個人情報保護法改正!オプトアウト、第三者提供、Cookieなどをわかりやすく解説
2020(令和2)年に制定された改正個人情報保護法が、いよいよ2022(令和4)年4月1日に施行されました。 200…[続きを読む]
個人情報保護法違反とは?概要、罰則と事例をわかりやすく解説
個人情報保護法については、名前は知っていても、実はその内容をよく知らない、刑事罰もあるのか分からないということが多く、誤解をしている方もたくさんいます。
そこで今回は、個人情報保護法の概要と罰則、適用場面、具体的な事例として、個人情報保護法が適用されたケースには、どのようなものがあるのかなどについて解説します。
なお、個人情報保護法は3年ごと見直しの規定により、2020年に改正(2022年4月施行)されています。改正内容についてはこちらの記事で解説していますので、ぜひ参考にしてください。
役所などの公的機関や企業はもちろん、皆さんも身近なところで個人情報を取り扱う機会がありますので、知っておく必要があります。
個人情報保護法とは
個人情報保護法は、その正式名称を「個人情報の保護に関する法律」と言います。
近年急速に情報社会が発展して、個人の権利利益の侵害が行われる危険性が高まったことや、国際的にも個人情報保護を強化する内容の法律の制定例などが見られたことにより、日本でも制定しようと言うことになり、作られた法律です。
平成15年5月、個人情報保護法が公布されて平成17年4月に全面的に施行されました。
さらに、情報通信技術が発展したことや事業活動がグローバル化したことなどがあり、環境が大きく変わったので、平成27年9月に法改正が行われ、改正個人情報保護法が公布されました。
法改正にともなって、平成28年1月1日から、個人情報保護法の国の所管は消費者庁から「個人情報保護委員会」に移っています。
個人情報保護法違反時のペナルティ・刑事罰(厳罰化)
個人情報保護法による規制をより実効化するため、各違反についての刑事罰・法定刑が引き上げられています。
罰則あり!個人情報保護委員会の命令違反
個人情報保護委員会が、個人情報保護法の規定に違反した事業者に対して是正命令を行った場合に、事業者が是正命令*に違反したときは、刑事罰の対象となります。
※いきなり処罰されるのではなく、まずは是正勧告や改善命令を受けることになります。
現行法下での命令違反の法定刑は、「6月以下の懲役または30万円以下の罰金」とされていました。
しかし、改正法83条では、命令違反の法定刑が「1年以下の懲役または100万円以下の罰金」に引き上げられました。
また、不正な目的で個人情報を漏えいさせた場合には、1年以下の懲役または50万円以下の罰金刑が科されることがありますので注意しましょう。
罰則あり!個人情報保護委員会への虚偽報告など
個人情報保護委員会が事業者に対して報告を求めた場合に、事業者が報告をせず、または虚偽の報告をしたときなどは、やはり刑事罰の対象となります。
現行法下での虚偽報告などの法定刑は、「30万円以下の罰金」とされていました。
一方、改正法85条では、虚偽報告などの法定刑が「50万円以下の罰金」に引き上げられました。
法人による違反の重罰化
現行法下では、法人がデータベース等不正提供罪や個人情報保護委員会の命令違反を犯した場合の罰金の上限は、個人の違反と同じとされていました。
しかし、法人と個人の資力格差を考慮し、法人がこれらの違反行為を行った場合の罰金の上限額が1億円に引き上げられました(改正法87条1項1号)。
ネット上のプライバシー権侵害は、個人情報保護法と関係ない!
以上のように、個人情報保護法の適用が問題になるシーンは「事業者」がその保有する個人情報を流出させた場面です。
そのため、ネット上の「プライバシー権侵害」などの場面では直接的な適用はありません。
たとえば、2ちゃんねるでプライバシー権侵害の投稿があったとします。
このとき、投稿者は単なる個人であり、個人情報保護法における個人情報取扱事業者ではないため、投稿者の投稿行為に対し、個人情報保護法によって何らかの罰則が適用されることはありません。
また、2ちゃんねる自身が個人情報を保管していたわけでもないので、2ちゃんねるに対して個人情報保護法上の責任を問うたり、刑事罰を与えることはできません。
このように、ネット上のプライバシー権侵害やネット誹謗中傷問題を受けた場合、基本的に個人情報保護法とは無関係な問題なので、その点を理解しておくことが大切です。
プライバシー権侵害や誹謗中傷行為は、民法上の不法行為(民法709条)です。
ネット上でのプライバシー権侵害や誹謗中傷問題で悩んだら、ネット問題に強い弁護士を探してアドバイスをもらい、正しい対処方法をとりましょう。
個人情報保護法違反の事例!流出が問題になった具体例
次に、具体的に個人情報流出が問題になった事例を見てみましょう。
日本年金機構の個人情報流出事故
まず、日本年金機構における情報流出事故があります。
これは、平成27年(2015年)5月に明らかになった事故で、月日本年金機構が外部からの不正アクセスを受けて、年金情報管理システムサーバから年金に関する個人情報が流出した問題です。
このとき、日本年金機構の職員が、偽装メールに記載されていた外部リンクのアドレスをクリックしてファイルをダウンロードしてしまったことにより、ウイルスに感染した可能性が高いと考えられています。
日本年金機構では、パスワード設定などのセキュリティを職員任せにしてチェックを適切に行っていない運用方法であったことや、インターネット接続しているPCから個人情報サーバにアクセスできるネットワーク設計であったことなどが原因で、流出事故を招いたとされています。
この流出問題を受けて、日本年金機構は、対応のために専用の電話窓口を設置しました。すると、問い合わせが殺到して、2日間に15万件以上にもなりました。
日本年金機構はこのサイバー犯罪について警視庁に対して通報し、捜査を依頼し、警察が捜査を開始しました。
さらに、日本年金機構では、事件の反省から、個人情報を適切に管理するため、外部の有識者をメンバーに加えて原因調査や再発防止の為の委員会を設置しました。
ベネッセコーポレーションの個人情報流出事件
次に、ベネッセコーポレーションの個人情報流出問題をご紹介します。
これは、平成25年12月ころから、ベネッセの従業員がベネッセの顧客情報を持ち出して転売していた事件であり、平成26年(2014年)6月ころに事実が明らかになりました。
顧客情報の流出によって、平成26年6月ことから、ベネッセの顧客宛てに他社からダイレクトメールが届くようになったため、ベネッセから個人情報が漏洩している可能性が指摘され始めたのがそもそものきっかけです。
ベネッセが社内調査を行ったところ、ベネッセ従業員によって顧客情報が持ち出されていたことが明らかになりました。
このとき、進研ゼミなどの顧客について、子供や保護者の氏名、住所、電話番号、性別や生年月日などの個人情報が最大約2070万件もの情報が漏洩した可能性があると発表されています。
同年7月19日、ベネッセのグループ企業の派遣社員エンジニアが逮捕され、取り調べにより、このエンジニアが顧客情報を持ち出して名簿業者に転売したことが明らかになりました。
ベネッセの取締役が2人引責辞任することとなり、この事件の影響によって大規模な顧客離れが起きてベネッセは赤字転落しました。
さらに、経済産業省はベネッセに対し、個人情報保護法にもとづいて、違反行為を是正するために必要な措置をとって、情報流出の再発防止を徹底するように勧告しています。
ベネッセには、個人情報に関する安全管理措置義務(第20条)や委託先の管理監督義務(第22条)の違反があると認定されました。
個人情報保護法のポイントをあらためて復習!
個人情報保護法に関して対策する前に、具体的にはどのような法律なのかそのポイントだけ抑えておきましょう。
個人情報の定義づけ(2条)
個人情報保護法では、個人情報・個人データ・保有個人データの定義づけをしています。(2条1項、4項、5項)
ここで言う「個人データ」とは、個人情報をコンピュータによってデータベース化したものであり、そのうち事業者が6ヶ月以上にわたって保有しているもののことを「保有個人データ」としています。
そして個人情報保護法に言う「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」です。
個人情報取扱事業者(2条3項)とは
個人情報保護法を理解しようとするとき、「個人情報取扱事業者」(2条3項)がどのようなものかが重要になります。
個人情報保護法によって主に規律を受けるのは、「個人情報取扱事業者」だからです。
そして、「個人情報取扱事業者」とは、個人情報やデータベース等を事業活動に利用しているもののことです。つまり、単なる一般的な個人には個人情報保護法の適用はないということになります。
個人情報取扱事業者について、法改正前は保有する個人情報が5000人を超えるものに限られていましたが、近年インターネットなどの普及によって、保有する個人情報の数が少なくても流出のおそれなどが高まっていることから、この保有数についての条件はなくされました。
よって、改正個人情報保護法の施行後は、保有する個人情報の数によらず、取り扱う個人情報の数が5000人分以下の事業者も個人情報保護法による規律を受けることになります。
利用目的の特定(15条)と目的外利用の禁止(16条)
個人情報保護法は、個人情報取扱事業者に対し、
- 個人情報の利用目的を特定するよう求めており(15条)
- その目的外での利用を禁止しています(16条)。
個人情報を取り扱う際、利用目的をできるだけ特定しなければならないとされており、予め本人から同意を得た場合以外には、利用目的を超えて個人情報を用いることが禁じられます。
個人情報の適切な取得(17条)と取得時の通知義務(18条)
個人情報保護法には、以下2つの規定もあります。
- 個人情報を取得する場合の方法(17条)
- 取得時の通知義務(18条)
個人情報取扱事業者が、個人情報を偽りなどの不正な手段で取得することは禁止されていますし、情報の取得時には、情報の本人に対して利用目的を通知することが必要になります。
事前に通知することができなかった場合には、情報の取得後、速やかに本人に対して利用目的を通知するか公表する必要があります。
安全管理措置(20条)と監督義務(21,22条)
- 安全管理措置(20条)
- 従業者や委託先の監督義務(21・22条)
もあります。個人情報取扱事業者は、個人データが漏えいしたり滅失したりすることを防止するため、必要かつ適切な保護措置を講じる必要があります。
安全に個人データを管理するため、事業者の従業員や個人情報管理の委託先などに対し、必要かつ適切な方法で監督する義務を負います。
第三者提供の制限(23条)
個人情報保護法では、第三者提供の制限(23条)も重要です。
個人情報取扱事業者は、原則的に、あらかじめ本人の同意を得た場合以外には本人以外の者に対し、個人データを提供することができません。
ただし、情報管理の委託の場合、事業承継や情報の共同利用をする場合には、法律で禁じられる第三者提供には該当しません。
本人からの開示、訂正、利用停止の求めについて(25~30条)
個人情報保護法には、個人情報の本人からの開示、訂正、利用停止等の求めについての制度もあります(25~30条)。
個人情報取扱事業者は、情報の本人からの要求があれば、保有個人データを開示しなければなりません。そして、内容に誤りがある場合には訂正等に応じなければなりませんし、目的外利用などの法律上の義務に違反する取扱いや、不適正な取得方法、本人の同意なしに第三者提供している場合には、情報の利用を停止しなければならないとされています。
以上のように、個人情報保護法は、個人情報を取り扱う事業者に対してさまざまな義務を課することにより、国民の権利を守ろうとする法律です。
この基本的な考え方を、まずは理解しておきましょう。
また2022年の改正内容については、下記記事が詳しいです。併せてご参照ください。
まとめ
今回は、個人情報保護法の刑事罰や事例、基本についての解説をしました。ネット上でプライバシー権侵害を受けた場合、個人情報保護法による保護が受けられないのかと考える方も多いですが、この場合には個人情報保護法の適用はありません。
個人情報保護法は、個人情報を取り扱う事業者に対し、適切に個人情報の取扱をするように求める法律であり、個人が他人のプライバシー情報を開示する場合に適用されるものではないからです。
個人によってプライバシー権侵害を受けた場合には、相手に対して直接損害賠償請求をする必要があり、正しい法律を適用して適切な賠償請求を行うためには弁護士に依頼する必要性が高いです。
ネット上での権利侵害に悩んでいるなら、まずはネット問題に強い弁護士を探して相談を受けてみることをおすすめします。
誹謗中傷の無料相談ができる事務所
【東京都・中央区】
弁護士法人NEX
- 初回相談無料
- 犯人特定に強い
- 爆サイに強い
弁護士法人NEXは、爆サイ、ホスラブ、5ch、2ch、たぬき等をはじめとする掲示板のネット誹謗中傷問題の解決を得意としております。ネット投稿の削除も得意としておりますが、再発防止の効果も見込め、被害の抜本的解決ができる「発信者(犯人)の特定」により注力して、ご相談者様の悩める心情に寄り添いながら、解決に向かって迅速に業務を遂行してまいります。
誹謗中傷でお悩みなら今すぐ弁護士相談
050-5267-6228
[電話受付]平日 9:00~21:00 土日祝 9:00~18:00
