昨今、情報漏洩のニュースが後を絶ちません。
不正アクセスなどによる悪意ある情報漏洩だけでなく、社員の不注意から情報漏洩が生じたケースも少なくありません。
たとえば、
- 大手IT企業の社内情報共有ツールから顧客情報が外部流出し、社長が報酬を返上したケース
- 引越し会社の従業員が、個人情報を自宅に持ち帰り、集合住宅の一般ごみに廃棄したケース
- 公務員である市職員が、住民基本台帳のデータを業務に関係なくメールでやり取りし、全市民3万人超の個人情報を漏洩させたケース
など、情報漏洩により、関係者や会社・組織全体にまで影響が及んだ事件が年に何件も発生しています。
情報漏洩は、一度発生すると、既存の顧客の信頼を失い、場合によっては損害賠償の責任を負うこともあります。
また将来的にも新規顧客の獲得が困難になったり、採用活動が難しくなるなど、長期的な損害を発生させます。
それだけに、社員が情報漏洩をしないための防止策の策定や、万が一の情報漏洩に備えた対応策を設定しておくことが重要です。
そこで今回は、情報漏洩に際して、会社が取っておくべき対応や、知っておくべき罰則についてご説明したいと思います。
情報漏洩で会社が負う法的責任と罰則は?
従業員が漏洩する情報には様々な種類があります。
まず、情報漏洩で問題になりやすい、顧客の個人情報を漏洩した場合の会社の責任と罰則をご説明します。
マイナンバーも対象!個人情報の定義と事例
社員が顧客の個人情報を漏洩した場合に問題になる「個人情報」とは、
- 生存中の個人に関する情報
- 特定の個人を識別できる情報または個人識別符号が含まれる情報
を含むものを指します(個人情報保護法参照)。
具体的には、氏名、住所、電話番号、基礎年金番号、マイナンバー、パスポート番号、指紋、声紋、DNA配列等が含まれ、個人情報保護法やマイナンバー法により保護の対象となります。
個人情報保護法の適用を受ける会社とは
個人情報保護法の対象となるのは「個人情報取扱事業者」に限られ、全ての会社に適用されるわけではありません。
個人情報取扱事業者とは、データベース等で個人情報を管理し事業に利用している会社を指します。
個人情報取扱事業者の範囲は、2015年の法改正で拡大され、1件でも個人情報を把握する会社は個人情報取扱事業者とされることになったため、社員や顧客の個人情報を体系的に管理する全ての会社が個人情報取扱事業者にあたります。
個人情報漏洩で会社が負う3つの責任
会社の従業員が個人情報を漏洩した場合、会社・企業にも次の3つの責任が生じます。
民事上の責任と賠償額の目安
個人情報を漏洩して相手方の権利や利益を侵害して損害が生じた場合、まずは情報を漏洩した社員が不法行為責任(民法709条)を負い、相手に生じた損害を賠償しなければなりません。
しかし、その社員だけでなく、会社も雇用主として使用者責任を負う可能性があり、また会社の体制に問題があった場合、会社自身も同様の不法行為責任を負うこともあります。
損害賠償の金額は、ケースバイケースですが、漏洩した個人1人あたりは数千~数万円でも、全員分となると損害額は数千万円以上になることもあります。
行政上の責任
個人情報を漏洩した会社は、個人情報保護委員会から、「報告徴収」「立入検査」「指導・助言」「勧告・命令」等の処分を受けることがあります。
これらに対してウソの資料や内容を提出・回答したり、立入検査を拒否したりすると罰則の対象となり、50万円以下の罰金が科される可能性があります。
刑事上の責任と罰則
社員等が不正な目的で会社の個人情報データベースを盗んだり、誰かに提供したりして個人情報が漏洩した場合、情報漏洩した社員だけでなく、会社も、個人情報保護法に基づいて刑事上の責任を負い罰則の対象になる場合があります。
措置命令違反
情報漏洩の報告・通知義務に違反した場合、個人情報保護委員会から勧告や措置命令が出される場合があります。
この措置命令違反をした者に対する罰則は、従来は「6か月以下の懲役または30万円以下の罰金」でしたが、今回の改正によって「1年以下の懲役または100万円以下の罰金」(個人情報保護法83条)に引き上げられました。
報告・立入検査を免れた場合
個人情報に関する報告やもしくは資料の提出をしない、ウソの報告やウソ資料の提出をする、検査のための立入りを拒否するなどの場合は、従来の「30万円以下の罰金」から改正法では「50万円以下の罰金」に強化されました。
法人重科
法人の代表者または法人もしくは人の代理人、従業員(使用人その他の従業者)が、その法人などの業務に関して、措置命令違反や個人情報データベース等不正流用をした場合、改正法によって会社には最高で1億円以下の罰金が科せられることになりました。
個人情報以外の情報漏洩にも注意!職務上の守秘義務違反や違反時の罰則
上記では、個人情報保護法に基づいて会社が負う法的責任や罰則についてご説明しましたが、「個人情報」に該当しない会社の秘密や機密を漏洩させても、会社が責任を負う場合があります。
民法上の損害賠償責任を負う場合
例えば、会社の機密情報を漏洩して、顧客や取引先に損害を与えた場合、不法行為責任という民事上の責任を負い、相手側から損害賠償を請求される可能性が高いです。
また、秘密情報について取引先と契約書で秘密条項について合意していた場合、その契約内容に違反したとして債務不履行責任を負い、同じく損害賠償を請求される可能性があります。
なお、刑事上の責任は、法律で決められている場合にのみ負うのが原則です。
-
-
機密情報と秘密情報の違いとは?区分や注意レベルを解説
2022年10月、回転ずしチェーンの社長が、ライバルチェーン会社の営業秘密を不正に持ち出したとして、不正競争防止法違反の容疑で逮捕されたニュースが話題になりました。 この事件では、逮捕された社長が、ラ ...
続きを見る
看護師や理学療法士も対象!刑法上の守秘義務を負う場合
刑法では、一定の職業に守秘義務が課されています。
具体的には、
医師、薬剤師、医薬品販売業者、助産師、弁護士、弁護人、公証人が刑法134条で規定された守秘義務を課された職業に当たり、正当な理由なく業務上知った情報を漏洩した時は、秘密漏示罪にあたり、6か月以下の懲役または10万円以下の罰金が科される場合があります。
また、刑法以外にも、別の法律で職業ごとに守秘義務が課されているケースは少なくありません。
例えば、保健師、看護師、准看護師は「保健師助産師看護師法」に守秘義務が定められ、違反すると、退職後でも6か月以下の懲役または10万円以下の罰金が科される可能性があります。
理学療法士や作業療法士については「理学療法士及び作業療法士法」に守秘義務の規定があり、違反すると50万円以下の罰金が科される場合があり、同様に退職後でも遵守しなければなりません。
情報漏洩を防ぐために必要な対策とは?罰則の周知も有効
一度情報漏洩が起きると、上記のような法律上の責任だけでなく、イメージダウン、株価の下落、顧客離れなど、会社に生じるリスクは非常に大きくなります。
それだけに、日頃から、社内で情報漏洩の原因を知り、漏洩を防ぐ対応を取っておくことが重要です。
社内の情報漏洩が起きる理由
昨今、フィッシング詐欺の手口等が巧妙化し、海外からのハッキングも生じるなど、情報漏洩を防ぐことは難しく感じられます。
しかし、2018年に特定非営利活動法人日本ネットワークセキュリティ協会が公表した「情報セキュリティインシデントに関する調査報告書」「情報セキュリティインシデントに関する調査報告書」によると、情報漏洩の原因は、多いものから
- 紛失・置き忘れ:26.2%
- 誤操作:24.6%
- 不正アクセス:20.3%
- 管理ミス:12.2%
などとなっており、その他内部の不正行為やセキュリティ対策不足によるウイルスや盗難、ネットワークスの設定ミスなど、ヒューマンエラーが情報漏洩の原因であることも少なくありません。
社内で取るべき情報漏洩防止の対策
情報漏洩は、多くの場合、社員の不正な目的(故意)やミス(過失)が原因で発生します。
そこで、情報漏洩を防ぐために、従業員に向けた対策をご紹介します。既に取られている対策と合わせて検討してみてください。
情報管理のルール化
会社が管理する情報は多岐にわたります。
そのため、例えば社内の機密情報や、顧客のマイナンバー等、秘匿性の高い情報を取得するとき、誰が、どのように管理するかをルール化しておくことが対策として有効です。
また、社員が情報を持ち出せないように、私物のUSBメモリの社内持ち込みを禁止するなどのルール化も対策の一つになります。
情報への接近のコントロール
社員であれば誰でも情報にアクセスできると、情報漏洩のリスクが高まるうえ、万が一情報が漏洩した場合に、そもそもの原因の把握が困難になりかねません。
そこで、社員の立場に応じて情報へのアクセスを制限したり、一部の職員しか機密文書を保管する部屋に立ち入れないようにするなど、情報への接近の度合いをコントロールしておきましょう。
より具体的には、データの閲覧に二重のパスワードを設定する、書類は鍵付きの棚に保存する、個人情報はコピーやスキャンができないように設定する等の対策が考えられます。
SNSにも注意!ネット利用に制限をかける
在宅ワークが増えた昨今、自宅のWi-Fiやセキュリティがぜい弱で情報が漏洩するなどのリスクが増えています。
そこで、特定の情報には会社のPCからしかアクセスできない、無料のWi-Fiからのアクセスを禁止するなど、ネットの利用に制限をかけることも効果的です。
また、昨今はSNSに不注意に上げた写真や文面から情報が漏洩するリスクもあります。
社員のSNSの利用にも注意を払うようにしましょう。
万が一情報漏洩しても発見しやすい体制を作る
もしも、社員が情報漏洩をしたとしても、すぐに発見できる体制を作ることが重要です。
机のレイアウトを工夫する、オープンデスクやフリーアドレスにする、防犯カメラを設置する等の対策が有効です。
また、万が一情報漏洩した社員がいた場合に、社員が「機密情報と思わなかった」などと言い訳しないように、何が機密情報か、どのような情報を漏洩したら罰則の対象になるかを、社内研修の実施や社内掲示によって告知しておくことが考えられます。
情報漏洩の罰則を周知徹底する
上記でご説明したように、情報漏洩が起きると、漏洩した社員本人だけでなく、会社も大きな責任を負い、損害賠償責任を追及されたり、刑事罰を科される可能性があります。
そこで、社員一人一人に、情報漏洩をした場合のリスクを周知しておくことが重要です。
懲戒処分に加え、損害賠償責任を負うこと、刑事罰を負うと前科がつく場合があることを認識させましょう。
また、雇用契約締結時点で、別途社内情報の守秘義務の遵守についての合意書や確認書を締結する方法も有効です。
弁護士に情報漏洩を相談するメリット
会社で情報漏洩が生じた場合に、科される罰則の重さやリスクの大きさに驚いた経営者の方もいるのではないでしょうか。
情報漏洩が生じた後の迅速な対応ももちろん重要ですが、第一に、情報漏洩を防ぐ社内のシステムを整えることが大切です。
何から手を付けたらいいか分からない、どのくらいの懲戒処分を規定すればいいか分からない、就業規則の内容が不十分で心配、といったお悩みがある場合、まずは弁護士に相談することをお勧めします。
弁護士であれば、就業規則の整備や懲戒処分も、法的な見地や過去の裁判例などを踏まえて整えることが可能です。
さらに、万が一情報漏洩が生じた場合にも、従前から社内の様子を相談しておくことで、一から相談するよりも迅速な対応が期待できるため、損害を最小限に食い止めることができます。
情報漏洩のリスクや罰則などの社内整備でお悩みの方は、どうぞお気軽に弁護士にご相談ください。
このサイトはreCAPTCHAによって保護されており、Googleのプライバシーポリシーと利用規約が適用されます。