 |
事業主さん必見!
個人情報保護法がいよいよ全面施行です
| トップページ | 社労士たなかの情報文庫へ | 簡単な個人情報保護法Q&A | ご相談・お問い合わせ |
「塵も積もれば、ではないですが、個人情報漏洩は、企業規模や事業内容にもよりますが、総額何十億・何百億円という損害賠償金を支払う危険性をはらんでいます。さらに、企業の信頼性を損なう、というデメリットも併発します。
後述する漏洩事件を読んでいただき、『ウチの保有している情報が漏れたら』と、御社に置き換えて一度考えてみてください」
| |
1.宇治市 個人情報漏洩事件 〜 当個人情報漏洩事件からみる危険性を認識されていますか?
2.テンプスタッフ登録者個人情報漏洩事件
3.TBC個人情報漏洩事件
4.経営者の改革
平成17年4月1日より、個人情報保護法が全面施行されました。
「そうなの?」
「聞いたような気がする」
「うちはバッチリさ」
など、思い浮かばれたかと思います。しかし今のところ、「対策は万全だ」と言われる事業主さんはまだまだ少ないようです。
事業主さん以外の方で、その重要性をご存知の方も多いですが、大半は事業主さんの賛同を得られず、にっちもさっちも行かない状態のまま放置せざるを得ないのではないでしょうか?
「で、それをしないと法律に違反するのか?」
「これ以上費用は出せん」
「費用対効果を具体的に算出してから言ってくるように」
こんな感じでしょう。
でも申し上げます。
「これはきちんと対応をする必要性が大きい法律です。正直、同法違反に対する罰則云々よりも、民法を筆頭とした民事事件にまで発展した時に、事業の存亡に関わります。これは大げさな表現ではない、と思っています」
「具体的にこれだけの費用がかかって、これだけの利益が出ます」
それが判明しない間は「動かんよ」
こういった考えでは一歩も前に進みません。これについては、後述する判例を読んでいただき、リスクの大きさを判断してください。
はっきり言いましょう。
利益を出すためではなく、苦労して得た利益を放出することを可能な限り防止する。このように視点を変えてみて下さい。
では、具体的に重要とされる過去の個人情報漏洩事件を3例紹介しましょう。
その上で、対策の意義・必要性を感じてください。
| この事件からみえる個人情報漏洩の恐さに、本当に気づかれていますか? ・損害賠償請求が認定されましたが、この判断には「具体的な被害の存在やその立証」は必要とされていません。 個人情報が漏洩したという事実。これによって導き出されています。 ということは? 集団による提訴等、訴訟費用の問題がクリアできれば、漏洩側(加害者側)が考えているよりもはるかに多くの被害者がその救済を司法に求めるようになる可能性が高い! この事実に、果たしてどれくらいの方が気づかれているのか。 牧歌的対策などあり得ません。 |
(平成14年7月11日、最高裁が市の上告を棄却。大阪高裁判決が確定した)
事件の概要
・ U市が管理していた住民基本台帳データが再々委託先のアルバイト学生Aにより不正にパソコンにコピーされ、学生Aはそれを名簿販売業者に販売し、同業者がさらにそのデータを他に販売したという事件です。
:業務委託の流れは上記のようになっていました。
・ U市はB社からC社に再委託されたことは認識していましたが、さらにD社に再々委託されたことは知らなかったと主張しました。
・ U市の担当職員はD社と直接打ち合わせを行いましたが、D社の代表取締役YがC社の所属であることを示す名刺を差し出したこともあり、Yやその従業員ZがC社の所属であると認識したといいます。
・ D社のZとアルバイトAは当初はU市の庁舎内で作業を行っていました。しかし、エラーが頻発して作業がはかどらなかったことや、庁舎内での作業は午後5時過ぎまでと時間的制約があったことなどから、ZらはU市側の承認を得て、データをMO(光磁気ディスク)にコピーして持ち帰り、D社内で作業するようになりました。
・ アルバイトAは,D社内でこのデータをコピーし、それを名簿販売業者E社に販売しました。E社はそのデータを使い、「大家族」「一人暮らし」などに分類したものを作成し、それらをF社など数社に販売しました。
・ これに対し、U市議3人が、市議一人当たり慰謝料30万円、弁護士費用3万円を請求する訴えを起こしました。
判決
・市議一人当たり慰謝料1万円、弁護士費用5千円の支払いが命ぜられました。
「なあんだ、その程度か」
こう思われた事業主さんもおられるでしょう。しかし、漏洩したデータは約21万人分です。従前のように〈紙〉で管理保管されていた頃は、21万人分ものデータを一枚ずつコピーし、社外に持ち出すことは不可能とは言いませんが、そういった考えをそのものを否定するほど手間がかかり、また発覚する要素が高かったといえます。しかし、今回の事例にもあるように、現在は情報技術の発達により、便利さと引き換えに、重要な情報であっても簡単にコピーできる、という危険と隣り合わせにある状態なのです。下記を見てください。
1998年のアメリカでの年間ネット犯罪被害件数をみると
 |
|
内部関係者によるネットの乱用 400件 ウイルス感染 375件 内部関係者による不正アクセス 225件 外部からのデータベース侵入 125件 など。 |
このように内部犯が多くなっています。ひとつの認識として、情報漏洩は外部からの侵入によるもの、といった概念があると思いますが、もう改めるべきではないでしょうか。
今のところ、日本にはアメリカのような集団訴訟(クラス・アクション)を簡単に提起できる制度はありません。
ですが、もし21万人がU市に対し、訴訟を起こしたとしたら
| 21万人×(1万円+5千円)=31億5千万円 |
という巨額な損害賠償金を支払うことになるわけです。そしてそれは現実の可能性として存在したことになります。(少なくとも時効が成立するまでは)
いくら一人当たりの金額が低額といっても、漏洩した個人情報の数量によっては、会社存亡に関わるリスクを負う事になる。このことは肝に銘じておく必要があります。また、昨今の事例からも、一旦漏洩した場合、その数量はかなり大きなものになることはご存知でしょう。簡単にコピーできますから、何万人、何十万人単位はざらです。
個人情報漏洩を契機に社が傾いていった。損害賠償金の額のみならず、同時に社会的な信頼を喪失することも併せて考えれば、あながちオーバーな表現とは言い切れないのでは?
賠償金額が低額だった理由
・ 漏洩したとされる情報が、氏名、住所、生年月日、性別などといった基本的な情報だけであったこと。つまり、プライバシー度が高い情報(センシティブ情報)が含まれていなかったことが大きいと思われます。
・ これは逆にいうと、センシティブ情報が含まれていた場合は、賠償金額が上がるということです。かりに漏洩情報に病歴などが含まれていたことにより、一人当たりの損害賠償金額が30万円とされた場合は? もちろん、約21万人すべてがプライバシー度の高い持病があることは考えづらいですが、約半分の10万人(今後は高齢化がますます進みます)としても
10万人×30万円=300億円
と先の判決と比べ、10倍近くの金額になります。
これは決して絵空事の金額ではなく、現実となる可能性のある価額なのです。
・ 次に漏洩した情報を、売買される前にU市が回収したという点があります。但し、すべて回収できたわけではありません。U市から接触を試みても連絡が取れなかったものに対しては、販売の中止、情報の廃棄等を要請したにすぎません。
・ それでも、ほとんど回収できたことが、判決に影響しているといわれています。これも反対から見れば、回収不可能なほど漏洩が広範囲に拡大していると、賠償金額がより高額になる可能性が高いと推測できます。
2.テンプスタッフ登録者個人情報漏洩事件(平成10年1月発生)
事件の概要
大手派遣会社A社に派遣社員として登録されていた9万人の女性の個人情報がインターネット上のホームページで販売されたものです。
・ 漏洩した個人情報は氏名、住所、生年月日、性別といった基本情報のほかに、「電話番号」「A・B・Cとランク付けされた容姿(つまり美人度)」といった、センシティブな情報も含まれていました。
・ この漏洩対象者9万人のうち、6人がA社を相手取り総額600万円の損害賠償訴訟を提起しました。
・ 今回の訴訟は、A社側が非を認め、和解となりました。ですから具体的な和解金額は判明していません。ですがセンシティブ情報が漏洩したこともあり、一人当たり30万円くらいではないか? といわれています。(推測です)
訴訟を提起した6人×30万円(推定)=180万円
9万人もの情報が漏洩したにしては現実として少ない金額で解決したといえます。
しかし、これも9万人全員が訴訟を提起する恐れはあったわけです。
6人だから多少多めの30万円だったとして、これを9万人の場合で考え、その金額を10万円まで低下させたとしても
9万人×10万円=90億円
にもなります。
法的には不法行為に基づく損害賠償は、損害が発生したこと及び加害者が誰かわかった時点から時効はカウントされますが、時効が消滅する3年間は、常に90億円の賠償金額を払う可能性が続くわけです。
金銭的リスクもそうですが精神的にもかなりの負担が覆いかぶさります。そういった面からも、この事例を捉えてみてほしいと思います。
・ この事件後ですが、A社は、社内へのノートパソコンや携帯端末の持ち込み制限、パソコンとの接続禁止など、具体的な対策を講じているようです。
3.TBC個人情報漏洩事件(平成14年5月)
事件の概要
・B社に美容についての問い合わせ、相談をした顧客、アンケート回答者のデータ約5万件分(約4万6千人)が漏洩したというものです。
・ なぜ漏洩してしまったのか? これが実に初歩的なミスによるものでした。ホームページに顧客らが書いたデータを公開領域に記録してしまった、というものです。
そして、ハッカーに侵入されていとも簡単に盗み出されてしまったのです。
事件後の特徴
・ 記述したテンプスタッフの漏洩事件では、9万人の被害者のうちわずか6名の方が提訴しただけでした。しかし、この事件では弁護士が被害者弁護団を組織し、ホームページにより、被害者の方々に原告団への参加を呼びかけました。
当初の訴訟費用はひとり1万5千円です。これは宇治市の漏洩事件で示された賠償金額と同じです。が、今回の漏洩はセンシティブ情報とされる「電話番号」等も含まれているため、宇治市の事件よりも漏洩したプライバシー内容は重いと思われます。
よって、訴訟費用とされるひとり1万5千円よりも訴訟金額は多くなる可能性が高いでしょうから、原告団に参加する意義は十分あります。これなどは結果的に、既述したクラス・アクション(集団訴訟)と考えてもいいのかもしれません。
かりに被害者全員が参加するとすれば約4万6千人です。
損害賠償金額がひとり10万円とされるならば
4万6千人×10万円=460億円
となります。
ここから考察すること
・ 一部には、もはや日本も訴訟社会になっているのではないか、と言う意見さえあります。従前なら、ぐっとガマンしていたことも、はっきりと個人としての意見を法廷で述べることもいとわない。
そんな社会が到来しつつ(既に到来している?)あるのではないでしょうか。かりに現在がその黎明期であるとするならば、やがては本格的な訴訟型社会が到来することになるでしょう。
・ 司法改革による弁護士人口の増加、簡易裁判所における司法書士の代理権付与。今後もより規制は緩和され、国民の司法に対する心の障壁さえも取り除かれるならば、上述のような社会もあながち妄想とは言い切れません。
 |
・ 今後は、事故が発生してから対処するのではなく、事前に起こりうる事故を想定し、出来うる限りの対策を、先手先手に打っていく、という姿勢が現状で考えるよりもはるかに重要な課題になるものと考えます。
・今回の個人情報保護法の全面施行につきましても、先手として「電子メール規程」「インターネット規程」など、必要な各種規程を定めることはもとより、信頼の置ける法的・技術的な外部コンサルタントを置くことは、必須になってくるのでは、と思います。
・ 当事務所は法的な側面からのアドバイスをいたします。また、日進月歩のIT技術面に関しましても、当事務所と業務提携を結んでいますフィールド・イーストがサポートいたします。
・ 社内で法律・IT技術両面に長けておられる方を既に雇用されておられる事業主さんは別にして、人件費等のコスト面から見ても、十分に価値ある仕事を提供できると自負しています。
 |
| ご相談・お問い合わせ |
| 社会保険労務士のページ |
| メールを送信 | 情報文庫へ戻る 〜第2のトップページ |
メールマガジン 〜現在2つのメルマガを配信中です |
| トップページへ戻る | 事務所案内 | 業務案内 |
| コラム | Q&A | ご相談・お問い合わせ |
| メール顧問契約 | 労働基準法関連 | 助成金関連 |
個人情報保護に向けての、最初のステップ! |
個人情報保護法における「個人情報」とは? |
個人情報保護法 〜適正取得と利用目的の通知又は公表〜 |
| キャリア・コンサルタントとしてのページ |
| メールで相談してみる | キャリア・コンサルタントって何者? | 職務経歴書の書き方 |
| 送付状の書き方 | 事業主さん。いまこそキャリア・コンサルタントを活用すべき時ですよ | 就職するんだ!! |
| キャリア・コンサルタントがあなたを支援します |
| ちょっと休息を |
| 社労士たなかの勝手箱 〜 日記もどき。飛び飛びですが・・・ |
ショヒョラン(書評欄) 〜読んだ本についてあれやこれやと書いてます |
たなか社会保険労務士事務所
社会保険労務士/キャリア・コンサルタント
田中 雅也