2020年6月に公布された改正個人情報保護法が2022年4月に全面施行されることになっていますが、注意すべき点を前回に続いて見ていきます。
先月17日に公開された東京商工リサーチの調査によると、昨年上場会社とその子会社で起きた情報流出事故は前年比で3割増しの137件、574万人分であり、同社が調査を始めた2012年以降最悪とのことで、その原因として、ウイルス感染・不正アクセスが68件と半数を占め、2位が誤表示・誤送信の43件だそうです。
詳しくは↓をご参照ください。
https://www.tsr-net.co.jp/news/analysis/20210117_01.html
EUでは個人情報に対する規制が強く、行政が流出事故を起こした企業に対して巨額の制裁金を課す事例も多く見られ、これと比較して、流出時の法責任が軽い日本での危機管理意識の低さにつながっているのではないか、との見方もあります。
今改正もこうした流れの中で捉えることができ、前回、前々回に触れましたように、今改正では、個人の権利保護が強化されるとともに、個人情報取扱事業者の責任も強化されます。
流出・漏えい関連では、現行法では一定の法違反がある場合に限られる、本人の個人情報取扱事業者に対する自己を識別できる個人データの利用停止・消去・第三者提供の停止といった請求権(現行法30条)が、改正法では、法違反がない場合でも「重大な漏えいなどが発生した場合」などには行使できることになります。
また、これの裏表として、現行法では、個人情報取扱事業者は、漏えい事故が発生したときは、個人情報保護委員会に報告する法的義務はなく、取扱事業者の個別対応に委ねていましたが、今改正では本人の権利利益の侵害が大きい漏えい等が発生した際には、取扱事業者の個人情報保護委員会への報告義務と本人への通知義務が定められました(改正法22条の2)。
日本では、個人情報漏えいによる慰謝料は、氏名や住所、電話番号、メールアドレスなど一般的な連絡先が漏えいにとどまり、第三者に悪用されるなどの「二次被害」もないようなケースであれば、一人当たり3000円~5000円というところですし(ベネッセコーポレーション事件・東京地判H30.12.27)、それ以上に人に知られたくない(例えば病歴や信用情報など)配慮を要する情報が流出した場合や二次被害があった場合でも、2~3万円台というところです(TBC顧客アンケート漏洩事件・東京地裁H19.2.8)。
もちろん、上記のように、●●事件といって後々までその事業者名で事件が残るため、その風評被害も無視できないものではありますが、日本の裁判所の認める慰謝料額が仮にこの程度のままであったとしても、改正法により漏えい事故の本人への通知義務が課されることにより、通知を受けた多くの人が集まって賠償請求訴訟を起こすことが容易に想定され、その数が多くなれば、結局、会社として負担する額は多額にのぼります。
さらに、こうした漏えいに対する国際的な厳しい扱いの流れの中で、日本の裁判所の認める慰謝料額も、次第に増額されている可能性も否定できませんから、尚更です。
そうすると、今改正を受けて、取扱事業者は、危機管理意識を高めて、ふんどしを締めて臨むことが望ましいでしょうね。
次回ももう少し今改正について見ていきます。
過去の関連ブログ
↓ ↓ ↓ ↓ ↓ ↓
2022.01.13
2022.02.01