マイナンバー漏洩による企業の訴訟リスクと対策

1 そもそも企業情報とは？
- 1.1 １．判例で見る情報漏洩による損害賠償請求
2 情報漏洩を起こしたら、誰の責任か？
3 情報漏洩によって企業に生じる損失は？
- 3.1 　１．法的責任から生じるもの
- 3.2 ２．法的責任とは関係なく生じるもの
4 ２．マイナンバー漏洩時の訴訟リスク
- 4.1 ①民事責任、特に訴訟になった場合
- 4.2 ②刑事責任
5 ３．訴訟トラブルの対応方法
- 5.1 情報漏洩を防ぐためには
6 ４．まとめ
- 6.1 弁護士法人法律事務所瀬合パートナーズ
- 6.2 最新記事 by 弁護士法人法律事務所瀬合パートナーズ (全て見る)

そもそも企業情報とは？

①　経営情報
（例）営業情報、財務情報、人事・労務情報・・・　

②　コンプライアンス違反情報
（例）社員や経営陣が、独禁法違反、輸出関連法規違反、
　　公務員に対する賄賂や便宜供与事件等に関与していた
　
③　営業秘密・知的財産に関する情報
（例）顧客名簿、新製品の設計図、特許権・商標権等

１．判例で見る情報漏洩による損害賠償請求

【裁判例①】
市の住民基本台帳を利用した乳幼児検診システムの開発を民間業者に委託したところ、再々委託先のアルバイト従業員が住民２１万人分の台帳をコピーして名簿業者に渡したケース

プライバシー権侵害として、１人あたり１万円の慰謝料と弁護士費用５０００円の損害賠償を認めた（大阪高裁平成１３年１２月２５日判決）

【裁判例②】
大学で開催された中国国家主席の講演会の参加名簿を、参加者の同意を得ないまま警視庁に提出したケース

出席者に具体的な不利益は発生しておらず、また目的の正当性、開示の有用性、必要性が認められるとしながらも、１人あたり５０００円の慰謝料を認めた（東京高裁平成１６年３月２３日判決）

【裁判例③】
ＩＳＰサービス加入者の個人情報（住所、氏名、電話番号、電子メールアドレス等）が漏洩したケース

通信事業者のリモートアクセス管理が、①ユーザー名とパスワードの認証から外部アクセス可能、②ユーザー名とパスワードが同文字列で複数人でアカウント共有、③定期的なパスワード等の削除・変更をしていないことが注意義務違反であるとして、慰謝料として１人あたり５０００円および弁護士費用１０００円の計６０００円の損害賠償が認められた（大阪地裁平成１８年５月１９日判決）

【裁判例④】
北海道警察の巡査らによって現行犯逮捕された少年の捜査関係文書が、同巡査の私有パソコンからインターネットを通じて外部流出したケース（コンピュータウィルス感染による個人情報漏洩）

プライバシー権が侵害されたとして、４０万円の損害賠償が認められた（札幌地裁平成１７年４月２８日判決）

【裁判例⑤】
市が、情報公開条例に基づき住民投票条例の制定を求めて署名を提出した市民の名簿（氏名、住所、生年月日）を公開したケース

政治的信条に関わるセンシティブ性の高い情報を含んでおり、情報を公開された個人が蒙る不利益の程度が重大であるとして、一人あたり５万円の損害賠償を認めた（松山地裁平成１５年１０月３日判決）

情報漏洩を起こしたら、誰の責任か？

１．企業の内部者による漏洩の場合

・漏洩者自身
・企業自体も民法７１５条による使用者責任や契約違反、個人情報保護法第２１条に基づく従業者に
　対する監督責任違反を問われるおそれがある

２．企業の外部者による漏洩の場合

・漏洩者自身
・企業自体も民法７１５条による使用者責任や契約違反、個人情報保護法第２０条に基づく安全管理
　措置義務違反、同法第２２条に基づく委託先の監督義務違反を問われるおそれがある
・真っ先に責任を問われるべきは、漏洩者自身だが・・・
・実際には、漏洩者が特定できるケースは稀
　仮に漏洩者を特定できたとしても、その者に資力がない・・・　
・企業に対して賠償責任が追及されるケースがほとんど！

企業は常に責任を問われることになる！

情報漏洩によって企業に生じる損失は？

　１．法的責任から生じるもの

①　民事上の責任
②　行政上の責任
③　刑事上の責任　

①民事上の責任

・一人あたりの見舞金や賠償金額は小さいものの・・・

・裁判例では、住民基本台帳流出事件において、一人あたり１万５０００円の損害賠償が認められた

・この事件では原告は３人だったが、もし情報が流出した２２万人全員が裁判をしていたら、３３億
　円もの損害賠償となった！

・裁判にならなくても、自主的に見舞金や商品券を配ったりすることということもよく行われる
　が・・・

・三菱ＵＦＪ証券個人情報漏洩事件（２００９年）では、情報漏洩した約５万人に対して、一人あた
　り１万円の商品券を配布したとのこと（総額５億円！）

・コンビニのカード会員情報（１１５万人分）が流出したケースでは、一人あたり５００円の見舞金
　が支払われた（総額５億７５００万円！）

・ＡＤＳＬサービスで個人情報（約４５１万人分）が流出したケースで、一人あたり５００円の見舞
　金が支払われた（総額２２億５５００万円！）

①民事上の責任は億単位にのぼることも！

一度に大量の個人情報が流出すると、一人あたりの賠償金額は少額でも、全体額は莫大な額に！

②行政上の責任

個人情報保護法に基づき、その企業の行う事業を行う所管する大臣等から同法違反の行為を是正するための必要な措置の勧告や命令を受けたり、業務停止命令を受けたり、免許をはく奪されたりするおそれ

③刑事上の責任

・個人情報保護法に基づき、所管の大臣等からの命令に違反した場合、罰金や懲役を科せられることも※近時、個人情報保護法改正の動きも

・改正案では、５０００人超の個人情報を扱う企業と委託先の従業員や元従業員が、業務で知り得た個人データを不正な利用目的で第三者に提供した場合、１年以下の懲役または５０万円以下の罰金が課せられる

２．法的責任とは関係なく生じるもの

謝罪広告、マスコミ対応、詫び状の作成・送付、原因究明にかかるコスト、社会的信用の毀損、企業イメージのダウン・・

⇒重要顧客との取引停止・解約、売上高の低下、社員間の不安による士気低下等、経営上の損害も生じるおそれ

つまり・・・

情報漏洩は、企業の存続にも関わる重要な問題である！

２．マイナンバー漏洩時の訴訟リスク

・基本的には、企業情報の漏洩と同じ損害（①民事責任、②刑事責任、③行政責任、④経営上の損害）が生じるおそれ

・中小企業の場合は？

①民事責任、特に訴訟になった場合

損害賠償金の他にも・・・
・時間（証拠収集、打ち合わせ）
・労力（社長、マイナンバー担当者、法務担当者）
・経済的負担（訴訟費用）

（例）
・「特定個人情報保護委員会」の是正にむけた勧告に従わない場合や検査忌避をした場合には、罰則
　が適用されることがある

・情報漏洩発生時には、情報を漏洩させた個人のみではなく、企業に対しても罰則が適用される両罰
　規定が設けられている

②刑事責任

・特に、②刑事責任（罰則）は、個人情報保護法よりも強化されている！

（例）正当な理由なく特定個人情報ファイルを提供するような場合に、「４年以下の懲役もしくは２００万円以下の罰金、または併科」が科せられることがある

３．訴訟トラブルの対応方法

・事態の把握
　漏洩情報の数・対象、原因を素早く把握する！

・証拠の収集
　日常の情報漏洩対策の証拠を残しておく
　証拠を素早く収集し、その散逸を防ぐ

・できる限り早く弁護士へ相談を

情報漏洩を防ぐためには

・責任者による不定期の抜き打ち監査
　
・事務取扱担当者に対して、１年に１回、又は退職の際に誓約書を提出してもらう

・定期的に特定個人情報取扱規程を見直すことにより、安全管理面及び業務フローの見直しを

４．まとめ

・情報が漏洩した場合、企業は常に責任を問われる

・民事上の責任は億単位にのぼることも！

・情報漏洩は企業の存続にもかかわる重要な問題

・マイナンバーは、個人情報保護法よりも罰則が厳しくなっている！

・定期的な情報漏洩対策を！

この記事を書いた人
最新の記事

弁護士法人法律事務所瀬合パートナーズ

顧問弁護士とは、企業の「強力な参謀役」です。お悩みのことがあれば、どのようなことでもまずはご相談いただき、もし当事務所が解決するのに適さない案件であれば、解決するのに適切な専門家をご紹介させていただきたいと考えております。経営者の方々のお悩みを少しでも軽くし、経営に集中していただくことで、会社を成功させていっていただきたいと思います。