機密情報や個人情報が漏えいした場合に企業が被る4つの不利益とは

Home
法令コラム
機密情報や個人情報が漏えいした場合に企業が被る 4つの不利益とは

機密情報や個人情報が漏えいした場合に企業が被る 4つの不利益とは

2020/7/16
法令コラム

機密情報や個人情報が漏洩したというニュースをテレビやインターネットでご覧になったことがある方も多いのではないでしょうか。インターネットのニュースサイトでは、ほぼ毎日のように情報漏えい事故のニュースが配信されています。

配信される情報漏えい事故の内容や規模はさまざまです。例えば、こんな内容の情報漏えい事故に関するニュースが掲載されています。

セミナー案内メールをCCで送ってしまったために、メールアドレスが全員に閲覧できる状態になってしまった
〇〇市役所がマイナンバーを含む課税書類40件を紛失した
〇〇ホテルの予約サイトがハッキングされ、クレジットカード情報を含む顧客情報12万件が情報流出した

比較的規模の小さい情報漏えい事故が多いのですが、中には事業の存続も脅かすくらい大規模な情報漏えい事故も発生しています。個人情報の漏えい事故の場合には、個人情報を漏えいされた本人への影響もさることながら、企業が被る不利益もはかりしれません。企業が被る不利益には、「損害賠償費用」「事後対応費用」「機会損失」「法的制裁」という4種類の不利益が考えられます。

情報漏えい事故による損害賠償費用

情報漏えい事故をおこした場合には、情報漏えいによって損害を与えてしまった人への「損害賠償費用」が発生する可能性があります。JNSA（特定非営利活動法人日本ネットワークセキュリティ協会）は、2017年にニュースサイトなどで公表された個人情報事故を分析し、独自のモデルで損害賠償額を算出しました。そして、算出した損害賠償額を「2017年情報セキュリティインシデントに関する調査報告書」で報告しています。

報告によると、1事故あたりの平均損害賠償額は5億4850万円、1人あたりの平均損害賠償額は2万3601万円だったそうです。1事故あたりの損害賠償額は、1000万円未満のものが60%以上を占めますが、1億円以上のものも14％近く含まれるため、平均損害賠償額が5億4850万円という大きな金額になっています。

情報漏えい事故による事後対応費用

情報漏えい事故をおこした後には、謝罪広告などの広報費用、事故原因調査費用、事故対応にあたる従業員等の人件費や出張費の他、情報漏えい被害者に対して謝罪のために支払うお詫び金やお詫び品のための費用が発生します。

お詫び品としては、個人情報1件あたり500円の図書カードやQUOカードなどの金券を配布することが慣例となっています。ただし、クレジットカード情報を含む場合には、1000円の金券や商品券を配布した例もあるようです。(「中小企業の情報セキュリティ対策ガイドライン」より)。

情報漏えい事故による機会損失

情報漏えい事故をおこすと、被害の拡大を防止するために業務を停止しないといけない状況になる可能性もあります。例えば、コンピューターのデータベースに保存している顧客情報が漏えいした場合には、サーバーを停止し、インターネット接続を遮断しなければいけません。そして、原因究明を行います。原因究明に時間がかかったり、大がかりな対策を実施する必要があれば、業務が長期間停止することになります。

また、情報漏えい事故をおこしたことにより、社会的信用が失墜するために顧客離れが進む可能性があります。さらに、新規の営業を自粛する必要もあるかもしれません。大手教育サービス事業者で顧客情報の大規模流出が発生した事案の場合には、既存会員の退会が増え、さらに新規営業活動を自粛した結果、前年度比で約25%程度会員が減少したそうです(「中小企業の情報セキュリティ対策ガイドライン」より)。

情報漏えい事故による法的制裁

情報漏えいをおこした企業が、個人情報などの管理を適切に行っていなかった場合には、経営者や役員・担当者は業務上過失として刑事罰やその他の責任を問われる可能性があります。

例えば、個人情報保護法の場合、漏えい事故をおこした個人情報取扱事業者が個人情報保護法に基づく命令に従わず、適切に対応しない場合には「6ヶ月以下の懲役または30万円以下の罰金」という刑事罰が科されることがあります。

平成27年9月9日の個人情報保護法改正前は、保有する個人情報の数が「過去6月以内のいずれの日においても5,000 を超えない者」は適用除外とされていました。しかし、改正後にはすべての事業者に適用されることになりました。したがって、保有する個人情報5,000よりも少なくても、法律で定められたルールを遵守しなければなりません。

機密情報や個人情報が漏えいした場合に企業が被る4つの不利益：まとめ

個人情報や機密情報の情報漏えい事故は、ほぼ毎日のように発生しています。情報漏えい事故をおこした場合に企業が被る不利益には、「損害賠償費用」「事後対応費用」「機会損失」「法的制裁」という4種類が考えられます。

「損害賠償費用」「事後対応費用」や、業務停止や顧客の喪失による「機会損失」といった経済的損失だけでなく、経営者や役員・担当者は業務上過失として刑事罰を科される可能性もあります。場合によっては、事業の継続を脅かす事態もおこりかねません。取り返しがつかない事故がおこる前に、今一度情報漏えい対策を検討してみてはいかがでしょうか。