個人情報漏洩の損害賠償に関する不祥事や事件は、いまだにニュースでも頻繁に取り上げられるほど、皆さんも耳にすることが多いニュースの一つかと思います。
日常生活の中、あなたの個人情報はさまざまな場面で利用されています。フェイスブックやLINEなどのSNSや、インターネットショッピング、マイナンバー制度、病院のカルテ、スーパーの会員カードにいたるまで、あらゆるサービスを受ける上では個人情報の提供は欠かせないですよね。
信頼して提供したあなたの個人情報が漏れたら、あなたはどうしますか?記憶に新しいベネッセの漏洩事件では、被害者の多くは謝罪の内容に納得がいってないようですし、悪用される不安はぬぐえないとの声も多いようです。
今回は、漏洩事件の判例を参考に損害賠償の金額の相場や、個人情報の定義なども交え、裁判をすべきかどうかのポイントなどをまとめましたので、ぜひ参考にして下さい。
1. 実際の判例からわかる、意外と少ない見舞金の相場
もしあなたが個人情報漏洩事件の被害者になったら、どれくらいの見舞金がもらえるのか、最近起きた有名な判例がとても参考になります。
企業の自主的な対応による謝罪金額もあれば、裁判での認定による金額もあります。
ぜひとも一人当たりの損害賠償金額に着目して下さい。
| 時期 | 漏洩事業者/情報 | 漏洩件数 | 一人当たりの金額 |
|---|---|---|---|
| 平成10年 | 早稲田大学 | 1400件 | 5,000円 |
| 平成11年 | 京都府宇治市 | 約22万件 | 1万円+5,000円(弁護士費用) |
| 平成14年 | TBCグループ | 3万7,000件 | 3万円(2次被害ありの被害者) |
| 平成14年 | アプラス | 7万9,000件 | 1,000円相当 |
| 平成14年 | 東武鉄道 | 13万2,000件 | 5,000円相当 |
| 平成15年 | ローソンカード会員情報 | 56万件 | 500円 |
| 平成15年 | ファミマクラブ | 18万3,000件 | 1,000円のクオカード |
| 平成16年 | ヤフーBB会員情報 | 451万7,000件 | 500円の金券 * 訴訟では慰謝料5,000円+弁護士費用500円 |
| 平成16年 | サントリー | 7万5,000件 | 500円 |
| 平成16年 | ツノダ | 1万6,000件 | 500円相当 |
| 平成16年 | コスモ石油 | 92万3,000件 | 50マイル |
| 平成16年 | DCカード | 47万8,000件 | 500円 |
| 平成17年 | オリエンタルランド | 12万2,000件 | 500円 |
| 平成19年 | 大日本印刷 | 864万件 | 500円 |
| 平成20年 | サウンドハウス | 12万3,000件 | 1,000円相当 |
| 平成20年 | アイリスプラザ | 2万8,000件 | 1,000円相当 |
| 平成21年 | 三菱UFJ証券 | 4万9,000件 | 1万円の商品券 |
| 平成21年 | アリコジャパン | 1万8,000件 | 1万円 |
| 平成21年 | アミューズ | 14万9,000件 | 500円相当 |
| 平成25年 | JIN | 1万2,000件 | 1,000円相当 |
| 平成26年 | ベネッセ | 2895万人 | 500円分の電子マネーなど |
| 平成26年 | NTTドコモ | 法人1社、個人1053人 | 未定 |
| 平成26年 | 日本航空 | 最大75万件 | 未定 |
| 平成26年 | 日本年金機構 | 125万件 | 未定 |
このように、私たち一人当たりに支払われる金額は500円〜5千円〜1万円程度なのです。
もれた個人情報次第で金額に差が発生するのですが、今のところの判例ではこれくらいの相場であることを認識しておきましょう。どうでしょうか?意外と少ない印象をお持ちの方も多いと思います。
逆に企業は莫大な損失であることは間違いないですよね。
これにあわせてセキュリティ対策費用や謝罪広告費用なども含めれば200億円以上の損失にもなります。
TBCの一人3万円が最高額
TBCグループの3万円程度が1人の個人に支払われた慰謝料としては最高額とされています。
TBC(東京ビューティーセンター)個人情報漏洩事件
* 2007年2月8日東京地裁判決
2000年、TBCが個人情報を保管していたWebサイトが、アクセス制限なしで第三者が見られる状態になっており、P2Pといったファイル交換サービスに掲載され、世界中にばらまかれた。
約660万人の氏名・住所・電話番号・生年月日・職業の他、スリーサイズ・コース内容・身体に関する悩みなど、秘密にしたいごく個人的な情報が流出。
いたずら電話や迷惑メール、DMが送付されるなどの二次被害が発生した。
1件あたり、慰謝料30,000円+弁護士費用5,000円が認定。
この高額判例のポイントはセンシティブ情報であること
センシティブ情報の漏洩が理由で一人3万円の慰謝料を認定
裁判所はセンシティブ情報の漏洩をかなり深刻に受け止めたと言えます。
個人を特定できる情報に加え、「スリーサイズ」「コース内容」など他人に知られたくない体の秘密などの個人情報は、いままでの様々な判例のなかでも一人当たりの慰謝料認定額としては最高額となりました。ですが、被害者の大半がその認定金額には納得していないようです。
判例からもわかる通り、個人情報はもれた中身や種類によっても変わりますが、金額に換算したときに意外と少ないということが言えると思います。
では次に、何があなたの個人情報にあたるのか、簡単に解説していきたいと思います。
2.「個人を特定できる情報」= 個人情報
2-1.「個人を特定できる情報」それが個人情報です
あなたの「氏名」「住所」「性別」「生年月日」や「連絡先」だけにとどまらず、買い物の履歴や、病院での治療歴、借金の履歴など、あなたを特定できるものであればすべて個人情報と考えて良いでしょう。
個人情報保護法によると、
『個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)』
つまり大切なのは、 「特定の個人を識別できる情報」 「個人に関する情報」ということです。
2-2.個人情報の種類
基本となる4つは「氏名」「住所」「性別」「生年月日」
この「基本4情報」が漏れたときの慰謝料を1万円程度とした判例が、平成11年の「京都府宇治市の住民基本台帳データ流出事件(22万件)」です。
この判例は、「氏名」「住所」「性別」「生年月日」を「個人情報の基本4情報」として裁判所が認定した事例で、宇治市は原告側1人あたり慰謝料1万円+弁護士費用5,000円を支払いました。
クレジットカード履歴や消費者金融の利用履歴などの情報
・ 職業、勤務先、収入、役職などの情報
・ いつ、いくら使った、借りたなどの情報
・ 預け入れの貯金額や総資産 など・・・
あなたを特定できる、お金に関する情報や買い物履歴なども個人情報です。
病気の治療歴や、エステのコース内容などのセンシティブ情報
有名な事件が、TBC(東京ビューティーセンター)のエステ顧客の漏洩事件(3万7千件)です。
・ 氏名、住所、性別、生年月日などの情報
・ エステの履歴やコース内容
・ スリーサイズや脱毛の悩みなど体に関する情報 etc…
など、極めてプライバシー性の高い情報も当然ながら個人情報に該当します。
このTBCの場合、一人当たりの慰謝料は3万円の認定額になりました。
裁判ではセンシティブ情報の漏洩を深刻に受け止めた結果と言えます。
その他、学歴や転職歴、特定のグループの名簿、オンラインゲームでの課金情報など、あなたが特定できる情報はすべて個人情報です。
個人情報とならない場合もあるので注意
以下のように、特定の個人を識別できない情報は個人情報とはなりません。
・ 個人が識別できない情報
例)メールアドレス単体
→メールアドレスに個人を特定する要素がない場合など
・ 法人に関する情報
例)法人の財務情報など
・ 匿名情報
例)統計情報など、個人を特定できない情報
3.判例からわかる、個人裁判がそぐわない3つの理由
3-1.あなたの個人情報漏洩が発覚し、個人で裁判をした場合の費用対効果はどうでしょうか。
1.《訴訟でかかる費用は大きい》
例えばあなたがかなりの精神的苦痛を被ったとして企業を相手取り訴訟を起こす場合、
- あなた一人で訴訟を起こす
- 他の被害者と集団訴訟を起こす
この2つの方法が考えられます。
判例を考えると、弁護士に依頼し一人で裁判にのぞむとした場合、費用は数十万、多ければ百万円単位にもおよぶ可能性もあります。もらえそうな金額が判例程度だとしたら費用対効果は間違いなく悪いですよね。
集団訴訟となれば、弁護士費用などを訴訟に参加する人たちそれぞれで負担し合うので、一人で訴訟にのぞむよりは費用負担は軽く済みそうですよね。
2.《今までの判例での相場が適用される》
裁判での判例で慰謝料の相場が5,000円〜10,000円程度という「現在の相場感」を裁判所は適用する可能性が高そうです。
最近起きたベネッセの集団訴訟でも弁護団が原告1人あたりの慰謝料は10,000円程度を基準としています。
3.《訴訟する理由は、企業への制裁措置》
個人情報を漏らした企業に「納得に行く謝罪をして欲しい」「ずさんな管理体制を反省してほしい」などの意味合いがほとんどです。
企業側に「制裁措置」を与える意味での集団訴訟が大半で、個人での訴訟であなた個人への「莫大な慰謝料」を求めようとしても難しいことを理解しておきましょう。
4.8割は「人」が漏洩させる。個人情報漏洩の3つの典型
漏洩事件の8割が「人」によるものです。いわゆる人災です。犯罪にかかわるものもあれば、ケアレスミスによるケースもあります。
その典型を見ていきましょう。
4-1.悪意による漏洩
- データ悪用(転売目的で、USBでのデータ持ち出しなど)
- 不正アクセス(サイバー攻撃、Winny等のソフトなど)
以上などの犯罪行為が主で、
・ 名簿屋への転売
・ カードの不正使用
など、会社の従業員やデータ管理委託先の人間の悪意による人災が原因の漏洩は大変多いのです。ベネッセやドコモなどの大規模な情報漏洩事件の大半が、データや名簿転売目的という犯罪にかかわる事案でした。
4-2.「うっかりミス」悪意のない人的ミスによる漏洩
2. 誤破棄
3. 送信ミス
4. 操作ミス など・・・
実は漏洩事件や事故の大半は従業員などの「うっかりミス」から起こる漏洩なのです。
うっかりミスと言えども、皆さんの個人情報がもしその中に含まれていたとしたらたまったもんじゃありませんよね。
4-3.機械的なミスによる漏洩
a. システム障害など
上記の通り、うっかりミスなどのヒューマンエラーや悪意のある犯罪行為まで、個人情報漏洩の大半が「人」が引き起こすのです。
【個人情報が漏洩すると被害は甚大になる】
企業や会社の場合の被害総額は億単位となる!
シマンテックの調査記事によると、情報漏洩が発生すると顧客への賠償だけでなく、原因の究明、再発防止策の実施、信用喪失による顧客離れなどにより、企業が負うコストは、平均で2億71万9847円に上るといいます。
そこで、皆さん個人でも、会社としても個人情報漏洩を引き起こさないために日頃から確実に出来る予防策がありますので、参考にして実践してみて下さい。
5.個人や会社でも実践できる個人情報漏洩の心構えと予防策
まず、皆さんの心構えとして、
“個人情報漏洩は必ず起こる”
ということを大前提で予防策を実践していきましょう。
皆さん個人レベルでも日常生活や勤務先でのうっかりミスなどを減らし、皆さん自身の情報や顧客の情報を外部に漏らさないよう実践できることがあります。
また会社や企業では、全社的に取り組むべき予防策や漏洩時のリスクヘッジの手段はコストをかけてでも導入していきたいところです。 個人/会社それぞれ即実践すべき予防策をまとめましたので参考にして下さい。
5-1.《個人が実践すべき個人情報漏洩7つの予防策》
1.電子メールやFAXの送信先を必ず再確認する
送る前にアドレスや送り先を必ず確認する習慣をつけましょう。急ぎで送るときなどは要注意です。送信ボタンの前に「一旦停止」が肝心です。
2.職場から持ち出したデータの管理を再度徹底する
個人情報が入ったPCやUSBメモリ、書類などを、職場から持ち出した際には、置き忘れ、紛失、置き引きや盗難などのリスクが必ずあることを再認識しておきましょう。また職場の情報持ち出しルールが規定されている場合は、再度確認し必ず遵守するようにしましょう。
3.書類は必ずシュレッダーなどで廃棄する
そのままゴミ箱へポイは言語道断です。職場によっては個人情報が記載された書類が大量にある場合もあるでしょう。必ずシュレッダーを使用し廃棄しましょう。また、用紙が大量になる場合クロネコヤマトの「機密文書溶解サービス(有料)」などを利用するのも一つの方法です。
4.パスワードは定期的に変更する
スマホやPC、オンラインゲーム、ネットバンキングなど様々なサービスで使われるパス ワード。絶対に簡単なIDやパスワードは避け、定期的に変更しましょう。そうすることで盗難され悪用される被害に巻き込まれる確率は極めて下がります。
5.ウイルス対策ソフトを必ず入れ、更新も確認する
ウイルスによってあなたのIDやパスワードが盗み出され悪用されるのを防ぐため、きちんとソフトが機能してるいのか確認しましょう。またソフトの更新も必ず確認しましょう。
設定などが難しいと思う方は、必ず詳しい人に聞きましょう。近所のPCショップでも設定確認してくれますので不安な方は必ず見てもらいましょう。
6.安全確認がとれてないWEBサイトで気軽に情報を記入しない
金融機関やSNS、オークションサイトを装った「フィッシング詐欺」のサイトでの被害があとを断ちません。皆さんもそのサイトは本当に安全なのかを確認してからあなたの個人情報などを記入するようにしましょう。
7.ファイル交換ソフトを利用しない
Winnyなどのファイル交換ソフトによってウイルスが侵入するケースや、個人情報が漏洩するケースが依然として多いのです。個人情報漏洩を防ぐという意味でも利用しないことをおすすめします。
このように、皆さん個人で今日からでも実践できることの中には「うっかりミス」を防ぐものがとても多くありました。どれも大変重要ですので、設定やテクニカルなことでわからないことがある場合は、必ず詳しい方に聞いておきましょう。
一つ一つの項目を実践して、あなた自身を犯罪から守りましょう。
5-2.《会社が取り組むときに注意したい6つの確認ポイント》
1、社長をはじめとする経営者層が主導して取り組む
会社全体として個人情報に関する意識を高めるためには、担当責任者レベルではなく社長をはじめとする経営陣が主導して推進していきましょう。経営陣の高い意識が社員一人一人の意識を高めることに必ずつながります。
2、社内で対策の実施内容(セキュリティーポリシーなど)を明示する
社内で取り決めた実施内容は会社のセキュリティーポリシや実施要項として、全社員に確実に明示し、それに沿った対策を実施していきましょう。
3、守秘義務に関する書面を必ずとり交わす
個人情報を守るために採用・退社の際に会社で知り得た情報を口外しないなどの、守秘義務を遵守する契約書面を必ずとり交わしましょう。
4、会社のWEBサイトやソフトのセキュリティ対策を定期的に実施する
会社で運営しているWebサイトやソフトウェアにセキュリティ上の問題点があると、それを悪用して攻撃され、社外不出のデータを盗み出されたりすることも想定されます。サイト運営責任者とも十分確認し、必ずセキュリティ上の抜け穴を作らないようにしましょう。
5、データにアクセスできる従業員を制限する
顧客データや重要機密などの情報にはアクセス制限をし、業務上必要な従業員のみ閲覧できるようにすることも大切です。一般社員の誰もがあらゆるデータを閲覧できてしまうのは個人情報を守る観点からしても大変危険といえます。
6、全従業員と個人情報保護の教育を定期的に実施する
会社のセキュリティーポリシーに沿って、全社員が個人情報保護の意識を高く持ち続けるには、定期的な勉強会やセミナーなどが必要です。社内SNSや回覧板などでも定期的に個人情報の取扱い方のメモなど回し、個人情報の重要性の周知徹底をはかりましょう。
7、会社には漏洩事故の場合、莫大な費用がかかることを再認識しておく
顧客への謝罪にとどまらず、原因究明費用やシステムの再構築費用、復旧の間の生産性低下、ときにはマスコミ対応や新聞への社告掲載など、会社が受ける損害は直接間接問わず甚大な被害となります。なので、情報漏洩対策には時間と金をかける意味があることを再度認識しておきましょう。
個人・会社でも個人情報漏洩の予防策として実践できることの多くは、日頃からの意識付けが大切であることがわかりました。安易な書類廃棄やメール送信など、一旦停止をして確認するといった基本的な行動を心がけることで、皆さんの大切な個人情報を守ることに繋がって行くのです。
まとめ
- 個人情報漏洩の損害賠償の判例を見ても、個人一人当たりの賠償金額は少ない
- センシティブ情報の漏洩でも最高額は一人当たりの慰謝料は3万円程度
- 訴訟する理由は、個人への慰謝料というよりも、企業への制裁措置の意味合いが強い
- 個人一人で訴訟するのは費用対効果を考えてもあまり現実的ではない
- 個人情報漏洩は「人」が起こす。個人でも会社でも普段からの初歩的な心がけが予防の第一歩となる