PJCからのお知らせ個人情報漏洩対策コンサルティング
トピックス一覧
- 個人情報保護と消費者保護法制
- 平成21年9月1日、個人情報保護法は消費者に身近な問題を扱う法律として、内閣府から消費者庁に移管されました。
- プライバシーマーク取得から個人情報漏洩対策へ
- プライバシーマークの取得までは必要がないとお考えの企業様も、マネジメントシステムの観点を個人情報漏洩対策に取り入れることから始めてみてはいかがでしょうか。
- 情報漏洩事件から見る企業の法的責任
- 事業者が情報漏洩事故を起こしてしまった場合、個人情報保護法上の責任だけでなく、民事責任(使用者責任、安全配慮義務の債務不履行)も負うことになります。
- 外部委託先のミスも委託元の責任
- 内閣府に報告された個人情報の漏洩事案538件のうち、20%強の123件は委託先からの漏洩となっています。
- 情報漏洩は日常のリスク
- メールやFAXの誤送信、誤廃棄、携帯電話紛失、USBメモリ紛失など、日常にリスクはひそんでいます。
個人情報保護と消費者保護法制
平成21年9月1日、個人情報保護法は消費者に身近な問題を扱う法律として、内閣府から消費者庁に移管されました。「生活者や消費者が主役となる社会」へ向けて設立された消費者庁の中で、個人情報保護法は「消費者・生活者が主役となる社会の構築等に関する法律」として位置づけられています。個人情報保護法は、情報化社会の進展によりプライバシー侵害への危険性、不安が増大していったために制定された法律ですが、近年ますます消費者との関わりが強くなったといえるでしょう。
個人情報漏洩は、様々な消費者保護法制と関連付けられることで、より大きなリスク要因となる可能性があります。各企業の個人情報管理への取組みは消費者へのイメージに大きく影響するものです。
プライバシーマーク取得から個人情報漏洩対策へ
個人情報保護法は、消費者の個人情報を扱う事業者が個人情報の有用性に配慮しながら、個人の権利利益を保護することを目的として、個人情報を取り扱う上でのルールを定めています。プライバシーマーク制度は、個人情報を取り扱う上でのルールという点では同じですが、より詳細な要求事項が定められています。当然、管理・扱いはより厳しくなりますが、プライバシーマークを取得しなくても、個人情報保護法に対応する体制の構築は可能です。しかし、個別に技術面の対策を行うだけでは、個人情報保護法に対応しているとはいえません。組織として自らのリスクを調査・分析し、情報の重要度に応じて限られた資源を有効に配分し、無理なく運用できるマネジメントシステムを構築する必要があります。
プライバシーマークの取得までは必要がないとお考えの企業様も、マネジメントシステムの観点を個人情報漏洩対策に取り入れることから始めてみてはいかがでしょうか。また、金融業、情報サービス産業、電気通信事業、通信販売業、印刷産業、ビルメンテナンス業、マンション管理業、マーケティング・リサーチ業、教育産業など、独自の個人情報保護ガイドラインを有する業界団体もあります。業界団体のガイドラインの有無も確認しておきましょう。
情報漏洩事件から見る企業の法的責任
【個人情報漏洩により訴訟となった場合の判例(1)】
インターネット接続等の総合電気通信サービス会社の顧客情報漏洩
→顧客情報として保有処理されていた原告らの氏名・住所等の個人情報が外部に漏洩したことにつき、同サービスを提供していた被告に、外部からの不正アクセスを防止するための相当な措置を講ずべき注意義務を怠った過失があるとして、原告らの不法行為に基づく損害賠償請求を一部認容(大阪地方裁判所の判示事項の要旨より)
事業者が情報漏洩事故を起こしてしまった場合、個人情報保護法上の責任だけでなく、民事責任(使用者責任、安全配慮義務の債務不履行)も負うことになります。適切な情報保護対策をとらなかったことで管理責任を問われ、損害賠償の支払いを命じられるケースも少なくありません。損害賠償金のほか、弁護士費用・謝罪などの広告宣伝活動費用・被害者への見舞品購入費用・事故対応費用などもかかります。営業活動を自粛した場合の損失も考えなければなりません。
そのうえ、損害賠償の請求が認められれば、社会の目も厳しくなります。大切な情報を悪用されたうえに、物理的な損害を被り、会社のイメージも悪くなる。情報漏洩は企業にとって大きなリスクと言えるでしょう。
外部委託先のミスも委託元の責任
【個人情報漏洩により訴訟となった場合の判例(2)】
美容関連サービス業の顧客情報漏洩
→外部委託先に対する管理責任を問われる。情報漏洩は外部委託先のミスによるものだったが、裁判では「情報保護のために安全対策を講じる法的義務を怠り、プライバシーを侵害した」として、委託元である同社の損害賠償責任が明確に認定された。賠償額は二次被害を受けた13人が慰謝料として30,000円、残る1人が17,000円で、1人5,000円の弁護士費用も加算された。
この判決では、個人情報保護法の違反ではなく、民法の使用者責任に基づいて損害賠償の支払いを命じられています。
*民法の使用者責任とは
民法第715条第1項
ある事業のために他人を使用する者は、被用者がその事業の執行について第三者に加えた損害を賠償する責任を負う。(以下略)
2009年11月に発表された「平成20年度個人情報の保護に関する法律施行状況の概要」によれば、内閣府に報告された個人情報の漏洩事案538件のうち、20%強の123件は委託先からの漏洩となっています。外部委託先の管理は、情報漏洩対策の要といえるでしょう。
情報漏洩は日常のリスク
メールやFAXの誤送信、誤廃棄、携帯電話紛失、USBメモリ紛失など、日常にリスクはひそんでいます。ある統計によると、個人情報の紛失や盗難など1週間で約10件の情報漏洩事件が起きていますが、これは事件化されて表面化したものだけですから、実際にははるかに多くの情報漏洩が起きていることが推測されます。
社団法人情報サービス産業協会が平成20年度の1年間で受け付けた事故報告の内訳は、従業者によるパソコン・携帯電話・書類等の紛失が52 件(43.7%)と前年度に引き続き最も多く、次いで同報メールを中心とする電子メールの誤送信が21 件(17.6%)、委託先による事故が19 件(16.0%)、FAX の誤送信や送付物の誤封入が13 件(10.9%)でした。
例えば、従業員同士で昼食に出ることがありますね。ラーメンをすすりながら、「取引先の○○会社さんが今度上場するらしいよ」などという会話をしていたら、機密情報の漏洩になりかねません。『平成20年度個人情報の保護に関する法律施行状況の概要』によれば、漏洩した情報の形態は電子媒体が約40%、紙媒体及び口頭が約60%となっています。情報漏洩を防ぐためには、PCのセキュリティだけではなく従業員のリスク認識を強化することが重要です。まず、この2点から始めてみて下さい。
(1)従業員全員が、日常業務に潜む漏洩リスクを常に意識する。
(2)従業員全員が、個人情報に対して正しい知識を身につけ実践する。
一人ひとりが日常のリスクを認識し、情報保護対策に取り組むことで、漏洩のリスクが大幅に軽減されます。
PJCビジネスセミナー
弊社では様々な分野のセミナーを予定しております。内部監査や業務改善といった基本部分からIT統制や事業継続計画等の新しい手法まで、経験豊富なコンサルタントがわかりやすく解説いたします。
関連リンク
このページに関する資料請求・お問い合わせ・その他のサービスについては、以下をご覧ください。