近年、個人情報漏洩が増加傾向にあり、多くの企業や組織がそのリスクに晒されています。情報化社会の進展とともに、個人情報の取り扱いが一層複雑化している中、適切な対策を講じることが求められています。今回は事業者側が気を付けるべき点を具体策とともに解説します。

個人情報漏洩の現状

個人情報漏洩とは、企業が保有する顧客や従業員などの個人情報が、企業の管理外に流出してしまうことを指します。個人情報保護法において「個人情報」とは、生存する個人に関する情報で、特定の個人を識別できる情報をいい、具体的には、氏名や正面から撮影した顔写真などは、単体で個人情報に該当すると考えられます。そして、他の情報と容易に照合することができ、それにより特定の個人を識別することができるものも含まれます。例えば、生年月日、住所、電話番号、クレジットカード情報など、氏名等の他の情報と容易に照合することができ、それにより特定の個人を識別することができるものは、個人情報となる場合があります。また、メールアドレスについても、ユーザー名やドメイン名から特定の個人を識別することができる場合は、それ自体が単体で、個人情報に該当します。個人情報は、個人情報保護法により厳格に保護が求められており、個人情報取扱事業者は、同法に基づく義務を遵守しなければなりません。また個人情報が漏洩することで、漏洩被害者である本人はプライバシーが侵害され、経済的な損失や精神的な苦痛を被る可能性があります。

個人情報漏洩のケースとしては、企業自身の顧客（個人）のデータを漏洩してしまう場合や、例えばダイレクトメール発送業務を受託した場合など、顧客である企業から預かった個人情報を漏洩してしまうといった場合も考えられます。また逆に、上記例でいうと、ダイレクトメール発送業務を他社に委託した場合、当該業者に預けた個人情報を当該業者が漏洩してしまう、というケースも考えられます。

個人情報漏洩件数の増加

情報漏洩の件数は年々増加しており、これはクラウドサービスの普及などのデジタル化の進行が一因となっています。具体的には、不正アクセスといったサイバー攻撃、従業員による故意の持ち出し、ミスなどが個人情報漏洩の主な原因として挙げられます。また、デジタル化の進展により企業間での情報交換も頻繁になり、業務委託先や提携先からの情報漏洩のリスクも高まっています。

デジタル化による新たなリスク

デジタル化が進むことで新たなリスクが生じています。例えば、クラウドサービスの利用が広がる一方で、それに伴うセキュリティリスクが増加しています。クラウドサービスは、自社でシステム環境を持たなくても利用できるという点で高い利便性がありますが、インターネットはオープンな環境で全世界につながっているという点や、サービスそのもののセキュリティ対策はサービス提供企業に依存する点等から、情報漏洩リスクが高まり、また万一情報漏洩が起きてしまった際の損害が大きくなりやすいため注意が必要です。クラウドサービスを導入する際には、サービス提供企業の利用規約等をよく確認し、セキュリティ対策レベルや保証してもらえる範囲等を把握し、導入の是非を検討することが重要です。また、サービスの利用にあたっては、社内において、ハード面からはOSやアプリケーションの定期的なアップデートを行ったり、セキュリティソフトを導入すること等、ソフト面からは、情報セキュリティに関する従業員教育を継続的に行うなどして、セキュリティ対策を講じることが大切です。

情報漏洩の事例

個人情報漏洩として多くのケースが報告されています。漏洩の要因としては、大きくは外部要因と内部要因に分けられますが、具体的には「ウイルス感染・不正アクセス」「誤表示・誤送信」「不正持ち出し・盗難」「紛失・誤廃棄」が代表的な要因として知られています。

例えば、ある企業では、管理するデータベースから多数の個人情報が社外に不正に持ち出されていたために、被害に遭った顧客ら数千人が同社や関連会社に損害賠償を求める訴訟を提起しました。また、電子メールの誤送信による個人情報の漏洩も一般的な事例であり、毎年一定程度の事例が報告されています。特に、大量の顧客情報が含まれている場合、その損害は計り知れません。さらに近年では、業種、企業規模を問わず、サイバー攻撃による情報漏洩事件が多発しています。こうした事実から、個人情報漏洩の防止策と、漏洩が発生した際の初動対応の重要性が強く認識されています。

個人情報漏洩の影響とリスク

個人情報の漏洩が企業にとって重大な影響をもたらすことがあります。

経済的損失～損害賠償等

まず、個人情報漏洩の損害賠償として個人情報漏洩被害当事者である本人（顧客（個人）や従業員）に対して多額の賠償金を支払う必要が生じることがあります。これに加えて、漏洩が発覚した際の初動対応費用や、セキュリティ対策の強化にかかる追加費用も無視できません。また、法律顧問や専門家の相談費用も負担となります。例えば上記の事例においては、当該訴訟において後に裁判所から命じられた損害賠償のみならず、漏洩発生時には顧客への補償、おわび文書の発送や事件の調査、セキュリティ対策などに１期のみで数百億円の特別損失を計上することとなり、また会員数も減少するなど、企業の信頼失墜や経済的損失が大きいものとなってしまいました。

また、例えば顧客（企業）から預かった個人情報を漏洩してしまった場合には、当該顧客（企業）から損害賠償を請求される可能性があります。この損害には、例えば上記で例に挙げたような、当該企業が負うこととなる特別損失分も全て含むことも考えられますので、請求額が多額になるリスクがあります。

企業に対する法的制裁

個人情報の漏洩が発生した場合、企業は法的な制裁を受ける可能性があります。日本では個人情報保護法が厳格化の方向で改正されており、違反した企業には厳しい罰則が科される場合があります。例えば、漏洩が発生した際に迅速に個人情報保護委員会へ報告をしなければならない義務があり、これを怠ると罰金が課されることがあります。なお、違反を犯した従業員にも罰則が適用される場合もあります。

信頼失墜とその影響

個人情報が漏洩すると、企業の信頼は大きく失われます。信頼失墜は、顧客からの評価が低下し、企業のブランドイメージや信用を大きく損なうことになります。特にSNSや口コミサイトを通じて迅速に情報が拡散される現代では、個人情報漏洩のニュースは瞬時に広がります。そのため、企業は迅速かつ適切な対応を取ることが求められます。個人情報の漏洩が発生した際の対応方法を事前に定め、迅速に行動することで、信頼失墜の悪影響を最小限に抑えることが可能です。

基本的な個人情報保護対策

個人情報の漏洩を防ぐためには、企業が基本的な個人情報保護対策を講じることが必要ですが、まず第一に、個人情報保護法に定められた「個人データの管理に関する義務」を果たすことが重要となります。

個人情報保護法に定められた個人情報取扱業者の義務としては、個人情報を取り扱うにあたり、利用目的をできる限り特定し、当該目的の範囲内で利用しなくてはならない、といった、「個人情報の利用に関する義務」や、一定の場合には、個人情報取得の際に原則として本人から事前の同意を得る必要があるといった「個人情報の取得に関する義務」など、多くの義務がありますが、そのなかに、「個人データの管理に関する義務」があります。これは、個人情報漏洩を防ぐために、事業者が果たすべき義務として法令に定められたものです。したがって、法令違反とならないためだけでなく、個人情報漏洩を起こさないために、法令やガイドライン等を詳細に把握し、当該義務を果たすことは重要です。当該義務のなかには、「安全管理措置」「従業者の監督」「委託先の監督」等を行わなければならないことが規定されています。それら義務を踏まえつつ、個人情報漏洩を防ぐために具体的にどういった対策を取ればいいのか、以下にみてみましょう。

社内における対策～組織体制・対従業員～

個人情報漏洩を防ぐ組織体制の整備

個人情報を取り扱う事業者は、個人情報の適正な取扱いのために、個人情報取扱いに関する責任者を設置することや、従業員ごとの個人情報取扱いに関する役割を明確にすること、また、従業員が個人情報保護法に違反していたり、個人情報漏洩が発生した場合もしくはその兆候がある場合の責任者への報告体制を整えるなど、組織体制を整備することが求められます。

従業員の情報セキュリティ意識向上

企業が個人情報漏洩のリスクを最小限に抑えるためには、従業員の情報セキュリティ意識を高めることが不可欠です。従業員が日常業務でどのように個人情報を取り扱うかによって、情報漏洩のリスクは大きく変わります。従業員の意識向上には、まず個人情報の重要性を理解させ、情報漏洩が企業全体に与える影響を認識させることが重要です。就業規則には個人情報取扱いに関する条項を設置し、内容を社内に周知するようにします。

定期的な情報セキュリティ研修では、上記の個人情報保護の重要性についての周知徹底に加えて、最新の情報セキュリティの脅威や対策についての情報を提供し、従業員が常に最新の情報セキュリティ知識を持つようにします。さらに、情報漏洩が発生した場合の対応方法や責任の分担についても取り上げることで、万が一の事態に備えることができます。具体的な事例を元にシミュレーションを行うことで、従業員の実践力を高めることができます。定期的な情報セキュリティ研修を通じて、企業全体の情報セキュリティレベルを向上させ、個人情報の漏洩リスクを効果的に低減させることが可能となります。

従業員向け誓約書の作成

従業員に対しては、就業規則において個人情報の取扱いについて明確に規定しておく以外に、個別の誓約書を作成することも有効な対策です。従業員向け誓約書には、個人情報の不適切な取扱いを防止するための具体的な義務や、違反があった場合の損害賠償等の負担について明記します。また、退職した従業員に対しても個人情報保護義務が続くことを明示することが重要です。これにより、従業員が企業を離れた後も個人情報漏洩のリスクを抑えることができます。

入社時に、個人情報の取り扱いについて誓約書を提出させておくことで、従業員に個人情報取り扱い時の責任を自覚させるという効果が期待できます。

社内における対策～技術面～

デジタル化が進展する昨今では、技術的な情報セキュリティ対策が不可欠です。

セキュリティソフトの導入

個人情報漏洩のリスクを最小限に抑えるため、企業は適切なセキュリティソフトの導入が欠かせません。セキュリティソフトは、不正アクセスを防止し、ウイルスやマルウェアからシステムを保護するための基本的な対策です。また、個人情報を扱うシステムには情報セキュリティの設定が適用されているか確認し、不正なアクセスがあった場合には速やかに対応できるように体制を整備しておく必要があります。

定期的な情報セキュリティ監査～外部専門家との連携～

セキュリティソフトの導入だけでなく、外部専門家による定期的な情報セキュリティ監査も重要な対策です。監査により、システムやネットワークの脆弱性や設定ミスを早期に発見し、修正することができます。これにより、不正アクセスや個人情報漏洩のリスクを大幅に減少させることができます。さらに、監査結果に基づいてセキュリティポリシーを見直し、必要な対策を講じることが可能となります。

外部委託に関する対策

例えば先述のダイレクトメール発送業務を他社に委託する場合など、個人データの取扱いの全部又は一部を委託する場合には、委託先において当該個人データについて安全管理措置が適切に講じられるよう、委託先に対し必要かつ適切な監督をしなければなりません。

委託先選定のポイント

個人情報漏洩のリスクを最小限に抑えるためには、適切な委託先の選定が非常に重要です。委託先選定にあたっては、まず情報セキュリティ対策がしっかりしているかどうかを確認する必要があります。具体的には、情報セキュリティ管理の基準（例えばISO/IEC 27001など）を満たしているか、過去に個人情報漏洩の事故を起こしていないかなどをチェックします。

外部委託先の契約管理

業務委託契約書や、同時に締結する秘密保持契約書（NDA）において、個人情報の取り扱いに関する詳細な条項を含める必要があります。これらの条項では、委託先が必要かつ適切な安全管理措置を講ずべき旨や、委託先の従業員が個人情報を取り扱うに当たって、漏洩等の発生を防止するために委託先企業が行うべき監督の内容、個人情報が漏洩した場合の対応方法や責任分担等、多岐にわたる事項について明確かつ詳細に定めることが求められます。また、これら事項を詳細に定めるため、業務委託契約書等とは別途、「個人情報取扱いに係る合意書」のように合意書を作成することも考えられます。さらに、定期的に契約・合意内容の見直しを行い、事業内容の変更や個人情報保護法などのルールの改定に対応するようにしましょう。

実際に情報漏洩が発生してしまった場合に備えて～損害賠償の視点から～

賠償上限規定を設けるなどのリスク対策を！（受託者の立場）

他社から個人情報を取り扱う業務を委託された場合で、万一個人情報を漏洩してしまった場合、先述のとおり多額の損害賠償を請求される可能性があります。たとえば、電子メールの誤送信により大量の顧客情報が漏洩した場合、その影響は社会的にも大規模となり、賠償額が増大する可能性があります。そのため、契約書で情報漏洩事故の際の損害賠償額に上限規定を設けたり、損害の範囲を限定するなどのリスク対策を検討する必要があります。ただし、契約書で損害賠償について上限規定を設けた場合も、情報漏洩について重大な過失がある場合は、上限規定の適用が認められないケースもあるため注意が必要です。

委託先選定において、賠償能力の確認（委託者の立場）

万一委託先が個人情報を漏洩してしまった場合、当該個人情報の持ち主は委託者の顧客ですので、まず委託者である企業が当該被害者への補償を行うこととなり、その後委託先へと求償請求を行うこととなります。また実際には漏洩を起こしたのが他社であっても、委託者自身への企業イメージ悪化などの影響は計り知れません。個人情報漏洩による損害は多額になるケースも少なくないため、委託先を選定する際には、委託先の経営の健全性の確認のみでなく、情報漏洩時に対応できる保険に加入しているかなど、賠償能力の確認を行うことが重要です。

まとめ

個人情報漏洩のリスクは企業にとって大きな脅威であり、個人情報漏洩対策は不可欠です。個人情報漏洩を防ぐ組織体制の整備や適切な従業員教育、セキュリティソフトの導入や定期的な情報セキュリティ監査を受けること等が基本的な対策となります。さらに、外部委託に関するリスク管理も重要で、契約管理を徹底することが求められます。自社内だけで全てを管理しようとすると限界があるため、情報漏洩対応の経験が豊富な各分野の専門家のサポートを受けることをおすすめします。個人情報の取扱いや漏洩について気になることがある場合は、いつでもお気軽にお問い合わせください。

弁護士法人ファースト&タンデムスプリント法律事務所は、EC・通販法務には特に高い知見と経験を有しています。
「助ネコ」の株式会社アクアリーフ様、「CROSS MALL」の株式会社アイル様など、著名なECシステム企業が多数、当法律事務所の顧問契約サービスを利用されています。
企業の皆様は、ビジネスのリスクは何なのか、リスクが発生する可能性はどれくらいあるのか、リスクを無くしたり減らしたりする方法はないのか、結局会社としてどうすれば良いのか、どの方法が一番オススメなのか、そこまで踏み込んだアドバイスを、弁護士に求めています。当法律事務所は、できない理由を探すのではなく、できる方法を考えます。クライアントのビジネスを加速させるために、知恵を絞り、責任をもってアドバイスをします。多数のEC企業様が、サービス設計や利用規約・契約書レビューなどにあたり当事務所を活用されていますので、いつでもご相談ください。

※本稿の記載内容は、2024年9月現在の法令・情報等に基づいています。
本稿は一般的な情報提供であり、法的助言ではありません。正確な情報を掲載するよう努めておりますが、内容について保証するものではありません。