法人・営業・企業リストをお探しの方向けにリスト販売業者を比較してご紹介

顧客リストが流出した場合に企業が科せられる罰則やリスクとは?

公開日:2022/02/15  最終更新日:2022/02/28


顧客リストの流出に関するニュースを見たことある方は多いと思いますが、実際に企業が科せられる罰則にはどのようなものがあるのでしょうか。また、どのようなリスクを背負うことになるのでしょうか。今回は情報漏洩を起こした場合に、企業に科せられる罰則とリスクについてご紹介します。

刑事上の罰則

まず科せられる罰則は、刑事罰です。個人情報保護委員会の「改正個人情報保護法の一部施行に伴う法定刑の引上げについて」によると、個人情報を漏洩すると国から是正勧告を受けます。

是正勧告とは、法令違反があると認められた企業に対して違反事項を指摘し、改善を求めることです。万が一、この是正勧告に従わなかった場合、「1年以下の懲役または100万円以下の罰金刑」が科されます。以前は「6ヶ月以下の懲役または30万円以下の罰金刑」でしたが、令和2年12月12日から改正されています。

また、個人情報保護委員会は令和2年7月16日に「サイバー攻撃による個人情報漏洩時の本人通知義務化」に関する方針を発表しました。これは、不正アクセスや個人情報漏洩が発覚した場合、被害者や関係当局への通知を義務化するというものです。罰則規定も設けられており、令和4年の春からは当局や被害者への報告を怠った企業に対して最大1億円の罰則が科せられることになりました。

民事上の損害賠償責任

個人情報を漏洩すると刑事上の罰則だけではなく、民事上も法的責任(損害賠償責任)が発生します。個人情報漏洩の直接の被害者は当該情報の本人です。そのため、被害者本人から加害者である事業者に対して漏洩による被害や慰謝料について、不法行為に基づく損害賠償請求がなされる可能性があります。

賠償金額はケースによって異なりますが、NPO日本ネットワークセキュリティ協会の「2018年情報セキュリティインシデントに関する調査結果」によると、情報漏洩事件一件あたりの平均想定損害賠償額は、6億3,767万円で実際には多くの企業がサイバー保険に加入しているため、保険金請求を使用して損害賠償金額を相殺しており、情報漏洩インシデントにかかる総コストとしては、情報漏洩事件1件あたり平均約4億2,000万円ほどでしょう。

いずれにしても、損害賠償責任が発生すると、企業規模を問わず大きな経営負担となるので、最悪の場合、情報漏洩事件をきっかけとした倒産の可能性もあり得ます。過去に起きた例としては、平成13年に宇治市が住民基本台帳上の個人データを流出したものや、平成14年に早稲田大学が学生の個人情報を流出したものなどが挙げられます。

前者は、宇治市がシステム開発業務を委託していた民間業者の従業員がデータを不正コピーした上、名簿業者に売却したために起きたものです。宇治市の住民は宇治市に損害賠償を請求し、1人あたり慰謝料1万円、弁護士費用5,000円の支払いが判決として下されました。

後者は、早稲田大学が講演会を実施し、参加を申し込んだ学生の名簿を無断で警視庁に提出したために起きたものです。学生は損害賠償を請求し、早稲田大学は1人当たり1万円と、遅延損害金の支払いを命じられました。

その他の間接的損害

刑事上や民事上の法的な罰則以外にもさまざまな間接的損害が発生します。

まず挙げられるのが、社会的信用の失墜です。顧客情報に関する情報が漏洩した場合、セキュリティ事故を起こした会社として企業イメージが悪くなることは避けようがありません。社会における企業への信頼が大きく低下し、取引をしにくくなったり、契約を打ち切られたり、商品が売れなくなったりする可能性が高くなります。最終的には顧客が離れてしまう、株価の下落などをもたらす可能性もあるでしょう。

次に挙げられるのが、業務効率の低です。個人情報漏洩事件が報道されると、顧客や取引先などから苦情や問い合わせが殺到すると考えられます。それに対応する従業員の業務時間や労力が割かれてしまうので、業務効率が大きく低下してしまうことになるでしょう。従業員のモチベーションも下がり、会社への不安や不満も募らせることになります。また、サイバー攻撃を受けた場合、被害範囲の特定やWebサイト改ざんからの復旧などにより、社内ネットワークの停止やメール送受信の停止、Webページの閉鎖が必要になります。

さらに、IBM Securityの「2020年情報漏えい時に発生するコストに関する調査」によると、情報漏洩の検知および被害拡大防止にかかる平均時間は280日。攻撃の検証と対策が完了するまでは、業務は停止することになります。漏洩原因の検証、システムの復旧や改善などのコストもそれなりにかかってしまうでしょう。

そして、機密情報が紛失するという間接的被害も挙げられます。情報漏洩で流出するのは個人情報だけではありません。商品やサービス、開発に関する情報など、企業にとっての機密情報も流出してしまいます。漏洩した機密情報を競合他社に見られてしまっては、真似されて追い抜かれてしまうかもしれません。

 

いかがでしたか。個人情報を漏洩してしまった場合、刑事上や民事上の罰だけでなく、間接的にもさまざまな損害が出てくることがわかりました。金銭的な面だけでなく、社会的信用などの面も、取り返すのにはかなり時間がかかってしまいます。このような罰や損害があることをしっかり頭に入れて、個人情報の扱いを見直しておきましょう。

おすすめ関連記事

サイト内検索
記事一覧