情報漏洩のリスクとは?企業の取るべき行動【1/1】|スキルと市場価値UPに役立つ情報ポータルサイト「キャリア@PRO人(プロジン)」  

情報漏洩のリスクとは?企業の取るべき行動【1/1】

2014年1月16日 17:47IT業界の裁判判例集

itlawe108.jpg

今日、情報漏洩事件は後を絶たない。平成25年12月にも、一部の日本語入力ソフトが変換文字列を外部に無断送信していたことが発覚した。これにより機密情報が流出した可能性もあるという。
情報漏洩の恐ろしいところは、ハッキングなど他者の作為によっても起きうるものであり、現代においては、どの企業においても起こりうるという点である。
では、ひとたび情報漏洩が起きれば、企業はどのような責任を問われるのか。
本稿では、情報漏洩のリスクを今一度確認し、もし情報漏洩が起きた場合にはどのような行動をとれば良いのかを検討してみたい。


 

1 法律上の責任

まず、情報漏洩が起こった場合、従業員や企業はどのような法的責任を負うことになるのか。現代においては、立法にあたっては個人情報や営業秘密の重要性が考慮されており、様々な形で法的保護が図られている。

  • ① 個人情報保護法による制裁
  • この法律は、個人情報データベース等を事業の用に供している者を「個人情報取扱事業者」と定めた上で、個人情報取扱事業者が個人情報の取扱いに関する法規制に違反したときにはこれを是正するよう勧告や命令を受けること(同法34条)、命令に違反すれば懲役刑や罰金刑に処されること(同法56条)を規定している。また、企業の従業員が命令に違反した場合には、その従業員だけでなく企業に対しても30万円以下の罰金刑が科されることになっている(同法58条)。
    情報漏洩の発覚をきっかけに行政庁から勧告を受けた場合、その勧告を無視し続ければ、行政庁から改善命令が出され、さらにそれにも対応しなければ、刑罰の対象となるが、勧告に従えば、命令以下の制裁は免れる。

  • ② 不正競争防止法による制裁
  • 従業員等が不正の利益を得る目的等のために、情報を流出させた場合、その者は、その情報が「営業秘密」にあたる場合には、不正競争防止法21条により、刑罰に処せられる可能性がある。また、その従業員の所属する企業に対しても、3億円以下の罰金が科される可能性がある(同法22条)

  • ③ 民法上の責任
  • 情報漏洩が発覚した場合には、漏洩元の企業は、個人情報の提供者から不法行為責任(民法709条)を追及され、損害賠償を請求される可能性がある。たとえその漏洩がハッキングなど外部からの攻撃に因るものであっても、適切な情報管理システムを構築していなかった過失があると裁判所が認定すれば、企業は損害賠償の義務を負う。
    また、企業の与り知らないところで従業員が情報を漏洩したような場合であっても、従業員を厳重に監督していたにもかかわらず漏洩が起こったなどの特別の事情がない限り、企業は使用者責任(民法715条)に基づく損害賠償義務を負わなければならない。
    ここで問題になるのが、損害賠償の金額である。
    一昔前は、個人情報の漏洩によって生じた精神的苦痛の慰謝料を賠償させるのが主流であった。
    その代表例は、最高裁平成14年7月14日判決である。
    これは、宇治市がその管理に係る住民基本台帳のデータを使用して乳幼児検診システムを開発することを計画し、その開発業務を民間委託したところ、再々委託先のアルバイトの従業員がこのデータを不正にコピーして名簿業者に販売し、その名簿業者が更にデータを転売するなどしたことに関して、宇治市の住民が、データの流出により精神的苦痛を被ったと主張した事件であり、最高裁は、住民1人当たり慰謝料1万円及び弁護士費用5千円を支払うよう宇治市に命じた。
    しかし、近年では、情報漏洩に起因して生じた二次被害の損害の賠償を求める訴訟も提起されるようになった。
    東京地裁平成25年3月19日判決は、クーポン共同購入サイトを運営していたYとの間でクレジット決済サービス契約を締結していたXが、Yが契約により負っていた顧客のクレジットカード情報を第三者に閲覧されないようにする措置等を講じる義務に違反したことによりクレジットカード情報が漏洩したことを理由に、アクワイアラー(加盟店管理等を行う会社)から課された違約金及び事故調査費用等の賠償を求めた事案であり、裁判所は、情報を漏洩したYに対して約1700万円の損害賠償の支払いを命じた。
    このように、情報を漏洩した場合に支払いを求められる損害賠償の額は、二次被害についてのものも含めれば莫大な額となり得るのである。

    2 事実上の影響

    情報漏洩が発覚した場合、その企業の情報管理体制が適切であったかどうかが厳しく問われることとなる。漏洩元となった企業は、漏洩の原因を究明し、再発防止策を講ずるとともに、コールセンターを設置して苦情や問い合わせに応じたり、情報が漏洩されてしまった者、たとえば企業のユーザーへ二次被害の可能性・防止策等の影響について説明をしなければならない。
    このような説明を尽くしたとしても、顧客や社会一般からの信頼が失墜することは避けられず、その回復には時間や労力がかかり、企業経営にも支障をきたすのであるから、企業の被る損失は直接的な金銭上のものだけではないということができる。

    3 情報漏洩を防ぐための取り組み及び発覚時の対処

    このように、情報漏洩は企業の経営に影響を及ぼすのであるから、情報管理には細心の注意を払う必要がある。有償のウィルス対策ソフトを使うなどのごく基本的なことから、社内の情報管理に関する規則の遵守を徹底させることといった、相当コストのかかるものまで取り組む必要がありそうである。
    また、今日では、情報漏洩が起きてしまったときに損害の一部を填補する「情報漏洩保険」を展開している保険会社も少なくないので、経済的負担だけでも減らしたいのであれば加入しておくのも手であろう。

    しかし、いかに防衛策を講じていたとしても、起きるときには起きるのが情報漏洩である。この場合どうすべきか。
    絶対にやってはいけないことがある。それは隠蔽である。
    情報漏洩を隠蔽することは、非常に容易であるかのように思える。
    なぜなら、情報の管理者が漏洩の事実を報告しない限り、顧客たる個人の側では漏洩があったということを知る方法がないのが通常であるし、二次被害が発生したとしても、必ずしも情報の出所が直ちに特定できるものでないからである。
    しかし、隠蔽したことが発覚すれば、情報漏洩それ自体により失われる信頼よりも更に多くの信頼が失われ、その企業は再起不能になりうる。また、隠蔽によって防止策の機会を奪われた顧客に生じた二次被害についても賠償する責任を負うことになりうる。そして、そもそも、企業の倫理上も、隠蔽が許されることはないであろう。
    情報漏洩が起きてしまった場合、企業としては、早急にその事実を顧客等に報告するべきである。もちろん、先に述べたように、原因の究明なども並行して進める必要がある。しかし、個人情報漏洩による二次被害を、情報漏洩を知った個人自身によってもパスワード変更等によって防ぐことができうるのであるから、その機会をまずは与えなければならないと思うのである。
    情報漏洩は突然起きる。しかし、起きうることがわかっているからこそ、いざというときに慌てふためかないように、日頃からその対策について十分検討しておくことが必要なのではないか。

    • 1

    職場と人の悩みゴト 新着情報!一覧を見る

    IT業界を目指す人の転職・求人サイト 転職 求人@PRO人(プロジン)

    今すぐ会員登録
    未経験からハイエンドまで、幅広くキャリアアップを支援!

    キャリア@メールマガジン登録

    [職場と人の悩みゴト - 記事ランキング]− 01月度

    • まだランキングはありません
    ITスクール システムアーキテクチュアナレッジ
    IT業界を目指す人の転職・求人サイト 転職 求人@PRO人(プロジン)

    ページトップへ戻る