情報漏洩を理由に損害賠償請求されたら？算定基準や事前対策を解説

事業の情報漏洩の対策は万全でしょうか。

情報化社会の発展によりインターネットが普及し、PCやタブレット、スマートフォンといった電子機器が広く利用されるようになったことで、様々なデータを利用しやすくなった反面、情報漏洩のリスクは増大しています。特に近年はサイバー攻撃の巧妙化、リモートワークの普及などにより、さらに情報漏洩のリスクは高まってきています。

自社で万が一情報漏洩が発生し、それが原因で損害賠償請求を受けた場合はどのように対処すればよいのでしょうか。

本記事では、情報漏洩による損害賠償請求をされた際の適切な対応や、事前に講じるべき対策について詳しく解説します。

情報漏洩の対象：営業秘密と個人情報

情報漏洩は基本的に全ての情報、データを指して言いますが、特に法的に問題となるのが営業秘密と個人情報の二種類です。この二つは、それぞれ不正競争防止法と個人情報保護法によって保護されています。

営業秘密とは

営業秘密とは、企業が競争優位を保持するために秘密にすべき情報であり、外部に知られることで競合他社に利用されるおそれがある情報です。

不正競争防止法によって保護され、他社の不正使用を防ぐよう規定されています。

不正競争防止法によると、営業秘密は「技術上又は営業上の情報であって、非公開として管理されているものであり、かつ実用的な価値を有する情報」とされています。

具体的には、技術的な情報や製造プロセス、研究開発のデータ、顧客リスト、戦略的ビジネスプランなどが含まれます。

個人情報とは

個人情報とは、特定または特定可能な個人に関連する情報であり、名前、住所、電話番号、電子メールアドレス、生年月日などがこれに該当します。

ほかにも、オンライン上の位置情報、個人の健康情報なども含まれることがあります。

個人情報は、個人情報保護法によって保護されており、この情報の取り扱いに注意しなければなりません。

不適切な取り扱いや個人情報の漏洩には、法的な罰則や賠償責任を伴う可能性があります。

企業の情報漏洩は様々なリスクを引き起こす

情報漏洩が発生した場合、事業者や企業に様々な影響を及ぼす可能性があります。

社会的信用の低下

情報漏洩が発生すると、その組織の信頼性は大きく損なわれます。メディアで報道されてしまった場合、ネガティブイメージの拡散は避けられません。

また顧客離れや取引先との取引停止、そして投資家たちの不信感から株価の下落を招きます。

特に、セキュリティが重視される業界での影響は甚大で、信頼回復には長い時間と大きなコストを要求します。

経済的損失

情報漏洩による経済的損失は多岐にわたります。直接的な損害としては、被害が及んだ取引先や消費者からの損害賠償請求、訴訟費用などがあります。

また、企業ブランドの価値低下による売上減少、事態の収束のためのPR活動やシステムの再構築に必要な投資も、大きな財務的負担になってしまうでしょう。

従業員のモチベーション低下

情報漏洩事件は、自社の従業員にとっても大きな衝撃となり、職場でのモチベーションの低下を引き起こす可能性があります。

脆弱なセキュリティが原因で起きた事件については、従業員自身が責任を感じてしまい、ストレスの原因となります。また、組織への信頼喪失や将来に対する不安から職場の士気が低下し、生産性が悪化するリスクもあります。

長期的には離職率を高める結果になってしまうこともあります。

個人情報の漏洩発生の原因は外部からの攻撃が半数

東京商工リサーチ社が2023年1月に発表したデータによると、個人情報漏洩事件の原因としてはウイルス感染や不正アクセスによるデータ盗難といった外部攻撃が最も多く、全体の半数を占めていることが分かりました。

出典：東京商工リサーチ

最近の動向として注目されるのは、外部からの攻撃、特にウイルス感染や不正アクセスの増加が続いている点です。同社が過去のデータも含めて公表したものでは、2012年から2019年までの8年間で外部攻撃が全体の26%を占めていたのに対し、2022年ではそれが半数以上に増加しています。

この傾向は、外部攻撃への対策が重要であることを示しています。もちろん、操作ミスや文書の紛失など人為的なミスによる漏洩も無視できないため、総合的な対策も必要になります。

情報漏洩が発生する要因

情報漏洩の発生原因で1番多いものは外部からの攻撃によるものですが、情報漏洩は他にもさまざまな要因によって引き起こされます。

以下で情報漏洩の原因について挙げていきます。

人的ミス

人的ミスは、情報漏洩の原因として非常に一般的です。具体的には、以下のようなケースです。

• 誤ってメールを間違ったアドレスに送信する
• ファイル共有時の設定ミス
• 文書を不適切な方法で廃棄する

こうした日常的な作業中に起こり得る小さなミスが、大きなセキュリティリスクにつながる可能性があるため、従業員の教育と業務手順の見直しは非常に重要と言えます。

外部からの攻撃

外部からの攻撃は、サイバー犯罪者による意図的な攻撃が原因で情報が漏洩するケースです。たとえば、ウイルス感染、フィッシング詐欺、ランサムウェア攻撃、サイバー攻撃が挙げられます。

攻撃者は常に新しい手法を開発しているため、企業は最新のセキュリティ技術を用いてシステムを保護し、定期的なセキュリティ審査を実施しなければなりません。

内部不正

組織内部の人物が意図的に情報を漏洩させる行為も、情報漏洩に至る原因の一つです。

たとえば、以下のようなケースです。

• データ盗難：従業員が機密データをUSBドライブや外部ハードドライブにコピーし、無許可で持ち出すケース。競合他社に売却される可能性が高い。
• 情報の不正アクセス：無断で機密情報にアクセスし、それを不正に利用する行為。
• 機密情報の故意の公開：SNSやブログ、掲示板などインターネット上で故意に企業の機密情報を公開する行為。

内部不正に関しては、従業員が個人的な利益を追求して行ったり、企業に対する恨みから故意に行われることが考えられるでしょう。

内部不正を防ぐためには、アクセス権限の厳格な管理、行動の監視、そして倫理的な職場環境の維持が不可欠です。

情報漏洩による損害賠償の事例【大企業の場合】

情報漏洩による損害賠償額は、漏洩した情報によって異なります。

例えば、個人情報が流出してしまったものの、漏洩内容が個人の連絡先だけにとどまり、二次被害がない場合の賠償額の相場は一人当たり3,000〜5,000円程度といわれています。

一方、機密情報が流出してしまい大きな損失を出してしまったり、業務停止やブランドイメージの著しい低下があった場合には、賠償額がはるかに高額になる可能性があります。

以下では、情報漏洩によって請求された賠償額を詳しく知るために、日本国内で発生した具体的な情報漏洩事件と、それに伴う損害賠償の事例を紹介します。

Yahoo! BB顧客情報漏洩事件

Yahoo! BBのユーザー情報流出事件に関する大阪地裁の判決で、BBテクノロジーが顧客情報の漏洩による精神的苦痛を訴えた5人の原告に対し、1人当たり6,000円の損害賠償を支払うよう命じられました。

この内訳は、慰謝料が5000円、弁護士費用が1000円です。裁判では、BBテクノロジーの顧客管理体制の不備が指摘され、特に不正アクセス対策の怠慢が問題視されました。一方、ヤフーに対する賠償請求は、ヤフーが管理する情報の流出が認められなかったため退けられました。

ベネッセ個人情報漏洩事件

ベネッセの委託先従業員が約4858万人分の顧客情報を不正取得し、名簿業者に売却した事件です。

本事件について、東京地裁はベネッセに対し、被害を受けた3,338人に合計約1,100万円の損害賠償を支払うよう命じました。

裁判長は、ベネッセが委託先のセキュリティ管理を適切に監督していなかった点を問題視し、情報の秘匿性を考慮して1人あたり3,300円の賠償額を決定しました。

TBC顧客アンケート情報漏洩事件

TBCが起こした顧客情報流出事件です。

情報漏洩の原因は、Webサイトのサーバ移設時に個人情報を適切なアクセス権限を設定せず公開領域に置いたため、これが外部から自由に閲覧可能な状態となっていたことです。

流出した情報には、5万人分の住所、氏名、メールアドレス、アンケート回答、関心のあるエステコース名などが含まれており、これらは個人のプライバシーに関わる重要な内容であったため、その流出は大きな問題となりました。

東京地方裁判所は、TBCグループ会社に対して、原告13名に1人当たり3万5,000円、1名に2万2,000円の支払いを命じました。

ソフトバンク元社員による機密情報持ち出し事件

ソフトバンクの元社員が同社の5G技術に関する営業秘密を不正に楽天モバイルへ持ち出したとして、不正競争防止法違反で懲役2年、執行猶予4年、罰金100万円の有罪判決を受けた事件です。

この男性は、すでに逮捕されており、弁護側は情報が営業秘密としての要件を満たしていないと主張していましたが、裁判所はこの主張を退け、情報を営業秘密と認定しました。

情報漏洩による損害賠償の事例【中小企業・個人事業主の場合】

情報漏洩トラブルは中小企業や個人事業主レベルでも巻き込まれる可能性があります。大手企業以外の事例も紹介します。

業務委託時に個人情報が流出した事件

業務委託における契約で、受託者がDM発送業務を依頼され、その業務の一部をさらに第三者に再委託したところ、第三者の業務中に個人情報の流出が発生した事例です。

受託者は、委託者に対して請求金額約2,200万円を請求しましたが、委託者は漏洩事故が受託者側の管理不足によって発生したとして、損害賠償請求しました。

裁判所は、受託者が顧客情報を第三者に提供したとして債務不履行であると判断し、約2,800万円の損害賠償の判決を下しました。

情報漏洩の損害賠償額は何を考慮して算定されるのか

情報漏洩の損害賠償額を算定する際には、複数の要素が考慮されます。具体的に、どのような要素が反映されるのか見ていきましょう。

情報漏洩の内容と被害状況

漏洩した情報の内容によってリスクの度合いと影響の範囲が異なります。

たとえば、以下のケースにおいては賠償額が高額になる可能性があります。

漏洩した情報の機密性が高い

個人情報、金融情報、健康情報などの高度に個人的なデータである

情報漏洩によって悪影響を受けた人数が多い

大量のデータが漏洩した場合、その影響範囲と潜在的な被害の大きさが考慮される

漏洩した情報が悪用されやすい環境にある

クレジットカード番号や社会保障番号など、直接的な金銭的損失につながる情報が適切に管理されていない場合

これらの要因に基づいて、情報漏洩の種類ごとに賠償額が決定されます。

特に個人情報や金融情報の漏洩は、企業に対して重大な財務的責任を課す可能性があり、法的な責任や社会的な評判への損害も重要な考慮事項になるでしょう。

被害者が受けた精神的苦痛の程度

被害者が受けた精神的な苦痛は、情報漏洩に関する損害賠償額を算定する際に重要な要素の一つとして考慮されます。

情報漏洩事件において、個人のプライバシーが侵害されることで生じる不安、ストレス、恐怖などの精神的な影響は具体的な金銭的損失と同様に考えられるため、精神的な慰謝料も賠償額に含まれることになります。

二次被害の有無

二次被害の有無は、情報漏洩における損害賠償額の算定において重要な要因の一つです。

ここでいう二次被害とは、元の情報漏洩事件が引き起こすさらなる損害を指します。たとえば、個人情報の不正利用による金銭的損失、詐欺、技術ノウハウ盗用、名誉毀損、さらなるプライバシーの侵害などが含まれます。

漏洩した情報がどのように悪用されたか、そして被害者にどのような二次的損害をもたらしたかは考慮されるでしょう。

情報漏洩発覚に対する会社側の対応の是非

情報漏洩が発覚した際の会社側の対応も、損害賠償額を大きく左右します。

事件発生を受けて適切かつ迅速に対応する企業は、二次被害のリスクを抑え、賠償額を低く抑える可能性があります。

一方で、事件が起きても不適切な対応をしたり事件を放置したりすると、責任から逃れていると見なされ、法的責任や高額な賠償を招く可能性があります。

個人情報流出の場合は被害者からの損害賠償請求に時効がある

個人情報が流出した場合、被害者が損害賠償を請求する権利には一定の時効が適用されます。この時効は、情報漏洩の法的種類によって異なります。

不法行為による情報漏洩の場合

情報漏洩が不法行為に該当する場合は、被害者が損害賠償できる権利の時効は以下のとおりです。

• 被害者が情報漏洩被害を知ったときから3年間
• 情報漏洩被害があったときから20年間

上記いずれか早い時期に、時効が成立します。

20年という長い時効期間は、重大な違反に対する法的対応を可能にしているのです。

債務不履行や秘密保持義務違反を含む場合

情報漏洩が、債務不履行や秘密保持義務違反など契約問題に基づく場合は、以下の時効が適用されます。

• 被害者が情報漏洩被害を知ったときから5年間
• 情報漏洩被害があったときから10年間

上記いずれか早い時期に、時効が成立します。

また、不法行為と債務不履行のどちらも該当する場合は、被害者は両方の損害賠償請求が可能です。

会社が情報漏洩を防ぐために取り組むべき対策

情報漏洩は企業の存続を脅かす重大なリスクです。顧客情報や機密情報が漏洩すれば、企業イメージの失墜、顧客離れ、事業停止につながりかねません。

情報漏洩を防ぐためには、多角的なアプローチが必要です。以下に企業が取り組むべき対策の例を示します。

インターネット上のセキュリティ対策を強化する

ウェブベースの脅威から保護するために、ファイアウォールや暗号化技術、SSL証明書などを活用してデータの安全性を確保しましょう。

これにより、データがインターネットを介して送受信される際のセキュリティを強化できます。

最新のセキュリティパッチを適用し、ソフトウェアを常に最新の状態に維持することも必須です。

不正アクセス検知システムを利用する

不正なアクセスを検知するシステムを導入するのも有効です。

システムに異常ななアクセスや不審な挙動があった場合に早期に把握することで、サーバ攻撃に対して即座に対応することができます。

システムを導入する際は、利用しているネットワークの規模、構成、業務に最適な機能を持つシステムを選定するようにしましょう。

情報保護に関する責任者を設置する

情報保護責任者の設置も、情報漏洩対策として有効な手段の一つです。

情報保護責任者は、情報セキュリティに関する組織全体の統括を行い、情報漏洩リスクを低減するためのさまざまな施策を実行する役割を担います。

責任者を決定したら、情報セキュリティに関する基本的な方針を定め、全社に周知徹底します。

具体的には、情報資産の分類・管理、アクセス制御、情報漏洩対策、情報システムの運用管理など、具体的なセキュリティ対策を定めるとよいでしょう。

ログインIDやパスワード管理を徹底する

情報漏洩の原因の多くは、不正アクセスによるサイバー攻撃です。加害者はさまざまな手段でログインIDやパスワードを盗取し、システムに侵入して情報漏洩を引き起こします。

ログインIDやパスワードの管理を徹底する際は、以下の点を意識することが重要です。

• 英数字、記号などを組み合わせた、推測しにくいパスワードを設定する
• 同じパスワードを複数のサービスで使用しない。
• 定期的にパスワードを変更する。
• パスワードを他人に教えない。
• パスワードをメモ書きしない。
• ワンタイムパスワードや生体認証などの二段階認証を利用する

秘密情報に関する従業員教育を実施する

秘密情報に関する従業員教育の実施も重要です。

情報漏洩の原因には、人為的なミスによるものもあります。情報を取り扱う社員が、情報セキュリティに関する知識や意識を十分に持っていないと、誤操作や情報持ち出しなどのミスが発生しかねません。

具体的には、以下のことを周知徹底してください。

• 秘密情報とは何か、その重要性を理解する
• 秘密情報をどのように取り扱うべきか、具体的なルールや手順を理解する
• 情報漏洩のリスクを認識し、情報漏洩を防ぐ対策を理解する
• 情報漏洩が発生した場合の適切な対応方法を理解する

これらの知識や意識を身につけることで、社員一人ひとりが情報セキュリティの担い手となり、情報漏洩リスクを抑えられるでしょう。

秘密情報の持ち出しルールを周知徹底する

秘密情報の持ち出しを厳しく禁止し、持ち出しルールを周知徹底することも重要です。

ルールを設定する際は、以下の点を考慮する必要があります。

• 持ち出し禁止対象となる情報を明確に定義する
• 持ち出しを許可する場合の手続きを定める
• 持ち出し時のセキュリティ対策を定める
• 違反した場合の罰則を定める
• 社員に対して、持ち出しルールの教育を実施する
• 持ち出しルールを定期的に見直し、必要に応じて改訂する

秘密情報の持ち出しルールは、文書化して社員に配布することが必要です。また、定期的に研修を実施することで、社員の理解度を高めることができます。

情報漏洩トラブルが発生したら早期に弁護士へ相談を

情報漏洩は、企業にとって死活問題となる可能性があります。大きな問題に発展する前に弁護士へ相談することをおすすめします。

情報漏洩の対応を弁護士に相談するべき理由

情報漏洩は企業にとって重大なリスクであり、迅速かつ適切な対応が求められます。しかし、情報漏洩への法的対応は複雑であり、専門的な知識や経験が求められます。

また、情報漏洩の誤った認識によって、自社が不当に損害賠償請求される可能性もあるものです。自社が情報漏洩を起こしていないのに、無実を証明できず泣き寝入りするケースは珍しくありません。こうしたケースにおいても、弁護士であれば情報漏洩に関する法令や判例に基づき、自社の権利を守ってくれます。

弁護士費用の負担を軽減するなら弁護士保険の利用がおすすめ

弁護士費用を抑える方法として、弁護士保険の利用が挙げられます。

弁護士保険を利用することで、訴訟費用や弁護士費用の一部または全額がカバーされるため、経済的な負担を軽減しながら必要な法的支援を受けられます。

弁護士保険を利用して、予期せぬ法的トラブルに備えておくことが重要です。

あらかじめ弁護士費用保険に加入することで、経済的な負担を気にせずに早期に弁護士に相談することができます。

弁護士保険を活用して情報漏洩トラブルを解決した事例はこちらから。

事業に関する弁護士保険は、法人・事業者向けの弁護士保険がおすすめです。

記事を振り返ってのQ＆A