漏えい事故によって生じる損害

　個人情報の漏えい事故が起きた場合、どのような影響や損害が発生するのだろうか。

　個人情報を漏えいされた本人には、迷惑メールやダイレクトメール、電話による勧誘が増えたり、クレジットカードやウェブサービスの不正利用や詐欺による請求の危険性が高まるなど、さまざまなリスクが発生する。

　また、損害を受けるのは情報を漏えいされた本人に限られない。たとえば、個人情報漏えい事故を発生させた企業等の組織は、事故の原因調査や対応による時間と費用の損失、信用低下等の経営上の損失、民事上と刑事上の責任による損失、役員に対する責任追及などのさまざまなリスクにさらされることになる。

【漏えい事故を発生させた際の企業リスク】

○原因調査や対応による時間と費用の損失

○企業の信用低下による損失

○民事上と刑事上の責任による損失

○役員に対する責任追及など

　企業が個人情報を漏えいしたことで、発生するこれらのリスクについて、以下に詳しく説明する。

原因調査や対応によって生じる損失

　情報漏えいが起きた場合、その事実関係の裏づけや証拠などを調査しなければならない。

漏えいの原因を調べるための調査費はもちろん、マスコミに対する公表や会見、謝罪広告費、クレーム処理における人件費、コンサルティング費用など、あらゆる面で相当の時間とコストを要する。

　さらに、個人情報の漏えい事故を公表された企業は、低下した信用をリカバリーして、顧客離れを防止するために、信用回復のための対応をとることになる。

　信用回復のための対応としては、事故の原因究明をする調査チームの結成、外部コンサルタントへの委託、個人情報の安全管理システムの構築、謝罪のための窓口の設置や顧客宅への訪問、経過報告のための広報や謝罪などが考えられる。

　調査チームは、社長、担当役員、システム担当者、総務や広報の責任者などによって構成され、数名の従業員は数か月の間、事案解明のために多くの時間を割いたり専従することになり、調査期間に要した期間と参加した従業員の給与相当のコストが発生する。

　さらに、調査や事後対応の指導をしてもらうために、外部コンサルタントや弁護士などの専門家に支払う費用も漏えい事故に伴うコストといえる。

　そのほか、漏えい事故が発生したという事実は、その企業の情報管理に何らかの問題が発生しているので、原因究明と対策を実施する必要がある。

　また、社内システム（ネットワーク、データベースなど）をそのまま稼働させておくと、さらなる情報の漏えいが発生する可能性もある。よって、被害の拡大を防ぐために、必要に応じた営業停止や営業自粛も想定される。

信用低下などの経営上の損失

　個人情報漏えい事故により、社会的信用の失墜や企業イメージのダウン、風評による経営上の損失が発生する。個人情報の漏えいは、顧客に対して不利益を直接与える行為であり、顧客や潜在顧客の多くを失うことになる。また、個人情報の漏えい事故が公表されれば、取引先から取引を停止されたり、入札資格を喪失したりすることがある。

　さらに、そこから派生して従業員の士気や社内のモチベーションが低下すると、生産性は上がらずに業績は下がり、挙げ句には優秀な人材が流出することも考えられる。

　情報の伝達が速く、イメージやブランドがビジネスにおいて重要な要素となっている現代において、個人情報の漏えいは、企業・組織の存続を脅かす大きな脅威といえる。

民事上と刑事上の責任によって生じる損失

　個人情報漏えい事故が発生した場合、情報を漏えいされた被害者から、慰謝料などの損害賠償を請求される可能性がある。精神的な損害についての賠償額は、その個人情報漏えいによる本人への打撃の大きさ、その個人情報が本人をどの程度特定しているか、事故発生後にどの程度被害回復が行われたかなどを考慮しながら算定されることになる。訴訟は時間と費用がかかり、被害者および企業の双方にとって負担が大きい。

　そこで、訴訟へ発展する前に企業がお詫びとして一定の金銭を被害者に支払うことにより解決に至るケースがある。その額は事故の規模にもよるが、情報漏えいされた被害者の人数が多い場合には大きな金額となりえる。

　また、個人情報保護法において、情報漏えいは安全管理義務違反、第三者提供違反などに該当する可能性があり、同法では刑事罰が規定されている。そのほか、個人情報の漏えいが、企業の取締役の任務懈怠によって生じ、その結果、会社に損害が発生すると、株主が代表訴訟を提起して、取締役の責任を追求する手段に出る可能性もある。

（※　平成27年11月時点で執筆しております。その後の法改正にご留意ください。）