、個人情報流出事件においても、実は労働環境が重要です。就業規則等を整備して安全管理措置をとることも重要ですが、企業にとって一番大切なものは「人」であることは忘れないようにしたいですね。

※掲載している情報は、記事執筆時点（2015年1月9日）のものです。

続きを読むにはログインが必要です

\ かんたん入力で登録完了 /

本間由也

こだまや法律事務所代表弁護士／税務調査士

1982年生まれ。2004年明治学院大学法学部法律学科卒業、2007年明治学院大学法科大学院法務職研究科法務専攻卒業。翌2008年に司法試験合格。紀尾井町法律事務所での勤務を経て、2011年1月法テラス西郷法律事務所初代所長に就任。2014年2月こだまや法律事務所を東京都国分寺市に開所、現在に至る。

【T】