はじめに
事業を展開していく上で、顧客の個人情報を利活用することは有意義なことです。しかし、こうした個人情報を万が一漏えいしてしまうと顧客の権利が侵害されてしまい、企業による補償等が必要となります。
そこで今回は、個人情報漏えいの具体的事例と、漏えい時の対応方法についてまとめます。
個人情報漏えいとは
個人情報の取扱の場面や目的には様々な種類が存在します。そのため、取り扱われる個人情報の種類も様々です。一体、どのようなことが発生した場合、個人情報の漏えいとなるのでしょうか?
平成29年に個人情報保護委員会が告示した資料によると、以下に該当する事案が個人情報漏えいの対象となることが示されています。
- 個人データの漏えい、滅失、毀損
- 加工方法等情報の漏えい
- これらの恐れ
このように、基本的には、企業が持つ個人の特定につながる情報を外部に流出してしまったり、損なってしまったりする行為が個人情報の漏えいにあたります。
具体的な事例
実際に、個人情報の漏えいが発生し、企業が補償を行った事例をみていきましょう。今回は、5つの事例についてその概要と補償金額を紹介します。
東京ビューティーセンター(TBC)【2002年】
エステサロン「TBC」のWebサイトから大量の個人情報が流出するという問題が発生しました。
同年12月には一部被害者らが損賠賠償を求める裁判を起こし、以下のような賠償が請求されました。
一人あたりの補償額 | 3万5000円(13件) 2万2000円(1件) |
---|---|
合計補償額 | 47万7000円 |
Yahoo!BB(ソフトバンクBB)【2004年】
北海道函館市の会社役員が、Yahoo!BBの個人情報約470万人分が入ったDVD-ROMを入手し、同社の関係者から金を脅し取ろうとした事件が発生しました。調査の結果、約450万件の情報漏えいが発生しており、Yaboo!BB全会員に500円の金券を送付するなどの対応を取っていました。これに加えて大阪市内の会社員5名が損賠賠償の裁判を起こすなどし、事件全体として以下のような賠償が行われました。
一人あたりの補償額 | ソフトバンクBB加入者:500円(約450万件) 損害賠償訴訟:6000円(5件) |
---|---|
合計補償額 | 約2億2500万円 |
アメリカン・ライフ・インシュアランス・カンパニー日本支店(アリコジャパン)【2008年】
アリコジャパンの業務委託先の従業員が個人顧客情報を社外に持ち出し、約13万件の流出の疑いがありました。アリコジャパンは、今回流出の可能性があった13万件のうち、実際に流出した18184人の顧客には1万円分、残りの顧客に対しても3000円分の金券と謝罪の書面を送付して対応しました。
一人あたりの補償額 | 情報漏えいのあった顧客:1万円(18184件) 情報漏えいの恐れのあった顧客:3000円(約11万件) |
---|---|
合計補償額 | 約5億円 |
三菱UFJ証券【2009年】
三菱UFJ証券システム部の男性が同社の顧客情報から約148万人分の個人情報を不正に引き出してCD-ROMにコピーし、そのうち約5万人分の情報を転売しました。その後同様に約122万件の企業情報を盗み、売却しました。その後情報漏えいがあった約5万人に対して補償対価として1万円分の商品券を送付しました。
一人あたりの補償額 | 1万円(約5万件) |
---|---|
合計補償額 | 約5億円 |
ベネッセ・コーポレーション【2014年】
ベネッセ・コーポレーションが個人情報の管理を委託していたグループ企業「シンフォーム」がさらに複数の外部下請けを利用した際、再委託先の従業員がその個人情報を持ち出し、名簿業者へと売り払ったことによりこの問題は発生しました。ベネッセ・コーポレーションは補償対応として図書券や電子マネーの送付を行いました。
一人あたりの補償額 | 500円(約2895万件) |
---|---|
合計補償額 | 約260億円 |
漏えい発覚時の望ましい対応
顧客等の個人情報の漏えいが発覚した際、企業はどのように対応すれば良いのでしょうか?
平成29年に個人情報保護委員会が告示した資料においては、個人情報の漏えい等の事案が発生した場合に望ましい対応としては、以下の6つが挙げられています。
- 事業者内部における報告及び被害の拡大防止
- 事実関係の調査及び原因の究明
- 影響範囲の特定
- 再発防止策の検討及び実施
- 影響を受ける可能性のある本人への連絡(事案に応じて)
- 事実関係及び再発防止等の公表(事案に応じて)
また、努力義務として、個人情報保護委員会等への速やかな報告も求められています。
その一方で、実質的に個人情報の漏えい等が発生していないと判断される場合や、FAX、メールの誤送信や荷物の誤配など、軽微な情報の漏えいが発生した場合には、個人情報保護委員会等への報告は求められていません。
まとめ
今回は、個人情報漏えいの具体的事例と、漏えい時の対応方法についてまとめました。
- 個人情報の漏えいとは、「個人データの漏えい、滅失、毀損」や、「加工方法等情報の漏えい」、そして「これらの恐れ」がある場合のことを言う。
- 個人情報漏えいの具体的事例としては、TBCやYahoo!BBの事例が挙げられる。中でもベネッセ・コーポレーションの事例では、特別損失260億円を計上した。
- 個人情報の漏えいが発覚した際には被害の拡大防止や原因の究明に努めるとともに、個人情報保護委員会への速やかな報告が求められる。