企業が負っている一つのリスクに個人情報の漏洩があります。
個人情報保護法上、個人情報というのは、生存する個人に関する情報であって、当該情報に含まれる記載・記録等によって個人を識別することができるものや、マイナンバー等、個人を識別できる符号を含むものをいいます。
この個人情報保護の漏洩の問題は、IT企業のみならず、全ての企業が直面し得る問題です。
個人情報の中には、消費者等の顧客情報も含まれますし、労働者等、会社内部の個人の情報も含まれます。
個人情報の漏洩のルート
個人情報の漏洩のルートは大きく二つに分けられます。一つは企業の外部者による漏洩、もう一つは企業の内部者による漏洩です。
①外部者による漏洩
外部者による漏洩が問題となった有名な事件としては、外資系保険会社の個人情報が漏えいした事件があります。
同保険会社の代理店の従業員が所持していたパソコンが盗難に遭い、そのパソコンには、10数万人の個人情報が記録されていました。
②内部者による漏洩
内部者による漏洩が問題となった有名な事件としては、未成年者向けの学習塾や通信教育を業とする会社において、個人情報が流出した事件です。
流出した顧客情報は、約3500万件とも言われています。この情報の漏洩は、派遣社員が情報を持ち出して、名簿業者に売却したことによるものと言われています。
個人情報が流出した場合の企業・会社の責任
個人情報が流出した場合、会社はその責任を問われます。
社会的信用の低下という無形のものもあれば、行政的・刑事的な責任を問われることもあります。
さらに、情報漏えいの被害にあった個人から、損害賠償請求がされることもあり得ます。
会社の民事の損害賠償責任について
個人情報が漏えいした場合の民事の損害賠償責任は、1件1件は軽微な額で収まることも少なくありません。
情報の重要性や価値等に応じて、損害額は異なりますが、数千円から数万円程度となることが多いようです。
もっとも、1件1件の損害額は小さくとも、多数の個人情報が漏えいしてしまった結果、その全体の被害額が大きくなることもあります。
たとえば、一人当たりに支払う慰謝料が5000円だとしても、1000人のデータが流出した場合、計算上、会社は、500万円の賠償義務を負うことになります。
取り扱う個人情報の数が多い通信事業者や不特定多数の消費者を相手とする事業者は、情報漏えいのリスクの顕在化によるダメージが致命傷となることもあり得ます。
「具体的な損害がない」は反論にならない!?
この点、法律を学ばれたことが有る方は、情報漏えいが有ったとしても、当該個人が、具体的に生じた損害を立証しない限り、賠償責任はないのではないか、と考えられる方もいるかもしれません。
この点については、上記内部者による漏洩事件として紹介した学習塾経営会社の裁判が参考になります。
この事件の裁判において、高等裁判所が、情報漏えいの被害にあった個人に関し「不快感や不安を超える損害を被ったことについて主張立証がされていない」として、請求を棄却したのに対し、最高裁は次のように述べて、高裁の判決を破棄しています。
本件個人情報は、上告人のプライバシーに係る情報として法的保護の対象となるというべきであるところ・・・本件漏えいによって、上告人は、そのプライバシーを侵害されたといえる。
しかるに、原審は、上記のプライバシーの侵害による上告人の精神的損害の有無及びその程度等について十分に審理することなく、不快感等を超える損害の発生についての主張、立証がされていないということのみから直ちに上告人の請求を棄却すべきものとしたものである。
そうすると、原審の判断には、不法行為における損害に関する法令の解釈適用を誤った結果、上記の点について審理を尽くさなかった違法があるといわざるを得ない。
安全管理措置
上記最高裁の判決の評価は様々ですが、財産上の損害が無くても、情報漏えいによるプライバシー侵害(法益侵害)に伴う精神的苦痛が賠償の対象となりことを示唆しているものと思われます。
企業としては無形の情報の流出だからと言って決して軽視できません。
法律上も、リスクマネジメントの観点からも、企業には、個人情報の漏えいを防止するための安全管理措置を講ずることが求められます。
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
