情報漏洩の事故は後を絶ちません。特に個人情報を扱う企業では、適切なリスク管理が必要となるでしょう。自社で起こりうる情報漏洩の種類や、万が一情報漏洩が発生した場合の損害賠償額を適切に把握しておくことが重要です。本記事では、情報漏洩による損害賠償の相場や事例、影響などを解説します。
Cloud Mail SECURITYSUITEのサービス資料を受け取る
目次
情報漏洩で企業が損害賠償請求されることはある?
情報漏洩とは、個人情報や機密情報が外部に漏洩することです。故意または過失による情報漏洩は、民法上の不法行為または債務不履行に該当し、損害を受けた相手から賠償請求される場合があります。
たとえ故意の情報漏洩を起こさなくても、不注意やセキュリティの甘さといった過失により情報漏洩が発生するリスクは避けられません。多くの企業で対策が必要といえるでしょう。
関連記事:情報漏洩とは?原因やリスクと企業が取るべき対策をわかりやすく解説
個人情報漏洩による損害賠償請求権に時効はある?
損害賠償請求権には消滅時効があり、不法行為に基づくものか債務不履行に基づくものかによって時効となる時期が変わります。
不法行為に基づく損害賠償請求権の時効は、民法724条で規定では、「被害者が情報漏洩を知ったときから3年間」または「情報漏洩があったときから20年間」のいずれか早い時期とされています。
一方、債務不履行に基づく損害賠償請求権の時効は、民法166条1項で規定されており、「被害者が情報漏洩を知ったときから5年間」または「情報漏洩があったときから10年間」のいずれか早い時期です。
情報漏洩による損害賠償金額の相場
NPO日本ネットワークセキュリティ協会「情報セキュリティインシデントに関する調査報告書」に掲載された計算式によれば、情報漏洩による損害賠償の金額に影響を与える要素は、「漏洩情報の価値」「漏洩元企業の社会的責任度合い」「事後対応の方法」です。
そのほか、実際の訴訟では二次被害の有無などの要素も総合的に評価されると考えられます。インシデントの規模が大きいほど、賠償額も高額になるでしょう。
参考:情報セキュリティインシデントに関する調査報告書 第1.0版|NPO日本ネットワークセキュリティ協会
自社で管理する個人情報が漏洩した場合
自社で管理する個人情報が漏洩したケースの損害賠償金額の相場は、1人あたり28,308円です(2016年〜2018年の3か年平均)。
被害者の人数が多いほど賠償額は高額となるため、自社が扱う個人情報の数に応じてリスクを想定する必要があります。また、大規模な漏洩では集団訴訟に発展するケースもあります。
参考:インシデント損害額調査レポート第2版│JNSAインシデント被害調査WG
他社から委託されて管理する個人情報を漏洩した場合
通常、事故への対応は委託元企業が行いますが、対応に要した費用を損害賠償金として請求される可能性があります。
自社だけでなく委託元企業にも過失がある場合は全額負担とならないこともあります。しかし、被害者への賠償額だけでなく事故対応にかかったコスト全体が算定されるため、数千万円から数億円と高額になる場合もあるでしょう。
クレジットカード情報を漏洩した場合
近年、クレジットカード情報の漏洩事故は増加傾向にあります。特にECサイトの不正利用による情報流出が顕著です。
情報漏洩による損害賠償の金額は、不正利用された金額やカードの再発行費用などにより変動します。不正利用の被害額は1枚あたり平均10万円程度、再発行手数料は約1,100円程度です。
流出したカードの数が多くなるほど被害者が増え、賠償額も膨らみます。
他社の機密情報を漏洩した場合
事業で扱う情報のうち、機密情報にあたるのは外部への公開を予定していない重大な情報です。例えば、新製品の情報や新築建物の図面、顧客リストなどが該当するでしょう。営業秘密漏洩の損害賠償額は高額になりがちで、数億円規模の訴訟が提起されることも珍しくありません。
個人情報の漏洩による損害賠償請求の事例
ここでは、実際に発生した個人情報漏洩に関する損害賠償請求の事例を紹介します。
大手教育サービス関連会社の顧客情報漏洩
大手教育サービス企業のシステム開発・運用を行っていたグループ企業の業務委託先企業に勤務していた元従業員が、顧客情報を不正に持ち出して売却し、約4,858万人分の氏名、性別、生年月日、住所、電話番号など10項目の個人情報が漏洩した事例です。損害賠償額は1人あたり3,300円でした。
管轄裁判所であった東京地裁は「漏洩情報により個人を特定し平穏な私生活に影響が及ぶものの、信条や病歴、信用情報のような秘匿性の高い情報は含まれていない(要約)」と判断しています。
エステサロン運営企業の顧客アンケートデータ漏洩
エステサロン運営企業のサーバ移設時に、システム運用を担当していた関連企業がアクセス権限の設定を誤り、特定のURLにアクセスすれば誰でも情報を閲覧可能な状態になっていた事例です。
会員5万人分の個人情報が漏洩して匿名掲示板で拡散され、迷惑メールなどの二次被害も発生しました。この個人情報には住所、氏名、電話番号、職業のほか、スリーサイズなどの身体的な情報も含まれていました。
裁判では、秘匿性の高い身体情報が漏洩したことが加味され、賠償額は原告14名のうち13名が3万5000円、1名が2万2000円とされました。
機密情報の漏洩による損害賠償の事例
続いて、機密情報の漏洩によって請求された実際の損害賠償事例を紹介します。
回転寿司チェーンの元役員による転職先への営業秘密漏洩
回転寿司チェーンの元取締役が同業他社へ転職し、仕入れ価格や売上データなどの営業秘密を漏洩した事例です。転職先の企業は不正競争防止法違反に問われ、罰金3,000万円の支払いを命じられました。
この事例の場合は個人による情報漏洩ですが、法人も罰金を支払う結果となりました。
建築資材メーカー元代表取締役による他社への機密情報漏洩
原告である建築資材メーカーの元代表取締役が、不正な利益を得る目的または原告企業に損害を与える目的で、被告である同業他社に早見表の数値などの営業秘密を漏洩した事例です。被告企業は、不正に取得した営業秘密を事業に活用していました。
この事例では不正競争防止法違反により、被告企業は1,240万2,000円および年3%の金銭を支払うよう命じられました
企業が情報漏洩するとどのようなリスクがあるのか
情報漏洩が発生すると、企業はさまざまな面で影響を受ける可能性があります。ここでは情報漏洩のリスクを解説します。
金銭的な損失が生じる
情報漏洩による金銭的な負担は慰謝料や弁護士費用だけではありません。事後対応や再発防止策の策定・実施にも多くの費用がかかります。
さらに、事故対応に追われて本来の業務が停滞し、売上が低下したり機会損失が発生したりする場合もあります。顧客の信頼を損ねた場合、長期的な業績悪化につながる可能性もあるでしょう。
企業の信用が低下する
情報漏洩は、企業の信用にもかかわります。事故の規模が大きい場合や企業の知名度が高い場合は一般のニュースでも報道され、消費者全般が抱く企業イメージが損なわれる恐れもあるでしょう。
顧客や取引先の信頼が低下すると、新規契約の減少や取引の停止、株価の下落などのリスクが生じます。
従業員が疲弊する
情報漏洩の規模や内容によっては、事後対応のためにコールセンターを設置するなど業務が増加する場合があります。企業の代表電話や問い合わせ窓口にクレームが殺到することもあるでしょう。
このような状況が続くと、実際にクレームや問い合わせを受ける現場の従業員が疲弊してしまいます。
二次被害が広がる恐れがある
漏洩した個人情報が悪用される、企業が運営するサイトに不正アクセスされるなど、1件の情報漏洩が連鎖して新たな被害を生み出す場合もあります。
二次被害の有無は、損害賠償の金額に影響します。さらに、早急に適切な手を打たないとどんどん被害が広がってしまうため、迅速な対応が必要となるでしょう。
情報漏洩を未然に防ぐための手段
情報漏洩のリスクを下げるため、企業全体で予防策を講じましょう。ここでは情報漏洩を防ぐ手段を解説します。
セキュリティ対策を強化する
まずは、基本となるセキュリティ対策の強化が不可欠です。セキュリティソフトの導入など、外部からの攻撃に対する防御を強化しましょう。外部へのデータ持ち出しやアクセス権限にも制限をかける必要があります。
ただし、自社のセキュリティ対策が万全であっても、関連企業を足がかりに不正アクセスされる場合もあります。グループ企業や取引先などを含め、ネットワーク全体での対策強化が重要です。
情報取り扱いのルールを定める
情報漏洩が起こりにくい業務フローの構築も有効です。予算などの問題ですぐにセキュリティソフトを導入できない場合でも、フロー構築は比較的コストがかからないため直ちに取り組めます。
個人情報や営業秘密、インサイダー情報など、情報の種類に応じて適切な取り扱いルールを設けましょう。
従業員の情報リテラシーを向上させる
従業員の知識不足や不注意、初歩的なミスが原因で生じる情報漏洩を防ぐため、社内研修などの施策で企業全体の情報リテラシーを高めましょう。
不審なメールを開かない、業務用の端末を私的利用しない、異変を感じたらすぐに端末をネットワークから切断するなど、1人ひとりが適切なリスク管理を行えば情報漏洩を防げる可能性が高まります。
もしものときの事後対応方法を決めておく
万が一情報漏洩が発生した場合、被害拡大を防ぐためには迅速かつ適切な対応が必要です。損害賠償額の算定においても、適切な事後対応が取られたかどうかが考慮されます。
もしものときに備え、情報漏洩に対する対応フローを事前に整備しておきましょう。漏洩情報の種類や漏洩経路に応じて、適切なフローを構築することが重要です。
まとめ
個人情報漏洩や機密情報漏洩が起こると、慰謝料として損害賠償を請求される場合があります。それだけでなく、事後対応や再発防止策の負担もあるため、企業が被る損害はさらに大きくなるでしょう。セキュリティ強化やルール・フローの整備、従業員教育を行い、情報漏洩を未然に防止することが重要です。
サイバーソリューションズが提供する「Cloud Mail SECURITYSUITE」「MAILGATES Σ」は、現在の環境のままセキュリティを高められるメールセキュリティサービスです。自社のセキュリティ対策を考えているなら、ぜひ以下のリンクから詳細資料をダウンロードしてみてください。
