弁護士法人デイライト法律事務所 パートナー弁護士
個人情報漏洩の事故が発生した場合、会社は被害者に対して損害賠償を支払う義務が生じることがあります。
氏名や住所といった比較的軽微な情報の漏洩であれば、二次被害がないケースなら慰謝料の金額は1000円から6000円程度(被害者1人あたり)になるケースが多いです。
一方で、病歴、犯罪歴といった機微な情報(センシティブ情報)が漏洩した場合には、被害者1人あたり1万円以上になるケースもあります。
この記事では、個人情報が漏洩した場合に、会社がどのような責任を負い、どれくらいの損害賠償を支払うことになるのかについて、裁判例の情報を交えて解説します。
近年のデジタル化で、企業が扱う個人情報の量は増加しています。
会社が個人情報漏洩の事故を起こしてしまった場合に、どのような法的責任が生じるのか、損害賠償金の相場はどれくらいなのか、そして実際に事故が起きた際に会社としてどう対応すれば良いのかなど、以下で詳しく解説します。
目次
個人情報漏洩の損害賠償金の相場とは?
個人情報漏洩の事故が発生した場合、会社は被害者に対して損害賠償を支払う義務が生じることがあります。
被害者に物理的な実害(二次被害)が生じていない場合でも、精神的損害に対する賠償(慰謝料)責任を負うのが一般的です。
請求される慰謝料は、事案によって大きく異なります。
具体的には、特に次の要素が考慮されて決まります。
- 漏洩した個人情報の内容
- 漏洩の態様
- 流出した範囲
- 二次被害の有無
- 漏洩後の対応措置の内容
氏名や住所といった比較的軽微な情報の漏洩であれば、二次被害がないケースなら慰謝料の金額は1000円から6000円程度(被害者1人あたり)になるケースが多いです。
一方で、病歴、犯罪歴といった機微な情報(センシティブ情報)が漏洩した場合には、被害者1人あたり1万円以上になるケースもあります。
漏洩した件数(人数)も当然、注意すべき要素です。
上で記載した慰謝料額の相場は被害者1人あたりのものです。
したがって、被害者数が多ければそれだけ、多くの賠償義務を負ってしまうことになります。
財産的な損害への賠償
以上はもっぱら、精神的な苦痛に対する慰謝料の話ですが、漏洩した情報が悪用された場合など、被害者に金銭的な被害(二次被害)が生じてしまうと、精神的苦痛に対する慰謝料に加えて、財産的な損害も賠償の対象となる可能性があります。
例えば、クレジットカードの不正利用による被害額や、不正アクセスによって引き出された預金額などが考えられます。
会社に損害賠償義務が発生する要件
会社が被害者に対して負う損害賠償義務には、法律上「不法行為」によるものと「債務不履行」によるものの2つがあります。
不法行為に基づく損害賠償責任
不法行為とは、他人の権利や利益を違法に侵害し、損害を与えた場合に、その損害を賠償する義務を負うものです(民法第709条)。
個人情報漏洩のケースでは、会社の不適切な管理によって個人情報が漏洩し、その結果、被害者が精神的苦痛を被った場合に、この不法行為に基づく損害賠償責任が問われることになります。
不法行為に基づく損害賠償責任が認められるためには、以下の4つの要件をすべて満たす必要があります。
- 故意または過失
会社に個人情報管理の義務があるにもかかわらず、その義務を怠ったことについて、故意(わざとやったこと)または過失(不注意によってやったこと)があったこと。
例えば、セキュリティ対策が不十分であったり、従業員に対する教育が不足していたりといった場合がこれにあたります。 - 違法性
個人情報漏洩という行為が違法であること。
個人情報保護法は、事業者に個人情報を適切に管理する義務を課しており、この義務に違反した行為は違法と判断されます。 - 損害の発生
個人情報が漏洩したことによって、被害者が損害を被ったこと。
具体的には、精神的苦痛(慰謝料)や、金銭的な被害(クレジットカードの不正利用など)がこれにあたります - 因果関係
会社の故意または過失と、被害者の損害の間に因果関係があること。
つまり、「会社の不適切な管理があったからこそ、個人情報が漏洩し、その結果、被害者が損害を被った」という関係性が認められる必要があります。
例えば、会社のサーバーが外部から不正アクセスを受け、顧客情報が流出したとします。
この場合、会社がセキュリティ対策を怠っていた(過失)ことが原因で、個人情報が漏洩し(違法性)、その結果、顧客が精神的苦痛を被った(損害の発生)場合、会社は不法行為に基づく損害賠償責任を負うことになります。
債務不履行に基づく損害賠償責任
債務不履行とは、契約や法律上の義務を果たさなかった場合に、その責任を負うというものです(民法第415条)。
個人情報漏洩では、会社が顧客とサービス利用契約などを結んでいる場合に、この債務不履行に基づく損害賠償責任が問われることがあります。
債務不履行に基づく損害賠償責任が認められるためには、以下の要件を満たす必要があります。
- 契約関係の存在
会社と被害者との間に、個人情報の管理に関する契約関係があったこと。 - 債務の不履行
会社が、個人情報を適切に管理するという義務を果たさなかったこと。 - 損害の発生
債務の不履行によって、被害者が損害を被ったこと。 - 因果関係
債務の不履行と、被害者の損害の間に因果関係があること。
不法行為と債務不履行は、どちらも損害賠償を請求する根拠となりますが、適用される法律や時効の期間などが異なります。
一般的に、個人情報漏洩の事案では、不法行為と債務不履行の両方を根拠として、損害賠償が請求されることが多いです。
顧客の個人情報漏洩による損害賠償事例
続いて、実際に裁判で争われた、顧客の個人情報漏洩に関する有名な事例をいくつか紹介します。
事件の概要:2014年、大手教育事業会社ベネッセホールディングスの子会社から、顧客の氏名、住所、電話番号、子どもの生年月日など、約2895万件に及ぶ個人情報が大量に流出しました。
この事件は、システム開発委託先の元社員が、顧客情報を不正に持ち出して名簿業者に売却したことが原因です。
裁判所の判断:裁判所は、ベネッセに個人情報管理の債務不履行と不法行為の責任を認めました。しかし、被害者一人あたりの損害賠償額は、3000円と認定されました。(加えて、弁護士費用相当額300円も認められました。)
解説:3000円という金額は低く感じられるかもしれませんが、漏洩した情報が氏名や住所といった比較的軽微な情報であったためでしょう。
また、この事件は、ベネッセが被害者に対して個別にお詫びの品を送付したり、情報漏洩によって生じた精神的苦痛に対して金銭的な解決を図ったりしました。
事件の概要:本件は、京都府宇治市が住民基本台帳のデータ(住民番号、住所、氏名、性別、生年月日など)を用いて乳幼児健診システムを開発する際、業務を委託した民間業者の再々委託先のアルバイトが、データを不正にコピーし、名簿販売業者に売却した事件です。
売却されたデータは、インターネット上で購入勧誘の広告が出されるなどして、さらに流通しました。
これに対し、宇治市の住民がプライバシー権の侵害を理由に、宇治市に対して損害賠償を請求しました。
裁判所の判断:裁判所は、個人情報の流出によるプライバシー権侵害を認め、宇治市がデータの回収や再発防止策を講じたことを考慮した上で、被害者一人あたり1万円の慰謝料と5000円の弁護士費用の支払いを命じました。この事件は、個人情報の流出によるプライバシー権侵害に対して、損害賠償を認めた日本で初めてのケースとして知られています。
解説:個人情報が漏洩し、その情報が「いつ、どのように使われるか分からない」という漠然とした不安や精神的苦痛に対しても、慰謝料が認められることを示した有名な裁判例です。
事件の概要:本件は、インターネットプロバイダのYahooBBが管理していた顧客情報(住所、氏名、電話番号、メールアドレス、ID、パスワードなど)が、業務委託先から派遣された従業員によって不正に持ち出され、恐喝未遂犯の手に渡った事件です。
ヤフーBBの会員らが、適切な個人情報管理を怠った過失によりプライバシー権が侵害されたとして、共同不法行為に基づき、会社に対して損害賠償を請求しました。
裁判所の判断:裁判所は、最終的にデータが破壊され流出が確認できない状況であることから、原告らの不安は「さほど大きいものとは認められない」と判断しました。また、漏洩した情報が氏名や住所といった基礎的な情報であったこと、会社が事故後に顧客情報の社外流出を発表し、セキュリティ強化などの対策を講じたことを考慮しました。
その結果、被害者一人あたり5000円の慰謝料と1000円の弁護士費用を認めました。
解説:この事例は、インターネットを通じた個人情報の流出に関して、企業に損害賠償を認めた初めての判例です。
また、データの二次流出の有無や、漏洩した情報の秘匿性の高さが、損害賠償額を決定する上で重要な要素となることを示しています。
会社が事故後の迅速な対応や再発防止策を講じることが、損害賠償額の軽減につながる可能性も示唆しています。
事件の概要:本件は、エステティックサロンを経営するTBCが保有していた顧客の個人情報(氏名、住所、電話番号、メールアドレス、職業、年齢、性別、関心のあるコース名、アンケート回答内容など)を、ウェブサイトのサーバー移設作業の際に、アクセス制限をかけずに公開領域に置いてしまい、第三者による閲覧が可能な状態になった結果、情報が流出した事件です。
被害者がプライバシー権の侵害を理由に、会社に対して損害賠償を請求しました。
裁判所の判断:裁判所は、氏名や住所といった基本情報に加えて、秘匿性の高い情報が漏洩したことを重視しました。また、初歩的な過失が原因であったことも指摘しました。
さらに、流出した情報が原因で迷惑メールやいたずら電話などの二次被害が発生したことも考慮しました。
その結果、被害者一人あたり3万円の慰謝料と5000円の弁護士費用を認めました。
解説:二次被害の発生により、特に高額な慰謝料が認定された有名な裁判例です。
従業員情報でも個人情報漏洩になる?
顧客情報だけでなく、従業員の個人情報を漏洩した場合でも、損害賠償責任を負う可能性があります。
顧客の情報に比べて従業員情報の扱いはおろそかになりがちですが、漏洩時の損害賠償義務の考え方は顧客の個人情報と大きな違いはないと言えるでしょう。
特に、会社では以下のような様々な従業員の個人情報を扱っていますから、人事部・総務部などの関係部署では注意が必要です。
- 従業員の基本情報
- スキルに関わる情報
- 勤務形態に関わる情報
- 給与の支払いに関わる情報
- 健康情報
- 所得情報
個人情報漏洩による損害賠償義務が認められなかった裁判例
続いて、損害賠償義務が認められなかった裁判例も紹介します。
事例の概要:東急百貨店がマンションの購入者名簿(氏名、勤務先名、電話番号など)を、管理を委託する予定の東急コミュニティに開示したことに対し、購入者がプライバシーの侵害として損害賠償を請求した事例です。
裁判所の判断:裁判所は、勤務先の名称や電話番号もプライバシーとして保護されるべき情報であると認めつつも、情報の開示に正当な理由があれば、違法性はないと判断しました。
具体的には、マンションの管理上、入居者の勤務先情報を把握することは、緊急連絡先として合理的であり、購入者全員がマンション管理の委託を承諾していたことから、今回の情報開示は「違法ではない」としました。
解説:この判例は、プライバシー侵害は絶対的なものではなく、その情報開示に正当な業務上の理由や目的があれば、企業の責任は問われないことを示しています。
事例の概要:東洋信託銀行が積水ハウスと共同で開催した勉強会の案内状を発送する際、宛名ラベルを貼り付けた封筒を積水ハウスに渡して投函を依頼したことに対し、顧客がプライバシー侵害などを主張して損害賠償を請求した事例です。
裁判所の判断:裁判所は、積水ハウスが封筒に貼られた宛名ラベルの内容に関心を持たず、投函のみを請け負ったという事実から、情報が不特定多数に「漏えい」したとはいえないとしました。
原告の訴えは棄却されています。
個人情報漏洩の責任は損害賠償だけではない!
個人情報漏洩の事故が発生した場合、会社が負う責任は、被害者に対する損害賠償責任だけではありません。
個人情報漏洩は、会社の経営そのものに大きな打撃を与えうる様々なリスクを伴います。
これらについて見ていきましょう。
社会的信用の失墜と顧客離れ
個人情報漏洩は、会社に対する社会的信用を著しく失墜させます。
顧客は、「この会社は個人情報を安全に管理できない」という不信感を抱き、サービスの利用をやめたり、取引を停止したりする可能性があります。
新規顧客の獲得も困難になるでしょう。
行政指導や罰則
個人情報保護法では、個人情報を適切に管理する義務を会社に課しています。
この義務に違反した場合、個人情報保護委員会から行政指導や勧告、さらには命令を受ける可能性があります。
もし、この命令に従わない場合、1年以下の懲役または100万円以下の罰金といった罰則が科せられることもあります。
また、個人情報保護委員会は、企業のホームページなどで違反の事実を公表することがあります。
株価の下落
上場企業の場合、個人情報漏洩の事故は、株価の下落を引き起こす可能性があります。
投資家は、会社の情報管理体制の不備をリスクとみなし、株式を売却する動きが加速することがあります。
株価が下落すれば、会社の資金調達に影響が出たり、買収の対象になったりするリスクも高まります。
従業員の士気の低下と人材流出
個人情報漏洩事故は、従業員にとっても他人事ではありません。
不安や会社への不信感から、従業員の士気が低下する可能性があります。
また、情報管理体制の不備が露呈した会社から、優秀な人材が流出するリスクも高まります。
「この会社では安心して働けない」と感じた従業員が、転職を考えるようになるかもしれません。
個人情報漏洩の事故発生時の企業の対応
万が一、個人情報漏洩の事故が発生してしまった場合、会社は迅速かつ適切な対応を取ることが非常に重要です。
ここでは、個人情報漏洩事故発生時の企業の対応フローを解説します。
①事実関係の確認と被害の特定
事故が発生したら、まずは冷静に事実関係の確認を行います。
- 何が漏洩したのか?(氏名、住所、クレジットカード情報など)
- いつ漏洩したのか?
- どのように漏洩したのか?(不正アクセス、誤送信、紛失など)
- 被害者の数はどれくらいか?
これらの情報を、できるだけ早く、正確に把握することが重要です。
この段階で、専門家(セキュリティベンダーや弁護士)に相談することも検討しましょう。
②被害拡大の防止措置
事実関係の確認と並行して、被害拡大の防止に努めます。
- 不正アクセスの場合、すぐにサーバーをネットワークから切り離す。
- 誤送信の場合、相手にデータの削除を依頼する。
- 不正利用が疑われる場合、クレジットカード会社や金融機関に連絡し、連携して対応する。
これらの措置を迅速に行うことで、被害を最小限に抑えることができます。
③個人情報保護委員会への報告
個人情報漏洩の事故が発生した場合、会社は個人情報保護委員会に報告する義務があります。
- 速報:被害が拡大するおそれがある場合には、速やかに報告する。
- 確報:事実関係の確認や再発防止策の策定後、30日以内に報告する。
報告を怠ると、法律違反となり、罰則の対象となる可能性があります。
④被害者への通知と謝罪
会社は、被害者に対して、漏洩した事実を速やかに通知し、心から謝罪することが求められます。
- 通知内容:漏洩した個人情報の種類、漏洩した経緯、会社が取った対応、被害者自身が取るべき行動などを記載する。
- 通知方法:メール、書面、ウェブサイトでの公表など、状況に応じて最適な方法を選択する。
⑤原因究明と再発防止策の策定
事故が発生した原因を徹底的に究明し、再発防止策を策定します。
- 原因究明:セキュリティシステムの脆弱性、従業員教育の不足、内部ルールの不備など、多角的な視点から原因を分析する。
- 再発防止策:原因に基づいて、セキュリティシステムの強化、従業員教育の徹底、内部ルールの見直しなど、具体的な対策を講じる。
これらの対策は、再発防止だけでなく、会社の信用回復にもつながります。
⑥広報と情報公開
事故に関する情報を、正確かつ公平に公開することも重要です。
- 広報担当者の選定:窓口を一本化し、混乱を防ぐ。
- 情報公開:ウェブサイトや記者会見などを通じて、事故の概要、原因、対応状況、再発防止策などを公表する。
これらの対応フローは、あくまで一般的なものです。
具体的な状況に応じて、柔軟に対応する必要があります。
もし、事故が発生してしまった場合、自社だけで対応しようとせず、個人情報保護に詳しい弁護士に相談することをお勧めします。
弁護士は、法律の専門家として、適切な対応方法について具体的なアドバイスをすることができます。
個人情報漏洩を防止するための企業の事前対策
続いて、個人情報漏洩を防止するために会社が講じるべき事前対策について解説します。
セキュリティシステムの強化
会社の情報システムは、個人情報漏洩のリスクを抱える最も重要な場所です。
したがって、セキュリティシステムの強化は欠かせません。
例えば、ファイアウォールの導入や、OSやソフトウェアを常に最新の状態にアップデートする対応などが基本となるでしょう。
従業員教育の徹底
個人情報漏洩の原因は、従業員の不注意によるものが少なくありません。
したがって、従業員教育は非常に重要です。
- 定期的な研修の実施:個人情報保護の重要性、個人情報保護法に関する知識、情報漏洩のリスクと事例、そして具体的な取り扱い方法について、全従業員を対象に定期的な研修を実施します。
- 内部規程の周知徹底:個人情報の取り扱いに関する内部規程を策定し、従業員に周知徹底します。
特に、個人情報の持ち出し、メールの誤送信、SNSへの情報投稿などについて、具体的なルールを定めておくことが重要です。 - 退職者への対応:退職する従業員に対しては、会社の情報へのアクセス権限を速やかに削除し、機密情報の持ち出しがないかを確認します。
個人情報の管理体制の整備
個人情報を適切に管理するためには、組織的な体制の整備が必要です。
- 個人情報保護責任者の任命:個人情報保護に関する責任者を明確に定め、その責任者が中心となって、社内の情報管理体制を構築・運用します。
- 個人情報取り扱いのルールの策定:どのような個人情報を、何のために、どれくらいの期間、どのように保管・利用するかといったルールを明確に定めます。
- アクセス権限の管理:個人情報にアクセスできる従業員を限定し、必要最小限の範囲で権限を付与します。
個人情報に強い弁護士に相談する
個人情報保護法は、頻繁に改正され、また、技術の進歩に伴い、新たなリスクも生まれています。
自社だけで最新の動向を把握し、適切な対策を講じることは困難な場合があります。
そこで、個人情報に強い弁護士に相談することをお勧めします。
顧問弁護士などと、個人情報に関する情報交換を密に行ったり、日頃の個人情報管理に関する相談をすることで、会社の体制が徐々に整っていくはずです。
個人情報漏洩の損害賠償についてのQ&A
個人情報漏洩に関して、読者のみなさまから寄せられることが多い質問とその回答をまとめました。
個人情報漏洩のお詫びの金額の相場は?
個人情報漏洩が発生した場合、会社は被害者に対して「お詫び金」や「見舞金」といった形で、損害賠償とは別に金銭を支払うことがあります。このお詫び金の金額は、法律で定められているものではなく、会社の自主的な判断によって決まります。
一般的に、その金額は500円から3,000円程度となることが多いようです。これは、コンビニエンスストアなどで利用できるプリペイドカードや、自社のサービス利用券などを提供するケースもあります。
お詫び金は、あくまで会社の誠意を示すためのものであり、法的な損害賠償とは異なります。
しかし、お詫び金を支払うことで、被害者とのトラブルを未然に防ぎ、会社のイメージダウンを最小限に抑える効果が期待できます。
個人情報保護法に違反した場合、どのような罰則がありますか?
個人情報保護法に違反した場合、個人情報保護委員会からの行政指導や勧告、命令を受ける可能性があります。命令に従わない場合には、1年以下の懲役または100万円以下の罰金という刑事罰が科せられることがあります。
また、個人情報保護委員会は、これらの事実を公表することができます。
これにより、会社の社会的信用は大きく失墜します。
さらに、法人の代表者や従業員が違反行為を行った場合、会社にも1億円以下の罰金が科せられることがあります(個人情報保護法第184条)。
情報漏洩が発覚した場合、まず何をすべきですか?
情報漏洩が発覚した場合、まずは冷静に事実関係を把握することが最優先です。初動対応を誤ると、被害が拡大し、会社の責任が重くなる可能性があります。
したがって、事故発生時の対応フローを事前に策定しておき、万が一の事態に備えておくことが重要です。
まとめ
個人情報漏洩は、現代社会において、会社が直面する最も深刻なリスクの一つです。
ひとたび事故が発生すれば、被害者に対する高額な損害賠償責任だけでなく、社会的信用の失墜、行政罰、株価の下落など、会社経営そのものに大きな打撃を与えます。
もし、この記事を読んで、「自社の個人情報管理体制はこれで大丈夫だろうか?」、「万が一、事故が起きたらどうすればいいのだろう?」といったご不安を抱かれた方は、ぜひ一度、個人情報保護に強い弁護士にご相談ください。
弁護士は、法律の専門家として、会社の状況に合わせた最適なアドバイスを提供し、皆様のお悩みを解決へと導きます。
デイライト法律事務所では、豊富な経験と専門知識を持つ弁護士が、皆様のビジネスや日常生活をサポートいたします。
LINEや電話相談を活用した全国対応も行っていますので、お気軽にご相談ください。
メールでお問い合わせ