情報漏洩事件の罪と罰

情報漏洩に関する事件は後を絶ちません。

当コラムでも「情報漏えいの原因はヒューマンエラー⁉~その原因と防止策を徹底解説~」で、原因と防止策を紹介しています。

情報漏えいの原因の8割がヒューマンエラーとなっていることは、上記のコラムでも紹介しましたが、そのヒューマンエラーのなかでも、悪意のある“内部犯罪・内部不正行為”や“不正な情報の持ち出し”は、約1割程度存在します。

日本は他の先進国と比べて、情報セキュリティの意識が低いと言われています。企業の情報セキュリティ対策が他国と比べて進んでいないこともあるかもしれませんが、それ以前に個人個人がプライバシーなどに関して関心が薄いことが最大の要因ではないかと思います。

最近になってようやくセキュリティの意識が高まりつつありますが、まだまだ浸透しているとは言い切れない状況です。

今回は、そうしたプライバシー保護の関心の薄さなどの情報セキュリティの意識の低さから発生する悪意のある情報漏洩とそれに対する罪と罰について紹介します。

悪意のある情報漏洩事件の例

3000万件近い個人情報漏洩事件

最近では一番規模が大きな有名な情報漏洩事件です。覚えている方も多いと思います。

2014年7月に東証一部上場企業である大手教育関連企業の子会社から3000万件近い個人情報が流出していたことが発覚しました。会員の問い合わせから、関係のない企業からのダイレクトメッセージが届くという問い合わせからの発覚でした。

流出した情報は、「保護者氏名」「住所」「電話番号」から子供の「性別」「生年月日」、一部サービス利用者ののなかには「出産予定日」もありました。

この事件では、個人情報を管理しているグループ企業から委託されたアウトソース先の派遣社員の男性が逮捕されました。

犯人は、持ち出した個人情報を名簿業者に売却して利益を得ていたことから、罪としては「不正競争防止違反」として、実刑判決3年6ヶ月、罰金300万円を言い渡されました。

しかし、3000万人近い個人情報の流出させてしまった企業としては、会員に対して図書カードやマネーギフトによるお詫びなどで200億円近い予算を捻出。さらには、副会長、取締役の2名が引責辞任という事態になりました。

犯人は、スマホから約20回データを持ち出しましたが、ベテランスタッフのため、周囲がそれに気づくことはなかったということです。

 

大きく報道されたこの事件では、誰もが知っている大手企業が情報を漏洩させてしまったこと、流出した個人情報の数が膨大だったこと、子会社のアウトソース先の派遣社員が犯人だったことなど、大きく印象に残る事件となりました。

 

(罪と罰)

犯人は、「不正競争防止違反」としてとして、「実刑」という罰を受けることになりましたが、企業は経営者2名の退陣と100億円以上の損失、そして何より信頼の失墜という代償を払わされました。結果的に会員減少に歯止めがかからずに、その年は上場以来初の赤字となってしまいました。

 

(原因は?)

様々な原因が挙げられていると思いますし、実際に多くのニュースがこの事件を取り上げ、その原因と対策は多くのメディアが言及しています。

その原因のなかで最も注目したいのは、個人情報というものに対する関心の希薄さなのかなと感じています。おそらく、犯人もそれほど悪いことをやっている意識がなかったのでしょう。まさかここまで大きな事件になるとは思わなかったのではないでしょうか。

企業もアウトソースする際に、個人情報に関して厳重なセキュリティ対策をしていたと思えない状況です。

単なるシステムによるセキュリティ対策や企業間の契約書などの書面だけではない方法が必要だったということです。

 

個人情報漏洩に関する罰則について

2017年5月に改正個人情報保護法が施行され、以前は5000件以上の個人情報を保有している事業者が規制対象となっていましたが、それが撤廃され、1件でも個人情報を取り扱っている事業者は、すべて個人情報保護法が適用されることになりました。小さなベンチャー企業でも「知らなかった」では済まされないことになっています。

刑事上の責任と民事上の責任

(刑事上の責任)

事業者が個人情報保護法に違反して、まずは国から「是正勧告・改善命令」が出されます。これにも違反した場合には、違反した従業員に対して、「最大6ヶ月の懲役」「最大30万円の罰金」の両方が科せられる可能性があります。また、その事業者に対しても、最大30万円の罰金が科せられる可能性があります。

しかし、不正な利益を得る目的で個人情報を漏洩した場合には、「最大1年の懲役」「最大50万円の罰金」が科せられる可能性があり、事業者に対しては、「最大50万円の罰金」が科されることになります。

ただ、世間への影響や被害の大きさなど考慮して、前述の大手教育関連企業の事件のように、犯人に対して「不正競争防止違反」として、実刑判決3年6ヶ月、罰金300万円が科せられるケースもあります。

 

さらに、刑事上の責任だけではなく、民事上の責任を問われる可能性もあります。

 

(民事上の責任)

民事上では、「損害賠償責任」「謝罪金」などが請求される場合があります。

京都府宇治市住民基本台帳データ漏洩事件では、市民の個人情報が漏洩して、損害賠償額は1人あたり1万5,000円(弁護士費用含む)と判断されました。

また、TBCの個人情報漏洩事件では、エステティックサロンの会員のスリーサイズなどの情報が含まれていたため、賠償額が過去最高の3万5,000円(弁護士費用含む)となりました。

 

個人情報流出の意識

ほとんどの事件において言えるのですが、個人情報を流出させた犯人は、情報漏洩したこと自体がそれほど重大なこととして認識していなかったのではないでしょうか。

小さなことで言えば、人を紹介する際に、お互いに面識のない友人同士に、携帯電話の電話番号を教えてしまうような感覚かもしれません。しかし、それも当事者の了解を得ていなければ、それも立派な個人情報の流出となります。

セキュリティ対策の場合は、外部からの攻撃に対する対策を行う会社は多いですが、内部の対策を十分できていないところが少なくありません。

システム的なセキュリティ対策はもちろん必要ですし、重要なことです。しかし、一番重要なのは、情報に関する意識だと考えます。企業が保持する情報の大切さを理解して、その情報の取り扱いに関して、社員全員がその大切さを認識したうえでセキュリティ対策を実施しなければ、セキュリティ対策自体が意味のないものになってしまいます。

情報セキュリティの本質的な意味を理解すること、そして組織のなかの人に十分に理解してもらうことが一番重要なことなのではないでしょうか。

 

 

 

あわせて読みたい

お見積・無料お試し








製品・コラム





遠隔データ消去ソフト TRUST DELETE Biz
SMS Push遠隔消去ソフト TRUST DELETE Bizパナソニック版
VAIO PC向け遠隔消去情報漏えい対策ソリューション
管理サーバーデバイス監視ソシューション TRUST DELETE OP
モバイルデバイス監視ソフト OneBe UNO
外部指紋認証モジュール OneBe TID
ホイールパッドユーティリティ WheelPad Touch
指紋認証連携 不正利用防止ソリューション UNO Touch

エンドポイントの
情報漏えい対策を考えるコラム

2019.04.11
情報漏えい対策~教育の重要性~
これまでにも、情報漏えい対策の考え方や手法などについて、何度も取り上げていますが、今回は、「社員に対する教育」について考えてみましょう。   情報漏えい対策の2つの対処法~予防と事後対応~ ......
2019.03.31
ワーキングマザーの“悩み”から考える「働きやすい職場」とは
  少子高齢化により、今後生産年齢人口が大幅に減少していくことが予測される日本。 その対策の一環で近年、政府は子育て中の女性や高齢者の社会進出を促すべく、女性活躍推進法や働き方改革などを推進......
2019.03.22
情報セキュリティへの投資の考え方と実施方法~準備編~
情報セキュリティ”と一言で表現することが多いのですが、実際には、 企業や個人が守るべきデータは何か? 対象とする機器(パソコン、スマホなど)は何か? ユースケース(どんな状況で活用するのか)は? など......
2019.02.23
2020TDM推進プロジェクトとは~2020東京オリンピック・パラリンピックと情報セキュリティの関係~
2020TDM推進プロジェクトとは 2020 東京オリンピック・パラリンピック開催まで1年半を切りました。 開催費用の問題、新国立競技場やその他開催施設などの建設や誘致の問題など、心配な報道も多くあり......
2019.01.28
情報漏洩事件の罪と罰
情報漏洩に関する事件は後を絶ちません。 当コラムでも「情報漏えいの原因はヒューマンエラー⁉~その原因と防止策を徹底解説~」で、原因と防止策を紹介しています。 情報漏えいの原因の8割がヒューマンエラーと......