企業に個人情報漏洩されたらどうなる? とれる対応と相談先

2021年09月06日
  • 一般民事
  • 個人情報
  • 漏洩
  • 対応
企業に個人情報漏洩されたらどうなる? とれる対応と相談先

令和2年11月、埼玉県は、イベント管理アプリが不正アクセスされたことにより、県のイベントに応募した約5000人の個人情報が外部に流出した可能性があることを発表しました。

政府は「個人情報の保護に関する法律」(以下、個人情報保護法)を制定し、個人情報を取り扱う事業者に対してさまざまな規制を課しています。そこで、本コラムでは企業に個人情報を漏洩されてしまったときにどうなる可能性があるのか、さらにとるべき対応について、ベリーベスト法律事務所 大宮オフィスの弁護士が解説します。

1、個人情報に該当する情報とは?

個人情報保護法第2条では、個人情報について以下のように定義しています。

  • 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)(2条1項1号)
  • 個人識別符号が含まれるもの(2条1項2号)


要するに、個人情報とは、氏名、生年月日その他の記述等により特定の個人を識別することができるものをいいます。たとえば、「埼玉県さいたま市大宮区にある〇〇株式会社の社長」というように、個人の氏名が具体的に記載されていなくても、他の情報と容易に照合することができ、それにより特定の個人を識別することができるものであれば個人情報に含まれるのです。これには、公刊物やインターネット、映像、音声などによりすでに公開されている情報も含まれます。また、パスワードなどにより暗号化されているかも問われません。

2、個人情報取扱事業者とは?

「個人情報取扱事業者」とは、民間部門において、個人情報データベース等を事業の用に供している者をいいます(2条5項)。営利か非営利かは問われず、また、法人格のない権利能力なき社団(任意団体)や個人であっても、個人情報取扱事業者に該当し得ます。

なお、国の機関、地方公共団体、地方独立行政法人、独立行政法人等は、上記の「個人情報取扱事業者」の定義から除外されています(2条5項)。これは、公的部門の保有する個人情報の取り扱いについては、おのおの別途の厳格な法律・条例によって規律されているためです。

個人情報保護法第20条において、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失またはき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と定められています。つまり、個人情報取扱事業者は、安全管理のために必要な措置を講じなければならないのです。個人情報保護法の違反が認められた場合、行政処分や刑事罰が科される可能性があります。また、個人情報を漏洩してしまった場合は、当該個人情報の本人から損害賠償請求を受ける可能性もあります。

3、個人情報が流出するとどうなる? 起こり得る問題とは

オプトイン(「第三者に対して個人情報を提供してもよいですか?」と尋ねて、本人から「提供してもよい」との回答を得る形式)やオプトアウト(「第三者に対する個人情報の提供を拒否したい場合には教えてください。」と尋ねて、本人から「提供を拒否する」との回答がなければ同意があったとみなす形式)などの正式な手続きを経ずに、個人情報取扱事業者から第三者に個人情報が流出してしまうことがあります。

流出した個人情報は、いわゆる名簿屋などの手によってダイレクトセールスを行うさまざまな業者に転売されることが多いようです。それにより、さまざまな業者から電話、訪問、メール等による勧誘が行われる可能性があります。また、架空請求などの詐欺被害に巻き込まれる可能性もあります。

特にクレジットカードやショッピングサイトのID・パスワードなどの情報が流出した場合、それが不正に利用されることによって直接的な金銭被害を受けることになりかねません。

個人情報が漏洩した後に本人にもたらされる上記のような不利益を、「二次被害」といいます。個人情報が漏洩した際、二次被害を防ぐための速やかな対応ができるようにするために、自身の個人情報を取り扱っている個人情報取扱事業者や、取り扱われている自身の個人情報の内容等については、日ごろからしっかりと把握しておくことが必要です。

4、個人情報が漏洩された場合に取るべき対応

あなたの個人情報を取り扱っている個人情報取扱事業者から、個人情報が漏洩した旨の発表があったとき、または個人情報が漏洩したことが疑われるときは、当該個人情報取扱事業者に対して、漏洩の事実の有無を確認するとともに、もし漏洩していることが事実であれば、以下の説明を個人情報取扱事業者に求めたほうがよいでしょう。

  • 漏洩した個人情報の内容
  • 漏洩した原因
  • 漏洩先
  • 二次被害防止策
  • 被害者に対する今後の対応


個人情報取扱事業者による説明や対応が不十分であると考えられる場合は、その個人情報取扱事業者が所属する「認定個人情報保護団体」にも相談してみましょう。認定個人情報保護団体とは、個人情報の適正な取り扱いの確保を目的とする、個人情報保護委員会の認定を受けた団体をいいます(47条)。本人からの苦情解決の申出を受けて、必要な助言や事情の調査をしたり、対象となっている事業者に苦情の内容を通知したりします。認定個人情報保護団体は、個人情報取扱事業者の事業分野により異なりますので、個人情報保護委員会のホームページ等で確認してください。

また、なりすまし等による二次被害を防ぐため、以下の対応をすぐに行ったほうがよいでしょう。
●利用しているサービスのID・パスワードを見直し、変更する
●クレジットカードの利用履歴を確認し、不審な点があればカード会社に連絡する
●金銭被害が発生していたらサービス提供業者やカード会社などへ連絡
●自分が使用しているデバイスにもセキュリティアプリなどを導入する

5、ネット上に自分の個人情報を見つけてしまった場合は?

ネット上に個人情報が流出してしまった場合、放置すると多方面に当該情報が拡散してしまうおそれがあることから、直ちに削除請求を行う必要があります。

まず、発信者やウェブサイト管理者等に対して、削除請求をすることが考えられます。これらの者が削除請求に応じない場合、裁判所に対する仮処分の申し立てを検討する必要があります。これが認められた場合、裁判所からウェブサイト管理者等に対して、ネット上の個人情報を削除するよう命じてもらうことができます。

なお、削除依頼は、ヤフーやグーグルなど、検索エンジンを提供している会社にも行ったほうがよいでしょう。

6、漏洩した企業に対して損害賠償請求は可能?

個人情報の漏洩により二次被害が生じているときは、漏洩した企業に対する損害賠償請求をすることが考えられます。

企業は、個人情報の漏洩によって、不法行為に基づく損害賠償責任を負うことがあります。民法第709条は、「故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う。」と規定しています。すなわち、①加害行為(情報漏洩の事実)、②損害の発生、③加害行為・損害間の相当因果関係、④加害者の故意または過失という要件が具備された場合、加害者である企業は、被害者である本人に対して、損害賠償責任を負うのです。

企業の従業員が個人情報を漏洩した場合、民法第715条に基づき、当該企業は「使用者責任」を負う可能性があります。したがって、従業員が個人情報を漏洩して本人に損害を与えた場合、被害者である本人に対しては、加害者である従業員だけでなく、企業にも損害賠償責任が生じ得るのです。

企業に対して損害賠償請求をする場合、通常、まずは個人情報の漏洩により被った被害を主張したうえで、損害を賠償するよう企業と交渉することになります。もし当該企業が損害賠償の支払いに応じない場合は、訴訟を提起するか否かについて検討することになります。

7、個人情報漏洩の対応は弁護士に相談しましょう

個人情報の漏洩に関する対応を検討する際は、弁護士に相談することをおすすめいたします。

個人情報漏洩の問題解決に経験と実績を持つ弁護士が、あなたの代理人として削除請求や仮処分の申し立て、個人情報を漏洩した企業との交渉や損害賠償を請求する民事訴訟の手続きを行います。さらに、個人情報がネット上に流出しているもののウェブサイト管理者が不明である場合、弁護士法第23条に基づく照会により、サイト管理者の情報が得られることがあります。

このように弁護士に任せておくことで、個人情報漏洩に関する問題の速やかな解決が期待できるのです。

8、まとめ

一度漏洩してしまった個人情報は、素早く拡散してしまいます。したがって個人情報漏洩による二次被害を防ぐためには、スピード感のある対応が欠かせません。したがって、あなたの個人情報が漏洩してしまったことが判明したときは、できる限りお早めに状況を確認し、事業者側に対応を求めましょう。そのうえで、あなた自身でもセキュリティ対策を行うことをおすすめします。もし、深刻な被害が起きているにもかかわらず事業者側が対応しない場合は、弁護士に相談してください。

ベリーベスト法律事務所 大宮オフィスの弁護士は、個人情報漏洩の問題を取り扱っています。被害者となったあなたにとって最良の結果となるように尽力します。お気軽にご相談ください。

  • この記事は公開日時点の法律をもとに執筆しています