個人情報を1件でも取り扱う事業者は、個人情報保護法を遵守しなければなりません。
では、個人情報保護法に違反すると、直ちに罰則の適用対象になるのでしょうか?
また、個人情報保護法の罰則には、どのようなものがあるのでしょうか?
今回は、個人情報保護法の罰則について、弁護士がくわしく解説します。
<メディア関係者の方>取材等に関するお問い合わせはこちら
個人情報保護法とは
個人情報の保護に関する法律(通称「個人情報保護法」)とは、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする法律です(個人情報保護法1条)。
権利利益の保護だけに着目するのではなく、個人情報の有用性にも配慮されていることがポイントです。
これらの目的を達成するため、国や地方公共団体の責務のほか、個人情報を取り扱う民間事業者(「個人情報取扱事業者」といいます)が遵守すべき義務などが定められています。
なお、個人情報保護法には公表(または本人への通知)を求めている規定が多く、これを遵守するため、プライバシーポリシー策定し必要事項を公表しているケースが少なくありません。
しかし、個人情報保護法は3年ごとに見直すこととされており、改正が多い法律の一つです。
そのため、企業は一度遵守の体制を整備すればよいものではなく、改正の都度自社での対応やプライバシーポリシーを見直さなければなりません
対応が漏れて罰則の適用対象となる事態を避けるため、お困りの際は弁護士へご相談ください。
個人情報保護法で罰則が適用されるまでの流れ
企業が個人情報保護法に違反しても、原則として、いきなり罰則が適用されるわけではありません。
ここでは、個人情報保護法で罰則が適用されるまでの基本的な流れを解説します。
なお、個人情報取扱事業者やその役員・従業員・元従業員などが自己や第三者の不正な利益を図る目的で個人情報データベース等を提供または盗用した場合には、これらの流れによらず、はじめから罰則の適用対象となります(同179条。いわゆる直罰規定)。
個人情報保護委員会による報告徴収・立入検査が実施される
個人情報保護法への違反が疑われる場合、個人情報保護委員会による報告徴収や立入検査が実施されます。
具体的には、個人情報などの取扱いに関して必要な報告や資料の提出を求められるほか、個人情報保護委員会の職員が個人情報取扱事業者の事務所やその他必要な場所に立ち入って検査をすることとなります(同146条1項)。
なお、立入検査をする職員には身分証の携帯義務があり、関係人からの請求があった際はこれを提示しなければなりません(同2項)。
指導や助言、勧告や命令がなされる
報告徴収や立入検査の結果必要があると認められた場合には、個人情報保護委員会から必要な指導や助言、勧告や命令などがなされます(同147条、同148条)。
罰則が適用される
個人情報取扱事業者が報告徴収や立入検査に応じない場合や、命令に従わない場合などには、罰則が適用されます。
具体的な罰則の内容については、次でくわしく解説します。
個人情報保護法に違反した場合の主な罰則
個人情報保護法の罰則は、どのように定められているのでしょうか?
ここでは、個人情報保護法に違反した場合の主な罰則を、違反の内容ごとに解説します。
立入検査に応じない場合の罰則
個人情報保護委員会による立入検査に応じなかった場合などには、50万円以下の罰金刑の対象となります(同182条)。
この罰金刑の対象となるのは、次の場合などです。
- 必要な報告や資料の提出をしない場合
- 虚偽の報告をしたり虚偽の資料を提出したりした場合
- 個人情報保護委員会職員の質問に対して答弁をしない場合
- 虚偽の答弁をした場合
- 検査を拒んだり妨げたり、忌避したりした場合
なお、この場合は行為者が罰せられるほか、法人も50万円以下の罰金刑の対象となります(同184条。両罰規定)。
個人情報保護委員会の命令に違反した場合の罰則
個人情報保護委員会から命令が発せられたにもかかわらず、この命令に違反した場合には、1年以下の懲役または100万円以下の罰金の対象となります(同178条)。
また、この場合は行為者が罰せられるほか、法人も1億円以下の罰金刑に処される可能性があります(同184条)。
なお、命令違反をした場合には罰則の適用対象となることに加え、個人情報保護委員会により違反した旨が公表されることがあります(同148条4項)。
個人情報データベース等を不正提供した場合の罰則
先ほど触れたように、個人情報取扱事業者やその役員、従業員などが不正な利益を図るために個人情報データベース等を提供または盗用した場合は、その時点で罰則の適用対象となります。
この場合の罰則は、1年以下の懲役または50万円以下の罰金です(同179条)。
また、行為者が罰せられるほか、法人に対しても1億円以下の罰金刑が科される可能性があります(同184条)。
個人情報保護法による罰則以外の主なリスク
個人情報保護法に違反した場合、罰則の適用以外にどのようなリスクが生じる可能性があるのでしょうか?
ここでは、個人情報保護法の違反した場合に生じ得る罰則以外の主なリスクを解説します。
個人情報保護委員会への報告や本人通知が必要となる
1つ目は、個人情報保護委員会への報告や本人への通知が必要となる場合があることです。
個人情報保護法への違反の有無を問わず、一定の個人情報の漏えい等が生じた場合には、一定事項を個人情報保護委員会へ報告するとともに本人へ通知しなければなりません(同26条)。
まず、「漏えい等」とは、漏えいや滅失、毀損をいいます。
そして、個人情報保護委員会への報告や本人通知が義務付けられるのは、次のいずれかに該当する事態が生じ、または生じたおそれがある場合です。
- 要配慮個人情報の漏えい等
- 財産的被害のおそれがある漏えい等
- 不正の目的によるおそれがある漏えい等
- 1,000件を超える漏えい等
なお、「要配慮個人情報」とは、本人の人種や信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報を指します(同2条3項)。
また、「不正の目的のおそれがある漏えい等」は従業員などが不正の目的で漏えい等させた場合のみならず、不正アクセスにより個人データが漏えいした場合も該当する点に注意が必要です。
報告や本人への通知が必要なケースであるか否か判断に迷ったら、早期に弁護士へご相談ください。
損害賠償請求の対象となる
2つ目は、損害賠償請求の対象となる可能性があることです。
個人情報保護法への違反の有無を問わず、個人情報を漏えいさせた場合などには、損害賠償請求の対象となる可能性があります。
1件あたりの賠償額は数千円程度であることが多いものの、件数が多ければ賠償金の総額は高額となりかねません。
また、要配慮個人情報が漏えいした場合や、クレジットカード情報が漏洩するなどして金銭的被害が生じた場合などには、1件あたりの損害賠償額が高額となります。
少し古い事案ですが、2002年5月に発覚したエステティックTBCで身体の悩みの内容などを含む個人情報が流出した事件では、1人あたり3万5,000円の損害賠償が認められています。※1
個人情報を漏えいさせてしまった場合は、早期に弁護士へご相談ください。
その事案に応じた適切な対応や、損害賠償の適正額についてアドバイスいたします。
※1 日経クロステック:【速報】エステティックTBCの顧客情報漏洩、一人当たり3万5000円の賠償金
企業の信頼が失墜する
3つ目は、企業の信頼が失墜する可能性があることです。
個人情報の保護などプライバシー意識が高まっており、個人情報の漏えいについては厳しい目が向けられやすい傾向にあります。
そのため、杜撰な管理で個人情報を漏えいさせた場合や個人情報保護法への遵守意識が低いと思われる事態が生じた場合などには、企業の信頼が失墜するおそれがあります。
その結果、顧客が離れるなどして、長期的に業績が低迷するおそれがあるでしょう。
個人情報保護法違反で罰則の適用を受けないための対策
個人情報保護法に違反して罰則が適用される事態を避けるため、企業はどのような対策を講じればよいのでしょうか?
最後に、個人情報保護法に違反しないための主な対応を3つ紹介します。
自社における個人情報の取り扱い状況を定期的に確認する
1つ目は、自社における個人情報の取り扱い状況を定期的に確認することです。
一度体制を整備しても、時間の経過とともに従業員の意識が薄れ、杜撰な管理をされているかもしれません。
また、冒頭で解説したように、個人情報保護法は頻繁に改正される法律の一つです。
気付かない間に改正法が施行され、以前は適法であっても、現行法に照らせば違法状態となっているおそれもあります。
個人情報に違反して罰則が適用される事態を避けるため、定期的に自社の取り扱いを確認し見直すことをおすすめします。
従業員教育を徹底する
2つ目は、従業員教育を徹底することです。
個人情報の保護は、役員など社内の一部のメンバーだけが高い意識を持っているからといって実現できるものではありません。
定期的にプライバシーポリシーを見直したり社内規程を整備したりしていても、従業員の意識が低ければ個人情報保護法の遵守は困難です。
たとえば、リモートワークが広がっているなか、個人情報を取り扱う作業をカフェなど他者の目に触れる場で行ったり、セキュリティが脆弱なフリーWi-Fiにつないで行ったりしたことで個人情報が漏えいするおそれがあります。
また、個人情報の入ったパソコンを持ったまま飲み会などへ出向き、置き忘れにより個人情報が漏えいするリスクもあるでしょう。
このような事態を避けるためには、従業員の意識を高める工夫が必要です。
具体的には、定期的に従業員研修を実施して禁止事項やヒヤリハット事例などを分かりやすく伝えることが挙げられます。
講師は社内から募ることもできる一方で、他社の事例などにくわしい外部の弁護士などに依頼することも一つの手でしょう。
また、懲戒規程などを整備し、違反した従業員に厳しい対応をとることも対策の一つです。
企業が個人情報の漏えい懸念がある違反に対して厳しい姿勢を見せることで、従業員の意識向上につながります。
ただし、行為に対して懲戒の内容が厳しすぎると懲戒対象となった従業員との間でトラブルとなるおそれがあります。
そのため、懲戒規程を整備しようとする際は弁護士へご相談ください。
弁護士のサポートを受ける
3つ目は、弁護士のサポートを受けることです。
個人情報保護への遵守体制を自社だけで整備することは、容易ではありません。
実際に「何をどこまで行うべきか」など、判断に迷うことは少なくないでしょう。
そのため、個人情報保護法による罰則を受けないための体制を整備しようとする際は、弁護士のサポートを受けることをおすすめします。
弁護士のサポートを受けることで、適法かつ最新の情報を踏まえた体制を構築しやすくなります。
また、日頃から個人情報保護法の遵守について弁護士へ相談しサポートを受けておくことで、万が一漏えいなどが生じた際にもスムーズな対応が可能となります。
まとめ
個人情報保護法に違反した場合の罰則や罰則が適用されるまでの基本の流れ、企業が個人情報保護法違反による罰則の適用を避けるための対策などについて解説しました。
個人情報保護法に違反しても、原則としていきなり罰則が適用されるわけではありません。
まずは個人情報保護委員会により立入検査や報告徴収がなされ、これを拒んだ場合やその後出された命令に違反した場合に罰則が適用されることが原則です。
ただし、不正目的での漏えい等の場合には、個人情報保護委員会からの命令などを経ず、はじめから罰則の適用対象となります。
個人情報保護法による罰則を受けないためには、定期的に自社の体制を見直し従業員教育を徹底するとともに、弁護士のサポートを受けて体制や規程を整備することをおすすめします。
Authense法律事務所では、企業法務に特化したチームを設けており、個人情報保護法への対応についても多くのサポート実績があります。
個人情報保護法への遵守体制を整備したい場合や、個人情報保護法の罰則が適用されるおそれが生じてお困りの際は、Authense法律事務所までお気軽にご相談ください。
