個人情報漏洩の罰則は? 企業のリスクと対策を解説
企業が個人情報を漏洩してしまった場合、懲役刑や罰金刑が科せられるほか、社会的信用を失うなど、様々なリスクを負わなければなりません。個人情報漏洩が起こる原因や、具体的な企業のリスクを理解し、防止に努める必要があります。
そこで本記事では、個人情報漏洩の罰則の内容や企業のリスクを解説した上で、有効な対策についても紹介します。
改正された個人情報漏洩の罰則とは
個人情報を漏洩してしまった場合の罰則は、個人情報保護法によって規定されています。個人情報保護法は個人情報を扱うすべての事業者に適用され、個人情報漏洩を起こした行為者や法人に対して、懲役刑や罰金刑が科せられます。
個人情報保護法で、個人情報漏洩の罰則対象となるのは、次の3つのケースです。
- 個人情報漏洩の罰則対象
-
- 個人情報保護委員会からの命令に違反した場合
- 個人情報を不正に提供した場合
- 個人情報保護委員会に虚偽の報告をした場合
なお、個人情報保護法は2020年に改正され、2022年4月より、個人情報漏洩に対する改正後の罰則が施行されています。
3つのケース別の罰則の内容について、改正前と改正後の違いは以下の通りです。
| 刑事罰の対象となる行為 | 懲役刑 | 罰金刑 | |||
|---|---|---|---|---|---|
| 改正前 | 改正後 | 改正前 | 改正後 | ||
| 個人情報保護委員会からの命令への違反 | 行為者 | 6月以下 | 1年以下 | 30万円以下 | 100万円以下 |
| 法人等 | ‐ | ‐ | 30万円以下 | 1億円以下 | |
| 個人情報データベース等の不正提供等 | 行為者 | 1年以下 | 1年以下 | 50万円以下 | 50万円以下 |
| 法人等 | ‐ | ‐ | 50万円以下 | 1億円以下 | |
| 個人情報保護委員会への虚偽報告等 | 行為者 | ‐ | ‐ | 30万円以下 | 50万円以下 |
| 法人等 | ‐ | ‐ | 30万円以下 | 50万円以下 | |
2022年4月より施行されている罰則では、個人情報保護委員会からの命令に違反した場合の行為者の懲役刑が6月以下から1年以下になったほか、主に罰金刑の金額が引き上げられました。
改正前は行為者個人と法人の罰金額は同じでしたが、個人情報保護委員会からの命令に違反した場合と、個人情報を不正に提供した場合については特に、法人の罰金額が大きく引き上げられ、1億円以下となりました。
個人情報漏洩の企業のリスク
個人情報の漏洩が発生すると、企業は個人情報保護法の罰則のほかにも、様々なリスクを負うこととなります。具体的にどのようなリスクがあるのかを見ていきましょう。
企業イメージの低下
個人情報を漏洩すると、企業イメージの低下や、信用失墜のリスクがあります。インターネットが普及し、サイバー攻撃による被害が身近なものとなってきたこともあり、昨今は個人の情報セキュリティ意識が高まっており、個人情報漏洩に対する世間の目はより厳しくなっています。
個人情報漏洩によって社会的信用が低下した場合、顧客離れのリスクも高まった結果、業績が悪化し、最悪の場合は倒産してしまうおそれもあるのです。
また、上場企業の場合は、個人情報漏洩の公表後に株価が下落する可能性もあります。
損害賠償や慰謝料のコスト
個人情報漏洩を起こした企業は、刑事上の罰則だけでなく、民事上でも法的責任(損害賠償責任)を問われるため、賠償金や慰謝料の支払いが発生するリスクがあります。個人情報漏洩の規模によっては、経営への負担が膨らみ、倒産に追い込まれてしまうかもしれません。
ケースによって賠償金や慰謝料の金額は変わってきますが、被害者1人あたり数千円から数万円の事例があり、漏洩した数によっては合計で数千万円以上になる場合もあります。
問い合わせ対応などの業務負荷
個人情報漏洩を起こした企業は、被害者のほか、顧客や取引先などからの問い合わせにも対応しなければいけません。一般消費者向けの商品やサービスを提供する企業の場合は、被害者以外からの問い合わせも増える可能性があります。
問い合わせ対応を担当する従業員の業務負荷は大きく、ほかの業務に支障が出たり、業務効率の低下を招いたりするおそれがあります。
個人情報漏洩が起こる原因
東京商工リサーチが実施した調査から、2022年の個人情報漏洩・紛失事故165件の原因を見ると、一番多かったのは「ウイルス感染・不正アクセス」で55.1%、次いで「誤表示・誤送信」26%、「紛失・誤廃棄」15.1%、「盗難」3%となっています。
ここでは、個人情報漏洩が起こる原因について、ケース別に詳しく見ていきましょう。
ウイルス感染・不正アクセス
企業の個人情報漏洩の原因として最も多いのは、サイバー攻撃によるウイルス感染や外部からの不正アクセスです。
例えば、クレジットカードの決済システムを取り扱う企業において、顧客のカード情報が不正アクセスによって流出した、という事例もあります。こうした不正アクセスによる個人情報漏洩は、システムに脆弱性があると判明していたにもかかわらず、適切な対策をせず放置していたという場合が少なくありません。
人為的ミス(誤表示・誤送信など)
メールの誤送信などの人為的ミスによって、個人情報が漏洩するケースも多くなっています。具体的には、次のような事例があります。
- 人為的ミスによる個人情報漏洩の主な事例
-
- メールやFAXの送り先を間違えて、顧客のメールアドレスや住所など個人情報を流出した(誤送信)
- BCCに記載すべきメールアドレスを誤ってCCに記載し、メールアドレスの情報を流出した(誤記載)
- 個人情報が記載された資料を画面に表示したまま、パソコンなどの端末を放置して、第三者に情報を見られてしまった(誤表示)
パソコンなどの端末の紛失・誤廃棄・盗難
パソコンやスマートフォンの端末や、USBメモリなど記録媒体の紛失、誤廃棄、盗難も、個人情報漏洩の原因となります。例としては、次のようなケースがあります。
- 紛失・誤廃棄・盗難による個人情報漏洩の主な事例
-
- 個人情報の入ったUSBメモリを社外へ持ち出し、紛失した
- 企業のパソコンを持ち出し、電車や店などに置き忘れたところ盗難された
- オフィス移転の作業時、個人情報の入った端末を誤廃棄した
- 車上荒らしに遭い、車内に置いていた端末を盗まれた
近年はテレワークが普及し、コワーキングスペースやカフェなどで、企業貸与のパソコンやスマートフォンを使用して仕事をすることが増え、その場に置き忘れてしまうなどして、端末を紛失するケースが増えています。
内部不正
内部不正も個人情報漏洩の原因となります。内部不正とは、組織の従業員や元従業員が個人情報を持ち出して悪用したり、第三者に売ったりする不正行為です。
- 内部不正による個人情報漏洩の主な事例
-
- 従業員であるエンジニアが企業の重要な情報を持ち出して第三者に売却した
- 顧客情報の管理者が個人情報を個人のUSBメモリにコピーして持ち出した
- 元従業員が企業のデータベースにログインして個人情報を不正に取得した
個人情報漏洩を防ぐ企業の対策
個人情報漏洩のリスクを軽減するために、企業ができる対策にはどのようなものがあるのでしょうか。ここでは、5つの対策を紹介します。
セキュリティソフトの導入と管理
個人情報漏洩の原因として最も多いウイルス感染や不正アクセスに対して、セキュリティソフトを導入することでリスクを軽減できます。セキュリティソフトはサイバー攻撃によるウイルスを検知し駆除することで感染を防ぐほか、インターネットを介した不正なアクセスや、情報を盗み出そうとする不正なアプリケーションをブロックする機能などを搭載しています。
なお、サイバー攻撃の手口は日々多様化・巧妙化しているため、セキュリティソフトの脆弱性を放置しないように管理することも大切です。導入後は常に最新バージョンに保てるよう、ソフトウェアの更新管理も行います。
不正なパソコンの接続遮断
不正アクセスによる個人情報漏洩を防ぐには、不正アクセス検知システムを導入し、不正なパソコンの接続を遮断する方法も効果的です。
不正アクセス検知システムは、登録のないパソコンなどの端末が社内ネットワークに接続した場合に接続を遮断し、システム管理者に通知することができます。
ファイルへのアクセス制御
社内の誰もが個人情報の保管場所にアクセスできる環境では、個人情報漏洩のリスクも高くなります。ファイルへのアクセス制御を設定し、特定の従業員しかアクセスできないようにすることも、個人情報漏洩の対策の1つです。社内にある各種ファイルへの操作(読み込み、書き込み、移動、コピー、削除など)を監視し、不正操作の実行を制限するように設定できるツールで、従業員のアクセスを制御することができます。
- あわせて読みたい
外部デバイスの監視
USBメモリやCD/DVDドライブ、Blu-rayドライブ、スマートフォンなど、外部デバイスのパソコンへの接続を監視する機能を搭載したツールもあります。
セキュリティポリシーに則って読み込みだけを許可したり、外部デバイスへの情報のコピーなど、すべての操作を制限したりと、端末ごとの外部デバイス利用範囲を制御することが可能です。
メール誤送信への警告
誤送信による情報漏洩といった人為的ミスを防ぐために、メールの誤送信予防の警告を出すツールを活用するのも有効です。あらかじめ指定したドメインを除く宛先へのメール送信時や、あらかじめ指定した件数以上の宛先に対するメールの一斉送信時に、警告画面を表示して、本当に送信しても問題ないか、注意喚起します。
個人情報漏洩の罰則やリスクに対策ツールで備えよう
企業が個人情報漏洩を起こすと、個人情報保護法の罰則を科せられるだけでなく、社会的信用の失墜や民事訴訟による賠償金など、様々なリスクを負うことになります。個人情報漏洩に有効な対策ツールを導入して、未然に防げるよう対策しておくことが大切です。
インターコムの「MaLion」シリーズは、充実した情報漏洩対策機能を搭載しており、個人情報漏洩のリスクを軽減できます。ファイルアクセス監視による各種ファイルに対する操作の制御はもちろん、セキュリティポリシーに反する操作を検知した場合には、実行を制限すると共に、不正アクセス者に対する警告を表示します。外部デバイスへのコピーなどの制限や、メールの誤送信を防ぐ警告表示も可能です。
個人情報漏洩対策をお考えの場合は、ぜひ「MaLion」シリーズの導入をご検討ください。
