あなたの企業は大丈夫？個人情報保護法違反のリスクについて弁護士が解説

個人情報保護法とは、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的として定められた法律です。個人情報等を取り扱う上で個人情報取扱事業者が遵守すべき様々な義務について定めています。

この記事では、個人情報保護法に違反した場合どのようなリスクがあるのか解説します。

個人情報保護法違反となるケース3選
個人情報保護法に違反した場合のリスク
まとめ

個人情報保護法違反となるケース3選

個人情報保護法違反というと、個人情報を漏えいさせてしまったケースがまず思い浮かぶのではないでしょうか。しかし、個人情報保護法違反は漏えいがなくても発生することがあります。以下では、個人情報保護法違反となるケースを3つ取り上げます。

個人情報保護法違反となるケース①　安全管理措置を講じていない場合

個人情報保護法は、個人データについて安全管理措置を講じることを義務づけています。個人データが漏えいした場合、社内の安全管理措置がきちんと講じられていたかどうかが問題となります。そして、これが不十分であると評価される場合には、個人情報保護法違反となります。

個人情報保護法違反となるケース②　委託先の監督が出来ていない場合

個人情報保護法は、個人データの取扱いの全部又は一部を委託する場合に、委託先を必要かつ適切に監督することを義務づけています。適切な委託先を選定し、委託先における個人データの取扱いの把握等を可能とするなど委託先管理を実施しうる内容の委託契約を締結した上で、実際に委託先における個人データの取扱状況を確認するなどして、委託先において、委託元が講じるべき安全管理措置と同等の措置が講じられるようにしなければなりません。

このような委託先管理がなされていない場合、個人情報保護法違反となります。個人データは委託先から漏えいすることも多く、そのような場合に委託先の監督義務への違反が露見します。

委託先から個人データが漏えいした実例として、大手通信教育企業の委託先従業員の持ち出しにより3000万件弱の個人データが漏えいした事例などがあります。

個人情報保護法違反となるケース③　個人データ利活用上の規制への違反

個人データの利活用は広く行われていますが、個人情報保護法は、その過程で遵守しなければならない規制を多く設けています。例えば、個人情報の取得に際しての利用目的の通知等の義務や、個人データの第三者提供の制限などがこれに当たります。個人データの利活用を

行うに先立ってこれらの規制への対応が十分に検討されない場合、意図せずに個人情報保護法違反が生じる場合があります。このような違反は、単に個人情報保護法の規定を知らない場合の他、規定の解釈を誤った結果発生することもあります。個人情報保護法は、近年、法律や技術に相応の知識がなければ理解できないほど複雑化していますので、個人情報の利活用を伴ったビジネスを行う際には、個人情報保護法に詳しい弁護士に相談することが重要です。

このような個人情報保護法違反事例として、就活サイトを運営する企業から、そのクライアント企業に対する内定辞退率情報の提供に関するものがあります。この事例において発生した個人情報保護法違反は多岐にわたりますが、主たるものとして、個人情報該当性についての法解釈の誤りやプライバシーポリシーの更新漏れ等に起因する第三者提供規制への違反が挙げられます。

個人情報保護法に違反した場合のリスク

では、個人情報保護法に違反してしまった場合、どのようなリスクを負うことになるのでしょうか。

①行政法上のリスク

個人情報保護法に違反した場合、監督官庁である個人情報保護委員会から、必要な報告又は資料の提出の求め（報告徴求）や、事務所等への立ち入り検査を受けることがあります。

また、個人情報の取扱いに関する指導及び助言や是正勧告といった行政指導を受ける可能性もあります。正当な理由なく是正勧告に従わない場合には勧告された措置をとるよう命令がなされることがあります。また、個人の重大な権利利益を害する事実があるために緊急の必要性がある場合には、勧告なく緊急命令を受ける可能性もあります。

このような行政上の措置を受けた場合、事業者は、その対応に多大な労力と時間を費やすことになります。また、個人情報保護委員会は事業者が行政上の措置を受けた事実や事案の概要等を公表するがあります。この場合、事業者が被る信用失墜によるダメージは甚大なものとなります。

②民事上のリスク

個人情報保護法違反が生じた場合には、同時にプライバシー等の個人の権利利益を侵害することも多いと思われます。このような場合、違反した事業者は、その個人に対して損害賠償義務を負うことになります。

個人情報の漏えい事案における賠償額は、漏えいした情報の性質にもよりますが、一人あたり数千円程度、高額の場合には数万円程度の賠償請求が認められることが多いようです。クレジットカード情報やエステティックサロンの顧客情報などセンシティブな情報が漏えいした事案では高額になる傾向があります。なお、漏えい等が発生した場合に事業者側が漏えいした情報の本人に対し500円から1000円程度の商品券等を交付する例もありますが、これによって損害賠償義務を免れることは難しいと考えられます。漏えいした個人情報の本人から損害賠償請求がなされた場合には、少なくとも差額の支払いは免れ得ないでしょう。

③刑事上のリスク

個人情報保護法は、個人情報取扱事業者が義務に違反した場合について、例えば以下のような刑事罰を定めています。

まず、①に記載した報告徴求命令に従わなかったり虚偽の報告をしたりした場合又は立ち入検査を拒んだりした場合には、50万円以下の罰金刑に課せられます。

また、同じく①に記載した命令に違反した場合には、違反した者は1年以下の懲役又は100万円以下の罰金に処せられます。法人の場合は1億円以下の罰金刑が課せられます。

まとめ

以上、個人情報保護法違反となる事例や、個人情報保護法違反によるリスクについて見てきました。個人情報保護法は頻繁に改正されており、規律の内容はインターネットに関する技術やビジネスについての知識がなければ理解できないものも多く、複雑化しています。

個人情報の日常的な管理についてはもちろんですが、個人情報をビジネスに利用する際には特に、個人情報保護法に詳しい弁護士に相談することをおすすめします。

Last Updated on 2024年1月29日 by rightplace-media