情報漏洩事件の罪と罰

情報漏洩に関する事件は後を絶ちません。

当コラムでも「情報漏えいの原因はヒューマンエラー⁉~その原因と防止策を徹底解説~」で、原因と防止策を紹介しています。

情報漏えいの原因の8割がヒューマンエラーとなっていることは、上記のコラムでも紹介しましたが、そのヒューマンエラーのなかでも、悪意のある“内部犯罪・内部不正行為”や“不正な情報の持ち出し”は、約1割程度存在します。

日本は他の先進国と比べて、情報セキュリティの意識が低いと言われています。企業の情報セキュリティ対策が他国と比べて進んでいないこともあるかもしれませんが、それ以前に個人個人がプライバシーなどに関して関心が薄いことが最大の要因ではないかと思います。

最近になってようやくセキュリティの意識が高まりつつありますが、まだまだ浸透しているとは言い切れない状況です。

今回は、そうしたプライバシー保護の関心の薄さなどの情報セキュリティの意識の低さから発生する悪意のある情報漏洩とそれに対する罪と罰について紹介します。

悪意のある情報漏洩事件の例

3000万件近い個人情報漏洩事件

最近では一番規模が大きな有名な情報漏洩事件です。覚えている方も多いと思います。

2014年7月に東証一部上場企業である大手教育関連企業の子会社から3000万件近い個人情報が流出していたことが発覚しました。会員の問い合わせから、関係のない企業からのダイレクトメッセージが届くという問い合わせからの発覚でした。

流出した情報は、「保護者氏名」「住所」「電話番号」から子供の「性別」「生年月日」、一部サービス利用者ののなかには「出産予定日」もありました。

この事件では、個人情報を管理しているグループ企業から委託されたアウトソース先の派遣社員の男性が逮捕されました。

犯人は、持ち出した個人情報を名簿業者に売却して利益を得ていたことから、罪としては「不正競争防止違反」として、実刑判決3年6ヶ月、罰金300万円を言い渡されました。

しかし、3000万人近い個人情報の流出させてしまった企業としては、会員に対して図書カードやマネーギフトによるお詫びなどで200億円近い予算を捻出。さらには、副会長、取締役の2名が引責辞任という事態になりました。

犯人は、スマホから約20回データを持ち出しましたが、ベテランスタッフのため、周囲がそれに気づくことはなかったということです。

 

大きく報道されたこの事件では、誰もが知っている大手企業が情報を漏洩させてしまったこと、流出した個人情報の数が膨大だったこと、子会社のアウトソース先の派遣社員が犯人だったことなど、大きく印象に残る事件となりました。

 

(罪と罰)

犯人は、「不正競争防止違反」としてとして、「実刑」という罰を受けることになりましたが、企業は経営者2名の退陣と100億円以上の損失、そして何より信頼の失墜という代償を払わされました。結果的に会員減少に歯止めがかからずに、その年は上場以来初の赤字となってしまいました。

 

(原因は?)

様々な原因が挙げられていると思いますし、実際に多くのニュースがこの事件を取り上げ、その原因と対策は多くのメディアが言及しています。

その原因のなかで最も注目したいのは、個人情報というものに対する関心の希薄さなのかなと感じています。おそらく、犯人もそれほど悪いことをやっている意識がなかったのでしょう。まさかここまで大きな事件になるとは思わなかったのではないでしょうか。

企業もアウトソースする際に、個人情報に関して厳重なセキュリティ対策をしていたと思えない状況です。

単なるシステムによるセキュリティ対策や企業間の契約書などの書面だけではない方法が必要だったということです。

 

個人情報漏洩に関する罰則について

2017年5月に改正個人情報保護法が施行され、以前は5000件以上の個人情報を保有している事業者が規制対象となっていましたが、それが撤廃され、1件でも個人情報を取り扱っている事業者は、すべて個人情報保護法が適用されることになりました。小さなベンチャー企業でも「知らなかった」では済まされないことになっています。

刑事上の責任と民事上の責任

(刑事上の責任)

事業者が個人情報保護法に違反して、まずは国から「是正勧告・改善命令」が出されます。これにも違反した場合には、違反した従業員に対して、「最大6ヶ月の懲役」「最大30万円の罰金」の両方が科せられる可能性があります。また、その事業者に対しても、最大30万円の罰金が科せられる可能性があります。

しかし、不正な利益を得る目的で個人情報を漏洩した場合には、「最大1年の懲役」「最大50万円の罰金」が科せられる可能性があり、事業者に対しては、「最大50万円の罰金」が科されることになります。

ただ、世間への影響や被害の大きさなど考慮して、前述の大手教育関連企業の事件のように、犯人に対して「不正競争防止違反」として、実刑判決3年6ヶ月、罰金300万円が科せられるケースもあります。

 

さらに、刑事上の責任だけではなく、民事上の責任を問われる可能性もあります。

 

(民事上の責任)

民事上では、「損害賠償責任」「謝罪金」などが請求される場合があります。

京都府宇治市住民基本台帳データ漏洩事件では、市民の個人情報が漏洩して、損害賠償額は1人あたり1万5,000円(弁護士費用含む)と判断されました。

また、TBCの個人情報漏洩事件では、エステティックサロンの会員のスリーサイズなどの情報が含まれていたため、賠償額が過去最高の3万5,000円(弁護士費用含む)となりました。

 

個人情報流出の意識

ほとんどの事件において言えるのですが、個人情報を流出させた犯人は、情報漏洩したこと自体がそれほど重大なこととして認識していなかったのではないでしょうか。

小さなことで言えば、人を紹介する際に、お互いに面識のない友人同士に、携帯電話の電話番号を教えてしまうような感覚かもしれません。しかし、それも当事者の了解を得ていなければ、それも立派な個人情報の流出となります。

セキュリティ対策の場合は、外部からの攻撃に対する対策を行う会社は多いですが、内部の対策を十分できていないところが少なくありません。

システム的なセキュリティ対策はもちろん必要ですし、重要なことです。しかし、一番重要なのは、情報に関する意識だと考えます。企業が保持する情報の大切さを理解して、その情報の取り扱いに関して、社員全員がその大切さを認識したうえでセキュリティ対策を実施しなければ、セキュリティ対策自体が意味のないものになってしまいます。

情報セキュリティの本質的な意味を理解すること、そして組織のなかの人に十分に理解してもらうことが一番重要なことなのではないでしょうか。

 

 

 

あわせて読みたい

お見積・無料お試し








製品・コラム





フルワイプに対応したエンドポイントセキュリティ・TRUST DELETE prime
遠隔データ消去ソフト TRUST DELETE Biz
SMS Push遠隔消去ソフト TRUST DELETE Bizパナソニック版
VAIO PC向け遠隔消去情報漏えい対策ソリューション
管理サーバーデバイス監視ソシューション TRUST DELETE OP
モバイルデバイス監視ソフト OneBe UNO
外部指紋認証モジュール OneBe TID
ホイールパッドユーティリティ WheelPad Touch
指紋認証連携 不正利用防止ソリューション UNO Touch

エンドポイントの
情報漏えい対策を考えるコラム

2019.08.16
ペーパーレスのメリットと企業が導入するための3つの方法
文書を電子化することで、印刷にかかるコスト削減や文書類を保管するためにかかる時間と空間的な負担を軽減するために始まったペーパーレスの動きは、2010年以降の急速なクラウドやストレージ技術の進歩により大......
2019.08.12
情報セキュリティにおける社員教育の大切さ
不正アクセスの手段は巧妙化しており、セキュリティ対策の重要性が増してきました。また、重要なデータが入ったノートパソコンを持ち歩くことも多くなり、置き忘れや盗難などのリスクも高まっています。こうしたなか......
2019.07.14
社員のモチベーションを上げる方法|押さえるべき3つの要素
社員のモチベーションが高まると、以下のメリットが得られます。 仕事のクオリティがアップ 会社の成長につながる 職場全体の雰囲気が良くなる 定着率が上がる 自然とワークライフバランスが良くなる このよう......
2019.06.30
働きやすい職場環境=ホワイト企業の4つの特徴とは?
働きやすい職場が、以前にも増して注目されるようになっています。ブラック企業に対して、社員に優しい、働きやすいと評判の会社は、ホワイト企業と呼ばれます。 ホワイト企業は、離職率が極めて低くなります。働き......
2019.06.23
オフィス移転チェックリスト~エクセルを使って効率的に~
オフィス移転は、個人の引っ越しとは違い、担当者になった方はやらなければいけないこと、確認しなければならないことがたくさんあり、想像以上に時間や手間がかかります。しかし、新しいオフィスに移転することで環......