個人情報はセキュリティレベルの高い情報でありながら、日常的に使用する機会も多く、うっかり情報流出に加担してしまうケースも珍しくありません。2022年春より日本では個人情報保護法が改正され、個人情報を扱う事業者の責任をより重いものとするとともに、漏洩に加担した場合の罰則強化も行われました。
この記事では、そんな個人情報保護法の改正に基づき、個人情報を漏洩してしまった際の罰則や、漏洩が起こりやすい主な事例、そして漏洩を未然防ぐための対策方法について、解説します。
2022年春、日本では個人情報保護法が改正され、従来よりも個人情報の保護に関して高い意識を持った取り組みが企業や個人に求められるようになりました。改正後の主なポイントとしては、以下の点が挙げられます。
個人情報保護法の改正によって、個人情報を持つ本人の権利をより高いレベルで保護しようという取り組みが求められています。
例え短期間しか保持しない個人情報であっても、長期間保存する個人情報と同じように扱うことが求められたり、個人情報の所有者が企業に対してその消去を従来よりも柔軟に請求できるようになったりなど、制度の上の変更が行われました。
事業者は個人情報の保護に関して、従来よりも多くの責務を果たすよう義務付けられました。
例えば情報漏洩が発覚した際、個人情報保護委員会への報告はこれまで任意でしたが、改正後は義務になっています。あるいは個人情報の不適正な利用についても厳しく禁じられており、本来の目的以外で個人情報を利用することは法的にできなくなっています。
罰則の強化も、個人情報保護法の改正で新たに実施されました。法律に則った正しい取り組みが行われなければ、罰金刑や懲役刑に発展する可能性があり、注意が必要です。
端的に言うと、個人情報をただ漏洩させただけでは罰則の対象とはならず、むしろ公的な支援を受けられる立場にあるとも言えるでしょう。
問題なのは、情報漏洩が起こった背景や、漏洩が発生した後の事後対応がよくなかった場合に、罰則が適用されることがある点です。
参考:https://www.ppc.go.jp/all_faq_index/faq1-q11-1/
罰則が適用される1つ目のケースは、個人情報保護委員会が情報漏洩が発生した際に実施する報告徴収や立入検査に応じなかった場合や、報告徴収において虚偽の報告を行った場合です。
この場合、最大で50万円以下の罰金が課される恐れがあります。また、違反を行った事業者は個人情報保護委員会が名指しで公表を行うため、社会的な制裁を受ける可能性もあり、罰金刑だけに止まらないことが特徴です。
2つ目のケースは、個人情報を扱う事業者、またはその従業員が、自社や第三者の不正な利益目的で、個人情報を提供したり盗用したりした場合です。この際、行為者に対して1年以下の懲役又は50万円以下の罰金が課されることがあり、行為者だけでなく法人にも罰則が適用されることもあります。
いずれにせよ、個人情報やその漏洩事件に対して不誠実な対応をした場合は、罰則が課されると考えておくのが良いでしょう。
個人情報漏洩のリスクは、具体的にどのようなシチュエーションに潜んでいるのでしょうか。ここでは個人情報保護委員会が公開している、ヒヤリハット事例からピックアップして主なケースを紹介します。
参考:https://www.ppc.go.jp/files/pdf/pd_hiyari.pdf
学習塾で起きた、生徒間のトラブルから発展しかねない情報漏洩のケースを見てみましょう。生徒間の揉め事で生徒Aに怪我をさせてしまった生徒Bの個人情報について、生徒Bの保護者が生徒Aに謝罪するため連絡先を教えて欲しいと学習塾に情報を求めてきた場合、どう対処するのが良いのでしょうか。
ここで問題なのは、生徒Aの情報を学習塾が無断で生徒Bの保護者に伝えてしまう可能性があることです。連絡先などを伝える場合、必ず本人や保護者の許可をとってから、連絡先を相手に伝えるか、学習塾が連絡の仲介を担うような対応が求められます。
次に、とある販売会社のケースをみてみましょう。販売会社が消費者に販売した商品に異物が混入しており、消費者の商品交換の希望に対応する必要があったとします。この際の対応を販売会社が受け持ち、製造業者が代替品を直接消費者に届けるという状況になった場合、販売会社は消費者の許可なく消費者の住所を伝えてはいけません。
必ず消費者に対して製造業者に住所を共有する旨を伝え、製造業者に商品を発送してもらいましょう。
続いて、従業員の親を名乗る人物から連絡があったケースです。従業員と連絡が取れず困っているから電話番号を教えて欲しいという連絡があった場合、従業員の許可なく連絡先を伝えることは情報漏洩に加担することとなります。
例えその場に従業員がおらず、同意が取れない場合であっても、連絡先を伝えて良いのは本人から許可を得てからということを覚えておきましょう。
上記のように、個人情報の漏洩へうっかり加担してしまいかねないリスクは至る所に存在しています。個人情報の漏洩を起こさないためには、以下のような対策を日頃から徹底することが大切です。
まずは、改正された個人情報保護法への理解を深めましょう。具体的にどのような義務を果たす必要があるのか、法に触れるとどのような罰則があるのかを知ることで、日々の業務の中で発生するリスクを意識することができます。
ルールをよく知ることで、社内で必要な対策は自然と浮かび上がってくるでしょう。
情報セキュリティ担当など、一部の従業員だけが情報漏洩のリスクを理解していても、全社的な理解がなければリスクを回避することはできません。定期的に情報漏洩リスクについての研修を行い、高いセキュリティ意識を持って業務に臨むよう呼びかけましょう。
情報漏洩はヒューマンエラーによって起こるだけでなく、第三者によるサイバー攻撃によって引き起こされる脅威でもあります。アンチウイルスソフトの導入など、基本的なサイバー攻撃対策には日頃から力を入れておくことが大切です。
この記事では、個人情報の漏洩における罰則が、改正された個人情報保護法によってどのように規定されているのかについて、解説しました。情報漏洩のリスクは常に身の回りに溢れているため、日頃からリスクをよく理解し行動しなければなりません。
一度社内のセキュリティ体制を見直し、漏洩を回避できるかどうか、そして漏洩が起こった際の対応に問題がないか、確認しておくことをお勧めします。