ソーシャルメディアの利用やニュースコンテンツの閲覧、動画の視聴など、現代社会においてインターネットは日常生活と切っても切り離せない存在となっています。このような状況下で、自身のプライバシーがどのように保護されているのかを意識する人は確実に増えてきています。
社会のデジタル化の進展と個人のプライバシー保護のニーズに対応するため、2022年4月に改正された個人情報保護法では、個人情報取扱事業者に対する規制が大幅に強化されました。
では、万が一、個人情報保護法に違反してしまった場合、どのような罰則があるのでしょうか。
この記事では、個人情報保護法違反により科される罰則や個人情報漏洩の事例を紹介します。
個人情報保護法の罰則
個人情報保護法の罰則は、法改正により大幅に強化されました。
旧法では、懲役は6か月から1年以下、罰金は30万円~50万円以下とされていましたが、改正法では罰金の上限が1億円以下となるなど、厳罰化されています。
それでは、個人情報保護法の罰則はどのような場合に科されるのでしょうか。
以下に罰則が科されるケースを紹介します。
不適切な取扱いや虚偽の報告
個人情報保護委員会は、個人情報が適切に扱われていないと疑われる場合に報告を求めることや直接監査を行う権限を持っています。事業者は、監査に協力し正確な報告をする義務(報告義務 第40条)がありますが、これに応じない場合、50万円以下の罰金が科される可能性があります。
また、個人情報保護委員会の命令(措置命令 第42条)に事業者が従わず、違反が認められた場合には、1年以下の懲役または100万円以下の罰金が科される可能性があります。
盗用や第三者への不正な提供
上記は、個人情報を取扱う事業主に罰則が科されるケースですが、これらは従業員にも適用される場合があります。業務上の職権や役職を悪用し個人情報を不正に扱い、その結果、個人情報が漏洩したといった事件を目にする機会も近年増えています。
このケースでは、50万円以下の罰金または1年以下の懲役が化される場合があります。
法人に対する罰則
前述の罰則は、両罰規定により法人に対しても科される場合があります。
旧法においては、法人に対する罰金の額は行為者と同じでしたが、法改正により法人に対する罰金が大幅に引き上げられました。これは、GDPR等、罰則の重罰化の国際的なトレンドを反映したもので、抑止力の強化を目的としています。
特に、個人情報保護委員会の命令に違反した場合は、1億円以下の罰金が科される可能性があり、十分に留意する必要があります。事業者や法人、作為者個人に対して、個人情報保護法違反による罰則が規定されており、実際の事件として目にする機会も増えています。
【参考】:『個人情報取扱事業者が個人情報保護法に違反した場合、どのような措置があるのか』
企業として、厳重に個人情報を取扱うとともに、従業員への教育を徹底することが重要です。
【関連記事】:事業者が遵守すべき個人情報保護法における義務とは?
個人情報保護法の罰則が適用された事例
個人情報保護法違反として、罰則が課された事例を紹介します。
個人情報の不正提供の疑いで初の逮捕者
建築関連の人材派遣会社に勤める40代の男性会社員が過去に所属していた会社の営業先に関する名刺データを不正に転職先側に提供したとして逮捕されました。転職する直前の2021年6月、転職元の名刺情報管理システムにログインするIDやパスワードを転職先のグループ会社の社員にチャットアプリで共有し、営業先の名刺データを閲覧できるようにした疑いがもたれています。
情報の不正な持ち出しは、不正競争防止法の適用がまず検討されます。同法が持ち出しなどを禁じている「営業秘密」は、
①秘密として管理されている(秘密管理性)
②事業などに有用である(有用性)
③公然と知られていない(非公知性)
以上3つの要件をすべて満たす必要があります。
従って本件では、名刺データは営業秘密に該当しないと判断されました。しかし、個人情報保護法においては、名刺情報は個人情報にあたります。
名刺情報を転職先に不正提供した男性は、個人情報保護法違反の容疑で初の逮捕者となりました。
【参考】:名刺データの管理にリスク、個人情報提供の疑いで初の逮捕者
運用保守担当者による顧客情報の漏洩
2024年2月、国内の大手通信事業者が提供するサービスの顧客情報を運用保守に従事する派遣社員が不正に持出し、外部へ流出させていた事件が発生しました。事件が発覚する以前から長期的にデータの不正持出しが行われており、発覚時点での流出件数は約928万件とされています。
また、事件発覚以前に同社は情報漏洩の疑いに関する問い合わせを受けていましたが、その際の内部調査において適切な対応が行われておらず、情報流出が生じていたにも関わらず、問題は発生していない旨の回答を繰り返していたことも大きな問題となりました。
警察による捜査にて事件が発覚し、情報を不正に持ち出していた元派遣社員は逮捕、同社は総務省及び個人情報保護委員会からの指導を受け、個人情報保護委員会への報告や対外的な発表、謝罪に追われました。
【参考】:総務省がNTT西に行政指導、子会社の120万件顧客情報流出で
【参考】:お客さま情報の不正持ち出しを踏まえたNTT西日本グループの取組みについて
個人情報が保存されたUSBメモリの紛失
2024年3月、地方自治体にて約4,000人の個人情報及び口座情報が保存されたUSBメモリの紛失が発生しました。業務にUSBメモリを使用後、執務室の引き出しに保管していましたが、後日そのUSBメモリが無くなっていることに気づいた経緯です。
被害はまだ確認されていませんが、情報漏洩が発生した可能性があるとして文書で謝罪しています。業務の担当者及び担当課長への訓告、担当係長及び担当係長補佐への厳重注意が行われており、情報漏洩や情報の不正利用が発覚した場合には、追加の処分が科される可能性があります。
個人情報保護法の罰則リスクをどうやって削減するか?
個人情報の入手経路は事業者によってさまざまであり、個人情報の利用目的や管理方法、管理主体などもそれぞれ異なります。Webサイトを通じて入手した個人情報を適切に取扱うためには、自社のWebサイトやデータを管理するシステム全体を個人情報保護法に則した設計や運用にする必要があります。しかし、これには大変なコストと労力がかかります。
システム単体ではなく、情報セキュリティマネジメントなど、運用上の仕組みと組み合わせて構築・運用する必要があるため、単独ですべてを実現するのは困難であると判断する企業がほとんどではないでしょうか?
そのようなケースでは、専門的な知識を有した企業が提供する外部サービスの活用が有効な選択肢となります。
個人情報保護法の罰則リスク軽減のための外部サービス活用のメリット
個人情報保護法やGDPRへの対応を謳っているサービスは、システムの設計・構築の段階から法令遵守のための仕組みを考慮しています。そのため、基本的にはサービス側が推奨する使い方をするだけで、ユーザは法令に従ったデータ運用が可能となる点が大きなメリットと言えるでしょう。
また、独自のシステムであれば法改正の度にシステム更改が必要となりますが、外部サービスであればサービス提供事業者によりシステムの更新が行われます。安全なデータ収集・活用を手間なく実現し続けられることは、リスク管理やコストの面でも重要なポイントです。
外部サービスの選定ポイント
Webマーケティングを行うための外部サービスは複数ありますが、自社にマッチしたサービスを選定するためにはどのような観点が重要なのでしょうか。
代表的な選定ポイントを紹介します。
・法令への対応
個人情報保護法以外にも、改正電気通信事業法やGDPRなど、個人情報を取り扱う上での法令は多くあります。それらを全て網羅し、安全に個人情報を取り扱うためには専門的な法令の知識が必須となるでしょう。法令対応がされているサービスであれば、サービスが推奨する運用に準拠することで法令遵守を行いやすくなります。
・機能
自社がWebを通じてどのように情報を収集・活用するのかを明確にし、それを実現できるサービスを選定します。自社開発のツールであれば、機能を自社の運用に合わせることができますが、外部サービスの場合は、自社の運用をサービスの機能に合わせて調整することが重要です。
・コスト
収集できる情報の規模や種類など、基本的には大規模かつ高機能になるほどシステムのコストは増加します。自社が必要とするWebマーケティングの内容にマッチしたシステムを選定し、費用対効果のバランスを取るよう意識しましょう。
・サポート体制
多くのサービスはユーザが使いやすいインターフェースを提供していますが、機能の使い方やデータの加工方法など、サービス利用中に疑問や課題が生じることはよくあります。その際、自社での調査や検証が必要となれば、その分、余計な工数が発生します。サポート体制が整っているサービスであれば、自社が望む動作の実現性やそのための手順、代替案の提示などをスムーズに受けることが可能です。
外部サービスの利用にはコストが掛かりますが、法令違反のリスクを軽減しつつ、Webマーケティングの最適化が可能です。単なるコスト増ではなく、使い方によってはそれ以上のメリットを期待できると言えるでしょう。
【関連記事】:Cookieの利用には同意が必要!プライバシー保護を意識したWebサイト運営を
個人情報保護法の遵守は「仕組み」から考えよう
個人情報保護法の罰則について紹介しましたが、実際に個人情報保護法違反が発生した場合は、罰則以外にも企業のブランド価値失墜や顧客の信用喪失、事後処理に関わるコストなど様々なリスクが発生します。
このようなリスクを回避するためには、企業の努力や注意喚起だけではなく、仕組みとして個人情報保護法を遵守する環境を整備ために、物理的に情報漏洩や紛失が起こらないシステム環境に移行するとともに、個人情報を取扱う従業員や取引先に対しては、教育や情報へのアクセス管理を確実に実施することが重要です。
法人への罰則が強化される中で、個人情報の収集と活用の目的の明示、本人の合意を得るなどオプトインを基本としたデータの取扱いの徹底、個人情報の流通経路のトレーサビリティを確保し、ユーザからのオプトアウトには確実に対応するなど、堅実なコンプライアンスの企業姿勢が求められます。
RTmetricsは、個人情報保護法やGDPRに対応しながらWebマーケティングに活用できるアクセス解析ツールです。個人情報の取扱いに不安を感じる企業様は、ぜひ活用をご検討ください。