デジタル技術が発展した現代では、サイバー攻撃やウイルス感染、ヒューマンエラーなど、さまざまな原因による情報漏洩のリスクが高まっています。
情報漏洩は、企業の信頼を揺るがすだけでなく、金銭的に大きな損害を被る可能性があるため、速やかに対策を講じる必要があるでしょう。
この記事では、企業の情報漏洩による損害賠償のリスクと、事例から見える賠償金額の相場について解説しています。
企業にとって大きなリスクのある情報漏洩を防ぐ方法もまとめているので、あわせてご覧ください。
目次
情報漏洩とは、個人や組織の機密情報が外部に流出することです。場合によっては損害賠償を請求されるケースがあります。
損害賠償には、債務不履行による損害賠償と不法行為による損害賠償があり、情報漏洩は後者に該当します。
これは、情報漏洩が故意または過失によって被害者の権利や利益を侵害した行為にあたるためです。次のようなものが基準項目として設定されるので確認しておきましょう。
情報漏洩事件が起こった場合、企業には損害に応じた賠償責任が発生するほか、再発防止に向けた対策を取ることが求められます。
また、社内だけでなく、委託先企業でのトラブルも多く発生しているので、過去の事例からリスクを想定しておきましょう。
以下では、日本国内で起こった実際の事件について、概要や賠償金額などを紹介していきます。自社で同様のトラブルが発生しないよう、適切な対策を講じてください。
2014年、ベネッセコーポレーションが顧客情報を流出させる事件があり、流出にあった顧客が同社を訴えました。その結果、東京地裁はベネッセに対し、原告約5000人のうち3338人への賠償金、総額1100万円の支払いを命じています。
委託先従業員が顧客情報を不正に取得し名簿業者に売却していたことから、裁判長はベネッセが委託先のセキュリティ設定を適切に監査しなかったことを指摘しました。
賠償金額の設定は個人情報の重要性と被害者の精神的苦痛を考慮したものです。ベネッセは、この判決を真摯に受け止め、再発防止策を強化することを表明しました。
また、同社は、同年9月に経済産業省の勧告を受けたのち、翌10月には委託先を含めた再発防止策、セキュリティ対策を明確化した改善報告書を提出したことを報告しています。
2004年に発生したYahoo! BBの顧客情報流出は、日本における大規模な個人情報漏洩事件として知られています。
不正に取得され流出した約450万人分の顧客情報には、氏名、住所、電話番号、携帯電話番号が含まれていました。
プレスリリースによると、同社は事件発覚時にアクセス権限保持者の大幅削減、従業員教育の強化など、649項目にわたる対策を実施していたものの、事件はこれらの対策を実施するよりも前に起こっていたとのことです。
同社は事件発覚後、顧客へのお詫びとして500円の金券を送付したほか、個人情報管理の強化策として、内部のセキュリティ体制を見直し、再発防止に努めることを発表しています。日本企業におけるセキュリティ対策の重要性や、情報管理体制を見直す契機になった事件といえるでしょう。
2002年、エステティックTBCが運営するウェブサイトから約3万件の顧客情報が流出しました。この情報は、氏名、住所、電話番号、メールアドレス、さらにはアンケートの回答データなど個人情報が含まれているものです。
この事件は、流出したデータが、特定のURLにアクセスすることで誰でも閲覧可能な状態になっていたことで発生しています。原因はサーバーの移行を担当していた委託先企業の作業ミスでしたが、2007年2月、東京地方裁判所はTBCが使用者責任を負うべきとし、同社に対して賠償金の支払いを命じました。賠償金の金額は原告13名にそれぞれ3万5,000円、1名に2万2,000円でした。
事件を受けてTBCは、個人情報保護のためのセキュリティ対策を強化し、再発防止に努めています。
2022年9月、回転寿司チェーン「かっぱ寿司」を運営するカッパ・クリエイトが、「はま寿司」の営業秘密を不正利用して営業戦略に活用したとして、不正競争防止法違反に問われました。
元はま寿司の取締役であった人物が仕入れ価格や売上データなどの機密情報を持ち出し、転職先での不正が明らかになったこの事件で、東京地裁はかっぱ寿司に対し、罰金3000万円の判決を下しています。
転職に伴う引き抜き、情報漏洩は企業において重大なリスクとなっていますが、この事件はその典型的な事例といえるでしょう。
裁判では持ち出されたデータが営業秘密にあたるか否かが争点になっていましたが、不正の目的があったと指摘され、2人の元社員に対して執行猶予付きの有罪判決が言い渡されています。
情報漏洩による損害賠償額は、情報の内容や二次被害の有無など、さまざまな要因によって決められます。
一般的な相場はあるものの、対応ミスや被害者が受けた損害によって、相場より大きな額を支払うケースも少なくありません。
万一損害賠償責任が発生した場合は、どのようにして賠償額が決まるのか、どの程度の金額になるのかを把握しておきましょう。
情報漏洩の損害賠償額は、流出した情報の内容や二次被害の有無、事後の対応などによって決まるのが一般的です。
流出した情報の内容に大きく影響され、センシティブな内容であったかどうかで金額が大きく変わります。
氏名、メールアドレスなどの基本的な連絡先情報であれば低額にとどまり、信用情報や病歴のような秘匿性の高い情報だと高額になる傾向があります。
また、二次被害(漏洩した情報が第三者に悪用されること)が起こったり、事後対応(被害者への速やかな連絡や謝罪など)がおろそかになったりすると、損害賠償額が高額になる可能性が高まるでしょう。
過去の判例を見ると、一般的な損害賠償額は被害者1人あたり数千円から数万円が相場です。
流出した情報が基本的な連絡先のみで、二次被害も起こっておらず、被害が比較的軽いと判断される場合は、1人あたり3,000~5,000円程度になります。
一方、センシティブな情報が漏洩したり、二次被害が起きたりして被害が大きくなった場合には、1人あたり30,000〜50,000円ほどに金額が上昇するケースもあります。
情報漏洩が発生すると、損害賠償の支払いを命じられるだけでなく、企業の信頼が大きく損なわれるため、平時から十分な対策を取る必要があります。
情報漏洩を防ぐための方法のうち、代表的なものとして以下の3点を紹介します。
それぞれ見ていきましょう。
情報漏洩の原因は、サイバー攻撃やマルウェア感染のほか、情報管理上のヒューマンエラーや従業員の不正なども挙げられます。
ヒューマンエラーや不正を防ぐためには、情報管理における明確なルールを作ることが大切です。
情報管理のルールを策定する際は、現状の業務プロセスと情報資産を棚卸しし、「個人情報」「営業秘密情報」「インサイダー情報」など、情報を適切な形で整理してください。
そのうえで、情報の管理体制や管理基準、取扱基準を定め、就業規則にも明記しておくとよいでしょう。
情報漏洩対策として「ルールづくり」は必須事項ですが、それだけでは形骸化する可能性もあるため、社員教育も同時に実施する必要があるでしょう。
具体的には、コンプライアンスやリスクについて学ぶセキュリティ研修、ケーススタディを通じた情報共有などが挙げられます。
ノウハウ不足によって社内での実施が難しければ、外部から講師を招いて行いましょう。
サイバー攻撃の手段は多様化・巧妙化が進んでいるため、人の手ですべてのリスクをコントロールするのは現実的ではありません。
そこで、これまで紹介した対策とともにセキュリティシステムを併用し、効率性を向上させることも検討するとよいでしょう。
セキュリティシステムには、ファイアウォールやアンチウイルスソフトなど、多様な種類があり、外部からの攻撃に個別に対処していては手間がかかってしまいます。
そのため、UTMのように、一台で総合的なセキュリティ対策ができるシステムを導入するのがおすすめです。
UTMには、ファイアウォールやアンチウイルスなど複数のセキュリティ機能が搭載されているので、一元的に対策が行えます。
また、柔軟な働き方を推進するにあたり、テレワークのセキュリティに適したVPNを導入するのもよいでしょう。
参考記事:UTM(統合脅威管理)とは?概要や主な機能、導入事例を解説
情報漏洩が起こった場合、企業には損害に対する賠償責任が発生するリスクがあります。
損害賠償は、被害者1人あたり数千円にとどまることが多いものの、損害の大きさや流出した情報の内容によっては高額になることも珍しくありません。
国内の事例では、損害賠償請求額が数千万円になるケースも多いため、企業に与えるダメージが大きいことがわかります。
ひとたび情報漏洩が起こってしまえば、損害賠償だけでなく、信用の回復にも多大な時間と労力を要します。
自社で情報流出事件を起こさないよう、適切な対策を講じる必要があるでしょう。
UTMとインターネット接続をセットでご提供するFLESPEEQ UTM【クラウド型】は、複数のセキュリティ機能によって、安全にインターネットをご利用いただけます。
FLESPEEQ VPNを併せてお使いいただくことで、拠点間接続ネットワークのセキュリティも強化しながら、各拠点からのインターネットセキュリティを統一することが可能です。
また、FLESPEEQ Web Accessはセキュアなリモートアクセスにおすすめです。
FLESPEEQは、お客様の課題に合わせて最適解をご提案します。
「何が課題かわからない」というお悩みも全力でサポートいたしますので、ぜひ一度ご相談ください。
日本通信ネットワークは、企業ごとに、企画立案から構築・運用までワンストップで、ICTソリューションサービスを提供しています。
IT担当者様が、ビジネス拡大や生産性向上のための時間を確保できるよう、全面的に支援します。
お問い合わせ・ご相談・お見積りは無料ですので、お気軽にお問い合わせください。