(執筆者:弁護士 岸野 正)
【Q.】
先日、個人情報漏えいに関する大きな事件がありましたが、企業活動において個人情報が漏えいした場合、どのような法的責任を負う可能性があるのでしょうか。
【A.】
1.個人情報の定義
個人情報とは、「個人情報の保護に関する法律」(個人情報保護法)において、「生存する“個人に関する情報”であって、特定の個人を識別することのできるもの」とされています。氏名、性別、生年月日のほか、身体、財産、職業等の属性に関して、事実、判断、評価を表す全情報を含み、一般に公開されている情報や、暗号化され管理している情報であっても該当すると考えられています。
企業間の取引契約においても、個人情報の定義は、個人情報保護法の定義に基づく場合が一般的と思われますので、この場合、企業活動において取り扱う、比較的、広範の情報が個人情報に該当することになります。
2.企業の責任について
個人情報の漏えいの際に、企業に生じうる責任としては、概ね、(1)個人情報保護法に基づく責任、(2)取引契約に基づく債務不履行責任、(3)当該個人情報の特定個人に対する不法行為責任が考えられます。
(1)個人情報保護法
個人情報のデータベース(容易に検索可能で体系的に整理された情報の集合物)等を有し、過去6か月の期間内にデータベース等を構成する個人情報(個人データ)によって識別される個人数が5000人を超える日が1日でもあれば、個人情報取扱事業者として同法が適用されます。ただし、他人が作成したデータベース等でこれを編集・加工することなく利用する場合は、個人数から除外されるものもあります。
個人情報取扱事業者には、同法の義務(利用目的の範囲内での個人情報取り扱い、従業者に対する監督、個人データの第三者提供の制限等)が生じます。ただし、漏えいが発生して、即座に罰則(刑事罰)が適用されるわけではありません。主務大臣に対する必要な報告を怠ったり、是正勧告後さらに命令にも応じないような場合に、罰則(刑事罰)が適用されることになります。具体的な同法の運用は、事業分野ごとに所管官庁からガイドラインが公表されていますので、そちらを参考にしてください。
(2)取引契約
自社に個人情報保護法の適用がなくとも、取引先に適用がある場合、取引先から個人情報取扱事業者と同等の義務を求められることも考えられます。この場合、義務に違反しても同法違反にはなりませんが(ただし、取引先の営業秘密に該当すると不正競争防止法に違反する場合がある)、取引先との関係では契約違反となり、取引先から債務不履行責任(契約内容に応じて契約解除、損害賠償等)を追及される可能性があります。
また、下請先等に業務を再委託して、あわせて業務に必要な個人情報を提供する際には、下請先等で生じた個人情報漏えいでも、取引先との関係では自社に帰責される旨の取り決めがなされることが通常と考えられます。漏えいが生じた場合、件数によっては、個人対応で莫大な費用が発生するだけでなく、取引先の信用を大きく毀損して、その損害賠償額も多額に及ぶ可能性があります。
(3)特定個人
自社の個人情報の取り扱いに起因して、特定個人のプライバシーが侵害されて損害が生じた場合には、不法行為責任を負う可能性があります。その際は、情報の性質により、損害の程度は異なります。とくに、思想、信条、宗教、人種、病名といった機微情報が含まれる場合には、通常の損害額よりも高額になる傾向があります。
3.情報漏えい事件の影響
今般の事件を受けて、個人情報の管理体制への関心も高まっており、取引先からの管理体制の確認・徹底の要請も経験されていることと思います。経済産業省でも、企業内での情報管理や情報の委託先企業への監督を強める方向でガイドライン改正の動きがあるようですので、この動向にもご留意ください。