情報漏洩に関する事件は後を絶ちません。
当コラムでも「情報漏えいの原因はヒューマンエラー⁉~その原因と防止策を徹底解説~」で、原因と防止策を紹介しています。
情報漏えいの原因の8割がヒューマンエラーとなっていることは、上記のコラムでも紹介しましたが、そのヒューマンエラーのなかでも、悪意のある“内部犯罪・内部不正行為”や“不正な情報の持ち出し”は、約1割程度存在します。
日本は他の先進国と比べて、情報セキュリティの意識が低いと言われています。企業の情報セキュリティ対策が他国と比べて進んでいないこともあるかもしれませんが、それ以前に個人個人がプライバシーなどに関して関心が薄いことが最大の要因ではないかと思います。
最近になってようやくセキュリティの意識が高まりつつありますが、まだまだ浸透しているとは言い切れない状況です。
今回は、そうしたプライバシー保護の関心の薄さなどの情報セキュリティの意識の低さから発生する悪意のある情報漏洩とそれに対する罪と罰について紹介します。
悪意のある情報漏洩事件の例
3000万件近い個人情報漏洩事件
最近では一番規模が大きな有名な情報漏洩事件です。覚えている方も多いと思います。
2014年7月に東証一部上場企業である大手教育関連企業の子会社から3000万件近い個人情報が流出していたことが発覚しました。会員の問い合わせから、関係のない企業からのダイレクトメッセージが届くという問い合わせからの発覚でした。
流出した情報は、「保護者氏名」「住所」「電話番号」から子供の「性別」「生年月日」、一部サービス利用者ののなかには「出産予定日」もありました。
この事件では、個人情報を管理しているグループ企業から委託されたアウトソース先の派遣社員の男性が逮捕されました。
犯人は、持ち出した個人情報を名簿業者に売却して利益を得ていたことから、罪としては「不正競争防止違反」として、実刑判決3年6ヶ月、罰金300万円を言い渡されました。
しかし、3000万人近い個人情報の流出させてしまった企業としては、会員に対して図書カードやマネーギフトによるお詫びなどで200億円近い予算を捻出。さらには、副会長、取締役の2名が引責辞任という事態になりました。
犯人は、スマホから約20回データを持ち出しましたが、ベテランスタッフのため、周囲がそれに気づくことはなかったということです。
大きく報道されたこの事件では、誰もが知っている大手企業が情報を漏洩させてしまったこと、流出した個人情報の数が膨大だったこと、子会社のアウトソース先の派遣社員が犯人だったことなど、大きく印象に残る事件となりました。
(罪と罰)
犯人は、「不正競争防止違反」としてとして、「実刑」という罰を受けることになりましたが、企業は経営者2名の退陣と100億円以上の損失、そして何より信頼の失墜という代償を払わされました。結果的に会員減少に歯止めがかからずに、その年は上場以来初の赤字となってしまいました。
(原因は?)
様々な原因が挙げられていると思いますし、実際に多くのニュースがこの事件を取り上げ、その原因と対策は多くのメディアが言及しています。
その原因のなかで最も注目したいのは、個人情報というものに対する関心の希薄さなのかなと感じています。おそらく、犯人もそれほど悪いことをやっている意識がなかったのでしょう。まさかここまで大きな事件になるとは思わなかったのではないでしょうか。
企業もアウトソースする際に、個人情報に関して厳重なセキュリティ対策をしていたと思えない状況です。
単なるシステムによるセキュリティ対策や企業間の契約書などの書面だけではない方法が必要だったということです。
個人情報漏洩に関する罰則について
2017年5月に改正個人情報保護法が施行され、以前は5000件以上の個人情報を保有している事業者が規制対象となっていましたが、それが撤廃され、1件でも個人情報を取り扱っている事業者は、すべて個人情報保護法が適用されることになりました。小さなベンチャー企業でも「知らなかった」では済まされないことになっています。
刑事上の責任と民事上の責任
(刑事上の責任)
事業者が個人情報保護法に違反して、まずは国から「是正勧告・改善命令」が出されます。これにも違反した場合には、違反した従業員に対して、「最大6ヶ月の懲役」「最大30万円の罰金」の両方が科せられる可能性があります。また、その事業者に対しても、最大30万円の罰金が科せられる可能性があります。
しかし、不正な利益を得る目的で個人情報を漏洩した場合には、「最大1年の懲役」「最大50万円の罰金」が科せられる可能性があり、事業者に対しては、「最大50万円の罰金」が科されることになります。
ただ、世間への影響や被害の大きさなど考慮して、前述の大手教育関連企業の事件のように、犯人に対して「不正競争防止違反」として、実刑判決3年6ヶ月、罰金300万円が科せられるケースもあります。
さらに、刑事上の責任だけではなく、民事上の責任を問われる可能性もあります。
(民事上の責任)
民事上では、「損害賠償責任」「謝罪金」などが請求される場合があります。
京都府宇治市住民基本台帳データ漏洩事件では、市民の個人情報が漏洩して、損害賠償額は1人あたり1万5,000円(弁護士費用含む)と判断されました。
また、TBCの個人情報漏洩事件では、エステティックサロンの会員のスリーサイズなどの情報が含まれていたため、賠償額が過去最高の3万5,000円(弁護士費用含む)となりました。
個人情報流出の意識
ほとんどの事件において言えるのですが、個人情報を流出させた犯人は、情報漏洩したこと自体がそれほど重大なこととして認識していなかったのではないでしょうか。
小さなことで言えば、人を紹介する際に、お互いに面識のない友人同士に、携帯電話の電話番号を教えてしまうような感覚かもしれません。しかし、それも当事者の了解を得ていなければ、それも立派な個人情報の流出となります。
セキュリティ対策の場合は、外部からの攻撃に対する対策を行う会社は多いですが、内部の対策を十分できていないところが少なくありません。
システム的なセキュリティ対策はもちろん必要ですし、重要なことです。しかし、一番重要なのは、情報に関する意識だと考えます。企業が保持する情報の大切さを理解して、その情報の取り扱いに関して、社員全員がその大切さを認識したうえでセキュリティ対策を実施しなければ、セキュリティ対策自体が意味のないものになってしまいます。
情報セキュリティの本質的な意味を理解すること、そして組織のなかの人に十分に理解してもらうことが一番重要なことなのではないでしょうか。