個人情報が漏洩した場合の対応は？罰則・事例・企業が取るべき対策を解説

デジタル化が急速に進む現代社会において、企業が取り扱う個人情報の量は増大し、その価値はかつてなく高まっています。

その一方で、個人情報の漏洩事件は後を絶たず、ひとたび発生すれば企業の信頼を根底から揺るがしかねない重大な経営リスクとなります。

そこでこの記事では、個人情報が漏洩する主な原因から、漏洩時に企業に課せられる報告義務、そして厳しい罰則の内容までを詳しく解説しますので、ぜひ参考にしてください。

＞＞「情報漏洩はなぜ起こる？原因から学ぶ対策マニュアル」のダウンロードはこちら

個人情報が漏洩してしまう主な原因

個人情報の漏洩は、特別な企業だけで起こる問題ではありません。

その原因は多岐にわたりますが、大きく分けると「内部要因」と「外部要因」に分類できます。

ここでは、特に発生頻度の高い3つの原因を掘り下げていきましょう。

参考記事：個人情報の定義とは？該当する情報・しない情報の具体例を紹介

従業員による意図的な不正行為

最も対策が難しいのが、従業員のような内部関係者による意図的な情報の持ち出しです。

金銭的な目的や、会社に対する不満から、顧客リストや機密情報を不正に外部へ売却したり、公開したりするケースがあります。

内部の人間は、情報システムへのアクセス権限を持っていることが多く、通常のセキュリティ対策をすり抜けてしまう可能性が高いのです。

外部からのサイバー攻撃

近年、最も増加傾向にあるのが、外部の攻撃者によるサイバー攻撃です。

ウイルス感染の一種である「ランサムウェア」によってデータを暗号化し、その解除と引き換えに金銭を要求するだけでなく、盗み出した情報を公開すると脅迫する手口が横行しています。

また、偽のメールなどでログイン情報を盗み取る「フィッシング」も、古典的ではあるものの依然として強力な攻撃手法です。

少しでもこうした被害を防ぐためには、ファイアウォールやセキュリティソフトの導入はもちろん、常に最新の脅威情報を把握しておく必要があります。

不注意による人的ミス

サイバー攻撃や内部不正と並んで、いまだに漏洩原因の上位を占めるのが、「悪意のない不注意による人的ミス」です。

たとえば、以下のようなものです。

• メールの宛先を間違えて顧客情報を送ってしまった
• 個人情報が入ったUSBメモリやノートPCを紛失した
• 設定ミスで誰でもデータベースにアクセスできる状態になっていた

情報を取り扱う際のルールを明確に定め、全従業員がそれを遵守するよう、継続的な教育と注意喚起を行うことが極めて重要です。

個人情報漏洩時には報告義務がある？

万が一、個人情報を漏洩させてしまった場合、企業は個人情報保護法に基づき、国の機関である個人情報保護委員会への報告と、漏洩の対象となった本人への通知を行う義務を負っています。

これは、被害の拡大を防ぎ、本人の権利を保護するための重要な手続きです。

報告義務のある個人情報の漏洩等

情報漏洩に関して、すべての事案で報告が義務付けられているわけではありません。

法律では、特に個人の権利や利益を害するおそれが大きい、以下の4つのケースに該当した場合に、速やかな報告・通知が義務付けられています。

1. 要配慮個人情報の漏洩等
2. 財産的被害のおそれがある漏洩等
3. 不正の目的によるおそれがある漏洩等
4. 1,000人を超える個人データの漏洩等

「1～3」については、1件でも漏洩等の事態が発生したら「報告」と「通知」をしなければなりません。

「4」については、以前まで報告・通知が努力義務だったものの、法改正によって2022年4月からは義務となっています。

参考）政府広報オンライン「個人情報保護法」を分かりやすく解説。個人情報の取扱いルールとは？」

「漏洩等」とは具体的に何を指すのか

政府広報オンラインでは、「漏洩等」という言葉を使っていますが、「等」に何が含まれるのか、具体的にわからない方も多いでしょう。

「漏洩等」とは、「漏洩」「滅失」「毀損」の3つを指します。

「漏洩」とは、個人情報が外部に流出することです。

（漏洩に該当しないパターン）

• 個人情報を第三者に見られていない状態ですべて回収できた場合
• 個人情報取扱事業者が自らの意図に基づき個人情報を第三者に提供した場合

「滅失」とは、個人情報の内容が失われることです。

（滅失に該当しないパターン）

• 失われたデータと同じ内容のものが他に保管されている場合
• 個人情報取扱事業者が合理的な理由により個人データを削除する場合

「毀損」とは、個人情報が意図しない形で変更されたり、内容を保ちつつも利用不能な状態になったりすることです。

（毀損に該当しないパターン）

• 毀損した内容と同じデータが他に保管されている場合

参考）政府広報オンライン「「個人情報保護法」を分かりやすく解説。個人情報の取扱いルールとは？」

個人情報漏洩に対する罰則

個人情報保護法に違反し、適切な情報管理を怠ったり、漏洩時の報告義務を果たさなかったりした企業には、厳しい罰則が科せられる可能性があります。

参考記事：個人情報保護法に違反したときの罰則は？対象の条文と一緒に企業がとるべき対策を解説

行政処分

個人情報保護委員会は、法違反の疑いがある企業に対し、行政処分として以下のような対応を実施する権限を持っています。

• 報告徴収・立入検査
• 指導・助言
• 勧告・命令

まずは、報告の徴収や立入検査が行われ、その結果、改善が必要だと判断されれば「指導」や「助言」が行われます。

それでも改善が見られない場合には、より強制力のある「勧告」、そして最終的には「命令」が出されます。

この業務改善命令に違反すると、後述する刑事罰の対象となるのです。

参考）個人情報保護委員会「個人情報取扱事業者等が個人情報保護法に違反した場合、どのような措置が採られるのですか。」

刑事罰

個人情報保護委員会からの報告徴収や立入検査に応じない場合や、委員会へ虚偽の報告を行った場合は、刑事罰として「50万円以下の罰金」が科される可能性があります。

また、個人情報保護委員会の命令に違反した場合は、企業名や違反内容が公表された上、1年以下の拘禁刑または100万円以下の罰金が科される可能性があります。

法人に対しては、最大で1億円以下の罰金刑が科される可能性もあるという、非常に重い罰則があるのです。

参考）個人情報保護委員会「個人情報取扱事業者等が個人情報保護法に違反した場合、どのような措置が採られるのですか。」

損害賠償

法的な罰則とは別に、漏洩の被害に遭った本人から、民事上の損害賠償を請求されることもあります。

漏洩した情報の内容や、その後の二次被害の有無によって金額は変動しますが、過去の判例では1人あたり数千円から数万円の慰謝料が認められるケースが多いです。

仮に漏洩件数が1万件だった場合、賠償額が数億円に達する可能性も十分にあり、企業の財務に深刻なダメージを与えかねません。

罰則だけではない！個人情報漏洩に企業によってもたらされるリスク

法的な罰則や金銭的な賠償以上に、個人情報の漏洩が企業にもたらすダメージは深刻です。

一度失った信頼を取り戻すのは容易ではなく、事業の存続そのものを揺るがす事態に発展するケースも少なくありません。

参考記事：企業の個人情報保護の重要性を理解しよう！ リスク、対策などを紹介

企業価値が低下する

個人情報漏洩の事実は、ニュースやSNSを通じて瞬く間に社会に広がります。

「情報管理がずさんな会社」というネガティブな評判が定着してしまうと、企業のブランドイメージは大きく傷つくでしょう。

企業価値の低下は、資金調達や人材採用など、あらゆる側面に悪影響を及ぼします。

損害賠償による経済的なダメージを受ける

前述の通り、被害者への損害賠償は、漏洩件数が多ければ多いほど巨額になります。

それに加え、漏洩原因の調査費用、コールセンターの設置・運営費用、セキュリティシステムを再構築するための費用、そして再発防止策を講じるためのコンサルティング費用など、事後対応には莫大なコストがかかります。

これらの経済的な負担が、企業の経営を圧迫することは避けられません。

取引先や顧客が離れてしまう

個人情報を漏洩させた企業に対し、顧客が「この会社に自分の情報を預けておくのは不安だ」と感じるのは当然のことです。

その結果、サービスの解約や製品の不買といった形で、顧客離れが加速する可能性があります。

また、取引先企業からも「自社の情報も漏れるのではないか」と警戒され、取引を停止されたり、新規の契約が見送られたりするリスクも高まります。

実際に個人情報が漏洩した事例

内部関係者の不正行為によって引き起こされた、国内でも特に大規模な事例を一つ紹介します。

ある大手教育サービス企業で、数千万件にもおよぶ極めて大規模な顧客情報の漏洩が発覚しました。

漏洩したのは、サービスを利用する子供やその保護者の氏名、住所、電話番号といった非常に機密性の高い情報です。

その後の調査で明らかになった原因は、外部からのサイバー攻撃ではなく、データベースの管理を委託されていたグループ会社の業務委託社員による意図的な犯行でした。

この人物は、システム管理者としての権限を悪用し、顧客情報を自身のスマートフォンに不正にコピーして、名簿業者へ売却していたのです。

この事件を受けて、同社はWebサイトでの謝罪、大規模な専用問い合わせ窓口の設置、そして被害者へのお詫びとして金券を送付するなどの対応に追われ、その経済的損失とブランドイメージの低下は計り知れないものとなりました。

この事例は、内部関係者に対するアクセス権限の管理や監視体制がいかに重要であるかを、社会に改めて強く認識させる教訓となっています。

個人情報を漏洩させないために企業が取るべき対策

個人情報漏洩を防ぐためには、「人的対策」「技術的対策」「組織的対策」の3つの側面から防御策を講じることが不可欠です。

参考記事：個人情報保護法のガイドラインを知っていますか？企業の守りに必要な情報を解説！

従業員への教育を徹底する

どれほど高度なシステムを導入しても、それを使う従業員の意識が低ければ意味がありません。

個人情報保護の重要性や、具体的な取り扱いルール、そして実際に起こったヒューマンエラーの事例などを学ぶ研修を、全従業員に対して定期的に実施しましょう。

特に、フィッシングメールの見分け方など、サイバー攻撃への対処法に関する教育は極めて重要です。

適切なセキュリティソフトを導入する

ウイルス対策ソフトやファイアウォールといった基本的なセキュリティ対策は、もはや企業として標準装備すべきものです。

これらを導入し、常に最新の状態に保つことで、既知のマルウェアや不正アクセスの多くを防ぐことができます。

さらに、不審な通信を検知・遮断するIDS/IPSや、PCやサーバーの操作ログを監視するシステムなどを導入すれば、よりセキュリティレベルを高めることが可能になります。

不正アクセスを防ぐために認証方法を強化する

社内の情報システムへアクセスする際の認証方法は、IDとパスワードの組み合わせだけでは不十分な時代になっています。

パスワードに加えて、スマートフォンアプリへの通知や指紋認証などを組み合わせる「多要素認証（MFA）」の導入が強く推奨されます。

これにより、仮にパスワードが漏洩しても、第三者が不正にログインすることを防ぐことが可能です。

もし個人情報が漏洩してしまったらどう対応すべきか

どれだけ万全な対策を講じていても、残念ながら漏洩のリスクをゼロにすることはできません。

そのため、万が一漏洩が発生してしまった場合に、迅速かつ誠実に対応するための手順をあらかじめ定めておくことが重要です。

何より大事なのが、「情報漏洩が発覚した際の迅速な報告」です。

出典）個人情報保護委員会「漏えい等の対応とお役立ち資料」

個人情報保護委員会の権限が「事業所管大臣に委任されている分野」における個人情報取扱事業者は、速やかに委任先省庁等に報告しましょう。

もちろん、報告だけでなく、原因の特定や問い合わせ窓口の設置、二次被害の防止措置などもできる限り迅速に進めていくべきです。

参考記事：【インタビュー】中小企業こそ危ない！情報漏えいリスクと“今すぐ”始める対策

まとめ

個人情報の漏洩は、罰則や賠償金といった直接的な損害だけでなく、企業の社会的信用を失墜させ、事業の存続すら危うくするほどの重大なリスクです。

その原因は、巧妙化するサイバー攻撃から、悪意のある内部不正、そして些細な不注意まで、日常業務のあらゆる場所に潜んでいます。

したがって、企業規模を問わずすべての企業が、個人情報保護を経営の重要課題の一つとして位置づけ、従業員教育の徹底、セキュリティシステムの強化、そして厳格な社内ルールの整備といった予防策に取り組むべきです。