【目 次】 ◆個人情報保護法違反事件の発生による膨大なコスト、ブランド毀損リスク―それは対岸の火事ではありません。 ◆手術動画提供事件 ・手術動画提供事件とは? ・個人情報保護委員会【「医療機関における個人情報の取扱い」に関する注意喚起】のポイント ◆尼崎市USBメモリ紛失事件 ・尼崎市USBメモリ紛失事件とは? ・尼崎市USBメモリ紛失事件の問題点と改善策のポイント ◆個人情報保護法違反が発生した場合の企業のコスト・リスク ・ベネッセ個人情報漏えい事件―個人情報保護法が発生した場合のコスト・リスクは深刻です。 ・個人情報保護委員会による罰則も看過できません。 ◆事例から学ぶ企業における個人情報保護法違反への実務対応 まとめ 個人情報保護法違反事件の発生による膨大なコスト、ブランド毀損リスク―それは対岸の火事ではありません。 ビズりす:近時、個人情報保護法違反に関連する事件が後を絶たず、個人情報保護委員会による複数の行政上の対応が実施されています。 しかし、これらの事件は対岸の火事ではありません。 従業者の故意・過失による個人データ漏えい、委託先の監督不備、利用目的の通知・公表に関する問題…いずれの事件も、個人情報を取り扱う企業であれば、いつでも起こりうることを原因として発生しています。そして、このような事件が発生した場合、訴訟コストを含む膨大なコストが発生するだけでなく、深刻なブランド毀損リスクも引き起こしかねません。 では、このようなコスト・リスクを回避するために、企業としてどのような対応をすればよいのでしょうか。 このブログでは、近時、個人情報保護委員会が行政上の対応を公表した個人情報保護法違反事件2件(手術動画提供事件/尼崎市USBメモリ紛失事件)を例に、私、ビズりすが、企業における個人情報保護法違反に対する実務対応のポイントを解説していきたいと思います。 手術動画提供事件 手術動画提供事件とは? 医療機器メーカーであるA社は、複数の医療機関から、眼科手術の術野を記録した手術動画(以下「手術動画」)を取得していました。A社としては、手術動画について個人を特定できる情報を含まない状態での取扱いを想定していたものの、実際には、同社内の周知不備のため、一部の手術動画に患者本人の氏名等が記録されていました。一方、手術動画を個人データとして提供していた医療機関の一部について、●第三者提供に関する患者本人の同意を取得していない、●医師が医療機関に無断で提供しているといった事態も判明しました。これが、手術動画提供事件の概要です。 この手術動画提供事件を受け、個人情報保護委員会は、A社及び複数の医療機関に対し、行政上の対応(法144条に基づく指導)を実施しました。 個人情報保護委員会【「医療機関における個人情報の取扱い」に関する注意喚起】のポイント さらに、個人情報保護委員会は、前述の行政上の対応に加え、【「医療機関における個人情報の取扱い」に関する注意喚起】と題する文書を公開しました。その主な内容は以下のとおりです。 手術動画は、「個人情報」に該当する(診療録や手術記録等と容易に照合することができ、それにより、特定の個人(患者)を識別できるため) →手術動画の撮影に当たって、利用目的の特定・通知・公表等が必要(法17、21条。手術動画を第三者に提供することを想定している場合には、その旨が明確に分かるような利用目的を本人に通知又は公表することが必要) →あらかじめ本人の同意を得ずに、特定された利用目的の達成に必要な範囲を超えて手術動画を取り扱ってはならない(法18条。目的外利用の原則禁止)。 手術動画を特定の個人情報を検索できるように体系的に管理している場合、当該手術動画は、「個人情報データベース等」を構成するものとして、「個人データ」に該当する。 →手術動画の第三者提供に当たって、原則本人の同意が必要(法27条1項) →個人情報等の取扱いに係る規律の整備、組織体制の整備・従業者に対する監督等、必要かつ適切な安全管理措置を講じる必要(法23条、24条)。 ⇔なお、手術動画が「個人データ」に該当しない場合であっても、手術動画の機微性を踏まえた適切な管理を行うことが重要 この注意喚起は主に手術動画に関するものですが、一般的に個人情報を取り扱う際に注意すべき点が多く含まれており、非常に参考になります。 では、1、2を順番に説明します。 まず、1について。 身体の一部を撮影した手術動画のように、単体では特定の個人を識別できない情報は数多くあります。生年月日、住所、クレジットカード番号もその例です。しかし、このような情報についても、特定の個人を識別できる他の情報(氏名、顔写真等)と容易に照合できる場合は、「個人情報」に該当します。したがって、当該情報を取り扱うに当たっては、個人情報保護法の「個人情報」に関する規律(利用目的の通知・公表、目的外利用の原則禁止等)を遵守しなければならないということになります。 次に、2について。 個人情報保護法は、その「個人情報」が「個人データ」にも該当する場合、「個人情報」に関する規律に加え、「個人データ」に関する規律(安全管理措置の実施義務、第三者提供の制限等)を遵守すべきことを定めています。 ここで、「個人データ」とは、「個人情報データベース等(特定の個人を検索できるように体系的に管理されている個人情報を含む情報の集合物)を構成する個人情報」をいいます。つまり、「個人データ」は「個人情報」の一種といえるのですが、法は、単なる「個人情報」に比べて個人の権利利益を侵害する可能性が高いことから、「個人データ」について「個人情報」よりも多くの義務を課しているのです。 実は、今回の手術動画については、「個人データ」に該当するものとそうでないものがありました。「個人データ」に該当する手術動画については、「個人データ」に関する規律を遵守すべきことは当然といえますが、注意喚起では、手術動画の機微性に着目して、(「個人データと同様の安全管理措置の実施や第三者提供制限への対応を実施することが必要」とまでは明言しないものの)「個人データ」に該当しない手術動画についても適切に管理することが重要だと指摘しています。 実務対応の観点からみますと、機微性の高い個人情報を取り扱う場合は、当該情報が「個人情報」か「個人データ」であるか否かを問わず、適切な安全管理措置を実施し、第三者提供制限も遵守することが望ましく、かつ、現実的な対応だと考えられます。 【個人情報保護委員会の注意喚起のポイント】 単体では特定の個人を識別できない情報でも、特定の個人を識別できる他の情報(氏名、顔写真等)と容易に照合できる場合は、「個人情報」! ⇒その情報を取り扱うに当たって、「個人情報」に関する規律(利用目的の通知・公表、目的外利用の原則禁止等)を遵守する必要あり! 機微性の高い個人情報を取り扱う場合は、それが「個人データ」に該当する場合はもちろん、「個人データ」に該当しない場合でも、適切な管理が必要! 尼崎市USBメモリ紛失事件 尼崎市USBメモリ紛失事件とは? 尼崎市は、住民税非課税世帯等に対する臨時特別給付金支給事務に関する保有個人情報の取扱い(以下「本件業務」)を、X社に委託していましたが、同社はさらに、本件業務をY社に委託していました。Y社の従業員が、データ移管作業のため、尼崎市全住民の住民基本台帳の情報(約46万件)等の個人情報が保存されたUSBメモリ(以下「本件USBメモリ」)を尼崎市市政情報センターから持ち出したのですが、作業完了後に飲食店に立ち寄り、帰宅途中に本件USBメモリを入れたかばんを紛失してしまいました。これが、尼崎市USBメモリ紛失事件の概要です。 尼崎市USBメモリ紛失事件の問題点と改善策のポイント 尼崎市USBメモリ紛失事件は、直接的には、従業者の不注意による紛失を原因として発生していますが、個人情報保護委員会による行政上の対応を通じ、X社とY社にも多くの問題点があることが明らかになっています。 ◆ なぜ、従業者の不注意による紛失を防ぐことができなかったのか― そして、 ◆ どうすればこれを防ぐことができたのか― 従業者の不注意による個人データ漏えいは、どのような企業においても起こり得る事態です。この事件におけるX社とY社の問題点、そして問題点に対する改善策を検討することで重要な示唆が得られます。 以下の表で、本件の問題点と改善策のポイントをまとめました。 問題点のポイント 改善策のポイント X社 本件業務に関する開発プロジェクト工程における個人データの取扱い上のリスクを現場担当者のみで判断することが実態となっていた。 ・組織長(部長級)がセキュリティ対策状況について週次で確認 ・セキュリティ専門組織を新設し、継続的にセキュリティ対策状況の妥当性を審査・モニタリングする体制を構築 個人データの取扱いに係る規律自体は存在していたものの、本件業務では、規律に従った運用が確保されていなかった。 ・情報セキュリティポリシー及びビジネスプロセス関連規程を改定 ・グループ企業の全従業者及び委託先に対して、教育研修を実施(今後も定期的に実施予定) 本件業務において、入退室管理、電子媒体の盗難防止措置等を適切に講じていなかった。 ・個人データを取り扱う業務を入退室管理区域に限定する、電子媒体の保管庫を施錠管理する等の対策を実施 本件業務における個人データの取扱いについて、具体的な手順・安全管理措置を委託先(再委託先を含む。)の従業者に一任し、その検討結果の確認も行っていなかった ・個人情報の取扱いを伴う業務における①委託先の有無、②委託する場合の体制、③委託先の安全管理措置の実施状況、④委託先への教育研修状況等に関する総点検を実施 ・新設したセキュリティ専門組織が個人データの取扱いの委託に関する継続的なモニタリングを実施 Y社 自社固有のセキュリティ関連規程に加え、委託元における規律も遵守する必要があったにもかかわらず、各従業者の委託元における個人データの取扱状況・セキュリティ研修の受講状況の実態を適切に把握していなかった。 ・半年に一度、委託元における個人データの取扱状況・委託元のセキュリティ研修の受講の有無について、各従業者への聞き取りを実施 ・年に一度、全ての従業者に対して、情報セキュリティ研修を実施 この表からは、X社、Y社いずれにおいても、規律に従った運用・安全管理措置を行うための組織的安全管理措置、従業者に個人データの適正な取扱いを周知徹底するための人的安全管理措置、そして、委託業務に係る個人データの取扱いを管理するための委託先の監督が不十分であったことがうかがえます。 これらの問題点に対して両社が行った改善策は、従業者・委託先による漏えいについて、企業が実施すべき対策のポイントといえるでしょう。以下の表を参考に、自社にとって必要な対策は何かを今一度ご確認ください。 【尼崎市USBメモリ紛失事件から学ぶ 従業者・委託先による漏えい対策のポイント】 組織的・人的安全管理措置として… □ 部長級の役職者によるセキュリティ対策状況の定期的確認 □ セキュリティ専門組織の設置 □ セキュリティ専門組織によるセキュリティ対策状況の審査・モニタリングの実施 □ 従業者に対する定期的な研修の実施 □ 個人データの取扱状況等について従業者からの定期的な聞き取りの実施 物理的・技術的安全管理措置として… □ 個人データを取り扱う業務を入退室管理区域に限定 □ 電子媒体の保管庫の施錠管理> 委託先の監督として… □ 個人情報の取り扱いを伴う業務の委託に関する総点検の実施 □ セキュリティ専門組織による委託先の定期的な監査 □ 委託先に対する研修の実施 個人情報保護法違反が発生した場合の企業のコスト・リスク ベネッセ個人情報漏えい事件―個人情報保護法が発生した場合のコスト・リスクは深刻です。 個人情報保護法違反事件が発生した場合、その事件に関連する企業において、訴訟コストを含む膨大なコストや深刻なブランド毀損リスクが発生する可能性があります。 例えば、2014年に発生したベネッセ個人情報漏えい事件。 これは、ベネッセの子会社の業務委託先の従業員が、ベネッセの顧客の個人情報(氏名、性別、住所、電話番号等)約2,900万件を不正に持ち出し、複数の名簿業者に売却した事件です。この件について、ベネッセは、漏えいが確認された顧客に対し、お詫びの品として500円分の金券を交付しましたが、不法行為に基づく慰謝料等の支払を求める訴訟が複数の裁判所に提起される事態となっています。 直近では、現在提起されている集団訴訟の一つについて、東京地裁が、ベネッセに対し、慰謝料を含む総額約1,300万円(原告のうち4,027名について一人当たり慰謝料3,000円)の支払を命じる判決を下しました(2023年2月27日)。これは地裁レベルでの判断であり、今後の動向を注視する必要があるものの、本件の一連の動きをみれば、個人情報が漏えいした場合に、関係事業者に深刻な訴訟リスク、ブランド毀損リスク等が発生することは明らかといえるでしょう。 個人情報保護委員会による罰則等も看過できません。 上記のような民事上の損害賠償責任追及のほか、個人情報保護法に違反した場合、個人情報保護委員会により、罰則を含む措置がとられるリスクがあります。 【個人情報保護委員会による罰則等の措置 概要】 企業等関係者に対する報告・立入検査、指導・助言、勧告・命令 1の命令違反について、一年以下の懲役又は100万円以下の罰金 不正な利益を図る目的で個人情報データベース等を提供・盗用したときは、一年以下の懲役又は50万円以下の罰金(個人情報データベース等不正提供罪) ※2・3→違反行為者を罰するほか、法人に対しても一億円以下の罰金 委員会に対する虚偽報告等をした場合、違反行為者及び法人に対し、50万円以下の罰金 このような罰則を含む措置が取られた場合、これに対応するためのコストは極めて大きなものとなるでしょう。 企業が多大な努力の末に積み上げた実績と信頼が、たった一つの個人情報保護法違反により一瞬で失われる― そのような事態を絶対に起こさないためには、企業の皆様において、個人情報の取扱い対する意識改革・個人情報保護法違反の防止策に継続的に取り組むことが必須となります。これまでにご紹介した事例をご参考に、個人情報の取扱いについて点検、評価、改善等を実施し、個人情報の適正な取扱いを確保していただければ幸いです。 事例から学ぶ企業における個人情報保護法違反への実務対応 まとめ それでは、最後に、事例から学ぶ個人情報保護法違反への実務対応をまとめます! 【事例から学ぶ企業における個人情報保護法違反への実務対応 まとめ】 単体では特定の個人を識別できない情報でも、特定の個人を識別できる他の情報(氏名、顔写真等)と容易に照合できる場合は、「個人情報」! ⇒その情報を取り扱うに当たって、「個人情報」に関する規律(利用目的の通知・公表、目的外利用の原則禁止等)を遵守する必要あり! 機微性の高い個人情報を取り扱う場合は、それが「個人データ」に該当する場合はもちろん、「個人データ」に該当しない場合でも、適切な管理が必要! 従業者・委託先による漏えい対策として、以下の措置が有効! 【組織的・人的安全管理措置】 □ 部長級の役職者によるセキュリティ対策状況の定期的確認 □ セキュリティ専門組織の設置 □ セキュリティ専門組織によるセキュリティ対策状況の審査・モニタリングの実施 □ 従業者に対する定期的な研修の実施 □ 個人データの取扱状況等について従業者からの定期的な聞き取りの実施 【物理的・技術的安全管理措置】 □ 個人データを取り扱う業務を入退室管理区域に限定 □ 電子媒体の保管庫の施錠管理 【委託先の監督】 □ 個人情報の取り扱いを伴う業務の委託に関する総点検の実施 □ セキュリティ専門組織による委託先の定期的な監査 □ 委託先に対する研修の実施 企業の皆様の取組みを、BizRisとビズりすが、これからも全力で応援いたします!!! 【個人情報保護法違反に関連するBizRisニュースはコチラ↓↓↓】 ◆個人情報保護委員会 医療機関における個人情報の取扱いについて注意喚起 ◆個人情報保護委員会 尼崎市USBメモリ紛失事案に関する行政上の対応を公表 ◆ベネッセ個人情報漏えい集団訴訟 東京地裁が約1,300万円の支払を命じる判決 【ネコ殿も登場するビズりすのブログはコチラ↓↓↓】 ◆プラれぽは 冬ぞぬくもりまさりける――ビズりす×ネコ殿 ♨年中ホット♨世界のプライバシー保護規制調査レポート(プラれぽ)ランチ会開催です♪ 【ネコ殿】
【目 次】
・手術動画提供事件とは?
・個人情報保護委員会【「医療機関における個人情報の取扱い」に関する注意喚起】のポイント
・尼崎市USBメモリ紛失事件とは?
・尼崎市USBメモリ紛失事件の問題点と改善策のポイント
・ベネッセ個人情報漏えい事件―個人情報保護法が発生した場合のコスト・リスクは深刻です。
・個人情報保護委員会による罰則も看過できません。
個人情報保護法違反事件の発生による膨大なコスト、ブランド毀損リスク
―それは対岸の火事ではありません。
ビズりす:近時、個人情報保護法違反に関連する事件が後を絶たず、個人情報保護委員会による複数の行政上の対応が実施されています。
しかし、これらの事件は対岸の火事ではありません。
従業者の故意・過失による個人データ漏えい、委託先の監督不備、利用目的の通知・公表に関する問題…いずれの事件も、個人情報を取り扱う企業であれば、いつでも起こりうることを原因として発生しています。そして、このような事件が発生した場合、訴訟コストを含む膨大なコストが発生するだけでなく、深刻なブランド毀損リスクも引き起こしかねません。
では、このようなコスト・リスクを回避するために、企業としてどのような対応をすればよいのでしょうか。
このブログでは、近時、個人情報保護委員会が行政上の対応を公表した個人情報保護法違反事件2件(手術動画提供事件/尼崎市USBメモリ紛失事件)を例に、私、ビズりすが、企業における個人情報保護法違反に対する実務対応のポイントを解説していきたいと思います。
手術動画提供事件
手術動画提供事件とは?
医療機器メーカーであるA社は、複数の医療機関から、眼科手術の術野を記録した手術動画(以下「手術動画」)を取得していました。A社としては、手術動画について個人を特定できる情報を含まない状態での取扱いを想定していたものの、実際には、同社内の周知不備のため、一部の手術動画に患者本人の氏名等が記録されていました。一方、手術動画を個人データとして提供していた医療機関の一部について、●第三者提供に関する患者本人の同意を取得していない、●医師が医療機関に無断で提供しているといった事態も判明しました。これが、手術動画提供事件の概要です。
この手術動画提供事件を受け、個人情報保護委員会は、A社及び複数の医療機関に対し、行政上の対応(法144条に基づく指導)を実施しました。
個人情報保護委員会【「医療機関における個人情報の取扱い」に関する注意喚起】のポイント
さらに、個人情報保護委員会は、前述の行政上の対応に加え、【「医療機関における個人情報の取扱い」に関する注意喚起】と題する文書を公開しました。その主な内容は以下のとおりです。
→手術動画の撮影に当たって、利用目的の特定・通知・公表等が必要(法17、21条。手術動画を第三者に提供することを想定している場合には、その旨が明確に分かるような利用目的を本人に通知又は公表することが必要)
→あらかじめ本人の同意を得ずに、特定された利用目的の達成に必要な範囲を超えて手術動画を取り扱ってはならない(法18条。目的外利用の原則禁止)。
→手術動画の第三者提供に当たって、原則本人の同意が必要(法27条1項)
→個人情報等の取扱いに係る規律の整備、組織体制の整備・従業者に対する監督等、必要かつ適切な安全管理措置を講じる必要(法23条、24条)。
⇔なお、手術動画が「個人データ」に該当しない場合であっても、手術動画の機微性を踏まえた適切な管理を行うことが重要
この注意喚起は主に手術動画に関するものですが、一般的に個人情報を取り扱う際に注意すべき点が多く含まれており、非常に参考になります。 では、1、2を順番に説明します。
まず、1について。
身体の一部を撮影した手術動画のように、単体では特定の個人を識別できない情報は数多くあります。生年月日、住所、クレジットカード番号もその例です。しかし、このような情報についても、特定の個人を識別できる他の情報(氏名、顔写真等)と容易に照合できる場合は、「個人情報」に該当します。したがって、当該情報を取り扱うに当たっては、個人情報保護法の「個人情報」に関する規律(利用目的の通知・公表、目的外利用の原則禁止等)を遵守しなければならないということになります。
次に、2について。
個人情報保護法は、その「個人情報」が「個人データ」にも該当する場合、「個人情報」に関する規律に加え、「個人データ」に関する規律(安全管理措置の実施義務、第三者提供の制限等)を遵守すべきことを定めています。
ここで、「個人データ」とは、「個人情報データベース等(特定の個人を検索できるように体系的に管理されている個人情報を含む情報の集合物)を構成する個人情報」をいいます。つまり、「個人データ」は「個人情報」の一種といえるのですが、法は、単なる「個人情報」に比べて個人の権利利益を侵害する可能性が高いことから、「個人データ」について「個人情報」よりも多くの義務を課しているのです。
実は、今回の手術動画については、「個人データ」に該当するものとそうでないものがありました。「個人データ」に該当する手術動画については、「個人データ」に関する規律を遵守すべきことは当然といえますが、注意喚起では、手術動画の機微性に着目して、(「個人データと同様の安全管理措置の実施や第三者提供制限への対応を実施することが必要」とまでは明言しないものの)「個人データ」に該当しない手術動画についても適切に管理することが重要だと指摘しています。
実務対応の観点からみますと、機微性の高い個人情報を取り扱う場合は、当該情報が「個人情報」か「個人データ」であるか否かを問わず、適切な安全管理措置を実施し、第三者提供制限も遵守することが望ましく、かつ、現実的な対応だと考えられます。
【個人情報保護委員会の注意喚起のポイント】
⇒その情報を取り扱うに当たって、「個人情報」に関する規律(利用目的の通知・公表、目的外利用の原則禁止等)を遵守する必要あり!
尼崎市USBメモリ紛失事件
尼崎市USBメモリ紛失事件とは?
尼崎市は、住民税非課税世帯等に対する臨時特別給付金支給事務に関する保有個人情報の取扱い(以下「本件業務」)を、X社に委託していましたが、同社はさらに、本件業務をY社に委託していました。Y社の従業員が、データ移管作業のため、尼崎市全住民の住民基本台帳の情報(約46万件)等の個人情報が保存されたUSBメモリ(以下「本件USBメモリ」)を尼崎市市政情報センターから持ち出したのですが、作業完了後に飲食店に立ち寄り、帰宅途中に本件USBメモリを入れたかばんを紛失してしまいました。これが、尼崎市USBメモリ紛失事件の概要です。
尼崎市USBメモリ紛失事件の問題点と改善策のポイント
尼崎市USBメモリ紛失事件は、直接的には、従業者の不注意による紛失を原因として発生していますが、個人情報保護委員会による行政上の対応を通じ、X社とY社にも多くの問題点があることが明らかになっています。
◆ なぜ、従業者の不注意による紛失を防ぐことができなかったのか―
そして、
◆ どうすればこれを防ぐことができたのか―
従業者の不注意による個人データ漏えいは、どのような企業においても起こり得る事態です。この事件におけるX社とY社の問題点、そして問題点に対する改善策を検討することで重要な示唆が得られます。
以下の表で、本件の問題点と改善策のポイントをまとめました。
・セキュリティ専門組織を新設し、継続的にセキュリティ対策状況の妥当性を審査・モニタリングする体制を構築
・グループ企業の全従業者及び委託先に対して、教育研修を実施(今後も定期的に実施予定)
・新設したセキュリティ専門組織が個人データの取扱いの委託に関する継続的なモニタリングを実施
・年に一度、全ての従業者に対して、情報セキュリティ研修を実施
この表からは、X社、Y社いずれにおいても、規律に従った運用・安全管理措置を行うための組織的安全管理措置、従業者に個人データの適正な取扱いを周知徹底するための人的安全管理措置、そして、委託業務に係る個人データの取扱いを管理するための委託先の監督が不十分であったことがうかがえます。
これらの問題点に対して両社が行った改善策は、従業者・委託先による漏えいについて、企業が実施すべき対策のポイントといえるでしょう。以下の表を参考に、自社にとって必要な対策は何かを今一度ご確認ください。
【尼崎市USBメモリ紛失事件から学ぶ 従業者・委託先による漏えい対策のポイント】
□ 部長級の役職者によるセキュリティ対策状況の定期的確認
□ セキュリティ専門組織の設置
□ セキュリティ専門組織によるセキュリティ対策状況の審査・モニタリングの実施
□ 従業者に対する定期的な研修の実施
□ 個人データの取扱状況等について従業者からの定期的な聞き取りの実施
□ 個人データを取り扱う業務を入退室管理区域に限定
□ 電子媒体の保管庫の施錠管理>
□ 個人情報の取り扱いを伴う業務の委託に関する総点検の実施
□ セキュリティ専門組織による委託先の定期的な監査
□ 委託先に対する研修の実施
個人情報保護法違反が発生した場合の企業のコスト・リスク
ベネッセ個人情報漏えい事件―個人情報保護法が発生した場合のコスト・リスクは深刻です。
個人情報保護法違反事件が発生した場合、その事件に関連する企業において、訴訟コストを含む膨大なコストや深刻なブランド毀損リスクが発生する可能性があります。
例えば、2014年に発生したベネッセ個人情報漏えい事件。
これは、ベネッセの子会社の業務委託先の従業員が、ベネッセの顧客の個人情報(氏名、性別、住所、電話番号等)約2,900万件を不正に持ち出し、複数の名簿業者に売却した事件です。この件について、ベネッセは、漏えいが確認された顧客に対し、お詫びの品として500円分の金券を交付しましたが、不法行為に基づく慰謝料等の支払を求める訴訟が複数の裁判所に提起される事態となっています。
直近では、現在提起されている集団訴訟の一つについて、東京地裁が、ベネッセに対し、慰謝料を含む総額約1,300万円(原告のうち4,027名について一人当たり慰謝料3,000円)の支払を命じる判決を下しました(2023年2月27日)。これは地裁レベルでの判断であり、今後の動向を注視する必要があるものの、本件の一連の動きをみれば、個人情報が漏えいした場合に、関係事業者に深刻な訴訟リスク、ブランド毀損リスク等が発生することは明らかといえるでしょう。
個人情報保護委員会による罰則等も看過できません。
上記のような民事上の損害賠償責任追及のほか、個人情報保護法に違反した場合、個人情報保護委員会により、罰則を含む措置がとられるリスクがあります。
【個人情報保護委員会による罰則等の措置 概要】
※2・3→違反行為者を罰するほか、法人に対しても一億円以下の罰金
このような罰則を含む措置が取られた場合、これに対応するためのコストは極めて大きなものとなるでしょう。
企業が多大な努力の末に積み上げた実績と信頼が、たった一つの個人情報保護法違反により一瞬で失われる―
そのような事態を絶対に起こさないためには、企業の皆様において、個人情報の取扱い対する意識改革・個人情報保護法違反の防止策に継続的に取り組むことが必須となります。これまでにご紹介した事例をご参考に、個人情報の取扱いについて点検、評価、改善等を実施し、個人情報の適正な取扱いを確保していただければ幸いです。
事例から学ぶ企業における個人情報保護法違反への実務対応 まとめ
それでは、最後に、事例から学ぶ個人情報保護法違反への実務対応をまとめます!
【事例から学ぶ企業における個人情報保護法違反への実務対応 まとめ】
⇒その情報を取り扱うに当たって、「個人情報」に関する規律(利用目的の通知・公表、目的外利用の原則禁止等)を遵守する必要あり!
【組織的・人的安全管理措置】
□ 部長級の役職者によるセキュリティ対策状況の定期的確認
□ セキュリティ専門組織の設置
□ セキュリティ専門組織によるセキュリティ対策状況の審査・モニタリングの実施
□ 従業者に対する定期的な研修の実施
□ 個人データの取扱状況等について従業者からの定期的な聞き取りの実施
【物理的・技術的安全管理措置】
□ 個人データを取り扱う業務を入退室管理区域に限定
□ 電子媒体の保管庫の施錠管理
【委託先の監督】
□ 個人情報の取り扱いを伴う業務の委託に関する総点検の実施
□ セキュリティ専門組織による委託先の定期的な監査
□ 委託先に対する研修の実施
企業の皆様の取組みを、BizRisとビズりすが、これからも全力で応援いたします!!!
【個人情報保護法違反に関連するBizRisニュースはコチラ↓↓↓】◆個人情報保護委員会 医療機関における個人情報の取扱いについて注意喚起
◆個人情報保護委員会 尼崎市USBメモリ紛失事案に関する行政上の対応を公表
◆ベネッセ個人情報漏えい集団訴訟 東京地裁が約1,300万円の支払を命じる判決
【ネコ殿も登場するビズりすのブログはコチラ↓↓↓】
◆プラれぽは 冬ぞぬくもりまさりける――ビズりす×ネコ殿 ♨年中ホット♨世界のプライバシー保護規制調査レポート(プラれぽ)ランチ会開催です♪
【ネコ殿】