個人情報保護法の罰則とは?改正内容や違反のリスク、対策を解説
全国20拠点以上!安心の全国対応
記事目次
個人情報保護法の改正内容
個人情報保護法が2005年に施行された後、2015年の改正時に設けられた3年毎の見直しに関する規定により、個人情報保護委員会における論点整理を中心とした2020年の見直しを経て、2022年4月から全面的に施行されました。
改正内容は多岐にわたりますが、概要としては6点です。
まず、①個人の権利の在り方が強化され、個人の権利又は正当な利益が害されるおそれがある場合にも、個人情報の利用停止や消去等の請求をすることができるようになりました。
また、保有個人データの開示方法について、書面のみならず電磁的記録の提供を含めて本人が指示できるようになりました。
次に、②事業者の守るべき責務の在り方として、情報漏えいが発生し、個人の権利利益を害するおそれがある一定の場合に、委員会への報告・本人への通知が義務化され、また、違法または不当な行為を助長する等の不適正な個人情報の利用禁止が明確化されました。
その他、③事業者による自主的な取り組みを促す仕組み、④データ利用活用に関する施策、⑤罰則の法定刑の引き上げ、⑥日本国内の個人情報を取り扱う外国事業者への義務の強化も主要な変更点です。
個人情報保護法を改正した目的
個人の権利利益の保護強化
そもそも、個人情報保護法の第1条は、個人の権利利益を保護することを究極的な目的としております。
今回の改正において、個人情報の取り扱いについての国民的な関心の高まりを踏まえ、利用停止・消去などの請求権を拡充すること等により、個人の権利利益の保護に対する制度的な強化を図ることとなりました。
外国事業者の保有する個人情報へのリスク対応
グローバル化の進展に伴い、日本企業の保有する個人情報が、海外の事業者へ提供されることも珍しくありません。
海外における個人事業保護に関する法制度や仕組みは各国によって異なるため、日本国民の個人情報が不当な取り扱いを受けないための制度設計が必要となります。
AIやビッグデータへの対応
AIやビッグデータの活用が企業活動において重要な位置を占める昨今ですが、個人が予測困難な範囲で情報が利用され、不当な取り扱いがされるリスクを防止するために、個人関連情報と仮名加工情報を定義して、時代の変化に対応しつつも個人情報に対する権利侵害を可及的に防止する必要があります。
改正された個人情報保護法の罰則に関する注意点
改正個人情報保護法では、法定刑の引き上げにより罰則が強化されました。
どのような罰則が強化されたのかを把握しておくことは今後の企業活動のリスクを測る上で有益ですので、以下で見ていきましょう。
1. 個人情報保護委員会からの命令等への違反
個人情報保護委員会は、個人情報の有用性に配慮し、個人の権利利益を保護することを目的として、個人情報保護に関する基本方針の策定や監視監督等を職務として行う機関です。
同委員会は、個人情報保護法違反の事実を把握した場合、違反した者に対し、改善命令を行うこともあります。
改善命令を受けた者がこれに従わない場合の罰則として、改正前は6か月以下の懲役または30万円以下の罰金でしたが、改正後は1年以下の懲役または100万円以下の罰金(法人の場合は最高額1億円)へ強化されています。
2. 個人情報データベース等の不正提供
個人情報データベース等とは、個人情報を含む情報の集合物であって、①特定の個人情報につきコンピューターを用いて検索できるように体系的に構成したものまたは②コンピューターを用いていない場合であっても、個人情報を一定の規則に従って整理することで特定の個人情報を容易に検索することができるよう体系的に構成したものであって、目次、索引、符号等により一般的に容易に検索可能な状態に置かれているものをいいます(個人情報保護法第16条第1項)。
これらの個人情報データベース等を不正に提供した場合の罰則として、改正前は1年以下の懲役または50万円以下の罰金でしたが、改正後は法人に対しては最大1億円の罰金へ強化されています。
3. 個人情報保護委員会への虚偽報告等
改正により、個人情報の漏えいにより個人の権利利益を害するおそれがある場合には、個人情報保護委員会へ報告する義務があります。
例えば、不正アクセス等によって大量の個人情報が流出した場合、同委員会へ速やかに報告しなければなりません。
このような報告義務に違反して虚偽の報告等をした場合の罰則として、改正前は30万円以下の罰金でしたが、改正後は50万円以下の罰金へ強化されています。
個人情報が漏洩してしまった場合のリスク
個人情報を漏洩させた場合、漏洩させてしまった企業には、レピュテーションの低下等により取引先と社会の信頼を失うリスクが発生します。
このような信頼の回復や、漏洩した個人情報に対する対応や再発防止には人的・物的なコストが発生しますし、漏洩について民事・刑事の責任を追及されるリスクもあります。
そのため、企業としては、個人情報の漏洩がないように日頃から最大限の注意と関心を払い、漏洩防止体制を構築する必要があります。
個人情報保護委員会のホームページでは、漏洩発生時の対応について、報告の期限や報告フォーム等について公開されていますので、万が一のリスクに備えて予め確認しておくことが有益といえます。
個人情報が漏洩した場合の対応
最大限注意を払っていたにもかかわらず、様々な要因により結果的に個人情報が漏洩してしまう事態も考えられます。
そのような場合、さらなる漏洩等の被害の拡大を防止するためには、即時かつ適切な対応をとらねばなりません。
初動対応としては、漏洩についての徹底的な調査を行い、漏洩の原因や漏洩した情報の内容をできる限り特定しましょう。その上で、原因を分析し、再発防止策を策定する必要があります。
個人情報保護法の改正により漏洩対象の個人への通知が義務化されましたので、当該個人へ漏洩の事実を通知し、再発防止策の説明を行いつつ、また、個人情報保護委員会への速やかな報告も行わなければなりません。
個人情報保護法違反となる可能性がある事例
それでは、どのような場合に個人情報保護法違反となる可能性があるのでしょうか。
以下では、個人情報保護委員会が挙げる事例(※)のうち、本人の同意なく個人データを第三者へ提供するケースについて検討します。
「学習塾での生徒同士のトラブルが原因で、生徒Aの保護者が生徒Bの保護者の連絡先を知りたいと希望したため、連絡先を教えた」
個人情報取扱事業者は、例外的な場合(人の生命、身体、財産の保護のために必要があり、かつ本人の同意を得ることが困難な場合等)を除き、予め本人の同意を得ることができなければ、個人データを第三者に提供することはできません(個人情報保護法27条1項)。
そのため、同意なく生徒Bとその保護者の連絡先を教えることは、原則として個人情報保護法違反となります。
「会社の従業員の親から電話があり、至急子供と連絡が取りたいと言われ、従業員に確認の連絡をせずに電話番号を教えた」
この事例のように本人の家族からの依頼であっても、個人情報保護法の定める例外事由に該当しない限り、本人の同意を得た上でなければ個人情報保護法違反となりかねません。
もっとも、本人の同意は、個人データの第三者提供に当たってその都度得る必要があるのかというと、必ずしもそうではなく、個人情報の取得時に、その時点で予測される個人データの第三者提供について、包括的に同意を得ておくことも可能とされています。
本件のような会社の従業員の場合、個人情報の取得時点(例えば入社時点)において、親族からの依頼に限定して予め包括的に同意を得ることで違反を回避できる可能性もあります。
個人情報保護法の罰則を受けないための対策
社内のネットセキュリティ体制等の構築
コンピューターネットワークを利用して業務を行う企業が大半の現代社会において、自社ネットセキュリティの脆弱性、不正アクセス等を原因として個人データが外部に流出・漏洩してしまうリスクが存在します。
個人情報取扱事業者は、個人データに関する漏洩等防止のための安全管理措置を講じなければならないとされております(個人情報保護法23条)。
ECサイト、会員用サイトの様なインターネット環境にある場合のみならず、OSやソフトウェアを常に最新の状態にし、ウィルス対策ソフトを導入し、ウィルス定義ファイルを常に最新の状態に保持することが必要と考えられます。
従業員への周知・研修
上で検討した個人データの第三者提供事例のように、会社内部の従業員による個人情報取扱いの理解不足ゆえに個人情報が漏洩・流出してしまうリスクもあります。
個人データを扱う部署に所属する従業員のみならず、役員やその他の社員も対象に、個人情報セキュリティに関する研修等を実施して、人的なミスによる情報漏洩を防止する体制を構築するべきでしょう。
個人情報保護委員会は漏洩等の対策に役立つ情報、資料、動画を公開しておりますので、それを適宜参照しつつ、自社の規模にあった適切な個人情報の取扱体制を構築・維持してゆくことが望まれます。
まとめ
今回は、改正個人情報保護法の概要、罰則規定、個人情報漏洩のリスク及び対策等についてご紹介しました。
個人情報保護法の違反が発生した場合、法的責任を追及されるリスクがあるのみならず、顧客等の取引先や社会の信用を失うおそれがあります。
社内のコンピューター環境の不備や人的なミスを原因とした個人情報の漏洩リスクを防ぐために、セキュリティ体制の構築や従業員に対する個人情報保護の周知徹底を図ることが必要です。
今一度、自社の個人情報保護体制を見直して頂き、疑問点がある場合は専門家にご相談頂くこともご検討いただければ幸いです。
参考:「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A(A7-8)
参考:【個人情報保護委員会 個人情報保護法 ヒヤリハット事例集】
参考:【個人情報保護委員会「漏えい等の対応とお役立ち資料」】