Q 当社は、顧客の申込書のデータ入力作業を外部業者に委託していますが、今回顧客情報が第三者に漏れていることが判明しました。漏えいルートとして考えられるのは、当社社員か委託先社員で、いずれかが情報を持ち出して名簿業者に販売した可能性があります。このような場合、当社に法的責任はありますか。また今後、どのようなことに注意すればいいのですか。
A 漏えい元の事業者たる貴社は、プライバシー権侵害に基づく民事上の責任および個人情報保護法に基づく責任という法的責任を負う可能性があります。また、大規模な漏えい事件は社会的にも大きな影響を与えるため、会社の社会的信用の毀損(きそん)や、事後対応に多大な費用・労力を要するなど、会社に与える影響は甚大ですので、迅速かつ適切な対応が必要です。
プライバシー侵害に関する責任と個人情報保護法による規制
顧客の住所、氏名などの個人情報が第三者に漏れた場合、情報の悪用がなくともプライバシー侵害になります。個人情報の管理に過失が無くても、貴社は民法の使用者責任に基づいて本人に慰謝料の支払い責任が発生します。
データを持ち出した社員は、本人に対し民事上の不法行為による損害賠償義務を負うのは当然ですが、場合によっては刑事上の責任も発生します。会社のUSBメモリーなど記憶媒体を使用した場合は窃盗になりますし、私物の記憶媒体を使用した場合は窃盗ではなく、不正競争防止法の営業秘密侵害に問われることになります。
個人情報保護法(以下法という)は、平成29年5月30日に改正法が施行されました。法では、過去6カ月以内において5000人分を超えない個人データを保有するにすぎない場合には法の適用を受ける「個人情報取扱事業者」から除外されていましたが、改正によって個人データを扱う者は、すべて改正法の規制を受けることになったため注意が必要です。
改正法では、保有する個人情報が漏えいすることがないように、個人情報取扱事業者について必要かつ適切な措置を情報管理に講じなければならないと規定され、さらに従業者と委託先への監督に関しても特別に規定しています。
従業者と委託先への監督
個人情報取扱事業者は個人データの安全管理が図られるよう、従業者と委託業者に必要かつ適切な監督を行う必要があります。外部委託は設問のような場合だけでなく、給料計算を会計事務所に委託したり、社会保険関係の事務を社会保険労務士事務所に委託したりすることが考えられます。監督不十分であれば事業主は被害者との関係で漏えいに過失ありと認定されることになります。
従業員への監督方法としては、個人情報の取扱規定を作ったり誓約書の提出を求めたりする、教育研修や実施、監査を実施して必要な警告や注意を与えるなどが挙げられます。
また、委託先への具体的な監督
方法は、①適切な委託先の選定、②委託契約の締結、③個人データの取扱状況の把握が必要です。
漏えいなどが発生した場合の対応
実際に個人情報の漏えいが発生した場合は、個人情報保護委員会より出されている「個人データの漏えい等が発生した場合等の対応について」という告示を参考に対応を図っていきます。告示では、個人データの漏えい、滅失、毀損などや、その恐れが発覚した場合には、①事業者内部での報告と被害の拡大防止、②事実関係の調査と原因の究明、③影響範囲の特定、④再発防止策の検討と実施、⑤影響を受ける可能性のある本人などへの連絡、⑥事実関係と再発防止策の公表などの措置を講じることが望ましいとされています。
また、漏えいなどの事案が発覚した場合、原則として個人情報保護委員会への報告が必要ですが、実質的に個人データなどが外部に漏えいしていないと判断される場合やメールなどの誤送信、荷物の誤配などのうち軽微なものは例外的に報告は不要とされています。 (弁護士・岡田 尚人)
お問い合わせ
会社:Supported by 第一法規株式会社
住所:東京都港区南青山2-11-17
電話:03-3796-5421
