個人情報保護法の義務
安全管理措置(法23条)
個人情報取扱事業者は、個人データの漏洩等の防止のために必要かつ適切な措置を講じなければなりません。
具体的な安全管理措置(ガイドライン)
- 組織的安全管理: 責任者の設置、規程の整備
- 人的安全管理: 従業者の監督、研修
- 物理的安全管理: 入退室管理、機器の施錠
- 技術的安全管理: アクセス制御、暗号化、ログ管理
漏洩時の対応義務(2022年改正)
個人情報保護委員会への報告義務(法26条1項)
以下の場合、報告が義務化されました(2022年改正前は努力義務)。
#### 報告が必要な漏洩等 - 要配慮個人情報の漏洩 - 財産的被害のおそれがある漏洩 - 不正の目的による漏洩のおそれ - 1,000人超の個人データの漏洩
#### 報告期限 - 速報: 事態を知った時から概ね3〜5日以内 - 確報: 30日以内(不正目的の場合は60日以内)
本人への通知義務(法26条2項)
報告義務がある場合、本人にも通知しなければなりません。
損害賠償リスク
民事上の責任
- 不法行為(民法709条): 漏洩した企業の賠償責任
- 使用者責任(民法715条): 従業員の過失による漏洩
- 債務不履行(民法415条): 利用規約上のセキュリティ義務違反
損害賠償額の相場(判例)
- 氏名・住所等の基本情報: 3,000円〜5,000円/人
- クレジットカード情報: 5,000円〜15,000円/人
- 医療情報等の要配慮個人情報: 10,000円〜30,000円/人
- 大規模漏洩の場合、総額が数億円に達することもある
行政上の制裁
- 勧告・命令(法148条): 違反した場合、個人情報保護委員会が是正命令
- 命令違反の罰則: 1年以下の懲役又は100万円以下の罰金(法178条)
- 法人の罰金: 1億円以下(法184条、法人重科)
漏洩防止のチェックリスト
- 個人情報保護方針(プライバシーポリシー)の策定・公表
- 安全管理措置の実施(4つの側面)
- 従業員への定期研修
- インシデント対応計画の策定
- 委託先の監督(法25条)
根拠条文
- 個人情報保護法23条(安全管理措置)、26条(漏洩等の報告・通知)
- 個人情報保護法148条(勧告・命令)、178条(罰則)、184条(法人重科)
- 民法709条(不法行為)、715条(使用者責任)