情報セキュリティに対する消費者の目は年々厳しくなっており、企業が個人情報を漏洩したというニュースは大きく世間を騒がせるようになりました。

最近ではベネッセコーポレーションから個人情報が流出したり、Yahoo!BBから顧客情報が流出するなど、大手企業であっても個人情報の管理の不備について厳しく糾弾されるようになりました。

それでは、企業などが個人情報を漏洩した場合にどのような法的責任を負うのでしょうか？罰則はあるのでしょうか？

今回は、個人情報を漏洩した場合の企業などの責任について分かりやすく解説します。

そもそも「個人情報」とは？

そもそも「個人情報」とは何なのでしょうか？
どのような情報が「個人情報」として保護されるのでしょうか？

個人情報の定義は、「個人情報の保護に関する法律」という法律に定められています。

一般的には「個人情報保護法」という名称で知られています。

個人情報法第２条１項には、個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう、いった定義付けがなされています。

この文章を読んでも具体的なイメージがわかない、という方が多いのではないでしょうか。具体例で考えてみましょう。

個人情報の代表的なものは、「氏名」や「住所」や「生年月日」です。

「運転免許証の番号」や「パスポート番号」や「マイナンバー」や「基礎年金の番号」などの公的な情報も、個人情報に当たります。

その他にも「声」や「指紋」や「筆跡」も個人によって異なり、特定の個人を識別することができるものなので、個人情報として保護されます。

判断が難しいのは、法２条１項の「特定の個人を識別することか?できるもの(他の情報と容易に照合することか?でき、それにより特定の個人を識別することか?て?きることとなるものを含む)」という部分です。

代表的なものは、「クレジットカードの番号」です。クレジットカードの番号は、一見すると単なる数字の羅列です。

クレジットカード会社は複数あるので、数字だけ見ても個人を特定することはできません。

しかし、クレジットカードの使用期限や発行年月日と組み合わせることで、クレジットカードの持ち主を特定することができます。

このように、他の情報と組み合わせることで個人を特定できる情報も、「個人情報」に当たります。

身体的特徴

意外と見落としがちなのは、「身体的特徴」も個人情報だという点です。

例えば、防犯カメラの映像を考えてみましょう。

防犯カメラの映像には「顔」や「身長」や「服装」などの情報が記録されています。

これらの情報を総合的に分析すると、防犯カメラに写っている人物を特定することができます。

よって、カメラの映像は「個人情報」に該当します。写っている人物の許可を取ることなく、防犯カメラの映像を公開したり第三者に提供することはできません。

なお、映像が荒くて個人を特定することができない場合は、個人情報には当たりません。

判断の基準は「写っている人物をただ一人に特定できるか」という点です。

公開されている情報

既に公開されている情報であっても、「個人情報」として保護されます。

例えば、フェイスブックで氏名や生年月日を公開していても、それらの情報が個人情報であることに変わりはありません。

本人が公開しているからといって、無断で氏名や生年月日を転載することはできません。

「犯罪者」や「外国人」も個人情報保護法の適用対象となるのか？

以上では、「個人情報とは何か」について解説しました。

それでは「個人」として保護されるのは、どのような人物なのでしょうか？

個人情報保護法で保護されるのは、日本人だけなのでしょうか？

死者や犯罪者も保護されるのでしょうか？

既に亡くなっている方

個人情報保護法で保護されるのは、「生存する個人に関する情報」に限られます 。既に亡くなっている方の情報は法律では保護されません。

このため、例えば歴史上の人物である織田信長が住んでいた場所やプライベートの手紙を公表しても、法律違反とはなりません。

ただし、亡くなった方の情報であっても遺族の方々の個人情報に該当する場合は、法律によって保護されます。

例えば、死者に関する情報である相続財産等に関する情報の中に遺族（相続人）の氏名の記載があるなど、遺族を識別することができる場合には、当該情報は、死者に関する情報であると同時に、遺族に関する情報でもあります。

このような情報は、個人情報保護法の対象となります。

法人

法人は個人ではありませんので、企業に関する情報は個人情報保護法で保護されません。

ただし、企業の代表者や役員は個人なので、代表者や役員に関する情報は個人情報として保護されます。

外国人

日本に居住する外国人も、個人として保護されます。

このため、外国籍を有する人物であっても、特定の人物を識別できる情報であれば、個人情報保護法で保護されます。

犯罪者の情報

犯罪者であるかどうかは、「個人」の判断に関係ありません。

犯罪者の情報であっても個人情報として保護されますので、犯罪者の氏名や住所を無断で公開することはできません。

しかし、新聞やテレビのニュースを見ていると、犯罪の容疑者や被害者の氏名が公開されていることがあります。

これは違法なことなのでしょうか？

個人情報保護法には、報道機関に関して特別の規定が設けられています。

法第７６条第１項第１号には、個人情報取扱事業者のうち、放送機関、新聞社、通信社その他の報道機関（報道を業として行う個人を含む。）が、報道の用に供する目的で、個人情報を取り扱う場合には、個人情報取扱事業者の義務に関する規定が適用されない、と定められています。

つまり、マスコミが犯罪のニュースとして犯罪者や被害者の個人情報を公開することは、個人情報保護法上の問題はありません。

一般企業が正当な理由なく犯罪者の氏名や住所を公開することは違法行為です。

個人情報保護法の誕生・改正の歴史

個人情報保護法は、個人情報の取扱いに関するルールを定める法律として、平成１５年５月に成立し、平成１７年４月に全面施行されました。

平成２７年９月に大規模な改正が行われ、改正法は平成２９年５月から全面施行されています。

この大規模な改正によって、何が変わったのでしょうか？

一番大きく変わった点は、「中小企業等にも法律が適用されるようになった」という点です。

改正前は、小規模事業者（取り扱う個人情報が５，０００人分以下の事業者）には個人情報保護法の適用はありませんでした。

しかし平成２７年の改正によって、全ての事業者に適用されることになりました。

つまり、現在は「中小企業をはじめとする全ての事業者」が個人情報保護法の適用対象です。

中小企業や個人事業主であっても、個人情報保護法で定められたルールを遵守しなければいけません。

個人情報を取り扱う上で気をつけること

それでは、個人情報取扱事業者が個人情報を取り扱う際にどのような点に気をつければよいのでしょうか？

ポイントは５つあります。

①個人情報を取得するときには、必ず本人に「目的」を伝える

まず「個人情報を集めるとき」に注意しなければいけません。「個人情報を何のために使うか」ということを伝えることなく、無断で個人情報を集めることはできないからです。

ただし、利用する目的を詳細に伝える必要まではありません。

「新商品のご案内をするために連絡先を教えてください」「サービス向上のためにアンケートにご協力ください」という程度の説明で足ります。

また、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報は「要配慮個人情報」とされ、原則として、あらかじめ本人の同意を得なければ取得することができません。

②本人に伝えた目的以外のことに個人情報を利用してはいけない

当然のことながら、本人に伝えた目的以外のことに個人情報を利用してはいけません。

例えば、商品を届けるためにお客さんの住所を教えてもらった場合、その住所に新製品の広告を送ることはできません。

宣伝のために顧客の住所を利用したい場合は、住所を教えてもらう際に「教えていただいた住所宛てに新商品のご案内を送ってもよろしいですか？」と確認し同意を得なければいけません。

このような同意を得ていなければ、個人情報を宣伝目的で利用することはできません。

③個人情報はパスワードなどで安全に管理しなければいけない

顧客の住所やメールアドレスをパソコンで管理する場合は、名簿ファイルにパスワードを設定したり、パソコンにウィルス対策ソフトを入れておくなど、情報が漏洩しないように必要な措置を講じなければいけません。

顧客リストを紙媒体に印刷する場合は、その紙媒体を施錠できるところに保管するなど、外部に漏れないように細心の注意を払わなければいけません。

個人情報を管理するうえで重要なこととして、「個人情報の重要性について改めて社員教育を行う」ということが挙げられます。

個人情報が漏洩する原因は、不正アクセスやハッキングに限りません。

SNSの発達により、従業員がうっかり情報を漏洩するケースが年々増えています。

最近では、不動産会社の従業員が、芸能人に賃貸物件を案内したことをツイッターでつぶやいたり、空港の免税店に勤務する人物が、芸能人が署名したレシートの写真をLINE（ライン）で送信するなど、従業員の意識の低さによって個人情報が漏洩するケースが珍しくありません。

このような事態を防ぐためにも、改めて従業員に対して「会社が保有する個人情報をSNSやブログに書き込まないこと」「うわさ話として口頭で言いふらすだけでも違法となる」など、個人情報の重要性について基礎から研修を行うことが重要です。

④外部に情報を提供する場合は、「本人の同意」を得なければいけない

個人情報を第三者に提供する場合は、本人の同意を得なければいけません。

例えば、化粧品会社が保有する顧客情報を、新製品を開発するために製薬会社に提供する場合は、その顧客の同意を得なければいけません。

ただし、警察などの公的機関からの照会に応じる場合は、法令に定めがありますので、本人の同意を得る必要はありません。

また、災害時など本人の同意を得るのが困難な場合も、本人の同意を得る必要はありません。

⑤本人が「開示してほしい」と請求する場合は応じなければいけない

個人情報取扱事業者に対して、「自分の情報がどのように保管されているのか教えて欲しい」と本人が請求した場合には、その人物について保管している情報を速やかに開示しなければいけません。

もし本人が「この情報は間違っているから直してほしい」と訂正を請求した場合には、迅速に事実を確認しなければいけません。

もし登録された情報が間違っていることが発覚した場合には、速やかに訂正する必要があります。

個人情報を漏洩した場合などの罰則

個人情報取扱事業者が個人情報の管理を怠った場合には、どのような法的責任が生じるのでしょうか？

個人情報取扱事業者が適正に個人情報を管理しているかについては「個人情報保護委員会」が監督しています。

「個人情報保護委員会」とは、個人情報の適正な取扱いを確保するために設置された機関です。

個人情報保護委員会は、個人情報を漏洩した疑いのある個人情報取扱事業者について報告を求め、必要があれば立ち入り検査を行います。

このとき個人情報取扱事業者が虚偽の報告を行った場合は、金３０万円以下の罰金の対象となります。

個人情報保護委員会が必要があると判断した際には、個人情報取扱事業者に対して指導や助言、勧告、命令を行います。

これらの命令に個人情報取扱事業者が違反した場合には、６ヵ月以下の懲役又は金３０万円以下の罰金の対象となります。

さらに、従業員又は従業員であった者が不正な利益を図る目的で個人情報データベース等を提供したり、盗用した場合には、１年以下の懲役又は金５０万円以下の罰金の対象となります。

最近の個人情報漏洩事件の事例

企業が保管する個人情報はどのようにして漏洩するのでしょうか？

企業による個人情報漏洩事件を３つ紹介します。

ベネッセコーポレーションの顧客情報流出事件

個人情報漏洩について世間の目が厳しくなったきっかけとして、株式会社ベネッセコーポレーションによる会員情報流出事件があります。

平成２６年６月、株式会社ベネッセコーポレーションがシステム開発を委託していた会社の元社員が、顧客リストを名簿業者３社に売却しました。この事件をきっかけとして、約３，５０４万件の顧客情報が外部に流出しました。

株式会社ベネッセコーポレーションは、緊急に危機管理本部を設置して、警視庁に刑事告訴を行いました。

情報セキュリティの専門家を招致してデータベースの安全性を抜本的に見直すなど、事件の後処理にも追われました。

さらに平成２６年９月には経済産業省から個人情報に基づく勧告を受けることになり、行政的な対応にも追われることになりました。

一連の経緯によって消費者からの信頼は失墜し、顧客一人一人に謝罪文とお詫びの品((500円分の電子マネーギフトまたは全国共通図書カード))を送付するなど信頼回復措置を取ることとなりました。

ヤマケイオンラインの会員情報流出事件

不正アクセスによる情報流出のケースとしては、ヤマケイオンラインによる会員情報流出事件があります。

平成２９年１２月、株式会社山と渓谷社は、同社が運営するヤマケイオンラインというサイトが外部から不正アクセスを受け、一部の会員情報が流出したと発表しました。

この事件は、ヤマケイオンラインに登録していた会員のもとにフィッシングメールが届き、その会員が不審に思って同社に問い合わせを行ったことによって、発覚しました。

しかし、ヤマケイオンラインではアクセスログを３１日分しか保管していなかったため、それ以前に不正アクセスがあったかどうかを調査することができませんでした。

個人情報を管理するうえでは、システムの安全性を確保することも重要ですが、不正アクセスの被害に遭った場合に備えてアクセスログを長期間保管しておくことも重要である、ということを教訓として教えてくれた事件です。

幻冬舎による会員情報流出事件

株式会社幻冬舎は、平成３０年１月１５日、同社が運営する「幻冬舎plus」というウェブサイトが何者かに不正アクセスされ、会員情報の一部が流出した可能性を認めて謝罪しました。

流出した情報は、最大９３，０１４名の「氏名」「ユーザーID」「メールアドレス」です。同社が使用するシステムをバージョンアップした際に脆弱性が発生し、その隙を狙って不正アクセスが行われました。

この事件の教訓としては、「システムのバージョンアップなど一時的な脆弱性であっても、ハッキングの対象になる」という点です。

日頃から顧客情報を厳重に管理していたとしても、一瞬の隙を狙ってハッカーが侵入するおそれがあります。

個人情報を管理する企業としては、日頃の情報セキュリティを厳重にするだけでは不十分です。

システム変更やバージョンアップの際に一瞬でも情報セキュリティに脆弱性が発生しないよう、常に目を光らせておかなければいけません。

個人情報の漏洩を防ぐために

個人情報に関する社会や消費者の目は、年々厳しくなっています。

平成２９年に改正個人情報保護法が施行されたことにより、中小企業を含めた全企業が個人情報のルールを遵守しなければいけません。個人情報を適正に取り扱わない事業者などに対しては罰則も定められています。

個人情報取扱事業者としては改めて「個人情報とは何か」を確認し、個人情報を扱うシステムの安全性を見直し、社員研修を行うなど従業員の意識改革を行うことが重要です。