コラム
個人情報保護法の罰則とは?従業員が個人情報を漏洩しないための対策
企業の機密情報やお客様の個人情報を外部に売るなど、本人の同意を得ずに第三者へ提供すること犯罪行為です。ですが、不正な利益を得る目的ではなく、従業員が業務の一環として行った行為が、知識不足や対応の不備によって個人情報の漏洩につながるケースもあります。ここでは、万が一個人情報が漏洩してしまったときに会社が受ける個人情報保護法の罰則や損害について、またその予防策についてご紹介します。
個人情報保護法とは
個人情報保護法とは、簡単にご説明すると「個人情報の取り扱い方法を定めた法律」のことです。個人情報とは次のような情報のことをいいます。
- 本人を特定できる情報(氏名や生年月日など)
- 本人を識別できる音声や画像(動画や防犯カメラ)
個人の氏名や生年月日はもちろんですが、取引先の担当から受け取った名刺の扱いや社内や店舗に設置されている監視カメラの映像なども、特定の個人を識別できる映像であれば個人情報にあたります。
個人情報保護法を違反したときの罰則とは
もしも個人情報を漏洩させてしまったときの罰則についてご説明します。
- 30万円以下の罰金もしくは6カ月以下の懲役
- 50万円以下の罰金もしくは1年以下の懲役(悪質な場合)
個人情報保護法に反する行為が発覚した場合、その従業員には30万円以下の罰金もしくは6カ月以下の懲役刑が科されます。またその従業員が所属する会社にも30万円の罰金が科されます。
マスコミなどに大きく取り上げられるケースもありますが、多くの場合、国から指導が入り、それでも改善しない場合に罰則を科すという流れになります。つまり、情報漏洩してしまった場合でもそれを隠すのではなく、早期に改善することで大規模な損害を予防できます。
ただし、不正な利益を得ることを目的とした悪質な情報漏洩の場合は別です。この場合は即座に罰則が科されることになり、不正な目的で個人情報を漏洩した従業員に50万円以下の罰金、もしくは1年以下の懲役が科されます。従業員が所属する会社にも50万円以下の罰金が科されます。
罰則以上のダメージ?!情報漏洩による企業への影響
個人情報漏洩により企業が受けるダメージは刑事罰だけではありません。個人情報が漏洩してしまった場合は、被害者に対する損害賠償金や謝罪金が必要であり、これによって企業は大きな損害を受けることがほとんどです。
すぐに影響のある直接的な損害
個人情報保護法違反により企業がすぐに影響を受ける直接的な損害としては、次のようなことが考えられます。
- 損害賠償金の支払い
- 被害者に対する謝罪金の支払い
- 弁護士費用の支払い
- 業務停止による損失
- 企業イメージ低下や風評被害
個人情報保護法違反による損害賠償金の支払いについては、過去に数千万円もの賠償金を支払うことになった判例もあります。また、個人情報を漏洩させてしまった数百万人のお客様ひとりひとりに対して謝罪金(金券など)を郵送したという事例もあります。その他にも、裁判にかかる弁護士費用や通常業務を止めざるを得ない場合の損失など、企業としては多額の費用を支払うことになります。さらに、個人情報の漏洩による企業のイメージダウンは免れません。
長期的に影響のある間接的な損害
個人情報保護法違反により企業が影響を受ける損害としては、直接的な損害だけではありません。むしろ直接的損害よりも間接的な損害のほうがダメージが大きいでしょう。
- 企業の信用回復
- システム改善や構築
- 業務効率が低下する
- 退職者が続出する
個人情報について世間の関心は高く、一度でも個人情報の漏洩が起きてしまうと企業イメージは大きく低下します。その信用回復にはかなりの対応を強いられるでしょう。企業の信用低下は、お客様や取引業者を失うことに繋がります。
また、個人情報漏洩後の企業の対応には、世間の注目が集まります。個人情報を二度と漏洩しないためのシステム改善や、社内オペレーションの見直しを行うことは急務であり、当然ながらコストがかかります。さらに、従業員は苦情対応など業務以外の作業に追われるため業務効率が低下します。毎日毎日クレームの対応に追われる従業員の中から退職者が続出する可能性も十分考えられるでしょう。
従業員に周知!個人情報を漏洩させないための対策
個人情報を漏洩させないための対策として企業ができることは次のとおりです。
- 個人情報取扱規程やマニュアルを作り従業員に徹底する
- 個人情報の管理体制を徹底する
- 個人情報へのアクセス権限などの管理権限を設ける
- 私物の社内持ち込みを禁止する
- コンピュータ関連機器の外部持ち出しを禁止する
- コンピュータ関連機器の処分は慎重に行う
まずは個人情報に関する取扱規程を作成し、禁止事項を徹底します。例え不正目的でなかったとしても、どんな行為が個人情報漏洩につながるのか、個人情報が漏洩するとどんな影響を受けるのかなど、個人情報保護法について定期的に研修や勉強会を行うことで、全従業員に周知します。
紙で保管している個人情報は鍵付きの保管庫に収納し、申請がなければ閲覧できないようにする、個人情報が含まれるシステムへのアクセスには制限を設け、アクセス権限を持たない従業員はアクセスできないようにするなどの管理を徹底することで、個人情報の管理に対する全社的な意識が高まります。
もちろん、個人情報取扱規程のなかで、違反した場合の罰則についても定めておくことも重要です。
スマートフォンや個人PCなど、私物の社内持ち込みを制限し、かつ社内のパソコンやUSBメモリなど、コンピュータ関連機器の外部持ち出しを禁止する(または厳重に管理する)ことも、有効な対策のひとつと言えるでしょう。
油断してはならないのが、パソコンやサーバーなど、企業で使っていたコンピュータ機器を処分する際のデータ消去です。ハードディスクには多くの個人情報が記憶されている可能性が高いです。廃棄などの処分を行う前に、個人情報や関連するデータを完全に消去しなくてはなりません。
個人情報保取扱いに関するお客様への説明もマニュアルで徹底する
個人情報保護法に関する研修会や勉強会を行う際は、自社の個人情報取り扱いや管理方法について、お客様へもきちんと説明ができるように、マニュアルなどを作成し、従業員に周知徹底しましょう。
- 個人情報の目的や使い道を明確にする
- 開示要求に応える
- 問合せに対して一貫した対応をする
お客様から個人情報をお預かりする際は、その目的や使い道をきちんとご説明する必要があります。お客様が自分の個人情報を開示するよう求めた場合は速やかに開示しなければいけません。個人情報の取扱いに関しては苦情や問合せもあります。様々なケースを想定した個人情報管理・対応マニュアルを作成し、従業員へ周知することが大切です。
コンピュータ関連機器処分時の漏洩について
企業で使用するサーバーやパソコンなどのコンピュータ機器は、基本的には消耗品です。いつかは寿命を迎えることになりますので、買い替えや処分が必要になります。意外と盲点になりがちですが、パソコンやサーバーの処分時にハードディスク内に個人情報を残したまま処分してしまうと、そこから第三者の手に渡り悪用されてしまうといった危険性があります。USBや外付けハードディスクなども同様です。
業務で使用していたコンピュータ関連機器を処分する際は、中身のデータを完全に消去する必要があります。「パソコンの初期化をしたから大丈夫」「壊れたパソコンだからそのまま捨てても大丈夫」といった安易な判断で処分するのは危険です。大切な個人情報を守るためには専門業者に依頼し適切な方法で処分されることをおすすめします。
個人情報漏洩は未然に防ぐ!IT機器の処分はアクシスコンピューテックへ
個人情報保護法の罰則や企業の対策についてご説明してきました。アクシスコンピューテックは、企業が使わなくなったサーバーやパソコンなどのデータ消去、撤去作業から買取までをワンストップのサービスで提供しております。お預かりしたコンピュータ関連機器に記憶されたデータは完全に消去し、お客様の機密情報漏洩を防止します。もちろんデータ消去の証明書発行も可能です。
また、コンピュータ機器関連の撤去・回収作業から、データ消去、買取・処分までを、弊社が一括で行わせていただくことで、大幅なコスト削減が可能です。コンピュータ機器の処分はぜひアクシスコンピューテックにご依頼ください。
