個人情報漏洩で罰金1億円は現実になるか?考えられる2つの事例から企業の責任を問う
「もし自社が個人情報を流出させてしまったら…」
企業のコンプライアンス担当者であれば、一度は考えたことがあるだろう。2022年4月に施行された改正個人情報保護法により、企業が個人情報保護委員会からの命令に違反した場合などに科される罰金の上限が、最大1億円に引き上げられた。これは、単なる脅し文句ではない。企業の個人情報に対する姿勢が、これまで以上に厳しく問われる時代になったことの証左だ。
では、一体どのような状況で「罰金1億円」という最悪のシナリオが現実のものとなるのだろうか。まだ国内で最高額の罰金が科された事例はないが、考えられる具体的なケースをもとに、企業が直面するリスクと取るべき対策を解説する。
なぜ罰金は1億円に?法律が求める企業の重い責任
罰金が最大1億円に引き上げられた背景には、個人情報の保護をより一層強化するという国の強い意志がある。特に、以下の2つのケースが重罰化の対象となっている。
-
個人情報保護委員会からの「命令」への違反
重大な個人情報の漏洩などが発生し、個人情報保護委員会が企業に対して改善を「勧告」しても従わない場合、より強制力のある「命令」が出される。この命令に正当な理由なく違反した場合、法人には最大1億円の罰金が科される可能性がある。
-
個人情報データベース等の「不正提供」
従業員などが、不正な利益を得る目的で顧客リストなどの個人情報データベースを第三者に提供・盗用した場合、行為者本人だけでなく、法人に対しても同様に最大1億円の罰金が科される可能性がある。
つまり、単に情報を漏洩させたという事実だけでなく、その後の対応の不実さや、組織的な管理体制の不備、悪質な隠蔽工作などが、極めて重い罰則につながるのだ。
【事例1】脆弱性を放置したECサイト、サイバー攻撃で大規模漏洩の末に…
大手ECサイト「A社」は、数百万人の顧客情報を保有していた。以前からシステム担当者は、利用しているソフトウェアに重大な脆弱性があることを認識し、経営陣に改修の必要性を訴えていた。しかし、経営陣はコストを理由に対策を先延ばしにしていた。
ある日、その脆弱性を突かれ、海外のハッカー集団によるサイバー攻撃を受ける。氏名、住所、電話番号に加え、約50万人分のクレジットカード情報を含む大規模な個人情報が流出。しかし、A社は事態の公表を躊躇し、社内調査に時間を費やした結果、個人情報保護委員会への報告と顧客への通知が大幅に遅れてしまう。
ようやく事態を公表したものの、問い合わせ窓口はパンクし、顧客からの不信感は募る一方。個人情報保護委員会は、A社の安全管理措置義務違反と報告義務違反を問題視し、具体的な再発防止策を講じるよう「勧告」。しかし、A社が提出した改善報告書は具体性に欠け、実効性のある対策も遅々として進まなかった。
業を煮やした委員会は、ついにA社に対して期限を定めた改善「命令」を発出。それでもなお、A社が命令で指定されたシステムの抜本的な改修や、第三者機関による監査の受け入れといった具体的な措置を怠った場合、委員会の命令違反と判断され、最大1億円の罰金が科されるというシナリオが現実味を帯びてくる。
【事例2】従業員の内部不正、発覚を恐れた会社は虚偽報告の泥沼へ
中堅の金融サービス会社「B社」では、営業成績に伸び悩んでいた従業員Xが、数万件の顧客リストを不正に持ち出し、名簿業者に売却していた。B社では、従業員のアクセス権限の管理が甘く、誰でも重要な顧客情報にアクセスできる状態だった。
しばらくして、顧客から「不審な営業電話が増えた」とのクレームが相次ぎ、内部調査によってXの犯行が発覚。しかし、監督官庁からの行政処分と企業イメージの失墜を恐れた経営陣は、この事実を隠蔽することを決断する。
個人情報保護委員会から報告を求められた際、B社は「原因不明のシステムエラーにより一部情報が破損した可能性がある」と虚偽の報告を行う。しかし、その後の調査で内部不正の事実が明るみに出る。
このケースでは、従業員Xによる個人情報データベース等の不正提供に加え、会社ぐるみでの悪質な虚偽報告が行われている。個人情報保護委員会からの改善命令に従わないどころか、調査そのものを欺こうとしたB社の行為は極めて悪質と判断されるだろう。このような場合、法人に対して最高額に近い罰金が科される可能性は十分に考えられる。
企業は「対岸の火事」ではなく「明日は我が身」と捉えるべき
個人情報の漏洩は、もはや単なる「ミス」では済まされない。企業の社会的責任が厳しく問われる重大なインシデントである。最悪の事態を避けるためにも、経営層がリーダーシップを発揮し、全社を挙げて情報管理体制の構築と見直しに取り組むことが不可欠だ。
次号予告: 題目: ITセキュリティは時系列で考えてください!