情報漏洩事件の罪と罰

情報漏洩に関する事件は後を絶ちません。

当コラムでも「情報漏えいの原因はヒューマンエラー⁉~その原因と防止策を徹底解説~」で、原因と防止策を紹介しています。

情報漏えいの原因の8割がヒューマンエラーとなっていることは、上記のコラムでも紹介しましたが、そのヒューマンエラーのなかでも、悪意のある“内部犯罪・内部不正行為”や“不正な情報の持ち出し”は、約1割程度存在します。

日本は他の先進国と比べて、情報セキュリティの意識が低いと言われています。企業の情報セキュリティ対策が他国と比べて進んでいないこともあるかもしれませんが、それ以前に個人個人がプライバシーなどに関して関心が薄いことが最大の要因ではないかと思います。

最近になってようやくセキュリティの意識が高まりつつありますが、まだまだ浸透しているとは言い切れない状況です。

今回は、そうしたプライバシー保護の関心の薄さなどの情報セキュリティの意識の低さから発生する悪意のある情報漏洩とそれに対する罪と罰について紹介します。

悪意のある情報漏洩事件の例

3000万件近い個人情報漏洩事件

最近では一番規模が大きな有名な情報漏洩事件です。覚えている方も多いと思います。

2014年7月に東証一部上場企業である大手教育関連企業の子会社から3000万件近い個人情報が流出していたことが発覚しました。会員の問い合わせから、関係のない企業からのダイレクトメッセージが届くという問い合わせからの発覚でした。

流出した情報は、「保護者氏名」「住所」「電話番号」から子供の「性別」「生年月日」、一部サービス利用者ののなかには「出産予定日」もありました。

この事件では、個人情報を管理しているグループ企業から委託されたアウトソース先の派遣社員の男性が逮捕されました。

犯人は、持ち出した個人情報を名簿業者に売却して利益を得ていたことから、罪としては「不正競争防止違反」として、実刑判決3年6ヶ月、罰金300万円を言い渡されました。

しかし、3000万人近い個人情報の流出させてしまった企業としては、会員に対して図書カードやマネーギフトによるお詫びなどで200億円近い予算を捻出。さらには、副会長、取締役の2名が引責辞任という事態になりました。

犯人は、スマホから約20回データを持ち出しましたが、ベテランスタッフのため、周囲がそれに気づくことはなかったということです。

 

大きく報道されたこの事件では、誰もが知っている大手企業が情報を漏洩させてしまったこと、流出した個人情報の数が膨大だったこと、子会社のアウトソース先の派遣社員が犯人だったことなど、大きく印象に残る事件となりました。

 

(罪と罰)

犯人は、「不正競争防止違反」としてとして、「実刑」という罰を受けることになりましたが、企業は経営者2名の退陣と100億円以上の損失、そして何より信頼の失墜という代償を払わされました。結果的に会員減少に歯止めがかからずに、その年は上場以来初の赤字となってしまいました。

 

(原因は?)

様々な原因が挙げられていると思いますし、実際に多くのニュースがこの事件を取り上げ、その原因と対策は多くのメディアが言及しています。

その原因のなかで最も注目したいのは、個人情報というものに対する関心の希薄さなのかなと感じています。おそらく、犯人もそれほど悪いことをやっている意識がなかったのでしょう。まさかここまで大きな事件になるとは思わなかったのではないでしょうか。

企業もアウトソースする際に、個人情報に関して厳重なセキュリティ対策をしていたと思えない状況です。

単なるシステムによるセキュリティ対策や企業間の契約書などの書面だけではない方法が必要だったということです。

 

個人情報漏洩に関する罰則について

2017年5月に改正個人情報保護法が施行され、以前は5000件以上の個人情報を保有している事業者が規制対象となっていましたが、それが撤廃され、1件でも個人情報を取り扱っている事業者は、すべて個人情報保護法が適用されることになりました。小さなベンチャー企業でも「知らなかった」では済まされないことになっています。

刑事上の責任と民事上の責任

(刑事上の責任)

事業者が個人情報保護法に違反して、まずは国から「是正勧告・改善命令」が出されます。これにも違反した場合には、違反した従業員に対して、「最大6ヶ月の懲役」「最大30万円の罰金」の両方が科せられる可能性があります。また、その事業者に対しても、最大30万円の罰金が科せられる可能性があります。

しかし、不正な利益を得る目的で個人情報を漏洩した場合には、「最大1年の懲役」「最大50万円の罰金」が科せられる可能性があり、事業者に対しては、「最大50万円の罰金」が科されることになります。

ただ、世間への影響や被害の大きさなど考慮して、前述の大手教育関連企業の事件のように、犯人に対して「不正競争防止違反」として、実刑判決3年6ヶ月、罰金300万円が科せられるケースもあります。

 

さらに、刑事上の責任だけではなく、民事上の責任を問われる可能性もあります。

 

(民事上の責任)

民事上では、「損害賠償責任」「謝罪金」などが請求される場合があります。

京都府宇治市住民基本台帳データ漏洩事件では、市民の個人情報が漏洩して、損害賠償額は1人あたり1万5,000円(弁護士費用含む)と判断されました。

また、TBCの個人情報漏洩事件では、エステティックサロンの会員のスリーサイズなどの情報が含まれていたため、賠償額が過去最高の3万5,000円(弁護士費用含む)となりました。

 

個人情報流出の意識

ほとんどの事件において言えるのですが、個人情報を流出させた犯人は、情報漏洩したこと自体がそれほど重大なこととして認識していなかったのではないでしょうか。

小さなことで言えば、人を紹介する際に、お互いに面識のない友人同士に、携帯電話の電話番号を教えてしまうような感覚かもしれません。しかし、それも当事者の了解を得ていなければ、それも立派な個人情報の流出となります。

セキュリティ対策の場合は、外部からの攻撃に対する対策を行う会社は多いですが、内部の対策を十分できていないところが少なくありません。

システム的なセキュリティ対策はもちろん必要ですし、重要なことです。しかし、一番重要なのは、情報に関する意識だと考えます。企業が保持する情報の大切さを理解して、その情報の取り扱いに関して、社員全員がその大切さを認識したうえでセキュリティ対策を実施しなければ、セキュリティ対策自体が意味のないものになってしまいます。

情報セキュリティの本質的な意味を理解すること、そして組織のなかの人に十分に理解してもらうことが一番重要なことなのではないでしょうか。

 

 

 

あわせて読みたい

お見積・無料お試し








製品・コラム





遠隔データ消去ソフト TRUST DELETE Biz
SMS Push遠隔消去ソフト TRUST DELETE Bizパナソニック版
VAIO PC向け遠隔消去情報漏えい対策ソリューション
管理サーバーデバイス監視ソシューション TRUST DELETE OP
モバイルデバイス監視ソフト OneBe UNO
外部指紋認証モジュール OneBe TID
ホイールパッドユーティリティ WheelPad Touch
指紋認証連携 不正利用防止ソリューション UNO Touch

エンドポイントの
情報漏えい対策を考えるコラム

2019.01.28
情報漏洩事件の罪と罰
情報漏洩に関する事件は後を絶ちません。 当コラムでも「情報漏えいの原因はヒューマンエラー⁉~その原因と防止策を徹底解説~」で、原因と防止策を紹介しています。 情報漏えいの原因の8割がヒューマンエラーと......
2019.01.13
情報漏えい対策~営業マンのパソコン紛失・盗難時に備えての情報漏えい対策とは~
今や営業マンにとって、ノートパソコンの持ち出しは当たり前になっています。また、「働き方改革」の推進に伴い、テレワークなどが推進され、パソコンの持ち出しが増加傾向にあります。 営業マンにおいては、パソコ......
2018.12.20
自社の情報セキュリティに懸念を感じているマネージャーは50%以上!
エンドポイントの情報セキュリティ企業“ワンビ”が、中小企業のマネージャーに「働き方改革と情報セキュリティ」に関するアンケート調査を実施 2016年の第3次安倍内閣によって、より具体的に動き始めた「働き......
2018.11.24
不正アクセスがなくならない理由~原因と対策~
企業や官公庁への不正アクセスのニュースはたびたび耳にします。個人情報の漏えい、Webサイトの閉鎖、なりすましによる詐欺、仮想通貨取引所からの数百億相当の流出など、枚挙にいとまがありません。セキュリティ......
2018.11.11
情報漏えいの原因はヒューマンエラー⁉~その原因と防止策を徹底解説~
大手SNSの5000万人規模の情報漏えい、中学教諭のUSBメモリ紛失、ファミリーレストランを展開する大手外食チェーンのPC紛失、海外航空会社の1000万人近い個人情報の流出など、情報漏えいに関する事件......