個人情報漏えいの影響と原因 | 企業の個人情報保護法への取組と事例:2018年版(5)

個人情報漏えいの影響と原因 | 企業の個人情報保護法への取組と事例:2018年版(5)

イントロダクション

「個人情報保護士」という資格があります。
民間資格ですが多くの企業で取得を推奨しており、取得後の実務への活用度も高いということで人気のある資格です。

この資格の学習体系は「制度の総論」と「保護対策と情報セキュリティ」の2つの軸で構成されています。
私自身この資格を保有しているわけではありませんが、社内の個人情報保護対策の立案や今回の記事のベースに多くを活用させてもらっています。

前回までの話で法律を中心とした制度についてお話をしてきましたが、実際の運用はどうすればいいのか具体的なイメージがわきにくかったかもしれませんが、今回以降「保護対策と情報セキュリティ」についてお話していきたいと思います。

スポンサーリンク

個人情報保護は何故必要か

個人情報を漏えいさせた場合の影響

そもそもの話ではあるのですが、企業が個人情報保護を行うのには理由があります。
個人情報保護を行うことのメリットももちろんですが、個人情報の漏えいによる影響・デメリットのほうが大きいでしょう。
個人情報の漏えいによる影響を紹介します。

法的な罰則がある

ここまで散々話してきた個人情報保護法には罰則があります。
刑事罰ですが、大きく3つあります。

1.第3回でお話してきた「個人情報取扱事業者の義務」を怠っており、個人情報保護委員会からの改善の勧告(措置命令)に従わなかった場合、
懲役6か月以下もしくは罰金30万円以下
2.個人情報保護委員会に対して報告を怠ったり、虚偽の報告をした場合、罰金30万円以下
3.個人情報を名簿業者に売却するような不正な利益目的での提供を行った場合、懲役1年以下もしくは罰金50万円以下

罰則は個人及び法人に適用されます。
個人情報の漏えいに関する罰則は3のみで、しかも利益目的での提供の場合のみ罰せられます。
ちなみに漏えいさせた企業に対する行政罰はありません。

損害賠償請求

個人情報を漏えいさせた企業自体は法律では罰せられませんが、情報を漏えいされた本人からの損害賠償請求があります。
信頼して預けた情報を管理体制が不十分であったりして流出させてしまった企業に対して、流出によって発生した経済的損失や精神的苦痛に対する損害を請求する裁判を起こされる場合があります。

過去の裁判の判例等から漏えいさせた個人情報の内容によって請求額も変わってきます。

JNSA(日本ネットワークセキュリティ協会)が発表している「JNSA 2017年情報セキュリティインシデントに関する調査報告書」の別紙にある損害賠償額の算出モデルを以下に引用します。

具体例として、平成7年の宇治市住民基本台帳データ流出事件の場合、賠償額は住民1人あたり10,000円でした。
宇治市の人口は約22万人ですので、宇治市は約22億円を損害賠償として支払ったことになります。

有名なところでは平成16年のヤフーBB顧客情報流失では約450万人の会員に対して500円の金券=22億5,000万円になります。
裁判所の判決は1人5,000円(500円の金券は判決前に送付されており、これを含むとしてる)となっており、額面通りに支払われれば単純に10倍、225億円の支払いになります。

近年では裁判になる前に企業が自主的に顧客に賠償費用を払うケースもあります。
1件当たりの支払額は少額ですが、情報漏えいの場合纏めて数万件という単位で発生するため、莫大な費用になります。

2,000件~3,000件であっても、機密レベルの高い情報で1件1万円の賠償になると2,000万円~3,000万円です。
中小企業の経営に影響を与えるには十分な金額でしょう。

社会的信用の低下→経営に大打撃

実際に一番大きな影響はこれでしょう。
平成26年のベネッセの顧客情報漏えい事件では、ベネッセの平成27年3月期の最終損益が107億の赤字、平成28年3月期の最終損益が82億の赤字になりました。
平成26年3月期の最終損益が199億の黒字であり、平成27年は上場以来初の赤字決算となりました。

これらの赤字は情報セキュリティ対策費用として特別計上されたものもありますが、営業利益は平成27年3月期で前年比18%減、平成28年3月期でさらに前年比63%減と急激に利益が減少しています。

また進研ゼミやこどもチャレンジなどの会員数も大幅に減少します。
平成26年には365万人いた会員数は平成27年に271万人、平成28年に243万人と大幅に減少。

ベネッセが最終損益を黒字に戻し、会員数の減少に歯止めがかかったのは平成29年3月決算(最終損益35億の黒字、会員数245万人)からで、事件発生から実に3年に渡り苦しみ、2018年現在未だに事件前の事業規模まで回復してはいません。

※上記情報はベネッセの発表数値及び当時の報道資料等を元にしています。

比較相手が大きいと思うかもしれませんが、個人情報漏えいに限らず不祥事があった会社の製品をすすんで購入することは、BtoCでもBtoBでも躊躇われるものです。
そして上記のようにいつまでも過去の事例として掘り返され、なかなか無かったことにはなりません。

一時的な罰金や賠償金以上に、企業の存続を脅かすリスクがあるのです。

個人情報漏えいはどのように起こるのか

これだけのリスクのある個人情報の漏えいはどのように起きるのでしょうか。
宇治市の事例もベネッセの事例も悪意のある人が名簿業者に情報を売却するという目的で漏えいしましたが、果たしてそれだけなのでしょうか。

「JNSA 2017年情報セキュリティインシデントに関する調査報告書」によると、情報漏えいの原因の65%近くは意図しない誤操作や紛失、管理や設定の不備によって発生しています。
不正な情報持出や内部犯行など、内部の情報管理によって防ぎえたもの除いた外部からの攻撃等による漏えいは25%程度です。

個人情報漏えいは悪意を持った外部ユーザーによるアタックよりも、内部での管理が不十分だったために意図せず流出させたもののほうが割合として多いのです。

個人情報保護という概念が社会に浸透してきた中で、意図的に個人情報を漏えいさせようとする人はほぼいません。
それでも「ついうっかり」漏えいさせてしまっているのです。

そしてその「ついうっかり」が企業の存続を揺るがしかねないリスクになるのです。
だからこそ企業はリスクを顕在化させないために個人情報保護を進める必要に迫られるのです。

スポンサーリンク

というかんじで社内の関心を高めていきましょう

こうした実例や数字を用いることで、「これだけの損失が発生するものなのか」「誤操作や紛失という身近な原因で起こりうるのか」ということが感じられるようになりやすいでしょう。

企業の個人情報保護の第一歩にして最も重要な対策は、社内全体で個人情報の取り扱いに注意を払う意識を高めることです。

もちろん大切なお客様の情報を慎重に扱わなければならないのは当然ですが、それだけで企業活動中で重要な時間を割くことは難しいのもまた事実です。

それが利益になる、もしくはその逆で損失につながるのであれば積極的な取り組みにつなげることができます。
ただ単に「個人情報保護は大切である」というだけでは目的が不明瞭です。
何かをさせる、してもらうには目的や効果を明確にしなければいけません。

今回のお話しの際に参考にさせていただいた過去の情報漏えいの事例等が紹介されているサイトをいくつかご紹介しておきます。

サイバーセキュリティ.com
みずほ中央法律事務所
JNSA 2017年 情報セキュリティインシデントに関する調査報告書

具体例をひきながら、「何故個人情報保護に取り組まなければいけないか」を浸透させていくきっかけにしていくよう考えていきましょう。


個人情報保護関連の記事を纏めました。

セキュリティカテゴリの最新記事