執筆者:弁護士 早崎裕子
1. 2014 年にベネッセの業務委託先から約3000 万件の顧客情報が不正に持ち出されたという事件を契機に、個人情報に関する国民の権利意識も高まり、その後、企業は個人情報の保護に積極的に取り組むようになりました。
しかし、その後も個人情報の漏洩事件は後を絶たないばかりか、むしろ増加傾向にあり、昨年もNTT 西日本の子会社が、元派遣社員によるサーバーへの不正アクセスにより、約900万件の個人情報が流出したと公表しました。このような個人情報の流出が後を絶たないのは、言うまでもなく、個人情報に高い財産的価値が認められ、取引の対象とされているためです。
2. 2023 年9 月、以前の勤務先の数万件に及ぶ名刺データを閲覧できるID とパスワードを不正に転職先に提供した40 代の男性が、個人情報保護法違反(不正提供)などの疑いで警視庁に逮捕されるというニュースが流れ、社会の注目を浴びました。
なぜなら、これまでは顧客情報の持ち出しが刑事罰の対象とされるケースは、かっぱ寿司の不正競争防止法違反の事件など、いわゆる「営業秘密」が持ち出された場合に限られていたのに対し、この事件では「名刺」という一般的に入手しやすい媒体を基にした情報の持ち出しが問題とされたからです。
刑法は、元々「有体物」の盗用を対象としていたため、有体物ではない「情報」そのものの盗用は処罰の対象とされていませんでした。また、名刺は、第三者に広く配布することを予定しているため、名刺それ自体を営業秘密と捉えることは難しく、不正競争防止法で処罰することにはハードルがありました。
しかし、名刺に記載されている氏名やメールアドレスなどは、個人情報保護法上の「個人情報」に該当しますし、名刺も営業活動を通じてやり取りをされるものであって、誰でも自由に入手できるわけではありませんので、通常の使用目的を逸脱するような場合は規制が必要となります。このため、名刺を基に個人情報データベース等が作成された場合、そのデータベース等の不正提供については、罰則(1年以下の懲役又は50 万円以下の罰金)が設けられています(個人情報保護法179条、180条)。ちなみに、この罰則規定はベネッセ事件を契機として2017 年5 月に新設されたものです。
それまでは、事業者に当たらない個人が個人情報を盗用して不正に提供したとしても、情報漏洩者本人を直接刑事処分の対象とすることができませんでしたが、法改正によりそれが可能となったのです。もっとも、法改正から6 年以上この規定が現実に適用されるケースはなかったのですが、昨年初めて被疑者が「逮捕」され、この規定が社会に広く認知されることになりました。
3. 個人情報の漏洩は、多くが担当者らの不注意に基づくものですが、不正アクセス・不正ログインなどの故意に基づく行為よる場合も全体の約3割を占めています。
個人情報の不正流出については、行為者本人に対して民事上の責任を問うと言っても、本人の資力の面からの限界もあり、不正流出の対応に追われる企業の実害をおよそ補填できないことを考えると、今後は刑事罰の積極的な適用も強く期待されるといえます。
- 東京、福岡、上海、香港、シンガポール、ホーチミン、ハノイ、ダナンの世界8拠点から、各分野の専門の弁護士や弁理士が、企業法務や投資に役立つ情報をお届けしています。
- 本原稿は、過去に執筆した時点での法律や判例に基づいておりますので、その後法令や判例が変更されたものがあります。記事内容の現時点での法的正確性は保証されておりませんのでご注意ください。