情報漏洩の事例3選から学ぶ企業が取るべき事前、事後対応

情報漏洩の3つの事例から学ぶ企業が取るべき対応

社会全体のIT化が進んだことによって、企業にはさまざまな情報が集まるようになりました。たとえば、インターネット直販をはじめれば、これまでとは比べものにならない量の顧客情報を管理しなければならなくなります。

また、企業の商品開発に関する様々な情報も技術の進化に普及にともない、質・量共に増大しています。

他方で、わが国の企業などにおいては、「情報を適正に管理するしくみ作り」は不十分なケースが多々見受けられます。大手企業のみならず官公庁からの情報漏洩が話題にならない年はないといってもよいでしょう。 そこで、今回は、情報漏洩事件の実例を紹介しながら、情報漏洩トラブルを防止するための重要なポイントについて解説していきます。

企業における情報漏洩のリスクと有名事例

まずは、近年における実際の情報漏洩トラブルについて確認しておきましょう。

企業が保有する個人情報が流出した有名事件

企業が管理する顧客情報などの流出・紛失事故は、毎月のように発生しています。すべてが大きく報道されているわけではありませんが、一般の人が考えているよりも遙かに身近な問題と考えておくべきです。

「うちは中小企業だから狙われない」といった安易な考えはとても危険です。 以下では、近年発生した企業の情報漏洩事件から3つの事件について紹介します。

企業アカウントに対する不正アクセス(セブンペイのケース)

情報漏洩事件の典型例は、犯罪組織などによる企業サーバーなどへの不正アクセスです。最近では、今年(2019年)7月に発覚したセブンペイの事件が特に有名です。
セブンペイのアカウントに対し、外部から悪意のある不正アクセスが実行され、不正な購入・チャージの被害が発生したものです。

顧客情報が流出したという事件ではありませんが、ウェブを介した悪意のあるアクセスに対して十分な対応をしないまま新事業をはじめたことが大きなアダとなった事例の典型例といえます。
この事件では、その後の役員の対応のまずさもあり、セブンペイは運用停止(事業撤退)に追い込まれて、多額の損失が発生しています。

セブンペイ不正利用、被害1500人超す 計3200万円認定

従業員によるデータの不正持ち出し(アークレイのケース)

企業が管理する情報の外部流出は、「人災」によって生じることも少なくありません。
今年(2019年)3月には、医療検査機器などの製造・販売しているアークレイ株式会社で、退職予定だった従業員が医療機関から提供を受けた患者情報などをUSBメモリーにコピーし不正に持ち出していたことが発覚しました。

データを持ち出した理由などの詳細は不明ですが、治療情報や病歴などのデータは、個人の重要なプライバシーですので、持ち出された情報の使われ方次第では、多額の損害賠償請求訴訟に発展する可能性のある事案だったといえます。 なお、本件の発覚にともない、アークレイは、当該従業員を懲戒解雇処分にした上で、刑事告訴をしています。

当社元従業員の不正行為について(アークレイ株式会社ウェブサイト)

従業員による悪意のある社外持ち出し(ベネッセコーポレーションのケース)

人災による情報漏洩事件としては、2014年に発覚したベネッセコーポレーション(進研ゼミなどを運営する会社)の従業員が、「売却目的」で同社の顧客情報を漏洩させた事件が有名です。 この事件においては、顧客へのお詫び対応として200億円を超える損害が発生したといわれています。

個人情報漏洩による企業のリスク

企業で管理している顧客などの個人情報が外部に漏洩したときには、次のようなリスクが生じてしまいます。

企業イメージの低下

顧客データの流出・漏洩がメディアなどで報道されれば、企業イメージが低下する可能性も高いでしょう。

企業イメージが低下すれば、顧客離れ(取引停止)などによる売上げ減少に繋がることも考えられます。セブンペイのように、情報漏洩がきっかけとなり大規模事業の撤退に追い込まれれば、企業が受ける打撃は金額だけでは計り知れません。
さらに、上場企業の場合には、情報漏洩を原因に企業価値が損なわれたとして、株主から役員の経営責任を追及する株主代表訴訟を提起される可能性もあります。
実際にも、ベネッセコーポレーションのケースでは、株主代表訴訟が提起されています第一審は請求棄却(会社勝訴))。

また、セブンペイの事件でも、十分な対応ができていないことを役員が認識していたにも関わらず運用開始に踏み切ったことが明らかになれば、役員の責任を追及する声が強くなることも十分考えられます。

罰金などの処分

個人情報データベース等を構成する個人情報の数が、過去6ヶ月において5000件を超える企業は、個人情報取扱事業者とされ個人情報保護法の適用対象となります。

2017年5月30日に完全施行された改正個人情報保護法(現行法)では、個人情報取扱事業者に対する罰則も定められています。
たとえば、上で紹介したベネッセコーポレーションの事例の場合には、情報を故意に流出させた従業員(行為者)だけでなく、その従業員を雇用している事業者にも罰金刑が科される可能性があります(個人情報保護法83条、87条1項)。


個人情報保護法83条

個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第八十七条第一項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。

個人情報保護法87条
法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、第八十三条から第八十五条までの違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。

2 法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。

損害賠償

顧客情報などの漏洩によって、顧客に損害が発生した場合には、損害賠償の支払いに応じなければならないこともあります。

損害賠償の金額は、顧客1人あたり数千円から数万円程度が相場額といわれています。1人あたりの賠償額単価は決して高額ではありませんが、被害者の数が多くなれば、賠償金の総額はかなりの金額になってしまいます。

ベネッセコーポレーションのケースでは、この問題の対処(おわび金の配布や謝罪広告などの費用)として200億円を超える特別損失が計上されたことが報道されています。

アメリカのように、集団訴訟の手法が日本でもさらに普及してくれば、ちょっとした個人情報の漏洩で数億円以上の賠償金の支払いを求められるリスクはさらに高くなります。

また、大企業や公共機関から業務委託などを受けて、これらの個人情報を取り扱っている中小企業のミスで、情報漏洩が起きた場合には、下に引用する実際のケースのように、受注先の損失の補填を求められることもあります。

下請け業者の個人情報漏洩によって生じた損害賠償請求が認められた事例

企業秘密の漏洩

企業の情報漏洩というと、個人情報の流出ばかりに関心が集まりますが、技術情報などのいわゆる「企業秘密」が他社に流出するリスクが増えていることも忘れるべきではありません。

さらには、自社の企業秘密が外部に流出することだけでなく、他社の情報を盗んだという疑惑をかけられるケースにも注意すべきです。

いわゆる産業スパイ事件としては、1980年代のIBM事件がよく知られていますが、近年では、情報のデジタル化、人材の流動化によって企業情報それ自体は外部に持ち出されやすい環境にあるともいえます。 また、盗んだわけではなくても、「他社の技術を無断使用している」と訴えられトラブルになるケースも、近年では少なくありません。


情報漏洩で企業価値を損なわないために見直すべき4つのポイント

企業が管理する情報が外部に漏洩することを回避するためには、次の4つのポイントについてきちんと対処することが大切といえます。

不正アクセスに対する技術的対処

各種の情報を保管しているデータベースがインターネットに接続されているときには、外部からの悪意のある不正アクセスを防止できるだけの技術的な措置を講じる必要があります。最低限「以上」の技術的措置を講じることは、企業の当然の義務と考えるべきでしょう

たとえば、「ITへの対応」は、内部統制(いわゆるJ-SOX)においても必須の項目とされています。

情報漏洩を確実に防げるルール作り

実際に生じる情報漏洩は、ルール・マニュアルの不備などの「企業側の管理体制の不備」を原因とする場合が少なくありません。

「情報や端末の持ち出しを禁止する」社内ルールが定められていても、それが確実に遵守されるだけの体制が備わっていなければ、意味がありません。

また、中小企業などの場合には、ルールそれ自体が抽象的すぎて機能していない(ルールに穴がある)ということもあるかもしれません。

「ルールが具体的ではない」ことは、「自社の企業秘密を守る」という観点でも問題があります。近年では、企業秘密の漏洩をめぐる訴訟(会社が企業秘密を持ち出した従業員や取引先を訴える事件)も増えていますが、企業側が敗訴する案件が少なくありません。企業が敗訴している理由の多くは、契約条項の不備です。

これらの事件の概要は、Legal Searchで「営業秘密 漏洩 損害賠償」と検索すると確認することができます((ワ)という符号の事件)。

その意味では「ルールを作った」、「マニュアルを作った」ということで安心してしまうのではなく、そのルール・マニュアルが実効的であるかどうかを、専門的知見をもった第三者(弁護士・弁理士)などにチェックしてもらうことが重要といえます。

会社の姿勢を明確に示す

企業が管理する情報の漏洩は、「人災」的な側面が強い案件も少なくありません。ルール・マニュアルがしっかりしていても、それを運用する側に「守る意識」がなければ、絵に描いた餅に過ぎません

人災を防ぐという観点では、「わたし1人くらい端末(情報)を持ち帰っても大丈夫」という甘えを生まないためにも、「情報漏洩は絶対に許さない」という会社の姿勢を強く示すことがとにかく大切です。Legal Searchなどを利用して、実際に訴訟までもつれた案件をまとめて従業員に配布するということも、意識を変えさせるためには有効な方法かもしれません。

また、上で紹介したアークレイのケースのように、問題を起こした従業員に対する責任追及の姿勢を明確に示すことも重要でしょう。特に、中小企業では、1人の従業員の甘えが原因で、会社の存続に直結する問題にもなりかねません。 企業秘密漏洩防止の観点では、これらの対策に加え「退職者へのフォロー」も重要になります。

いまでは、ライバル企業への転職は珍しいことではありません。現在の待遇などへの不満などが、「企業秘密の持ち出し」につながる可能性もあるでしょう。悲しいことではありますが、企業としては「性悪説的な対処」を求められる場面が増えています。

早期対応の徹底

万が一、情報漏洩問題が起きてしまったときには、「早期に」、「誠実に」対処することが最も重要です。

たとえば、ベネッセコーポレーションのケースでも、早期に対象者に対して「おわびの金券(500円分)」を配布したことが、損害賠償請求訴訟においても良い影響を与えています。

メールアドレスなどの情報流出は、実際に発生する損害は軽微(ほとんどない)場合が多いので、しっかり対応をしていれば、さらに訴訟で責任を追及されることは稀といえるでしょう。

早期に誠実に対処することは、企業イメージの低下を食い止めるだけでなく、逆に「誠実な企業」のイメージを市場に植え付けられる機会につながることもあります。 他方で、対応が後手に回ってしまえば「企業イメージ低下」よりも大きな打撃を受ける可能性があります。

たとえば、セブンペイの運用停止は、事後対応のまずさも要因のひとつと考えられますが、設備投資費用の損失だけでなく、コンビニ業界におけるセブンイレブンのシェア率にも今後大きな影響を及ぼすかもしれません。

情報漏洩の事例3選から学ぶ企業が取るべき事前、事後対応:まとめ

技術の進化に伴い、企業の下には、今後、さらに膨大な量の情報が入り込んできます。また、市民の「プライバシーを守ってもらいたい」という意識も今後さらに高まっていくことが予想されますから、情報漏洩が致命的なイメージダウンに繋がるリスクはとても高いといえるでしょう。

その意味では、企業にとって「情報漏洩を防ぐ」ということは、「企業そのものを守る」ことに直結するとても重要な問題といえるでしょう。

関連記事

ページ上部へ戻る