1.個人情報漏えいによるリスク
企業が個人情報を漏えいしてしまった場合、さまざまなリスクが発生するおそれがあり、重大な損害をもたらす可能性があります。こうしたリスクを回避するためにも、まずはどのようなリスクがあるのかを想定しておくことが大切です。
ここでは個人情報漏えいを発生させた場合に、企業が想定しておくべきリスクについて紹介します。
(1)刑事罰を受ける
たとえば顧客名簿データを記録したUSBメモリを持ち出して電車の中で紛失した場合、個人情報の漏えいに対して、個人情報保護法に基づいて措置命令が出される可能性があります。
この措置命令に対して適切に対応しないと、刑事罰を受けるので注意が必要です。令和2年個人情報保護法改正にともない「6か月以下の懲役または30万円以下の罰金」から「1年以下の懲役または100万円以下の罰金」へと罰則が強化されています。
また、改正法施行により、個人情報流出のペナルティはより強化されました。
法人の代表者または法人もしくは人の代理人、使用人その他の従業者が、その法人または人の業務に関して、措置命令違反をした場合、改正個人情報保護法では1億円以下の罰金刑が科せられます。
(2)損害賠償責任の発生
情報流出が発生すると、企業は民事上の損害賠償責任を負います。損害賠償額は、流出情報の内容・範囲、実際の損失の有無や企業の事後対応が適切だったかが考慮されるので、事例ごとに大きく異なるのがポイントです。
過去の事例では、1人あたり1,000円から35,000円ほどの損害賠償額の支払いが命じられたケースがありました。お詫び状のほか、場合によっては金券を送付するなど謝罪コストがかかるうえ、流出件数が多ければ莫大な損害賠償額の支払いとなり経営に大きな影響を与えます。
(3)社会的信用の低下
ECサイトに登録されたクレジットカード番号や病院の診療記録などの個人データが漏えいすると、要配慮個人情報が含まれる個人データの漏えい等(またはそのおそれ)に該当します。「要配慮個人情報」とは、不当な差別、偏見その他の不利益が生じないように取扱いに配慮を要する情報として、個人情報保護法に定められた情報です。不安を与えたり、実際に不正利用によって被害者が出たりするので、企業は信頼を失い社会的信用は大きく低下するでしょう。
顧客や取引先から問い合わせや苦情の連絡が入り、対応に追われて業務に集中できなくなってしまうことも考えられます。また、問い合わせや苦情への対応により、社員のモチベーションも低下してしまう可能性があるでしょう。場合によっては個人情報漏えいをきっかけに離職者の増加につながるおそれもあります。
(4)なりすまし・不正利用の発生
メールアドレスやID・パスワードなども個人情報に該当し、これらのデータが流出すると、なりすましや不正利用の被害が発生する可能性があります。
クレジットカードが不正利用されたりするほか、最近ではSNSのアカウントの乗っ取りやWebサイトの改ざん、ウイルス感染を狙って実在する企業の社員になりすましてメールが社外へ配信される手口もあるようです。
(5)ランサムウェア・マルウェア感染
ランサムウェアと呼ばれるマルウェア(悪意のあるソフトウェアや悪質なコード)の脅威が増しています。IPA(情報処理推進機構)は、2022年3月に、法人が1番注意すべき脅威として「ランサムウェア」を1位として発表しました。
ランサムウェアはパソコンなどの端末やソフトウェアの脆弱性を悪用するもので、その感染経路としてよく用いられているのが「なりすましメール」の送信です。
具体的な被害事例の1つとして、メールに記載されたURLを安易にクリックしてランムウェアをダウンロードしてしまう手法が挙げられます。不審な外部の宛先からのメールやURLには確認が必要だと、社内で注意を喚起することが大切です。