個人情報保護法違反による罰則は?そもそも保護対象の個人情報とは?

スポンサーリンク
個人情報保護法違反 企業向け

平成29年5月30日に個人情報保護法が改正され、個人情報を取り扱うすべての事業者が対象となっています。

ですので、小さな会社であっても、個人情報を多く取り扱う事業(美容室、飲食店、クリーニング店やクリニック、保険代理店など)を行っている場合は、特に個人情報保護法について理解しておく必要があります。

また、就業規則に個人情報保護に関する規定をしたり、「個人情報取扱規程」を作成するなどの対応で、従業員の個人情報の取り扱いに対する意識を高めていくことも大切です。

個人情報の漏えいがあった場合は、罰則を課されるだけでなく、損害賠償の支払いや、風評被害など事業に致命的なダメージを与えかねません。

個人情報保護法における個人情報とは?

生存する個人に関する情報で、氏名や生年月日等により特定の個人を識別することができるもの。
また、他の情報と容易に照合することができ、それによって、特定の個人を識別することができることとなるものも含みます。

氏名のみでも個人情報となります。

このほか、顔写真や個人識別符号(指紋、声紋などの生体的なもの、免許証番号、基礎年金番号、マイナンバー、健康保険証などの公的番号)も個人情報となります。

社員の基礎年金番号やマイナンバー、保険証の番号などは、どの企業でも保有しているので、日本のほとんどの企業(個人事業主を含む)が、個人情報保護法の遵守が求められることになります。

マイナンバーは、個人情報の中でも、「特定個人情報」と位置づけられており、より厳格な取り扱いが法的に求められています。

個人情報が漏えいするとどうなるのか?

個人情報漏えいによる企業の信用低下

情報漏えいが発覚すると、当然、企業に対する社会的信用度が低下します。
ニュースなどにならなくても、今はSNSを通じて、情報漏えいしたことが広がっていくことが十分に考えられます。

既存顧客が離れるだけでなく、新規顧客の獲得に影響が出ます。
あるいは、新規顧客が必要な個人情報を提供してくれないといった自体も考えられます。いずれにしても、売上の低下をまねく危険性が高いです。

個人情報漏えいに関する対応に時間を取られる

顧客はもちろんのこと、業種によっては、監督官庁やマスコミの対応にも追われることになります。

そうなると、業務が滞りがちになり、生産効率が低がりますし、顧客や取引先から直接問い合わせやクレームを受ける立場にある従業員は、不安や不満、ストレスを募らせることとなります。

それが、全従業員の仕事に対するモチベーションの低下にもつながっていく可能性があります。

個人情報漏えいによる損害賠償

実際に過去情報漏えいが起こった場合、
企業の損害賠償はどのようになっているのでしょうか?

ヤフーBB会員情報漏洩事件:5,000円+1,000円(弁護士代)
三菱UFJ証券情報漏洩事件:1万円の商品券
アリコジャパン情報漏洩事件:流出者には1万円、非流出者には3,000円

このような状況です。漏洩した個人情報の内容にもよりますが、一人1万円くらいの損害賠償となる感じです。

今後、マイナンバーにさまざまな情報が紐付けされると、マイナンバーが漏えいした場合は、より大きな損害賠償額になるのではないでしょうか?

個人情報保護法で求められる個人情報に関する5つのルール

1.取得するときのルール
2.利用するときのルール
3.保管するときのルール
4.他者に渡すときのルール
5.開示を請求されたときのルール

取得するときのルール

・あらかじめ、個人情報をなんのために利用するのかを特定する必要があります。

・個人情報を取得するときは、利用目的を本人に伝えるか、あらかじめ会社のHPや店頭掲示などで公表しておく必要があります。
(例:購入商品を配送するため、メールマガジン配信のためなど)
※配送伝票に住所を記入するなど、利用目的があきらかな場合は、利用目的の通知や公表は不要。

利用するときのルール

・1.で特定した利用目的の範囲内で利用する必要があります。

・すでに取得している情報を特定した目的以外に利用する場合は、事前に本人の同意を得なければなりません。

保管するときのルール

情報漏えいが起こらないように、安全に管理する必要があります。

・パソコン内に保管する場合は、ファイルにパスワードを設定する。ウィルス対策ソフトを導入する

・紙媒体で保管する場合は、施錠ができる場所に保管する

・就業規則などで個人情報の取り扱いについて周知する。

・従業員に定期的に研修などをとおして教育を行なう
など

他者に渡すときのルール

・個人情報を第三者に提供する場合は、事前に本人から同意を得る必要があります。

・第三者に提供した場合、提供を受けた場合は、3年間記録を残す必要があります。

提供した場合:
「いつ・誰の・どんな情報を・誰に」提供したか
提供された場合:
1.「いつ・誰の・どんな情報を・誰から」提供されたか
2.相手方の取得経緯

本人の同意が不要なケース

・法令にもとづく場合
→警察、税務署、裁判所などからの照会

・生命・身体・財産の保護に必要で、本人の同意が取得困難な場合
→災害時に家族や自治体に提供するなど

・公衆衛生・子ども(児童)の健全な育成に必要で、本人の同意が取得困難な場合
→不登校や児童虐待のおそれのある情報を関係機関で共有する

・委託、事業承継、共同利用など
→商品配送のため配送業者に顧客の氏名・住所を渡す

開示を請求されたときのルール

・本人から保有する個人情報の開示や訂正等を請求された場合は、これに対応する必要があります。

・個人情報の利用目的を聞かれたときは、それに答えなければなりませんし、苦情等には適切かつ迅速に対応しなければなりません。

・開示請求のための以下の①~⑤の事項をHPや掲示で開示しておく必要があります。ただし、①~⑤の事項に関する問い合わせに遅滞なく答えられる場合は、それでもOK.

①事業者の名所
②利用目的
③請求手続
④苦情申出先
⑤加入している認定団体個人情報保護団体の名称・苦情申出先
(認定団体個人情報保護団体に加入している場合のみ)

個人情報保護法に違反した場合の罰則

・国からの命令に違反した場合・・・6ヶ月間以下の懲役または30万円以下の罰金

・虚偽の報告をした場合・・・30万円以下の罰金

・従業員が不正な利益を図る目的で個人情報データベース等を提供・盗用した場合・・・1年以下の懲役または50万円以下の罰金(法人にも罰金)

従業員への罰則が重いこととからも、情報漏えいの原因が従業員によるものであることが一番可能性が高いです。

たった一人の従業員の行いによって、会社全体の信用度・売上を低下させたり、他の従業員のモチベーション低下につながるので、教育や規程などできる限りのことはやりましょう。

まとめ

・個人情報保護法の対象となる個人情報は、すべての企業が保有しているといっても過言ではありません。

・個人情報が漏えいすると、罰則を受けること以上に、社会的信用の失墜をまねき、会社経営に大きな悪影響をおよぼすおそれがあります。

・個人情報保護の取り扱いに関する規定などを作成し、従業員に周知することで、社内での個人情報に対する意識を高めていくことが必要です。