「IT産業」とか「IT社会」という表現が使われるようになってから久しくなりますが、いまやどの会社もコンピュータやモバイル端末を使って様々なデータを保管・管理していますよね。でも大量のデータを管理する上で心配になるのはやはり情報漏洩などのセキュリティ問題です。

この記事では業務上過失などで情報漏洩などのトラブルが起きた場合の損害賠償の発生について解説したいと思います。

1.情報漏洩事件は世界中で多発!IT社会の深刻な問題とは

情報漏洩事件は世界中で多発!IT社会の深刻な問題とは

近年コンピュータ関連の技術革新が非常に速い勢いで進んでいるので、現在では小さなメモリひとつに膨大な量のデータを入れることができるようになりました。またネットは世界中のあらゆるところを結んでいるので、地球の反対側にある企業にアクセスすることも容易です。そのような背景もあって情報流出や漏洩の問題はいっそう深刻化しています。

情報漏洩問題は世界中で起きていて、2015年には世界中で1,673件の情報漏洩事故や事件が発生し、約7億700万件以上のデータが流れ出てしまいました。2018年の調査では同年上半期に945件の漏洩件数があり、45億件のデータが流出しました。漏洩したデータの種類としては個人情報が最も多かったようです。

日本の情報漏洩問題

日本でこれまでに実際に起きた情報漏洩問題を取り上げてみましょう。

・大日本印刷情報流出事件
2007年に大日本印刷が約863万件という膨大な情報流出を公表しました。情報の中には取引先からのダイレクトメール印刷用の個人情報が含まれていました。

・ジャパネットたかた情報流出事件
通信販売のジャパネットたかたは元社員が情報流出に関与したとして1億1000万円の損害賠償を請求しました。

・近鉄百貨店顧客情報流出事件
近鉄百貨店の外商担当社員の私物パソコンからファイル交換ソフトを通じて約1,107人分の情報が流出してしまいました。

・埼玉りそな銀行顧客情報紛失事件
りそな銀行でも13万3千件の顧客情報が紛失しました。

・税務署員メモリ紛失事件
名古屋のある税務署員は泥酔してビルの階段で寝込んだ結果、納税者情報の入ったメモリを紛失しました。

このように大切な情報が流出するという事件は珍しくなく、その場合には会社としての責任や個人の責任が問われることになります。内閣府の調査によると情報漏洩元は事業者が7割で業務委託先が3割という現状がありますが、問題の大半はうっかりミスによって引き起こされるものです。

ここで紹介した事件の中には業務上過失だけでなく社員の不正によるものも含まれていますが、いずれにしても情報流出は現在のIT社会の中で特に懸念されているリスクの一つです。

2.個人情報保護法と損害賠償

個人情報保護法と損害賠償

2017年5月から改正個人情報保護法が施行されましたが、この改正法によるとわずか1件でも個人情報を扱う事業者がいれば個人情報保護法が適用されることになりました。この法律は名前の通り個人情報の保護を目的とした法律ですが、意図的あるいは過失で個人情報が漏洩してしまった場合には刑事上ないしは民事上の罰則があります。

・刑事上の罰則
是正勧告や改善命令が出されても個人情報保護法に違反する場合は最大6か月の懲役や最大30万円の罰金があります(従業員や雇用している会社に対して)。

・民事上の罰則
民事訴訟が起きた場合、民法709条の「不法行為による損害賠償」や第415条の「労働契約の債務不履行による損害賠償」などが持ち出される可能性があります。

「酔っぱらって情報が入った端末をなくした」とか「ファイル交換ソフトで誤ってネット上に情報が流出してしまった」という過失の場合でも会社側から直接賠償を求められたり、会社が他の被害者に対して支払った賠償を求償される恐れがあります。

実際の損害賠償例

では実際に起きた損害賠償例をいくつか見ていきましょう。

・TBC個人情報漏洩事故
エステ大手のTBCが顧客情報をWEBサーバー上に保管していましたがアクセス制限をしなかったために約5万人分の顧客データが閲覧可能の状態となってしまいました。漏洩した個人情報をもとに迷惑メールなどの二次被害も起きたため、一人当たり3万円の損害賠償が命じられました。

・京都府宇治市住民基本台帳データ漏洩事件
京都府宇治市の住民基本台帳データ21万7,617件分が外部業者に持ち出され、しかも名簿業者に売却されました。その結果市民の住所・氏名・性別・生年月日が漏洩した場合の慰謝料として、1人当たり15,000円の算定がなされました。

・Yahoo!BB個人情報漏洩事件
Yahoo!BBでは不正アクセスの被害により約1100万件の会員情報が漏洩してしまいました。被害総額は100億円超にもなりましたが、運営元のソフトバンクBBは会員に500円分の金券を配り謝罪しました。しかし納得できない会員から損害賠償請求をされ、結果的に1人につき6,000円の支払いが命じられました。

3 .まとめ

紹介したケースに見られるように、事件や事故など情報漏洩には様々なケースがありますが、いずれにしても個人情報などの大切なデータを預かる企業はデータの取り扱いに対して責任を負うことになります。仮に企業自体が被害者になったとしても損害賠償は起きるため、従業員は最新の注意を払って情報管理業務に臨む必要があります。