社員がスマホを落とすと、会社が法的責任を負う?

知らないと危ない「改正個人情報保護法」のポイント

日本経済新聞出版社

影島広泰

「個人情報保護」あなたの会社は大丈夫?

企業にとって個人情報漏えいは大きなダメージとなります。最近起きた事件ではどんなものがありますか。

印象に残る大きな事件といえば、2013年から2014年にかけて、ある大手教育系出版企業から3000万人分の個人情報が漏えいした、というものがあります。日本の人口、約1億2000万人のうち3000万人分、約4分の1の個人情報が漏えいしたわけで、社会的にも非常に大きな問題になりました。

日本の4人にひとりの個人情報が!その後、企業はどんな対応をしたのですか。

ご存じの方も多いと思いますが、情報を漏えいした企業側は500円の金券を配るなどの対応をし、260億円もの特別損失を計上しました。その後、個人情報を漏えいされた1万人以上が企業を訴えたり、元取締役に対して特別損失の額に相当する260億円の個人責任を追及したりのさまざまな訴訟も起きています。情報漏えいが企業の経営に与えるインパクトが非常に大きいことを認識させる事件となりました。
そして、このような訴訟の1つに、ある個人の方が企業に対して損害賠償請求をした事件がありますが、2017年10月23日に、最高裁判所が、企業の責任を認める判断をしました(企業の責任を認めなかった大阪高裁の判決を覆し、大阪高裁に差し戻しました)。これにより、氏名や住所といった基本的な情報が漏えいしただけでも企業は損害賠償責任を負うことが明確になりました。

2017年5月30日、個人情報保護法が改正されました。大改正といわれますが、改正のポイントを教えてください。

中小企業、大企業に分けて説明しましょう。まず、中小企業の場合です。
改正前(2017年5月29日まで)の個人情報保護法では、「取り扱っている個人情報の数が5000人以下の会社は個人情報保護法の対象ではない」という条文がありました。多くの中小企業は取り扱っている個人情報の数が5000人以下なので個人情報保護法の適用を受けなかったのです。
しかし、2017年5月30日に改正個人情報保護法が施行されたことで、その条文が撤廃され、1件でも個人データを取り扱っていれば、個人情報保護法を守らなければいけなくなりました。

1件でも、ですか。

そうです。つまり、規模に関係なく、事業を行っている限り、すべての事業者が個人情報保護法の対象になるということです。大きなインパクトを持つ改正です。 これまで個人情報保護法をさほど意識しないでビジネスを行ってきた中小企業も、今後は、個人情報保護法の5つのポイントにしっかり対応しなければなりません。

その5つのポイントとはなんでしょうか。

①個人情報の利用目的をちゃんと伝える、②その目的の範囲内でしか個人情報を使ってはいけない、③個人データは情報が漏えいしないように管理しなければいけない、④第三者に個人データを提供する際は原則として本人の同意が必要、⑤本人から「あなたの会社はどんな個人情報を持っていますか」などの開示請求があった場合はこれに答えなければいけない、の5つです。

大企業にとっての改正のポイントは何でしょうか。

大企業の場合も、適用の対象となる中小企業と基本的に中身は同じです。ただ、改正前と大きく違う点が3つ考えられます。それは次の3つです。 ①要配慮個人情報 ②トレーサビリティ ③海外への個人データの第三者提供には本人の同意が必要 記者

それぞれについて教えてください。

1つ目は、「要配慮個人情報」が設けられたことです。人種や信条、犯罪歴などはもちろん、病歴や医師の診察を受けたといった事実自体が要配慮個人情報になります。企業が取り扱う個人情報の中には要配慮個人情報が含まれているケースがあるため、特別な取り扱いが必要になります。 2つ目が「トレーサビリティ」です。個人データを他の人に提供するとき、あるいは個人データを他の人から受け取るときに、確認や記録しなければいけないことになりました。企業にとって、この対応も必要になります。 3つ目が、外国にある第三者に個人データを送る際に本人の同意が必要になったことです。改正前は日本の個人情報を外国に送ることに関してまったく規制がありませんでした。しかし、ここに規制が導入されて、今後は外国に個人データを送る際には原則として本人の同意がなければいけないとなりました。したがって、海外と個人データのやりとりをしている大企業を中心に対応する必要があります。

改正で特別な取り扱いも必要になってきたのですね。個人情報保護法に違反した際には、罰則があるのでしょうか。

個人情報保護法には、今回の改正で新しく設けられた罰則があります。これが重要な点です。 たとえば従業員が社内にある個人情報データベース等(例:名簿など)を不正な利益を得る目的で誰かに提供する、あるいは盗むという行為に対して罰則が導入されました。懲役1年以下又は50万円以下の罰金となっていますが、気をつけたいのは「両罰規定」といって、従業員がこの罪を犯したとき、企業側にも罰金刑が科せられる可能性があるということです。

従業員だけでなく、企業も罰せられるのですね。

そうです。もうひとつここで、個人情報保護法の特別法である「マイナンバー法」の罰則についても説明しましょう。マイナンバー法には、さらに厳しい罰則があります。個人の秘密に属する事項が記録されているマイナンバー付きのデータベース(特定個人情報ファイル)を盗んだようなケースでは、4年以下の懲役若しくは200万円以下の罰金又はその両方となっています。ここでも両罰規定で、従業員が罪を犯したときには企業にも罰金刑が科せられるかもしれません。 そうした行為をしないように、企業には、従業員をきちんと教育する必要があるということです。

次のページ:従業員のスマホはどこまで管理できる? 今さら聞けない「個人情報保護」の新・知識

関連著者・監修者

影島 広泰(かげしま ひろやす)

弁護士
一橋大学法学部卒業。2003年弁護士登録、牛島総合法律事務所入所。2013年に同事務所パートナーに就任。2015年、情報化推進国民会議本委員。“マイナンバー制度・個人情報保護法への実務対応"の第一人者として、企業法務に従事するほか、寄稿、講演・セミナーでも大人気。経済産業省、商工会議所から金融機関やシンクタンク、企業の主催まで、講演・セミナーの地域・対象も多岐にわたる。さらに、システム開発、リスクマネジメント、エンターテインメント分野の法的スキーム開発などにも携わる。
日本経済新聞社「企業が選ぶ弁護士ランキング」(2016年)の情報管理部門で、「企業が選ぶランキング」2位に輝く。
主な著書に『新・個人情報保護法とマイナンバーの実務』(日本経済新聞出版社)、『平成29年5月施行 改正個人情報保護法の実務対応マニュアル』(大蔵財務協会)、『詳解 個人情報保護法と企業実務』(清文社)など。

※本データは、小社での最新刊発行当時に掲載されていたものです。