情報漏洩を理由に損害賠償請求されたら?算定基準や事前対策を解説

企業にとって情報は重要な資産であり、その管理は極めて重要です。万が一情報漏洩が発生し、それが原因で損害賠償請求を受けた場合はどのように対処すればよいのでしょうか。

本記事では、情報漏洩による損害賠償請求をされた際の適切な対応や、事前に講じるべき対策について詳しく解説します。

こんな疑問にお答えします

Q.情報漏洩を理由に損害賠償請求されました。賠償額の相場はいくらなのでしょうか。

A.情報漏洩による損害賠償額は、漏洩した内容によって異なります。たとえば、漏洩内容が個人の連絡先だけにとどまり、二次被害がない場合の賠償額の相場は一人当たり3,000〜5,000円程度といわれています。しかし、企業の機密情報が流れて大きな損失を被ったり、業務停止やブランでイメージの著しい低下があった場合は、賠償額が高額になる可能性が高いでしょう。

情報漏洩とは

情報漏洩とは、個人や企業の機密情報が外部へ流出すること。情報漏洩に至った経緯はさまざまな形態があり、意図的なものから偶発的なものまで含まれます。

いずれにしても、情報漏洩が発覚すると企業はさまざまなリスクを負う可能性があるでしょう。たとえば、取引先や消費者からの信用低下や情報の悪用による損失が挙げられます。

情報漏洩によって第三者に被害が及んだ場合は、損害賠償請求に至るケースも多く、企業や事業者は情報管理を徹底しなければなりません。

情報漏洩の対象は2種類

情報漏洩の対象は、主に2種類です。

情報漏洩の対象と具体例

営業秘密

一つ目は、営業秘密です。

営業秘密とは、企業が競争優位を保持するために秘密にすべき情報であり、外部に知られることで競合他社に利用されるおそれがある情報のこと。不正競争防止法によって保護され、他社の不正使用を防ぐよう規定されています。

不正競争防止法によると、営業秘密は「技術上又は営業上の情報であって、非公開として管理されているものであり、かつ実用的な価値を有する情報」とされています。

具体的には、技術的な情報や製造プロセス、研究開発のデータ、顧客リスト、戦略的ビジネスプランなどが含まれるでしょう。

個人情報

もう一つが、個人情報です。

個人情報とは、特定または特定可能な個人に関連する情報であり、名前、住所、電話番号、電子メールアドレス、生年月日などがこれに該当します。

ほかにも、オンライン上の位置情報、個人の健康情報なども含まれることがあるでしょう。

個人情報は、個人情報保護法によって保護されており、この情報の取り扱いに注意しなければなりません。

不適切な取り扱いや個人情報の漏洩は、法的な罰則や賠償責任を伴う可能性があります。

情報漏洩が及ぼす影響

情報漏洩は組織にとって重大な問題であり、次のような影響を及ぼす可能性があります。

社会的信用が低下する

情報漏洩が発生すると、その組織の信頼性が大きく損なわれます。その影響は、顧客や取引先、そして投資家たちまで及ぶでしょう。

特に、セキュリティが重視される業界での影響は甚大で、再建には時間とコストがかかることが一般的です。

仮に、情報漏洩がデマだったとしても、ビジネスの機会が減少し、市場での立場が弱まる可能性は否めません。

経済的損失を被る

情報漏洩による経済的損失は多岐にわたります。直接的な損害としては、被害が及んだ取引先や消費者からの損害賠償請求、訴訟費用などがあります。

また、企業ブランドの価値低下による売上減少、事態の収束のためのPR活動やシステムの再構築に必要な投資も、大きな財務的負担になってしまうでしょう。

従業員のモチベーションが低下する

情報漏洩事件は、自社の従業員にとっても大きな衝撃となり、職場でのモチベーションの低下を引き起こす可能性があります。

セキュリティの甘さが原因で起きた事件については、従業員自身が責任を感じてしまうかもしれません。また、組織への信頼喪失や将来に対する不安から職場の士気が低下し、生産性が悪化するリスクもあるでしょう。

個人情報の漏洩発生の原因は外部攻撃が半数を占める

東京商工リサーチ社が2023年1月に発表したデータによると、情報漏洩事件の原因でもっとも多いのが、ウイルス感染や不正アクセスによるデータ盗難といった外部攻撃で、半数を占めていることが分かりました。

出典:東京商工リサーチ

最近の動向として注目されるのは、外部からの攻撃、特にウイルス感染や不正アクセスの増加が続いている点です。同社が過去のデータも含めて公表したものでは、2012年から2019年までの8年間で外部攻撃が全体の26%を占めていたのに対し、2022年ではそれが半数以上に増加しています。

この傾向は、外部攻撃への防御策を強化する必要性を顕著にしています。もちろん、操作ミスや文書の紛失など人為的なミスによる漏洩も無視できないため、総合的な対策が必要でしょう。

情報漏洩が発生する要因

情報漏洩の発生原因のトップは外部攻撃によるものですが、情報漏洩はさまざまな要因によって引き起こされます。

考えられる要因について見ていきましょう。

情報漏洩が発生する要因

人的ミス

人的ミスは、情報漏洩の非常に一般的な原因です。たとえば、以下のようなケースです。

  • 誤ってメールを間違ったアドレスに送信する
  • ファイル共有時の設定ミス
  • 文書を不適切な方法で廃棄する

こうした日常的な作業中に起こり得る小さなミスが、大きなセキュリティリスクにつながる可能性があるため、従業員の教育と業務手順の見直しは非常に重要です。

外部からの攻撃

外部からの攻撃は、サイバー犯罪者による意図的な攻撃が原因で情報が漏洩するケースです。たとえば、ウイルス感染、フィッシング詐欺、ランサムウェア攻撃、サイバー攻撃が挙げられます。

攻撃者は常に新しい手法を開発しているため、企業は最新のセキュリティ技術を用いてシステムを保護し、定期的なセキュリティ審査を実施しなければなりません。

内部不正

組織内部の人物が意図的に情報を漏洩させる行為も、情報漏洩に至る原因の一つです。

たとえば、以下のようなケースです。

  • データ盗難:従業員が機密データをUSBドライブや外部ハードドライブにコピーし、無許可で持ち出すケース。競合他社に売却される可能性が高い。
  • 情報の不正アクセス:無断で機密情報にアクセスし、それを不正に利用する行為。
  • 機密情報の故意の公開:SNSやブログ、掲示板などインターネット上で故意に企業の機密情報を公開する行為。

内部不正に関しては、従業員が個人的な利益を追求して行ったり、企業に対する恨みから故意に行われることが考えられるでしょう。

内部不正を防ぐためには、アクセス権限の厳格な管理、行動の監視、そして倫理的な職場環境の維持が不可欠です。

情報漏洩による損害賠償額の相場

情報漏洩による損害賠償額は、漏洩した内容によって異なります。

たとえば、漏洩内容が個人の連絡先だけにとどまり、二次被害がない場合の賠償額の相場は一人当たり3,000〜5,000円程度といわれています。

しかし、企業の機密情報が流れて大きな損失を被ったり、業務停止やブランでイメージの著しい低下があった場合は、賠償額が高額になる可能性が高いでしょう。

情報漏洩による損害賠償額の事例

情報漏洩によって請求された賠償額を詳しく知るために、日本国内で発生した具体的な情報漏洩事件と、それに伴う損害賠償の事例を紹介します。

Yahoo! BB顧客情報漏洩事件

Yahoo! BBのユーザー情報流出事件に関する大阪地裁の判決で、BBテクノロジーが顧客情報の漏洩による精神的苦痛を訴えた5人の原告に対し、1人当たり6,000円の損害賠償を支払うよう命じられました。

この内訳は、慰謝料が5000円、弁護士費用が1000円です。裁判では、BBテクノロジーの顧客管理体制の不備が指摘され、特に不正アクセス対策の怠慢が問題視されました。一方、ヤフーに対する賠償請求は、ヤフーが管理する情報の流出が認められなかったため退けられました。

ベネッセ個人情報漏洩事件

ベネッセの委託先従業員が約4858万人分の顧客情報を不正取得し、名簿業者に売却した事件です。

本事件について、東京地裁はベネッセに対し、被害を受けた3,338人に合計約1,100万円の損害賠償を支払うよう命じました。

裁判長は、ベネッセが委託先のセキュリティ管理を適切に監督していなかった点を問題視し、情報の秘匿性を考慮して1人あたり3,300円の賠償額を決定しました。

TBC顧客アンケート情報漏洩事件

TBCが起こした顧客情報流出事件です。

情報漏洩の原因は、Webサイトのサーバ移設時に個人情報を適切なアクセス権限を設定せず公開領域に置いたため、これが外部から自由に閲覧可能な状態となっていたことです。

流出した情報には、5万人分の住所、氏名、メールアドレス、アンケート回答、関心のあるエステコース名などが含まれており、これらは個人のプライバシーに関わる重要な内容であったため、その流出は大きな問題となりました。

東京地方裁判所は、TBCグループ会社に対して、原告13名に1人当たり3万5,000円、1名に2万2,000円の支払いを命じました。

ソフトバンク元社員による機密情報持ち出し事件

ソフトバンクの元社員が同社の5G技術に関する営業秘密を不正に楽天モバイルへ持ち出したとして、不正競争防止法違反で懲役2年、執行猶予4年、罰金100万円の有罪判決を受けた事件です。

この男性は、すでに逮捕されており、弁護側は情報が営業秘密としての要件を満たしていないと主張していましたが、裁判所はこの主張を退け、情報を営業秘密と認定しました。

業務委託時に個人情報が流出した事件

情報漏洩トラブルは中小企業や個人事業主レベルでも巻き込まれる可能性があります。大手企業以外の事例も紹介しておきましょう。

業務委託における契約で、受託者がDM発送業務を依頼され、その業務の一部をさらに第三者に再委託したところ、第三者の業務中に個人情報の流出が発生した事例です。

受託者は、委託者に対して請求金額約2,200万円を請求しましたが、委託者は漏洩事故が受託者側の管理不足によって発生したとして、損害賠償請求しました。

裁判所の判決は、受託者が顧客情報を第三者に提供したとして債務不履行であると判断し、約2,800万円の損害賠償責任を下しました。

情報漏洩の損害賠償額は何を考慮して算定されるのか

情報漏洩の損害賠償額を算定する際には、複数の要素が考慮されます。具体的に、どのような要素が反映され得るのか見ていきましょう。

情報漏洩の損害賠償額算定で考慮される要素

情報漏洩の種類

漏洩した情報の種類によってリスクの度合いと影響の範囲が異なります。

たとえば、以下のケースにおいては賠償額が高額になる可能性があるでしょう。

漏洩した情報の機密性が高い:個人情報、金融情報、健康情報などの高度に個人的なデータであること
情報漏洩によって悪影響を受けた人数が多い:大量のデータが漏洩した場合、その影響範囲と潜在的な害の大きさが考慮される
漏洩した情報が悪用されやすい環境にあった:クレジットカード番号や社会保障番号など、直接的な金銭的損失につながる情報が適切に管理されていない場合

これらの要因に基づいて、情報漏洩の種類ごとに賠償額が異なる理由が決定されます。

特に個人情報や金融情報の漏洩は、企業に対して重大な財務的責任を課す可能性があり、法的な責任や社会的な評判への損害も重要な考慮事項になるでしょう。

具体的な被害状況

情報漏洩の被害内容によっては、賠償額が高くなることがあります。被害の具体的な内容とその影響範囲は、賠償額の算定において重要な要素になるでしょう。

たとえば、漏洩した情報が金銭的な損害を直接的に引き起こした場合(例:クレジットカード情報の悪用による不正利用など)は、賠償額の増加につながります。

また、影響を受ける人数が多いほど、全体の賠償額は大きくなるでしょう。

情報漏洩の被害内容が具体的かつ深刻であるほど、企業や組織に課せられる賠償責任は大きくなり、それが賠償額の増加につながります。

被害者が受けた精神的苦痛の程度

被害者が受けた精神的な苦痛は、情報漏洩に関する損害賠償額を算定する際に重要な要素の一つとして考慮されます。

情報漏洩事件において、個人のプライバシーが侵害されることで生じる不安、ストレス、恐怖などの精神的な影響は、具体的な金銭的損失と同様に重要視されるため、慰謝料が賠償額に含まれるでしょう。

二次被害の有無

二次被害の有無は、情報漏洩における損害賠償額の算定において重要な要因の一つです。

ここでいう二次被害とは、元の情報漏洩事件が引き起こすさらなる損害を指します。たとえば、個人情報の不正利用による金銭的損失、詐欺、技術ノウハウ盗用、名誉毀損、さらなるプライバシーの侵害などが含まれます。

漏洩した情報がどのように悪用されたか、そして被害者にどのような二次的損害をもたらしたかは考慮されるでしょう。

情報漏洩発覚に対する会社側の対応

情報漏洩が発覚した際の会社側の対応も、損害賠償額の明暗を分けるでしょう。

事件発生を受けて適切かつ迅速に対応する企業は、二次被害のリスクを抑え、賠償額を低く抑える可能性があります。

一方で、事件が起きても不適切な対応をしたり事件を放置したりすると、責任逃れをしていると見なされ、法的責任や高額な賠償を招く可能性があります。

個人情報流出の場合は被害者からの損害賠償請求に時効がある

個人情報が流出した場合、被害者が損害賠償を請求する権利には一定の時効が適用されます。この時効は、情報漏洩の法的種類によって異なります。

個人情報流出による損害賠償請求の時効

不法行為による情報漏洩の場合

情報漏洩が不法行為に該当する場合は、被害者が損害賠償できる権利の時効は以下のとおりです。

  • 被害者が情報漏洩被害を知ったときから3年間
  • 情報漏洩被害があったときから20年間

上記いずれか早い時期に、時効が成立します。

20年という長い時効期間は、重大な違反に対する法的対応を可能にしているのです。

債務不履行や秘密保持義務違反を含む場合

情報漏洩が、債務不履行や秘密保持義務違反など契約問題に基づく場合は、以下の時効が適用されます。

  • 被害者が情報漏洩被害を知ったときから5年間
  • 情報漏洩被害があったときから10年間

上記いずれか早い時期に、時効が成立します。

また、不法行為と債務不履行のどちらも該当する場合は、被害者は両方の損害賠償請求が可能です。

会社が情報漏洩を防ぐために取り組むべき対策

情報漏洩は企業の存続を脅かす重大なリスクです。顧客情報や機密情報が漏洩すれば、企業イメージの失墜、顧客離れ、事業停止につながりかねません。

情報漏洩を防ぐためには、多角的なアプローチが必要です。以下は、企業が取り組むべき対策なので、可能な範囲で取り組んでみてください。

会社が情報漏洩を防ぐために取り組むべき対策

インターネット上のセキュリティ対策を強化する

ウェブベースの脅威から保護するために、ファイアウォールや暗号化技術、SSL証明書などを活用してデータの安全性を確保しましょう。

これにより、データがインターネットを介して送受信される際のセキュリティを強化できます。

最新のセキュリティパッチを適用し、ソフトウェアを常に最新の状態に維持することも心がけてください。

不正アクセス検知システムを利用する

不正なアクセスを検知するシステムを導入するといいでしょう。

システムに異常なアクセスや不審な行動があった場合に、速やかに警告してくれます。これにより、早期にサーバ攻撃を発見し迅速に対処できるようになるでしょう。

システムを導入する際は、組織のネットワーク環境と互換性があるシステムを選択してください。利用しているネットワークの規模、構造、業務に最適な機能を持つシステムを選定するようにしましょう。

情報保護に関する責任者を設置する

情報保護責任者の設置も、情報漏洩対策として有効な手段の一つです。

情報保護責任者は、情報セキュリティに関する組織全体の統括を行い、情報漏洩リスクを低減するためのさまざまな施策を実行する役割を担います。

責任者を決定したら、情報セキュリティに関する基本的な方針を定めた「情報セキュリティ基本方針」を策定し、全社に周知徹底します。

具体的には、情報資産の分類・管理、アクセス制御、情報漏洩対策、情報システムの運用管理など、具体的なセキュリティ対策を定めるとよいでしょう。

ログインIDやパスワード管理を徹底する

ログインIDやパスワード管理を徹底することは、情報漏洩リスクを減らすための非常に重要な対策の一つです。

情報漏洩の原因の多くは、不正アクセスによるサイバー攻撃です。ネット上で悪事をはたらく加害者は、さまざまな手段でログインIDやパスワードを盗取し、システムに侵入して情報漏洩を引き起こします。

ログインIDやパスワードを徹底管理する際は、以下の点を意識してください。

  • 英数字、記号などを組み合わせた、推測しにくいパスワードを設定する
  • 同じパスワードを複数のサービスで使用しない。
  • 定期的にパスワードを変更する。
  • パスワードを他人に教えない。
  • パスワードをメモ書きしない。
  • ワンタイムパスワードや生体認証などの二段階認証を利用する

企業は、ログインIDやパスワード管理を徹底し、情報セキュリティ対策の強化に努めてください。

秘密情報に関する従業員教育を実施する

秘密情報に関する従業員教育の実施も重要です。

情報漏洩の原因には、人為的なミスによるものもあります。情報を取り扱う社員が、情報セキュリティに関する知識や意識を十分に持っていないと、誤操作や情報持ち出しなどのミスが発生しかねません。

具体的には、以下のことを周知徹底してください。

  • 秘密情報とは何か、その重要性を理解する
  • 秘密情報をどのように取り扱うべきか、具体的なルールや手順を理解する
  • 情報漏洩のリスクを認識し、情報漏洩を防ぐ対策を理解する
  • 情報漏洩が発生した場合の適切な対応方法を理解する

これらの知識や意識を身につけることで、社員一人ひとりが情報セキュリティの担い手となり、情報漏洩リスクを抑えられるでしょう。

秘密情報の持ち出しルールを周知徹底する

秘密情報の持ち出しを厳しく禁止し、持ち出しルールを周知徹底することも重要です。

ルールを設定する際は、以下の点を考慮する必要があります。

  • 持ち出し禁止対象となる情報を明確に定義する
  • 持ち出しを許可する場合の手続きを定める
  • 持ち出し時のセキュリティ対策を定める
  • 違反した場合の罰則を定める
  • 社員に対して、持ち出しルールの教育を実施する
  • 持ち出しルールを定期的に見直し、必要に応じて改訂する

秘密情報の持ち出しルールは、文書化して社員に配布するようにしましょう。また、定期的に研修を実施することで、社員の理解度を高められます。

情報漏洩による対応に困ったら弁護士への相談がおすすめ

情報漏洩は、企業にとって死活問題となる可能性があります。しかし、発生件数をみる限り、多くの企業が情報漏洩の対応を迫られていることが分かります。

情報漏洩による対応にお困りの方は、大きな問題に発展する前に弁護士へ相談することをおすすめします。

情報漏洩の対応を弁護士に相談するべき理由

情報漏洩は、企業にとって重大なリスクであり、迅速かつ適切な対応が求められます。しかし、情報漏洩への対応は複雑であり、専門的な知識や経験が求められます。

ほかにも、情報漏洩の誤った認識によって、自社が不当に損害賠償請求される可能性もあるものです。自社が情報漏洩をはたらいたわけではないのに、無実を証明できず泣き寝入りするケースは珍しくありません。

こうしたケースにおいても、弁護士であれば情報漏洩に関する法令や判例に基づき、自社の権利を守ってくれます。

弁護士費用の負担を軽減するなら弁護士保険の利用がおすすめ

弁護士費用を抑える方法として、弁護士保険の利用が挙げられます。

弁護士保険とは、加入者が法律上のトラブルに巻き込まれた際に、弁護士費用を補償する保険のこと。訴訟費用や弁護士費用の一部または全額を保険がカバーしてくれ、自己負担金を大幅に減らせます。

弁護士費用が心配で、問題が深刻化するまで弁護士に相談を先延ばしにしていると、状況が悪化しかねません。

あらかじめ弁護士費用保険に加入しておけば、経済的な負担を気にせずに早期に弁護士に相談でき解決を目指せるでしょう。

弁護士保険を活用して情報漏洩トラブルを解決した事例こちらから。

事業に関する弁護士保険は、法人・事業者向けの弁護士保険がおすすめです。

記事を振り返ってのQ&A

Q.情報漏洩の損害賠償金はどのくらいが相場ですか?
A.事案によって異なります。特別な二次被害がない場合は、一人当たり3,000円から5,000円程度が相場です。被害が拡大している場合は高額になる可能性が高いでしょう。

Q.情報漏洩の損害賠償額は何を考慮して算定されますか?
A.情報漏洩の種類や被害状況、二次被害の有無、会社側の初動対応によって算定されることが多いでしょう。

Q.情報漏洩しないために会社が取り組む対策を知りたいです。
A.社内のセキュリティ対策が一つ。そして、不正アクセス検知システムの導入も効果的でしょう。情報保護に関する責任者を決め、ログインIDやパスワード管理について取り決め、定期的な社員教育も実施してください。