最終更新日 2024.11.1
顧客情報や取引先情報など数多くの個人情報を取り扱う企業においては、情報漏洩のリスクが付きまといます。
情報漏洩をしてしまうと相手方から多額の賠償請求を受ける場合もあり、大きな金銭的な負担を負う可能性があります。また、昨今のSNSの普及により、SNSを活用する企業も増え、情報漏洩が発生しやすくなっています。
漏洩を引き起こしてしまった場合に拡散され、企業のイメージやブランディングを傷つけてしまうケースも珍しくありません。情報漏洩に対するリスク管理を徹底し、企業を守る体制を整えることが必要です。
この記事では、情報漏洩を引き起こした場合に請求されうる損害賠償の金額の目安を事例を交えて紹介し、損害賠償を引き起こす原因や対策について解説していきます。
なお、情報漏洩を未然に防ぐためにSNSを自動監視したい方は、専用ツールを利用しましょう。
個人情報・企業情報の流出は多額の損害賠償請求を招くリスクがある
損害賠償請求は、債務不履行や不法行為によって損害を受けた場合に、相手に対し損害への補填を求める行為のことを指します。
情報漏洩は不法行為によって損害を与える行為に該当し、情報漏洩をきっかけに相手方に大きな損害を与えるとそれに見合った多額の損害賠償請求を受けるリスクがあります。
個人情報の取扱責任を追うのは個人情報保護法の適用を受ける「個人情報取扱事業者」です。個人情報取扱事業者に該当するには2015年の法改正前までは「5,000件以上の個人情報を把握する事業者」という要件がありましたが、現在は1件でも個人情報を管理していれば個人情報取扱事業者に該当する要件を満たすとされました。
顧客や従業員の個人情報をデータベースなどで体系的に管理し、事業に用いている企業についてはどの企業も個人情報取扱事業者に該当します。
大多数の企業が個人情報取扱事業者に該当し、情報漏洩への対策が必要といえるでしょう。
情報漏洩による損害賠償金の設定基準項目
情報漏洩によってどのような損害を与えた場合に損害賠償の請求がされるのか、損害賠償金の設定基準項目になる内容を解説します。
情報漏洩を引き起こした場合、具体的には以下のような内容が損害賠償金に計上され、請求されるケースが多いといえるでしょう。
顧客の氏名、電話番号、メールアドレスなどの一般的な連絡先情報の漏洩のみの場合は損害賠償額は低額にとどまります。
ただし、病歴、信用情報、思想信条などセンシティブな内容を含む情報が漏洩した場合は個人への影響を考慮し、賠償額が高額になるケースも珍しくありません。1件あたりの賠償額が少ないとしても何万人にも及ぶような大規模な情報漏洩を起こしてしまうと損害賠償額が膨れ上がります。
適切な対策を取り、情報漏洩を未然に防ぐ必要があるといえるでしょう。
損害賠償、慰謝料の金額の相場
氏名、電話番号などセンシティブな内容を含まない情報の漏洩についての損害賠償額の相場は、1件あたり3,000〜5,000円です。センシティブな内容を含む場合や二次被害が生じている場合は35,000円の損害賠償が認められた事例も存在します。
日本ネットワーク協会が発表しているインシデント損害額調査レポート2021年によると、顧客のクレジットカード情報が漏洩した場合などは数千万円規模の請求が行われたケースもあります。
損害賠償を含めた事故対応費用や、社会的信用の損失による売上の減少により数億円単位の金銭的負担がのしかかるケースもあるため、情報の取扱には慎重になることが求められます。
情報漏洩による損害賠償事例
情報漏洩による損害賠償の事例を紹介します。1人あたりの賠償額は小さくても大規模な情報漏洩を引き起こすと数千万から数億単位の賠償命令が下されるケースもあります。
多額の金銭的負担を負うことを未然に防ぐため、過去事例から学び、対策を打ちましょう。
自治体における住民基本台帳データの流出
自治体において住民の氏名、住所、生年月日、性別等の個人情報が約22万件も流出する事件が発生しました。自治体がシステム開発を民間業者に業務委託した際に、アルバイト従業員が不正にデータをコピーし、名簿販売業者に販売しました。
プライバシーの侵害を理由に市民による損害賠償訴訟が起こされ、最高裁は1人あたり1万円の慰謝料の賠償命令を下しました。自治体における大規模な情報漏洩の代表的な事例といえるでしょう。
企業における顧客情報漏洩
某大手企業において、業務委託先の元従業員が約3,504万件分の顧客情報を不正に取得し、名簿業者3者に販売していることが判明しました。
氏名、性別、住所、電話番号、メールアドレス、子どもの氏名などが流出し、被害にあった顧客462人が損害賠償を求めた事例です。
裁判所は、センシティブな内容には該当しないものの私生活の平穏に一定の悪影響を及ぼし得るとして1人あたり3,300円の支払いを命じました。
従業員から損害賠償を求められるケース
従業員から損害賠償請求を受けるケースもあります。
某企業では内定者の個人情報を本人への確認を行わずに同僚に漏らしたとして損害請求を行った事例です。裁判所はこのケースについては同僚への情報提供の範囲に留まると判定し、企業に損害賠償請求はないとの判決を下しました。
従業員の個人情報については利用目的を本人に通知し、その目的の範囲で利用するよう注意が必要です。
情報漏洩が発生する原因
情報漏洩が起こる原因は外部からのサーバー攻撃などのほか、ヒューマンエラーや社員による不正など多岐に渡ります。
情報漏洩を引き起こす原因について把握し、企業における対策に活かしましょう。
外部からのサイバー攻撃、不正アクセス
外部からのサイバー攻撃や不正アクセスは、情報漏洩の主要な原因のひとつです。
攻撃者は、企業のシステムやネットワークに侵入し、機密情報を盗み出します。特にログインIDやパスワードが単純な文字列である場合や、従業員のリテラシーが低い場合に、サイバー攻撃の被害にあう可能性が高まります
セキュリティソフトの導入や、従業員に対する定期的なセキュリティ教育が必要です。システムの脆弱性を定期的にチェックし、最新のセキュリティ対策を導入することも必要といえるでしょう。
メールの誤送信などのヒューマンエラー
ヒューマンエラーによる情報漏洩も多く見られます。
BCCやCCなどの送信設定の誤りや、メールの宛先を間違えて送信することで社内に留めるべき情報を第三者に送付してしまうケースがあります。株式会社東京商工リサーチの2023年の情報漏洩原因のレポートではメールの誤送信を含む誤表示や誤操作による情報漏洩が全体の約25%を占めていると示されました。
ヒューマンエラーを防ぐためには、メール送信前のダブルチェックの徹底や、メール送信に関する社内ルールを明確にすることが求められます。また、誤送信を防止するためのツールの導入も効果的です。
デバイスの紛失や盗難
デバイスの紛失や盗難も情報漏洩の原因となります。
特に社用のノートパソコンやスマートフォンなどのモバイルデバイスは持ち運びが容易なため、紛失や盗難のリスクが高まります。
株式会東京商工リサーチが発表した調査データによると、2023年に発生した情報漏洩の原因の約10%を紛失誤廃棄などが占めているという結果になりました。
デバイスに強力なパスワードを設定することや、データを暗号化することが重要です。また、リモートワイプ機能を利用して、紛失や盗難時に遠隔でデータを消去できるようにしておくと、情報漏洩のリスクを軽減できます。
個人のUSBメモリを社用デバイスに使用することでマルウェアに感染するケースもあるため、個人デバイスの業務への使用についてもルール化する必要があるでしょう。
内部不正
内部不正は、従業員や関係者が悪意を持って意図的に情報を外部に漏洩することを指します。
過去の事例からも待遇に不満を持っている社員が報復や、自己の利益のために漏洩するケースが見られ、企業にとっては深刻な問題といえます。
情報へのアクセス権限を厳格に管理し、必要最低限の人にのみ情報を開示することが重要です。また、従業員に対するリテラシー教育を定期的に実施し、情報漏洩のリスクとその影響についての認識を高めることも必要です。
情報漏洩が企業に与える悪影響とリスク
情報漏洩を引き起こした場合、損害賠償の請求を受けるだけでなく、社会的信用やブランドが低下し、売上の減少などにつながる可能性があります。
情報漏洩により企業の被る悪影響とリスクは、主に以下の通りです。
特に、SNSによって情報漏洩が起きた事実が拡散され、炎上につながると大規模な被害につながり、事態の収束に時間や労力を割かれるおそれもあるので注意が必要です。
数億円単位の金銭的負担を負う可能性があるため、リスクを理解し、適切な対応を取りましょう。
損害賠償金の支払い
情報漏洩が発生すると、企業は高額な損害賠償金を支払うリスクに直面します。
個人情報や機密情報が漏洩した場合、被害者からの損害賠償請求が発生し、場合によっては億単位など大きな経済的負担を抱える可能性があります。特に、秘匿性の高いセンシティブな情報が漏洩した場合や、漏洩情報が第三者に悪用された場合には、賠償額がさらに高額になることがあります。
情報漏洩を未然に防ぐためのセキュリティ対策や、万が一の際の迅速な対応が求められます。
社会的信用、ブランドの低下
情報漏洩は、企業の社会的信用やブランドイメージに深刻なダメージを与える可能性があります。
漏洩事件が報道されると、情報管理がずさんな企業というイメージがつき、顧客や取引先からの信頼を失い、新規顧客の獲得や既存顧客の維持が難しくなることがあります。ブランドの毀損は、売上減少や市場での競争力低下を招くことがあり、企業の存続に重大な影響を及ぼすこともあります。
一度失った信用を回復するには多大な時間とコストがかかるため、注意が必要です。
情報の悪用による二次被害
情報漏洩が発生すると、漏洩した情報が悪用されることで二次被害が発生するリスクがあります。
ログイン情報が漏洩した場合、Webサイトのかいざんやマルウェアの拡大などのリスクが生じるでしょう。顧客の個人情報が漏洩した場合は、その情報を利用した詐欺や不正利用が行われる可能性があります。
顧客が金銭的損失や精神的苦痛を受けた場合、企業に対してさらなる損害賠償請求が求められるケースもあるため、注意が必要です。
二次被害を防ぐためには、情報漏洩発生後の迅速な対応と、被害者への適切なサポートが不可欠です。
情報漏洩を防ぐために導入すべき対策
情報漏洩を予防するためには、情報管理ルールの作成やリテラシー向上のための研修の実施などさまざまな方向からの対策が必要です。
考えうる対策は以下の通りです。
すぐに導入できる対策もあるので、できる限り早く取り入れて情報漏洩リスクにいち早く対策を打ちましょう。
情報管理ルールの作成・周知
情報漏洩を防ぐためには、まず情報管理ルールを作成し、社内で周知徹底することが重要です。
具体的には、情報の取り扱い方法、データの保存・廃棄に関する手順などを明確にします。従業員が情報を適切に管理できるようになり、ヒューマンエラーによる漏洩リスクを軽減できます。
特に、データを外部に持ち出すリモートワークなどにおける規則も必要になるでしょう。さらに、定期的にルールの見直しを行い、最新のセキュリティ状況に対応することも必要です。
アクセス権限の限定
情報漏洩を防ぐためには、アクセス権限の限定が不可欠です。
情報にアクセスできる人を必要最低限に絞り、役職や業務内容に応じて適切な権限を付与します。中途退職者のアクセス権限を速やかに削除することも必要といえるでしょう。
アクセスログを定期的に監視し、不審なアクセスがないか確認することも必要です。早期に異常を検知し対応することで、被害の拡大を最小限に留められます。
リテラシー向上のための研修の実施
従業員のリテラシー向上を図るための研修を定期的に実施することも重要です。
研修では、情報セキュリティの基本知識、最新の脅威、具体的な対策方法を伝えましょう。特に新入社員や異動者に対する初期研修は効果的です。
個人のSNSなどからの漏洩危険もあるため、SNSとの付き合い方や使用方法についての指導も必要になるでしょう。
秘密保持義務に関する契約書面を交わす
秘密保持義務に関する契約書面を交わすことは、情報漏洩防止における重要なステップです。従業員や取引先と秘密保持契約を締結し、情報の取り扱いに関する責任を明確にします。
契約書には、違反時の罰則や責任範囲も明記しておくと効果的です。
セキュリティを高めるシステムやツールの導入
情報漏洩を防ぐためには、セキュリティを高めるシステムやツールの導入が不可欠です。ファイアウォール、ウイルス対策ソフト、2段階認証システムなどを活用しましょう。データの暗号化やバックアップの自動化も有効です。不正アクセスをいち早く検知するツールなども有効です。
ツールを適切に組み合わせることで、情報漏洩リスクを最小限に抑えることができます。
個人情報漏洩に対する損害賠償請求権の時効
個人情報漏洩に対する損害賠償請求については、不法行為によるものと債務不履行によりものがあり、時効の期間がそれぞれ異なります。
漏洩した情報が、企業との契約関係にない人物の個人情報の場合は、不法行為による損害賠償請求にあたります。具体的には見込み客のアンケート情報の漏洩などが該当します。
民法第724条で「被害者が情報漏洩被害を知ったときから3年間」または「情報漏洩被害があったときから20年間」のいずれか早い時期が時効であると定められています。
契約関係にある個人の情報を漏洩した場合は、不法行為と債務不履行両方に基づいた損害賠償請求を受ける場合があります。
債務不履行に基づく損害賠償請求については、「被害者が情報漏洩被害を知ったときから5年間」または「情報漏洩被害があったときから10年間」のいずれか早い時期が時効になることが民法第166条で定められています。
情報漏洩リスクを未然に防ぐmimamornがおすすめ
情報漏洩のリスクを未然に防ぐためには、「ミマモルン -Mimamorn-」の活用がおすすめです。
「ミマモルン -Mimamorn-」は、AIを活用した常時モニタリングサービス。モニタリング対象はX、InstagramなどのSNSに加え、掲示板、ECサイトニュースサイトなど多岐に渡ります。
これらのメディアに対し事前に登録したネガテイブキーワードが投稿されていないかをAIを活用して24時間365日監視します。社員により顧客情報や社外秘の情報が投稿されていないかなどをチェックでき、情報漏洩のリスクに素早く対処できる点がメリットです。
また、毎月のリスク状況レポート、評判ステータスの分析レポートなども取得可能。具体的な数値に基づいた定量的なリスク管理戦略を策定するのに役立てられます。
万が一情報漏洩が発生した場合も、謝罪文作成や記者会見の設定などに関する支援が受けられるため、落ち着いた対応ができます。不適切な対応を取り、さらに被害を加速させるリスクを下げられるでしょう。
情報漏洩や炎上を未然に防ぐ対策と問題が発生した場合の対策の両方を月々5万円から行えるので、費用を抑えつつ、安全にSNSの運用を行いたい場合などはぜひ資料請求やお問い合わせください。