新規_個人情報保護法に違反すると罰則がある？弁護士がわかりやすく解説

個人情報保護法とは

はじめに、個人情報の保護に関する法律（以下、「個人情報保護法」といいます）の概要を解説します。

個人情報保護法の目的

個人情報保護法は、第1条で次のように目的を定めています。

• この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

これを読み解くと、個人情報保護法の目的は次の3つです。

1. 行政機関等の事務と事業の、適正かつ円滑な運営を図ること
2. 個人情報の有用性に配慮すること
3. 個人の権利利益を保護すること

「個人情報の保護に関する法律」との名称から個人情報の保護だけが目的とされていると思われがちであるものの、有用性などとのバランスも考慮されています。
実際に、個人情報をマーケティング分析などに活用しやすくなるよう一定条件のもとで加工した「仮名加工情報」や「匿名加工情報」などについても定められています。

個人情報を守るためだけの法律であると考えている場合、一度全文を一読するか、自社での運用方法について弁護士にアドバイスを受けるなどするとよいでしょう。

個人情報保護法は頻繁に改正される

個人情報保護法は、改正が頻繁になされる法律の一つです。
これは、個人情報の保護に関する国際的動向や情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出と発展の状況などを踏まえて、3年ごとに見直すべきとされているためです。

改正によって公表（または個別通知）が必要な事項などが追加された場合、企業のプライバシーポリシーを見直す必要が生じます。
必要な対応が漏れてしまうと罰則の適用対象となる可能性があるため、改正情報を定期的に確認しなければなりません。

個人情報保護法に違反した場合の罰則

個人情報保護法に違反した場合、どのような罰則の対象となるのでしょうか？
ここでは、個人情報を取り扱う事業者に対して適用される可能性がある罰則に絞って状況ごとに解説します。

立入検査に応じなかった場合など

個人情報保護委員会は、個人情報などを事業の用に供している事業者に対して必要な報告や資料の提出を求めることや、事業所などへの立入検査をすることができます（個人情報保護法146条）。
これについて次の対応をした場合は、50万円以下の罰金の対象となります（同182条1項）。

• 報告や資料の提出をしない
• 虚偽の報告や虚偽の資料提出をした
• 職員の質問に対して答弁しない、虚偽の答弁をした
• 検査を拒み、妨げ、もしくは忌避した

また、法人の代表者や従業員などが業務に関して違反行為をした場合は、違反者のほか、法人に対しても別途50万円以下の罰金刑が科されます（同184条1項2号）。

個人情報保護委員会の命令に違反した場合

個人情報を取り扱う事業者が個人情報保護法上の一定の規定に違反した場合であり、個人の権利利益を保護するため必要があると認めるときは、個人情報保護委員会は違反行為の中止などの勧告ができます（同148条1項）。

事業者がこの勧告に応じない場合には、個人情報保護委員会は勧告に従うよう命令ができます（同2項）。
また、個人の重大な権利利益を害する事実があるため緊急に措置をとる必要がある場合は、勧告を経ることなく命令することが可能です（同3項）。

事業者が個人情報保護委員会による命令に違反した場合は、1年以下の懲役または100万円以下の罰金の対象となります。
なお、法人の代表者や従業員などが業務に関して違反行為をした場合は、違反者のほか、法人に対しても1億円以下の罰金刑が科されます（同184条1項1号）。

不正利用のために個人情報データベース等を盗用した場合等

事業者が過失によって個人情報が漏洩させても、これ自体で直ちに罰則が適用されるわけではありません。
しかし、事業者自身や従業員、元従業員などが業務に関して取り扱った個人情報データベース等を自己や第三者の不正な利益を図る目的で提供したり盗用したりしたときは、これ自体が罰則の対象となります。

この場合の罰則は、1年以下の懲役または50万円以下の罰金です（同179条）。
なお、法人の代表者や従業員などが業務に関して違反行為をした場合は、違反者のほか、法人自身も1億円以下の罰金刑の対象となります（同184条1項1号）。

個人情報保護法に違反した場合の罰則適用以外のリスク

個人情報保護法に違反した場合、罰則の適用以外にはどのようなリスクが生じるのでしょうか？
ここでは、個人情報保護法への違反時に起きる可能性がある罰則以外の主な事態について解説します。

• 違反の事実が公表される
• 損害賠償請求がされる
• 企業の信頼が低下する

違反の事実が公表される

個人情報保護委員会は、個人情報を取り扱う事業者が命令に違反した場合、その旨を公表できるとされています（同148条4項）。
命令に違反した場合は、この規定に従って事業者名や違反の内容などが公表される可能性があります。

損害賠償請求がされる

個人情報保護法に違反して個人情報漏洩などが発生した場合、その情報が示す本人などから損害賠償請求をされる可能性があります。
損害賠償の適正額は漏洩した情報の内容や二次被害の有無、程度などによって異なるため、決まった相場があるわけではありません。

ただし、過去の判例などを見ると、漏洩した個人情報にセンシティブな情報が含まれていない場合は、3,000円から5,000円程度とされることが多いようです。

• ベネッセコーポレーション事件（東京地方裁判所平成30年12月27日判決）：1人あたり3,300円（慰謝料3,000円、弁護士費用相当300円）
• Yahoo!BB事件（大阪高等裁判所平成19年6月21日判決）：1人あたり6,000円（慰謝料5,000円、弁護士費用相当1,000円）

これは一人あたりの賠償額であり、漏洩した個人情報の数が多いと賠償額が莫大となる可能性があります。
また、前科や病歴など配慮が必要な個人情報が漏洩した場合や、クレジットカード番号などの漏洩で金銭的な被害が生じた場合、賠償額はさらに高額となります。

企業の信頼が低下する

個人情報保護法違反は漏洩などの重大事案が生じた場合、たとえ個人情報保護委員会から公表されなかったとしても、これを隠し通すことは困難でしょう。
なぜなら、企業の責任としてホームページ上などに謝罪文を掲載すべきことが多いほか、漏洩された情報が示す本人に個々に通知をした場合にこれを本人がSNSなどで投稿する可能性もあるためです。

個人情報の漏洩が広く知られることとなると、企業の信頼が低下してしまいかねません。
特に、隠蔽であると判断されると、回復が困難なほど企業イメージが低下するおそれがあります。

万が一漏洩が生じた場合は早期に弁護士へ相談のうえ、事案に応じた適切な情報公開や本人への謝罪、個人情報保護委員会への報告などを行ってください。

企業が個人情報保護法に違反しないための対策

企業が個人情報保護法に違反したり個人情報を漏洩させたりしないためには、どのような対策を講じればよいのでしょうか？
最後に、個人情報保護法への違反や個人情報漏洩を生じさせないための対策について解説します。

• 法令やガイドラインを理解する
• 従業員教育を徹底する
• 適切なルールを設定する
• セキュリティソフトを最新化する
• 定期的に弁護士へ相談する

法令やガイドラインを理解する

1つ目は、個人情報保護法や施行規則などの法令のほか、ガイドラインを読み込んで理解することです。
これらを確認することで、自社が行うべき対応の判断がしやすくなります。

自社での読み込みが難しい場合は、個人情報保護法にくわしい弁護士からレクチャーを受けることも一つの方法です。

特に、個人情報保護法は頻繁に改正される法律の一つです。
改正法への対応が漏れて違法状態となる事態を避けるため、法令やガイドラインは定期的に確認することをおすすめします。

従業員教育を徹底する

2つ目は、従業員教育を徹底することです。

たとえ役職者が個人情報保護の必要性を理解し対策を講じていても、一部の従業員が杜撰な対応をすれば個人情報が漏洩するおそれがあります。
個人情報を1件でも取り扱うすべての従業員が、個人情報の取り扱いルールや違反時に起き得る事態などを正しく理解しておかなければなりません。

そのため、定期的に従業員研修を実施することをおすすめします。

適切なルールを設定する

3つ目は、個人情報の取り扱いに関する適切なルールを設定し、実行することです。
たとえば、次の内容などが想定できます。

• 入退室管理の徹底
• 業務用PCや携帯電話の取り扱いルールの設定（社外持ち出し禁止や、パスワード設定の徹底など）
• USBメモリの使用制限
• 個人情報の入ったパソコンのアクセス制限（アクセスできる者の限定）やログ管理の徹底
• カメラ付きスマートフォンの持ち込みの制限
• SNSの使用ルールの設定
• 在宅勤務で個人情報を取り扱うのであれば、取り扱い時のルール設定

ただし、設定すべきルールはその事業所が取り扱う個人情報の内容や種類、業務の内容によって異なるため、個別で検討しなければなりません。
また、ルールだけを定めても、ルールが実態に合っておらず守られなければ意味がないでしょう。

そのため、自社の実態に即した実行可能なルール作りが必要です。

セキュリティソフトを最新化する

4つ目は、セキュリティソフトを最新に保つことです。

個人情報は、不正アクセスなどにより意図せず漏洩する場合もあります。
不正アクセスはランダムに仕掛けられる場合もあるほか、著名な企業などでは狙いを定めて攻撃が仕掛けられる場合もあるため注意が必要です。

不正アクセスなどによる漏洩の可能性を引き下げるには、セキュリティソフトを最新に保つなどの対策が必要です。
また、取り扱う個人情報の内容などによっては、外部ネットワークから切り離した端末でのみ個人情報を取り扱うことも対策の一つとなるでしょう。

定期的に弁護士へ相談する

5つ目は、個人情報保護法にくわしい弁護士へ定期的に相談することです。

先ほど解説したように、個人情報保護法やガイドラインは頻繁に改正されます。
当初は法令に即した対応をしていても、改正により法令違反となる可能性は否定できません。

たとえば、改正によって新たに公表が必要な事項が追加されたにもかかわらず、プライバシーポリシーにその旨を追記していない場合などが想定されます。

このような事態を避けるため、定期的に弁護士に相談し、自社のプライバシーポリシーや対応マニュアルが現行法に即しているか確認することをおすすめします。

まとめ

個人情報保護法に違反した場合の罰則や、その他のペナルティなどについて解説しました。

個人情報保護法により罰則が適用されるのは、原則として個人情報保護委員会からの検査を拒んだり命令に違反したりした場合のみです。
ただし、不正な目的で個人情報データベースなどを盗用した場合は、命令などを経ずにはじめから罰則の適用対象となります。
特に、業務の一環として違反をした場合には法人にも非常に重い罰金刑が科される可能性があるため注意が必要です。

また、罰則の適用以外にも、個人情報保護委員会から違反事例が公表される可能性や、個人情報を漏洩させた場合は本人から損害賠償請求がされる可能性があります。
個人情報保護法に違反したり情報を漏洩させたりすることのないよう、社内ルールの策定や従業員研修の実施をしたうえで、講じた対策やプライバシーポリシーの定期的な見直しをおすすめします。

自社だけでの対応が難しい場合は、個人情報保護法への対応にくわしい弁護士のサポートを受けるとよいでしょう。