個人情報漏洩(えい)による損害賠償の金額は?
3つの事例をもとに解説
企業が、取り扱っている個人情報を漏洩(えい)すると、損害賠償の支払いを命じられる場合があります。支払いを命じられた場合、金額がいくらになるのか、気になる方もいるでしょう。
この記事では、個人情報漏洩(えい)による損害賠償について、相場や、金額を決める要因などについて解説します。実際に損害賠償が発生した事例についてもご紹介しますので、参考にしてください。
個人情報が漏洩(えい)したら損害賠償を払わなければならない?
企業が情報漏洩(えい)を起こした場合、民事上の責任として、損害賠償の支払いを命じられる場合があります。さらに、個人情報保護法に触れるような悪質なケースでは、懲役刑や罰金刑の対象となるでしょう。
以下では、個人情報漏洩(えい)に関する民事上の責任と刑事上の責任について、それぞれ解説します。
情報漏洩(えい)と個人情報保護法に関しては、以下の記事もご参照ください。
民事上の責任
企業が情報漏洩(えい)を起こした場合、民事上の責任を問われ、損害賠償の支払いを命じられるケースもあります。
そもそも損害賠償請求は、大きく以下の2種類に分けられます。
-
債務不履行による損害賠償
- ○ 契約に基づいて負う義務を果たさなかったことで生じた損害の賠償
-
不法行為による損害賠償
- ○ 加害者が被害者の権利や利益を違法に侵害したことにより生じた損害の賠償
情報漏洩(えい)の場合は一般に「不法行為による損害賠償」にあたります。たとえ不本意だったとしても、個人情報を流出させ、被害者の権利や利益を侵害してしまっているためです。
具体的な損害賠償額に関しては、のちほど解説します。
刑事上の責任
個人情報漏洩(えい)のなかでも、個人情報保護法に違反するケースの場合は、刑事上の責任を問われることがあります。
具体的には、個人情報保護委員会の指示・命令に従わなかったり、自分や第三者が不正な利益を得るために個人情報を漏洩(えい)した場合などが当てはまります。
刑事罰が適用されるケースについて、より詳しく見てみましょう。
個人情報保護委員会の調査に応じなかった場合
企業が個人情報を不適切に取り扱っていることが疑われる場合、個人情報保護委員会は企業に対して立入調査を実施し、報告を求めます。
仮に立入調査や質問に応じなかったり、関連する資料を提出しなかったりすると、50万円以下の罰金を支払わなければなりません(個人情報保護法182条)。
また、個人情報保護委員会に対して虚偽の報告をした場合や、立入調査の拒否や妨害をした場合は、同額の罰金刑が適用されます(同条)。
個人情報保護委員会の命令に違反した場合
個人情報保護法委員会は必要に応じて、企業に違反行為をやめるよう命令できます。もし企業が命令に違反した場合は、以下の刑罰が適用されます(個人情報保護法178条)。
- 1年以下の懲役
- 100万円以下の罰金
上記に加えて、個人情報保護委員会は、企業が命令に違反した旨を公表できます。
不正な利益を得るために個人情報データベース等を提供・盗用した場合
企業やその従業員(退職者を含む)が、業務で取り扱った個人情報データベース等を、自身や第三者が不正な利益を得るために提供・盗用した場合、以下の刑罰が科せられます(個人情報保護法179条)。
- 1年以下の懲役
- 50万円以下の罰金
「個人情報データベース等」とは、以下のいずれかに該当する、個人情報を含む情報の集合物です(個人情報保護法16条)。
- 特定の個人情報をコンピュータを用いて検索できるように体系的に構成したもの
- 個人情報を一定の規則に従って整理し、特定の個人情報を簡単に検索できるよう、目次・索引・符号などを付けて体系的に構成したもの
具体例として、メールアプリに保管されたアドレス帳や、企業の顧客リストなどが挙げられます。
また、企業の従業員等(代表者や代理人、従業員など)が、業務中に個人情報データベースを不正に提供した場合は、企業に対しても1億円以下の罰金 が科せられます(個人情報保護法179条)。
個人情報の漏洩(えい)による損害賠償金額の相場
個人情報が漏洩(えい)した場合に企業が支払う損害賠償金額は、1人あたり数千〜数万円が相場です。件数が多いケースでは、損害賠償金の総額が数千万円以上になる場合もあります。
ただし、実際の損害賠償金額はケースによって異なります。
以下は、2024年の日本ネットワークセキュリティ協会の調査による、ケースごとの損害賠償金額の相場をまとめたものです。
| ケース | 損害賠償金額の相場 |
|---|---|
| 自社で管理する個人情報が漏洩(えい)した場合 | 被害者1人あたり28,308円 |
| 他社から管理委託を受けている個人情報が漏洩(えい)した場合 | 数千万~数億円 |
| クレジットカードの情報が漏洩(えい)した場合 | 漏洩(えい)したカード1枚あたり約10万円 |
| 他社の機密情報の漏えいの場合 | 数億円 |
上記のとおり、他社から管理業務を受けた個人情報や機密情報が漏洩(えい)した場合は、損害賠償金額が高くなる傾向にあります。
個人情報の漏洩(えい)による損害賠償金額を決める要因
個人情報漏洩(えい)による損害賠償金額は、次の要素によって決まります。
- 漏洩(えい)した情報の内容
- 社会的責任の度合の重さ
- 情報漏洩(えい)後の対応
- 二次被害の有無
秘匿性の高い情報が漏洩(えい)したり、漏洩(えい)後の対応を怠ったりすると、損害賠償金額は高くなる可能性があるでしょう。
また、大企業や公的機関など、社会への影響力が大きい組織が事故を起こしたり、漏洩(えい)した情報が悪用されたりした場合も、賠償金の額が膨らむ傾向にあります。
漏洩(えい)した情報の内容
content-03-01>損害賠償金額を決める要因の一つは、漏洩(えい)した情報の内容です。
氏名や住所、メールアドレスなど、一般的な連絡先に関する情報のみが漏洩(えい)したケースは、損害賠償金額が低く済む傾向にあります。
しかし、「要配慮個人情報」にあたる情報が漏洩(えい)した場合、賠償金額が高額になる可能性があります。要配慮個人情報とは、人種や病歴、犯罪歴といった、第三者に知られると差別や偏見といった不利益を被るリスクがある情報です。
また、口座番号やクレジットカード番号など、金融・決済に関わる情報が漏洩(えい)した場合も、損害賠償金額が高くなるでしょう。これらの情報は、第三者に悪用されると経済的損失が生じるためです。
社会的責任の度合の重さ
損害賠償金額は、情報漏洩(えい)した組織の「社会的責任の度合い」にも左右されることがあります。
社会的責任とは、一般的には、組織が活動するうえで、環境や人権、健康、安全などに対して責任のある行動をとり、必要に応じて説明を行うことをいいます。
以下が、社会的責任の度合いが高いと一般的に判断される組織です。
-
個人情報の適正な取扱いが求められる分野・業種
- ○ 医療
- ○ 金融・信用
- ○ 情報通信
- 公的機関
- 知名度の高い大企業
このような組織が個人情報を漏洩した場合、損害賠償金額が高くなることがあります。
情報漏洩(えい)後の対応
情報漏洩(えい)後の対応によっても、損害賠償金額は変わってきます。情報漏洩(えい)への対応が遅れると被害が拡大し、二次被害が発生する可能性が高まるためです。
例えば、被害者にすみやかに連絡・謝罪したり、お詫びの品を渡したりしている場合は、賠償金額が低くなる傾向にあります。
反対に、第三者から情報漏洩(えい)を指摘されても放置したままであったり、対応が遅かったりする場合は、損害賠償金額が高くなる可能背があるでしょう。
二次被害の有無
漏洩(えい)した個人情報が第三者に悪用される「二次被害」が出ている場合も、損害賠償金額が高くなります。
情報漏洩(えい)による二次被害の例は、以下のとおりです。
- クレジットカードの不正利用
- ポイントサービス内のポイントの不正利用
- 不審なメール・詐欺メールの一斉送信
クレジットカードやポイントの不正利用は経済的損失も生じるため、特に悪質なケースといえます。
また、メールアドレスが悪用され、顧客宛に不審なメールや詐欺メールが送信されると、企業の信用にも悪影響を及ぼすでしょう。
個人情報の漏洩(えい)により損害賠償が課された事例
企業による個人情報漏洩(えい)は、2000年代から注目されるようになってきました。
過去のケースを見てみると、漏洩(えい)した情報の件数よりも、漏洩(えい)した情報の内容の方が、損害賠償の金額に影響を与える傾向にあります。
以下より、個人情報の漏洩(えい)によって実際に損害賠償が命じられた事例を見てみましょう。
通信教育企業の事例
通信教育企業のA社は、2014年7月に約3,504万件の個人情報を漏洩(えい)しました。
A社のシステム開発・運用を行っていたグループ会社の元社員が、A社の顧客情報を名簿業者3社へ売却していたのが原因です。
犯人が売ったA社の顧客情報は転売され、最終的には95社にA社の個人データが行きわたったと見られています。
漏洩(えい)した個人情報の詳細は、以下のとおりです。
- サービス登録者の氏名・性別・生年月日
- サービス登録者の保護者または子どもの氏名・性別・生年月日・続柄
- 郵便番号
- 住所
- 電話番号
- FAX番号
- 出産予定日
- メールアドレス
A社には、被害にあった顧客の約5,700人に対して、1人あたり3,300円、総額にして約1,300万円の損害賠償が命じられました。これは原告側の求めていた1人あたり5万〜10万円よりも低い金額です。
A社がグループ会社のセキュリティ対策を確認していなかったことは認められたものの、「漏洩(えい)した情報の秘匿性は高くない」と判断されました。
エステティックサロンの事例
エステティックサロンを経営するB社は、2002年5月に約5万人分の個人データを流出させました。
B社の委託先企業がWebサイトのサーバーを移設する際に、誤ったアクセス権限を設定したため、外部から情報が閲覧できる状態になっていたのが原因です。
B社が漏洩(えい)した個人情報は、以下のとおりです。
- 氏名
- 住所
- 職業
- 電話番号
- メールアドレス
- アンケートの回答
- 関心のあるエステのコース名
事件発覚後、B社はただちにサーバーから個人情報を削除しましたが、既に漏洩(えい)した情報の回収はできませんでした。
さらに、漏洩(えい)した個人データが悪用され、顧客宛に迷惑メールが送られてくる二次被害も発生しています。
B社は、被害者14名のうち13名に対して、1人あたり35,000円(うち1人のみ22,000円)の損害賠償を命じられました。
B社の事件は、連絡先に加えてアンケート回答や関心のあるエステコース名も漏洩(えい)し、二次被害も出たことから、過去最高の損害賠償金額となっています。
情報通信サービスの事例
情報通信サービスを提供するC社は、2004年12月に約450万人分の顧客情報を漏洩(えい)させました。C社が個人情報の適切な管理を怠り、元内部関係者による不正アクセスを許してしまったのが原因です。
C社が漏洩(えい)した個人情報は、以下のとおりです。
- 氏名
- 住所
- 電話番号
- メールアドレス
- C社が提供するメールアドレス
- C社のサービスID
- サービス申し込み日
C社は事件発覚後、お詫びとしてサービス会員に500円の金券を送付しました。しかし、事故対応に納得のいかなかった会員5名が、C社に対して訴訟を起こしています。
裁判所はC社に対し、事故対応や漏洩(えい)した個人情報の内容を考慮し、被害者1人あたり6,000円の損害賠償の支払いを命じました。
個人情報が漏洩(えい)すると損害賠償が請求される
企業が個人情報を漏洩(えい)すると、多額の損害賠償金額を支払わなければならない可能性があります。
損害賠償金額は、漏洩(えい)した情報の内容や企業の社会的責任度の重さ、情報漏洩(えい)後の対応、二次被害の有無によって左右されます。
また、損害賠償以外にも、顧客の減少や取引先との関係が悪化する場合もあり、上場企業にとっては株価の下落も考えられるため、より大きなダメージを負う可能性もあるでしょう。
情報漏洩(えい)のリスクに備えるには、サイバー保険への加入がおすすめです。サイバー保険に加入すると、万が一情報漏(えい)が発生した場合もスピーディーな対応が可能です。また、損害賠償を含めた金銭的負担も軽減できます。
保険によっては、損害賠償金額だけでなく、情報漏洩(えい)時の事故対応費用の補償もあります。事故発生時にすぐフリーダイヤルで相談ができる保険であれば、より安心でしょう。
損保ジャパンでもサイバー保険を取り扱っています。保険への加入をご検討されている方は、ぜひ当社までご相談ください。
