顧客情報の内部からの流出

この４月の「某証券会社の顧客情報の流出」に加え、７月からは「某生保会社の顧客情報の流出」が問題となっており、９月４日の一部新聞報道によれば、某生保会社の顧客情報の流出についても、内部関係者によるものであり、第三者に売却され、不正利用された可能性があり、現在個人情報を持ち出した個人の特定を急いでいるとのことである。

個人情報保護法では、「個人情報取扱業者」に対し、個人情報の適正な取得、利用目的の明示、安全管理措置、従業者の監督等が義務づけられており、違反した場合は、主務大臣（各事業ごとの事業所管大臣）により勧告が、その勧告に従わなかった場合、命令が発出される（命令に違反した場合、個人情報取扱業者は６月以下の懲役又は３０万円以下の罰金）ものの、個人情報を漏洩した個人に対する罰則の規定はない。

「某証券会社の顧客情報の流出」の場合、情報を持ち出したとされる者は、７月に、顧客情報を記録したＣＤを窃盗したという窃盗罪（10年以下の懲役）と、他人のＩＤ・パスワードを用いて顧客データベースに不正にアクセスしたという「不正アクセス行為の禁止等に関する法律」（罰則は１年以下の懲役または50万円以下の罰金）違反で起訴されているが、顧客情報の漏洩そのものが処罰される訳ではない。

一方、「行政機関の保有する個人情報の保護に関する法律」では、行政機関の職員等が、個人の秘密に関する事項が記載された個人情報ファイル（コンピューターで処理される個人情報のデータベース）を正当な理由なく提供した場合には、２年以下の懲役または100万円以下の罰金が課せられ、また、行政機関の職員等が、業務に関して知りえた個人情報を自己若しくは第三者の不正な利益を図る目的で提供、盗用したときは、１年以下の懲役または50万円以下の罰金が課せられる（前者の罰則が重いのは、総務省ホームページのＱ＆Ａによれば、「個人の秘密が記録された電算処理ファイルの漏えいによる被害の甚大性にかんがみ、国家公務員の守秘義務違反による罰則（１年以下の懲役または３万以下の罰金）を加重するもの」であり、後者は、「秘密の漏示・盗用に関する罰則（１年以下の懲役または50万円以下の罰金が最も多い）又は信書開封罪（刑法133条：１年以下の懲役又は50万円以下の罰金）を参考」にしたものとされている）。

個人情報保護法制定当時から、特に影響が大きい金融、医療、情報通信等を中心とする分野（９月１日に発表された、消費者庁の設置に伴う改正「個人情報の保護に関する基本方針」においても、個人情報について特に適正な取扱を確保すべき個別分野として医療、金融・信用、情報通信等が挙げられ、格別な措置が必要とされている）の民間企業での顧客情報を漏洩した個人に対する罰則設定が議論されていたが、検討は進んでいないようである。

こうした個人情報漏洩事案については、二次被害の防止、万一被害が発生した場合の被害者の救済、原因究明、再発防止策の策定が最重要であることはいうまでもないが、消費者の個人情報に関する意識の高まりの中で、個人情報漏洩時の罰則についての動向も含め、引き続き、個人情報保護法制全体の動向について注視していきたい。