本ページはアフィリエイト広告プログラムによる収益が発生しています。
情報漏洩が発生すると、罰金や懲役の対象となったり損害賠償請求をされたりと、さまざまな処罰の対象となってしまいます。罰則の適用までには至らなくても、立入検査・指導・勧告・命令などを受けることもあり、注意が必要です。
| 法律名 | 情報漏洩による処罰内容 |
| 個人情報保護法 | ・6ヶ月以下の懲役または30万円以下の罰金・悪質な場合は1年以下の懲役または50万円以下の罰金 |
| 民法 | ・不法行為による損害賠償請求や債務不履行による損害賠償の責任を問われる |
| 不正競争防止法 | ・10年以下の懲役または2,000万円以下の罰金・情報漏洩によって営業上の利益を侵害したら損害賠償請求の対象となる |
このような処罰は、情報の管理業務を委託し委託先の企業が情報を漏洩させてしまった場合でも、対象となる可能性があります。「委託している業務だから」と安心できないのが、情報漏洩の怖いところです。
想定外の処罰を受けて思わぬ損失を出してしまわないためにも、処罰の内容を正しく把握して適切な予防策を講じる必要があります。そこで今回は、情報漏洩の処罰について、以下のポイントを確認しておきましょう。
・情報漏洩の処罰に関する法律とその内容
・情報漏洩で漏洩させた本人が処罰される場合
・漏洩した情報を保有する企業が処罰される場合
・処罰以外の情報漏洩による影響
・処罰を避けるためにやっておくべき情報漏洩対策
この記事では、処罰内容を踏まえてどのような対策が必要なのかについても解説しています。処罰内容など情報漏洩による影響を正しく把握することで、効果的な情報漏洩対策を取ることが可能になるでしょう。思いがけず重い処罰の対象にならないようにするためにも、しっかりと確認しておいてください。
【PR】ホワイトペーパー|株式会社 網屋
・内部不正による情報漏えいが”なぜ”起こるのかを実例を用いて解説。
・AIを用いた内部不正による情報漏えいの対策を解説。
・他社の情報漏えいの事例を交えながら対策ポイントを3つ解説。
前述のとおり、情報漏洩による処罰は重大です。そんな情報漏洩は外部攻撃だけが原因ではないのです。
「退職予定者が社内の技術情報を盗み、ライバル企業に転職した」をはじめとした内部の不正による情報漏えいが後を立ちません。そんな情報漏えいが”なぜ起きるのか?””どうすれば内部不正による情報漏えいを防ぐことができるのか?”を解説したのが本ホワイトペーパーになります。
「内部不正による情報漏えいの実態が知りたい」「内部不正による情報漏えいへの対策が知りたい」と思われた方はぜひご確認ください。
1. 情報漏洩が発生すると罰金・懲役などの処罰対象になる
冒頭でもお伝えしたとおり、情報漏洩が発生すると、罰金や懲役などの処罰対象になってしまいます。そこでここでは、まず、情報漏洩の処罰の内容や根拠となる法律などを押さえておきましょう。
情報漏洩の処罰について押さえておきたい基本ポイント
- 処罰内容
- 処罰対象となる法律例とその概要
どのような根拠に基づいて、どのような処罰を受ける可能性があるのか、具体的に解説します。
1-1. 情報漏洩による処罰内容
情報漏洩に関係する処罰は、個人情報保護法・民法・不正競争防止法などで以下のとおり定められています。
| 法律名 | 情報漏洩による処罰内容 |
| 個人情報保護法 | ・個人情報を漏洩した場合・6ヶ月以下の懲役または30万円以下の罰金・悪質な場合は1年以下の懲役または50万円以下の罰金 |
| 民法 | ・情報漏洩によって権利利益を侵害した場合、不法行為による損害賠償請求の対象となる・情報漏洩したことで秘密保持契約などの契約に違反する場合は、債務不履行による損害賠償の責任を問われる |
| 不正競争防止法 | ・情報漏洩によって営業上の利益を侵害した場合に対象となる・不正な目的で営業上の秘密を漏洩したら10年以下の懲役または2,000万円以下の罰金・情報漏洩によって営業上の利益を侵害したら損害賠償請求の対象となる |
このように、情報漏洩をすると刑事上の罰則や民事上の請求の対象になるなど、さまざまな責任を負うこととなります。情報漏洩の責任は漏洩した従業員本人だけでなく、企業も責任を問われるため注意が必要です。
1-2. 処罰根拠となる法律例とその概要
情報漏洩の処罰の根拠となる法律で代表的なものは、個人情報保護法・民法・不正競争防止法です。
それぞれどのような法律なのか、概要を確認しておきましょう。
| 法律名 | 法律の概要 |
| 個人情報保護法 | ・2005年に施行された個人情報を保護するための法律・氏名や生年月日・マイナンバーなどの個人情報を1件でも取り扱う企業は、この法律の対象になる・個人情報の取得・管理・消去や個人情報保護の体制づくりなどに関する対応を企業に求めている・定められた義務に従わない場合などに刑事罰が科される |
| 民法 | ・契約や財産関係などについて定めた法律・情報漏洩時は不法行為責任と債務不履行責任が関係する |
| 不正競争防止法 | ・企業間の競争における不正行為を禁止する法律・秘密保持契約を結んでいた機密情報の漏洩時に、損害賠償請求の根拠として使われる場合がある |
このように、情報漏洩が発生するとさまざまな法律の処罰規定に基づき、責任を問われることになります。以上のような関係する法律を確認しておくことで、自社のどのような業務に情報漏洩によって処罰されるリスクがあるのかがわかるため、有効な対策を取りやすくなります。
2. 情報漏洩をした個人が処罰対象となる場合
情報漏洩を起こすと、まずは情報を漏洩させた従業員自身の責任が問われます。
この場合、情報漏洩者が損害賠償責任を負うべきなのは、
・個人情報を漏洩された対象者本人
・個人情報を保有し管理していた企業
の2者に対してです。
なお、不正な目的で個人情報を漏洩させた場合、上記に加えて個人情報保護法に基づく罰則(1年以下の懲役または50万円以下の罰金)も適用されます。
以下で詳しく見ていきましょう。
2-1. 個人情報を漏洩された対象者本人への賠償責任
例えば、Aさんの個人情報を漏洩させてしまった場合、Aさん本人から、民法の不法行為に基づく損害賠償請求を受ける可能性があります。
ただし情報漏洩をしたら必ず損害賠償請求を受けるわけではありません。
次の条件を満たす場合に損害賠償の対象となります。
▼損害賠償の対象になる場合
・故意(わざと)や過失(不注意でうっかりして)により情報漏洩した
・情報漏洩により損害が発生した
クレジットカードの情報流出の場合を例に挙げると、以下のとおりです。
| 漏洩したクレジットカード情報が不正利用され損害が出た場合 | 損害賠償の対象 |
| クレジットカード情報は漏洩したもののすぐに回収され不正利用されなかった場合 | 損害賠償の対象外 |
2-2. 情報を保有し管理していた企業への賠償責任
漏洩した情報が、情報を保有する企業にとって営業上の秘密にあたる場合、民法の不法行為もしくは不正競争防止法に基づく損害賠償請求を受ける可能性があります。
営業上の秘密と言えるためには、次の3つの条件すべてを満たすことが必要です。
▼損害賠償の対象になる条件
| 秘密管理性 | ・客観的に見ても、秘密にしているとわかる状態で保管されていること・例えば、アクセス制限がかけられ秘密保持義務が課されているなど、従業員や部外者から見ても秘密とわかる状態であること |
| 有用性 | ・客観的にも事業に役立つ情報であること・顧客情報、実験データ、設計図、マニュアルなど |
| 非公知性 | ・一般的に入手できる情報ではないこと・インターネットで検索すればわかる情報や文献に載っている情報、学会発表された内容などは、非公知性を満たさない |
例えば、他社に知られていない客観的にも非常に有益な営業上の独自のノウハウなどが該当します。
この他にも、情報漏洩者が情報を保有・管理する企業の従業員である場合、就業規則や雇用契約に違反することを理由に、損害賠償や懲戒などの処罰を受ける可能性があるでしょう。
3. 漏洩した情報の保有企業が処罰対象となる場合
個人情報が漏洩した場合、情報漏洩者以外に、漏洩した個人情報を保有していた企業も処罰を受ける可能性があります。この場合、情報を漏洩させたのが、自社の従業員であっても委託先の従業員など社外の者であっても、処罰の対象になることに注意が必要です。
具体的には、漏洩した情報の保有企業は、民法の使用者責任・債務不履行に基づく損害賠償責任や個人情報保護法に基づく罰則などの対象となります。
3-1. 民法に基づく損害賠償責任
まず、漏洩した情報を保有する企業が損害賠償責任を負う代表的な場面は、以下の2つです。
▼損害賠償の対象になる場合
・自社の従業員や委託先の監督責任を理由とする場合(使用者責任)
・秘密保持契約などを結んでいた情報が漏洩した場合(債務不履行責任)
上記の「債務不履行に基づく損害賠償責任(債務不履行責任)」については、情報を適切に管理することについて何らかの契約をしていない限りは発生しません。
一方で使用者責任に基づく損害賠償責任は、成立範囲が広いため注意が必要です。
以下で紹介する1999年に発生した宇治市の事例では、再々委託先のアルバイトによる情報漏洩についても、委託元に損害賠償責任が認められています。
宇治市の住民基本台帳データ漏洩事案
| 情報漏洩に至った経緯 | ・宇治市が乳幼児検診用システムの開発を委託した際に、再々委託先の企業のアルバイトの従業員が販売目的で個人情報をコピーし売却・その後データはさらに転売され、当該データの販売広告がインターネット上に掲載された |
| 情報漏洩の結果 | ・住民基本台帳の掲載データ約22万人分が漏洩・宇治市は使用者責任を問われ、1人あたり1万円の慰謝料と5千円の弁護士費用を支払うよう命じる判決が下りた |
3-2. 個人情報保護法に基づく罰則
個人情報を漏洩させた場合は、情報漏洩の被害者から訴訟を起こされることで発生する損害賠償以外に、以下のとおり個人情報保護法に定められた罰則による処罰内容の対象になります。
| 個人情報を漏洩した場合 | ・30万円以下の罰金・国の個人情報保護委員会から報告徴収・助言・勧告・命令などが行われ、これに違反すると上記の罰則が適用される |
| 不正な目的で個人情報を漏洩した場合 | ・50万円以下の罰金・発生したらすぐに上記の罰則が科される |
不正な目的のない個人情報漏洩の場合は、速やかに個人情報保護委員会に報告し、その命令に従うことで罰則の適用を回避することが可能です。このように情報漏洩が発生してしまった場合は、適切な初動対応が重要になります。
4. 情報漏洩による処罰以外の影響
情報漏洩が発生すると、処罰以外にも悪影響が発生します。
ここでは、代表的な影響を確認しておきましょう。
情報漏洩による処罰以外の影響2つ
- 企業イメージが低下する
- 顧客・取引先を失う
情報漏洩がどのような損失を企業にもたらすのか、以下で解説します。
4-1. 企業イメージが低下する
情報漏洩が起こってしまうと、重要な情報の管理もできない企業ととらえられ、企業イメージが低下してしまいます。
個人情報や機密情報などは、事業を円滑に進め効果的に利益を出すために欠かせない情報資産と言えるでしょう。その管理がうまくできておらず漏洩させたとなると、「この企業は今後も安定して利益を出せるのだろうか」と疑念を持たれ、企業イメージが低下してしまうのです。
企業イメージが低下すると、投資家が離れる・株価が低下する・借入がしづらくなるなどの影響が発生します。このように情報漏洩の影響は、多方面にわたり長期化するおそれがあることを覚えておきましょう。
4-2. 顧客・取引先を失う
情報漏洩が発生すると、企業の管理能力に対する信頼性が損なわれ、顧客や取引先が離れてしまう原因となります。
顧客にしても取引先にしても、取引を行う際には、個人情報や重要な情報をやり取りする場合がほとんどです。情報を預けても適切に管理してくれると信頼しているからこそ提供できていた個人情報なども、信用できなくなればやり取りするのは難しくなるでしょう。そうなると取引関係の継続も難しくなります。
このように情報漏洩が発生すると顧客・取引先が離れてしまう結果、売上が落ち込んだり思うような事業展開ができなくなったりしてしまうでしょう。
5. 処罰を避けるためにも情報漏洩対策を徹底しよう
これまでにご紹介したとおり、情報漏洩が起こると、情報漏洩者はもちろん情報を保有する企業も、さまざまな処罰の対象となってしまい悪影響ははかり知れません。だからこそ、情報漏洩への対策が重要なのです。
ここでは、処罰の状況を踏まえて、ぜひ取り組むべき対策を3つ取り上げます。
処罰の状況を踏まえてぜひ取り組むべき対策3つ
- 従業員の情報リテラシーを向上させる
- 業務を委託する場合は情報管理を徹底する
- 個人情報漏洩時は速やかに報告し適切な対応をする
以下で、詳しい内容を確認しておきましょう。
5-1. 従業員の情報リテラシーを向上させる
情報漏洩を防ぐためには、従業員一人ひとりが情報漏洩による悪影響の大きさや、情報漏洩を防ぐうえで必要なことを把握しておくことが欠かせません。
情報リテラシーが向上することで、従業員自身が情報漏洩を起こさなくなることはもちろん、社外からの漏洩に対する適切な対策を取ることもできるようになるからです。
例えば、メールの送受信が情報漏洩の発生原因として非常に多いこと、もしメールで情報漏洩させてしまうと損害賠償などで自身や会社に甚大な損害が発生することを知っていれば、対策である送信時のチェックも念入りに行おうとするでしょう。
具体的な対策内容として、情報セキュリティに関する研修や、情報漏洩対策に関する従業員同士での日々の声かけなどが考えられます。
5-2. 業務を委託する場合は情報管理を徹底する
情報漏洩による処罰を免れるためには、業務を委託する際の情報管理にも気をつける必要があります。
「3. 漏洩した情報の保有企業が処罰の対象となる場合」でもお伝えしたとおり、判例上、再々委託先のアルバイト従業員による情報漏洩であっても、委託元は責任を問われます。委託先は目が届きにくいからこそ、委託先に安易に重要情報に触れさせない管理体制が必要です。
具体的には、業務に関係のないデータは渡さない・重要なデータにはアクセス制限やコピー制限をかける・秘密保持契約を細かく具体的に結んでおく、などが挙げられます。
5-3. 個人情報漏洩時は速やかに報告し適切な対応をする
個人情報漏洩時は、発覚後の影響の大きさが気になって報告や公表が遅れがちです。しかし、個人情報漏洩時こそ速やかに報告し適切な対応を取ることで、その後の損失を抑えることができます。
個人情報保護委員会への報告を迅速に行い指示に従うことで、個人情報保護法上の罰則の適用を免れることも可能です。特に2022年4月以降は、個人情報保護委員会による命令違反の罰金が1億円以下になるなど個人情報保護法上の罰則が強化され、ますます迅速な対応の必要性が高まります。
速やかな対応を行うためにも、情報漏洩時、社内ですぐに報告が上がってくるような仕組みづくりが欠かせません。
情報漏洩対策についてより詳しく確認したい場合は、「効果的な情報漏洩対策8つとは|原因を踏まえて対策することが重要!」の記事をあわせてご確認ください。
6. まとめ
今回は、効果的な情報漏洩対策を取るために押さえておくべき処罰に関するポイントをご紹介しました。
最後に、この記事の要点を振り返っておきましょう。
情報漏洩の処罰に関する代表的な法律は、個人情報保護法・民法・不正競争防止法などです。情報漏洩を起こすと、これらの法律に基づいて、罰金・懲役・損害賠償などの対象となります。
情報漏洩で漏洩させた本人が処罰される場合は、以下のとおりです。
・個人情報保護法に基づく懲役や罰金
・個人情報を漏洩された対象者本人への損害賠償
・個人情報を保有し管理していた企業への損害賠償
また、漏洩した情報を保有する企業が処罰される場合は
・個人情報保護法に基づく罰金
・使用者責任に基づく損害賠償
・債務不履行責任に基づく損害賠償
などが挙げられます。
処罰以外の情報漏洩による企業イメージの低下・顧客や取引先を失うといった影響も重大です。
処罰を避けるためには、以下のような情報漏洩対策を行うとよいでしょう。
処罰内容を把握し適切な対策を取ることで、情報漏洩を予防することや被害を抑えることができます。当記事のポイントを参考に、情報漏洩対策の充実をご検討ください。
