個人情報漏洩の危機！損害賠償等のリスクについてEC企業がとるべき対策とは？

近年、個人情報漏洩が増加傾向にあり、多くの企業や組織がそのリスクに晒されています。情報化社会の進展とともに、個人情報の取り扱いが一層複雑化している中、適切な対策を講じることが求められています。今回は事業者側が気を付けるべき点を具体策とともに解説します。

個人情報漏洩の現状について

個人情報漏洩とは、企業が保有する顧客や従業員などの個人情報が、企業の管理外に流出してしまうことを指します。個人情報保護法において「個人情報」とは、生存する個人に関する情報で、特定の個人を識別できる情報をいい、具体的には、氏名や正面から撮影した顔写真などは、単体で個人情報に該当すると考えられます。そして、他の情報と容易に照合することができ、それにより特定の個人を識別することができるものも含まれます。例えば、生年月日、住所、電話番号、クレジットカード情報など、氏名等の他の情報と容易に照合することができ、それにより特定の個人を識別することができるものは、個人情報となる場合があります。また、メールアドレスについても、ユーザー名やドメイン名から特定の個人を識別することができる場合は、それ自体が単体で、個人情報に該当します。個人情報は、個人情報保護法により厳格に保護が求められており、個人情報取扱事業者は、同法に基づく義務を遵守しなければなりません。また個人情報が漏洩することで、漏洩被害者である本人はプライバシーが侵害され、経済的な損失や精神的な苦痛を被る可能性があります。

個人情報漏洩のケースとしては、企業自身の顧客（個人）のデータを漏洩してしまう場合や、例えばダイレクトメール発送業務を受託した場合など、顧客である企業から預かった個人情報を漏洩してしまうといった場合も考えられます。また逆に、上記例でいうと、ダイレクトメール発送業務を他社に委託した場合、当該業者に預けた個人情報を当該業者が漏洩してしまう、というケースも考えられます。

個人情報漏洩件数の増加

情報漏洩の件数は年々増加しており、これはクラウドサービスの普及などのデジタル化の進行が一因となっています。具体的には、不正アクセスといったサイバー攻撃、従業員による故意の持ち出し、ミスなどが個人情報漏洩の主な原因として挙げられます。また、デジタル化の進展により企業間での情報交換も頻繁になり、業務委託先や提携先からの情報漏洩のリスクも高まっています。

デジタル化による新たなリスク

デジタル化が進むことで新たなリスクが生じています。例えば、クラウドサービスの利用が広がる一方で、それに伴うセキュリティリスクが増加しています。クラウドサービスは、自社でシステム環境を持たなくても利用できるという点で高い利便性がありますが、インターネットはオープンな環境で全世界につながっているという点や、サービスそのもののセキュリティ対策はサービス提供企業に依存する点等から、情報漏洩リスクが高まり、また万一情報漏洩が起きてしまった際の損害が大きくなりやすいため注意が必要です。クラウドサービスを導入する際には、サービス提供企業の利用規約等をよく確認し、セキュリティ対策レベルや保証してもらえる範囲等を把握し、導入の是非を検討することが重要です。また、サービスの利用にあたっては、社内において、ハード面からはOSやアプリケーションの定期的なアップデートを行ったり、セキュリティソフトを導入すること等、ソフト面からは、情報セキュリティに関する従業員教育を継続的に行うなどして、セキュリティ対策を講じることが大切です。

情報漏洩の事例

個人情報漏洩として多くのケースが報告されています。漏洩の要因としては、大きくは外部要因と内部要因に分けられますが、具体的には「ウイルス感染・不正アクセス」「誤表示・誤送信」「不正持ち出し・盗難」「紛失・誤廃棄」が代表的な要因として知られています。

例えば、ある企業では、管理するデータベースから多数の個人情報が社外に不正に持ち出されていたために、被害に遭った顧客ら数千人が同社や関連会社に損害賠償を求める訴訟を提起しました。また、電子メールの誤送信による個人情報の漏洩も一般的な事例であり、毎年一定程度の事例が報告されています。特に、大量の顧客情報が含まれている場合、その損害は計り知れません。さらに近年では、業種、企業規模を問わず、サイバー攻撃による情報漏洩事件が多発しています。こうした事実から、個人情報漏洩の防止策と、漏洩が発生した際の初動対応の重要性が強く認識されています。

個人情報漏洩の影響とリスク

個人情報の漏洩が企業にとって重大な影響をもたらすことがあります。

経済的損失～損害賠償等

まず、個人情報漏洩の損害賠償として個人情報漏洩被害当事者である本人（顧客（個人）や従業員）に対して多額の賠償金を支払う必要が生じることがあります。これに加えて、漏洩が発覚した際の初動対応費用や、セキュリティ対策の強化にかかる追加費用も無視できません。また、法律顧問や専門家の相談費用も負担となります。例えば上記の事例においては、当該訴訟において後に裁判所から命じられた損害賠償のみならず、漏洩発生時には顧客への補償、おわび文書の発送や事件の調査、セキュリティ対策などに１期のみで数百億円の特別損失を計上することとなり、また会員数も減少するなど、企業の信頼失墜や経済的損失が大きいものとなってしまいました。

また、例えば顧客（企業）から預かった個人情報を漏洩してしまった場合には、当該顧客（企業）から損害賠償を請求される可能性があります。この損害には、例えば上記で例に挙げたような、当該企業が負うこととなる特別損失分も全て含むことも考えられますので、請求額が多額になるリスクがあります。

企業に対する法的制裁

個人情報の漏洩が発生した場合、企業は法的な制裁を受ける可能性があります。日本では個人情報保護法が厳格化の方向で改正されており、違反した企業には厳しい罰則が科される場合があります。例えば、漏洩が発生した際に迅速に個人情報保護委員会へ報告をしなければならない義務があり、これを怠ると罰金が課されることがあります。なお、違反を犯した従業員にも罰則が適用される場合もあります。

信頼失墜とその影響

個人情報が漏洩すると、企業の信頼は大きく失われます。信頼失墜は、顧客からの評価が低下し、企業のブランドイメージや信用を大きく損なうことになります。特にSNSや口コミサイトを通じて迅速に情報が拡散される現代では、個人情報漏洩のニュースは瞬時に広がります。そのため、企業は迅速かつ適切な対応を取ることが求められます。個人情報の漏洩が発生した際の対応方法を事前に定め、迅速に行動することで、信頼失墜の悪影響を最小限に抑えることが可能です。

基本的な個人情報保護対策

個人情報の漏洩を防ぐためには、企業が基本的な個人情報保護対策を講じることが必要ですが、まず第一に、……

◆WRITER

弁護士 小野 智博
弁護士法人ファースト＆タンデムスプリント法律事務所　代表弁護士

企業の海外展開支援を得意とし、日本語・英語の契約をレビューする「契約審査サービス」を提供している。
また、ECビジネス・Web 通販事業の法務を強みとし、EC事業立上げ・利用規約等作成・規制対応・販売促進・越境ECなどを一貫して支援する「EC・通販法務サービス」を運営している。

著書「60分でわかる！ECビジネスのための法律 超入門」

法務のノウハウと課題可決のヒントが詰まっている資料を無料プレゼント！

電子署名や契約書作成・レビューなど効率化したい法務担当者がダウンロードした資料をまとめました。
全て無料でダウンロードできるおすすめの資料を使って生産性を上げませんか？