個人情報をお漏らししてしまったら何が起こるのか（経営者編）

まずはじめに

自分の会社が個人情報のお漏らしをしてしまったら、会社はどうなっちゃうんだろう。

NTT西日本子会社による９００万件の個人情報の流出があった。

個人情報の流出は珍しい話ではない。これまでも、数多くの事案が報道されており、枚挙に暇がないといっていい。

が、続報で流れてくる情報は限られている。

結局、あの件はユーザー企業やベンダー企業はどんな責任を負ったんだ？

このような漏えい事案においては、しばしばベンダーの不適切な開発もしくは保守も問題になっている。
いざこのような漏えいが発生してしまった場合、ユーザー企業やベンダー企業はどのような対外的責任を負うのであろうか。

なんだか大変なことになりそうだということは分かるが、実際にどんな責任を負うことになってしまうんだろう。

筆者は資格を持った弁護士ですが、本稿は分かり易さ優先で書き起こしたため、例外的場面に目をつぶるなど、厳密さにはいささか欠けます。
今現在まさに問題に直面している方の役にも立つとは思いますが、そのような方の場合、実際に弁護士に相談したほうが絶対に良いです。

ユーザー企業の責任

ベンダー企業の負う責任は、顧客から情報を預かり漏えいしてしまったユーザー企業がどのような責任を負うかに大きく左右される。
ユーザー企業は、自分が負った損害あるいはその一部について、ベンダー企業に請求する可能性が高いからである。

ということで、まずユーザー企業にどのような責任が発生するのかについて取り上げる。

端的にいえば、ユーザー企業には、概ね次のような責任やペナルティが発生する。

• 個人情報保護委員会や本人への報告義務が発生する。
• お漏らしが発生した場合、個人情報保護法違反となっていることが多い。
  このため、個人情報保護委員会からの叱られが発生する。
• 本人から損害賠償請求をされる。
• 企業の社会的評価が低下する。ケースによっては炎上して袋叩きにあう。

以下ではこれを順番にみてみる。

個人情報保護委員会への報告義務と本人への通知義務の発生

いざ何らかの個人情報の漏えいが発生してしまった場合、最初に担当者が考えることは、何とか黙っておいてごまかせないか、であろう。

皆、弱い人間だもの。分かる。

実際社内限りで処理してしまい、これがうまくいって表に出てこないケースだってあるだろう。

しかし、個人情報保護法上は、個人情報保護委員会への報告義務と本人への通知義務が定められている。
自首せよという訳だ。
これは当該漏えい等に起因する被害の拡大防止や再発防止が趣旨である。

もっとも個人情報が漏れた場合すべてにおいて、このような報告義務が課せられているわけではない。

ここでは、どのような場合に、個人情報保護委員会への報告義務と本人への通知義務が発生するのかを説明する。

個人情報が漏れた場合、どのような場合に報告義務が生じるのか

個人情報保護法上の報告義務が生じるのは、次の場合に限定されている。

①　個人データの
②　漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって
③　個人の権利利益を害するおそれが大きいものとして施行規則で定めるものが生じたとき

このような事態が生じた場合を、報告対象事態と呼んでいる。
以下、それぞれを具体的にみる。

①　個人データとは

まず、「個人データ」の漏えい等が起きた場合でなければここにいう報告義務は発生しない 。

「個人情報」が漏れただけでは、ここで指摘する報告義務は発生しないのである。
では、「個人情報」と異なる「個人データ」とは何なのか。

「個人データ」とは、「個人情報データベース等」を構成する個人情報である。
つまり、データベースを構成していなければ、個人データ足りえない。

そして、「個人情報データベース等」とは、個人情報を含む情報の集合物のうち、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したものとされている。

分かりにくくなってきた。

ここでのポイントは、情報の集合物を検索することができるように体系的に構成したものという部分である。

いくつもの個人情報を体系的に整理していなければ、「個人情報データベース等」にはあたらない。

単独の個人情報でもダメだし、いくつもの個人情報の集合であっても、個人情報がデタラメに並んでいたとした場合、それを検索機能を用いて探し当てることができるとしても、体系的に構成したものではないため、「個人情報データベース等」にはあたらないのである。

現在の技術では体系的に整理されていなくても容易に情報の検索は可能であるからさすがにこれは時代遅れでは、と指摘されてもいるが、少なくとも現在の個人情報保護法ではそうなっている。

このように体系的に整理された「個人情報データベース等」を構成する個人情報だけが個人データにあたるのであり、未整理だった単なる個人情報は個人データにはあたらないから、これが漏れても個人情報保護法上は報告義務の対象ではない。

データベースに不正にアクセスされ情報を窃取されてしまったような場合は、データベースは普通体系的に整理されているから、個人データの漏えいがあったということになるが、顧客から口頭で聴き取った個人情報を書きつけたメモ１枚を落としてしまった場合は、多くの場合これにあたらないことになる 。

②　漏えいとは

次に、「漏えい、滅失、毀損その他の個人データの安全の確保に係る事態」である場合でなければ、個人情報保護法上の報告義務は生じない。
本稿はお漏らしに関する解説記事なので、このうちの「漏えい」について説明する。

これは漏えいと聞いて一般的にイメージするものほとんどそのままである。
個人データが外部に流出することをいう。

例えば、個人データが含まれるファイルを添付したメールを誤爆してしまった場合や、アクセス制御を誤ってインターネット上で個人データの閲覧が可能な状態になっていたとか、USBメモリ等の媒体が盗難されたとか、不正アクセスにより窃取されたなどの場合である。

ただ、外部に流出してしまった場合でも、第三者に閲覧されないうちにすべて回収した場合は、漏えいに該当しないとされる。
また、高度な暗号化その他の個人の権利利益を保護するために必要な措置が講じられている場合についても、報告を要しないとされている。

③　個人の権利利益を害するおそれが大きいものとして施行規則で定めるものとは

個人の権利利益を害するおそれが大きいものとして施行規則で定める場合とは、次のいずれかの場合である。

• 要配慮個人情報が含まれる個人データの漏えい等が発生し、または発生したおそれのある場合
• 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、または発生したおそれがある場合
• 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある場合
• 個人データに係る本人の数が1000人を超える漏えいが発生し、または発生したおそれがある場合

ざっとその内容を説明する。

このうち、要配慮個人情報とは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

典型的には、病院の診療情報が漏れたような場合である。
要配慮個人情報にあたるかどうかについても、必ずしも明白ではなく判断が微妙なところがある。　　

不正に利用されることにより財産的被害が生じるおそれがある場合とは、典型的には顧客のクレジットカード番号が漏れてしまったような場合である。　　

不正の目的をもって行われたおそれがある個人データの漏えいとは、不正アクセスやマルウェアにより漏えいが生じたような場合が代表的な例である。

個人情報保護委員会への報告

上記のような各事情が存在する場合には、事業者には個人情報保護委員会への報告義務が生じる。

この場合、ただちに個人情報保護委員会に報告する「速報」と、調査を進めておよそ一月後に報告する「確報」の両方を行うことになる。

速報

このうち、速報は知った後「速やかに」行う必要があるとされている。

そして「速やかに」とは、知った時点から概ね３～５日が目安である。
猶予期間はかなり短い。

報告事項は次のようなものである。
このうち、報告しようとする時点で把握している内容の報告で足りるとされる。

①　概要
②　個人データの項目
③　本人の数
④　原因
⑤　二次被害またはそのおそれの有無およびその内容
⑥　本人への対応の実施状況
⑦　公表の実施状況
⑧　再発防止のための措置
⑨　その他個人情報保護委員会が当該事態を把握する上で参考となる事項

確報

確報は、原則として上記①ないし⑨のすべての事項を、当該事態を知った日から30日以内に行う。

ただし、不正の目的を持って行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある場合においては60日以内であるので、少し猶予期間が長くなる。

その他

なお、個人情報取扱いの委託先が、個人情報保護委員会への報告義務を負っている委託元に対し、①ないし⑨のうちその時点で把握しているものを通知したときは、委託先の委員会への報告義務は免除される。

小括

隠蔽を図ると、後にそのことが発覚した場合、事態がコントロール不能になり企業にとって致命傷になるおそれがある。漏えいは多くの場合過失によるものであるが、隠蔽は故意によるものである。非難の程度はどう考えても飛躍的に高くなる。

本当は良くないことではあるが、現在のところ、個人情報を漏えいしてしまった上で個人情報保護委員会への報告が必要になるような企業の数は少なくなく、同種案件は多数あるから、よほどの案件でない限り、報告をしたことが原因で致命傷になる可能性は低い。

他方、隠蔽を図り発覚した案件はどうやっても悪目立ちする。報告は素直にしてしまった方がリスク管理の観点からはメリットが大きいと思う。

本人への通知

また、上記のような事態が生じた場合には、漏れた個人情報の本人への通知義務も生じる。

通知事項は次のようなものである。

①　概要
②　個人データの項目
③　原因
④　二次被害またはそのおそれの有無およびその内容
⑤　その他本人が当該事態を把握する上で参考となる事項

本人への通知を行うべき時期としては、報告対象事態の状況に応じて、「速やかに」通知を行う必要があるとされる。

ここでいう「速やかに」とは、把握している事態の内容、通知により本人の権利利益が保護される蓋然性、通知されることで生じる弊害等を勘案して、個別具体的に判断されるとされている。

本人への連絡先が不明であるなど、通知が困難である場合には、事業者サイトでの事案の公表や、問合わせ窓口を用意して連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにするなど、必要な代替措置を講ずることにより、通知をしないことが認められている。

報告対象事態にあたらない場合

上記の報告対象事態にあたらない場合、個人情報保護法上の報告義務は生じない。
ただこの場合でも、漏えい等が生じた場合には、被害が発覚時よりも拡大しないよう必要な措置を講ずる必要があるとされている。
このため、状況によっては結局本人への通知が必要になることもあるだろう。

個人情報保護委員会からの叱られ

個人情報保護委員会からの叱られと題したが、より正確には、個人情報保護委員会による次のような処置がこれにあたる。

• 報告もしくは資料の提出の求め
• 職員による立入・質問・検査
• 指導・助言
• 違反行為の中止その他違反を是正するために必要な措置を取るべき旨の勧告、命令

報告の懈怠または虚偽報告、命令違反に対しては、罰則が課される。

また、これとは別に、個人情報保護委員会からの公表の対象となることがある。

ここで個人情報保護委員会からの世間への公表がどの段階でなされるか気になるところである。

実際に公表された事案をみていると、漏えいした情報の本人の数が数万に及ぶような場合や、漏えいした情報が機微な情報かどうかなどを考慮して、社会的影響力が大きいといえるような事案については、指導があっただけの案件でも公表されてしまっているようである。

本人からの損害賠償請求

本人から損害賠償の請求をされたらどうなるのか。

この点、個人情報の漏えい事故を発生させてしまった場合、企業には損害賠償義務が生じてしまう。

法律的な根拠としては、次のようなものが考えられる。

• 直接事故を発生させた従業員を使用する者としての使用者責任
• 安全管理措置や監督義務違反を理由とする不法行為責任
• 本人との間の契約義務違反を理由とする債務不履行責任 など

が、もっとも気になるのは、いくら支払うことになってしまうのか、という点である。

当社は被害者にいったいいくら支払うことになってしまうのか。

この点、実は、過去の裁判例を見る限りでは、漏えいした情報がどのようなものかや拡散の程度、二次被害の発生の有無等により金額は変わりうるのではあるが、ごく例外的な事案を除けば、一人あたりの金額で言えば多くとも３万５０００円程度の損害賠償金が認められているに過ぎない。

裁判を起こされるところまでこじれても、一人３万５０００円。

思ったより少ないのではないか。

一人あたりの金額がこの程度に留まっているので、本人側からすれば、訴訟を起こそうにも弁護士費用などを考えると赤字になりかねない。
また弁護士側が完全成功報酬制を採用するなどしたため、弁護士費用の負担がない場合であったとしても、被害者が訴訟まで起こす動機付けとしてはかなり弱い。

このため、裁判を起こしてまで請求しようとする人間は、必ずしも多くはないというのが現状であるといってよい。

一人あたりの賠償額が現在のところ多額ではないので、企業にとって重要なのはどのくらいの人数が損害賠償請求をしてくるかという点である。

不必要に社会の耳目を集めない、つまり炎上させないことは、企業の社会的評価を低下させないためにも重要であるが、高額の損害賠償請求を避けるためにも重要である。

企業の社会的評価が低下する

結局、これが一番怖いのではないか。

特に一般ユーザーにナメた態度をとっているという印象を持たれてしまい、炎上することは非常に怖い。

これに関しては明らかにNGな対応はあるものの、明確に正解といってよいような対応方法もまた、ない。
はっきり言って炎上するときは炎上しているものと思われる。

対応を誤ると、せっかく会社の信用とブランド価値を築き上げたのに、それを著しく毀損するばかりか、会社や代表者の名前が個人情報を蔑ろにした罪人として、デジタルタトゥーとして残ってしまうおそれまである。

短期的には、多少の信用の失墜や出費は覚悟してでも、真摯な対応を行っているというイメージを顧客や世間に持ってもらうよりない。
漏えいしてしまった以上、ダメージはどうやっても出るものと腹をくくり、致命傷を避けるつもりで対応しなければならない。

ベンダー企業の責任

ベンダー企業が個人情報取扱事業者にあたる場合には、ベンダー企業についても、ユーザー企業のところで述べたような報告義務、個人情報保護委員会による指導・助言等が生じる可能性があり、また本人からの損害賠償請求をされるおそれもある。

ベンダー企業の場合は、さらにユーザー企業から、契約責任もしくは不法行為責任を理由とした損害賠償請求がなされることがありうる。

ベンダー企業の契約責任をユーザー企業が問うにあたっては、仕様書やSLAにより契約の内容を特定することになり、両当事者間の契約により定められた義務をベンダーが履行したかどうかが問題になる。

ユーザー企業がベンダー企業の責任を問えることになった場合、損害賠償の金額が問題になるが、上記ユーザー企業の責任で述べた本人への賠償額を含めたユーザー企業が負った損害を、相当因果関係の範囲で請求できることになるだろう。

具体的には、事故原因の調査費用やクレーム対応費用、機会損失により生じた逸失利益の請求などが考えられる。情報漏えいの直接の被害者たる本人からの請求は上記で述べたとおり、今のところ限定的である。
それよりも、こちらのベンダー企業からの請求の方が高額になる可能性が高い。

最後に

以上のとおり、個人情報のお漏らしが生じた場合、ユーザー企業、ベンダー企業ともに金銭的なダメージを受けることはもちろんではあるが、少なくとも、よく心配される被害者からの直接の損害賠償請求については、今のところは限定的なものとなることが多い印象である。

他方、対外的な対応を誤り炎上してしまうと、致命的なダメージを受ける危険性が高くなる。
対応にあたっては、世評に配慮した炎上防止が最も重要な点であるといってよいように思う。