コラム
2009年04月21日

顧客情報の流出

保険研究部 上席研究員   小林 雅史

文字サイズ

4月上旬以来、新聞・マスコミで「某証券会社の顧客情報の流出」が大きく報道されている。

個人情報保護法は、周知のとおり「個人情報取扱業者」〔個人情報データベース等(個人情報を体系的に構成したもの)を事業の用に供しているもの(個人情報保護法施行令により、取扱う個人情報データベース等により識別される個人の数が過去6ヶ月間5000を超えない者を除くこととされている)〕が「個人情報」(生存する個人の情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの)を取り扱う際の義務、罰則等を定めており、この部分は2005年4月に施行された。

個人情報取扱業者には、個人情報の適正な取得、利用目的の明示、安全管理措置、従業者の監督等が義務づけられており、違反した場合は、主務大臣(各事業ごとの事業所管大臣)により勧告が、その勧告に従わなかった場合、命令が発出される(命令に違反した場合、個人情報取扱業者は6月以下の懲役又は30万円以下の罰金)。

これを受け、内閣府国民生活局をはじめ、個人情報を取扱う各事業を所管する省庁(経済産業省、厚生労働省、金融庁等)により、24分野について37のガイドラインが策定されている。

一方、個人情報を漏洩した個人に対する罰則は規定がないため、報道によれば、今回の某証券会社の顧客情報の流出においても、元社員については、刑法上は情報は財物に当たらず、窃盗罪には問えないとして、不正アクセス禁止法違反の疑いで捜査が行われているとのことである。

また、個人情報を漏洩した場合の個人情報取扱業者等の損害賠償についても規定がなく、従来どおり、民法の一般原則(不法行為に対する損害賠償)によるものとされている。

個人情報を漏洩した場合の損害賠償責任の判例については、「U市住民基本台帳漏洩事件(最判2002.7.11)」(U市が住民基本台帳を利用したシステム開発を委託、再々委託先のアルバイト従業員が21万人分の台帳を名簿業者に漏洩したもの)では、住民に具体的な被害は発生していないものの、1人当たり1万5000円の損害賠償(1万円の慰謝料+5000円の弁護士費用)を認めている。

また、「W大学講演会名簿警視庁提出事件(最判2003.9.12)」(W大学が開催した講演会の出席者名簿を警視庁の要請に基づき、提出したもの)では、出席者に具体的な被害は発生しておらず、かつ提出の正当性・必要性はあることを認めながらも、1人当たり1万円の損害賠償を認めている。

その他、「O市情報公開条例事件(高松高裁2004.4.15)」(O市がその情報公開条例に基づき、住民投票条例の制定を求めた住民の名簿を公表したもの)では、公益性を否定し、1人当たり5万円の損害賠償を認めている例等がある。

また、係争となってはいないものの、カード会員情報の漏洩等に際し、1人当たり500円程度の商品券を配付するケースもある。

個人情報漏洩時の個人に対する罰則・損害賠償責任等、個人情報保護全体の動向について引き続き注視していきたい。

このレポートの関連カテゴリ

81_ext_01_0.jpg

保険研究部   上席研究員

小林 雅史 (こばやし まさし)

研究・専門分野
保険法・保険業法、英国の約款規制・募集規制等、代理店制度・保険仲立人制度

レポート

アクセスランキング

【顧客情報の流出】【シンクタンク】ニッセイ基礎研究所は、保険・年金・社会保障、経済・金融・不動産、暮らし・高齢社会、経営・ビジネスなどの各専門領域の研究員を抱え、様々な情報提供を行っています。

顧客情報の流出のレポート Topへ