修正-2-1-1-200x200-1.webp){kind=avatar}
企業の個人情報漏洩をめぐるトラブルが後を絶ちません。企業を信頼して情報を預けた私たちは、経過を見守る以外に方法はないのでしょうか。
本記事では
| ・個人情報流出の手口 ・個人情報が洩れたら |
について、まず紹介します。
そして
| ・流出させた企業側の責任(損害賠償等) ・個人でもできる対策(「ダークウェブリポート」等) |
についても解説します。
1. 個人情報流出の手口
東京商工リサーチによると2023年に上場企業とその子会社が公表した個人情報の漏洩・紛失事故は175件(前年比6.0%増)、漏洩した個人情報は前年比7倍の約4100万人分と大幅に増えています。調査を開始した2012年から2023年まで漏洩・紛失した可能性のある個人情報は累計1億6662万人分に達し、日本人の人口を優に超えていることになります。
2023年に発覚した事故の原因は以下の通りです。
| ・ウイルス感染、不正アクセス 53.1% ・誤表示、誤送信 24.5% ・不正持ち出し、盗難 13.7% ・紛失、誤廃棄 8.5% |
情報を盗み取るといった明確な目的がある場合だけでなく、誤送信や紛失といった人為的ミスも目立ちます。
2. 個人情報が洩れたら
実際に漏れた個人情報は、その後さまざまな形で悪用される可能性があります。主なシナリオを紹介しましょう。
ダークウェブでの販売
漏洩した個人情報の一部はダークウェブ上で取引されるようです。ダークウェブとは通常のインターネットではアクセスできない特殊なネットワーク構造を持ち、その高い匿名性を背景に、2022年にはウクライナ政府支援目的の暗号資産調達にも利用されました。ダークウェブ自体は違法サイトではありませんが、アクセス元の特定が困難になる仕組みを持つことから、ドラッグや児童ポルノといった闇取引の温床になっています。
ダークウェブ上取引における個人情報の相場は、次のとおりです。
| 内容 | 相場 |
| メールアドレスとパスワードのセット | 1〜15ドル |
| ストリーミングやゲームのログイン情報 | 1~12ドル |
| クレジットカード番号 | 1〜100ドル ※情報信頼度により異なる |
| 運転免許証 | 3ドル〜 |
| パスポート情報 | 1ドル〜 ※日本人のものは高額取引の対象 |
| Eメールデータベース1000万件(米国) | 120ドル |
一つ一つは少額ですが、数万件単位となればネット犯罪者は簡単に大金を手にすることができ、しかも身元がバレる可能性も低い。そのため企業へのサイバー攻撃事件が後を絶たないのです。
スパムや広告のターゲティング
漏洩したメールアドレスや電話番号は、スパムメールや迷惑電話のターゲットリストとして利用されます。
無差別に送られる従来型のスパムメールとは異なり、最近では過去にやりとりした人物の名前やメールアドレス、メールの内容等を偽装してメールを送り付ける標的型も目立ちます。受け取った相手は仕事に関するメールだと思って添付ファイルを開いたところ、ウイルスに感染してしまったという事案が多発しています。
フィッシング詐欺
漏洩した個人情報を利用して、より精密なフィッシング詐欺も行われています。
たとえば、漏洩したメールアドレスや携帯電話番号宛に偽メールやウェブサイト情報を送り付け、リンク付けした本物そっくりのページに誘導した上で、金融機関のログイン情報やクレジットカード情報を騙し取るといった手口です。
送られてきた不審なメールは、URLを開かず、直ちに削除しましょう。
なりすまし
入手した情報(氏名やメールアドレス、写真等)を使用して新たなアカウントを作成し、その人物や団体、企業になりすます例もあります。
とくに有名人のなりすましアカウントからの不適切発言による本人のイメージ毀損、企業アカウントを装ったニセ情報の流布など、様々な社会問題を引き起こしています。
このように情報の漏洩は標的となった個人のプライバシー侵害だけでなく、詐欺や脅迫・恐喝、さらには社会不安といった二次被害へとつながっていくのです。
3. 流出させた企業側の責任
商品やサービスの購入、会員登録等、私たちは生活全般にわたって自らの情報を行政や企業に提供しています。その情報が、故意であれ過失であれ、漏洩した場合は、情報を保有する側にいかなる責任が生じるのでしょうか。
ここでは民間企業について検討します。
行政上の責任【個人情報保護法】
個人情報保護法(以下「法」といいます。)上の個人情報取扱事業者は、以下の義務が課せられます。
| 安全管理措置義務(法23条) |
| 利用目的の達成に必要な範囲内において、個人データの漏洩、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない |
| 従業員に対する監督義務(法24条) |
| 従業者に個人データを取り扱わせるに当たり、当該個人データの安全管理が図られるよう、当該従業者に対し必要かつ適切な監督を行わなければならない |
| 委託先に対する監督義務(法25条) |
| 個人データの取扱いの全部又は一部を外部に委託する場合に、当該個人データの安全管理が図られるよう、受託者に対し必要かつ適切な監督を行わなければならない |
| 漏洩等の報告(法26条):2022年4月より義務化 |
| 以下のいずれかに該当する場合、個人情報委員会へ報告し、本人へ通知しなければならない(施行規則7条)
・要配慮個人情報(心身障害の有無、健康診断の結果、前科・前歴等)が含まれる場合 |
【罰則】
これらの義務に反して個人情報を不適正に取扱っていた場合には、個人情報保護委員会から是正の勧告・命令、従わなければその旨公表される可能性があります(法148条)。
さらに命令にも従わない場合は、行為者は1年以下の懲役または100万円以下の罰金、法人は1億円以下の罰金刑に処される可能性があります(法178条、184条1項1号)。
民事責任
契約責任
個人情報管理の重要性が認識されている中、事業者がその保有する個人情報に一定のセキュリティ対策を講じることを契約で定めるケースがあります。仮に適切な対策を講じていなかったために個人情報が漏洩したと認められる場合には、事業者は契約上の義務に違反したことになり、債務不履行責任を負う可能性があります。
不法行為責任【ベネッセや早稲田大学も過去に!?】
個々人と情報保持に関する契約を交わしていなくても、個人情報管理体制の不備や従業員による持出行為等によって情報が流出した場合には、プライバシー権侵害を理由とする不法行為責任(民709条、715条)が発生します。
損害賠償額についてですが、過去の事例からいわゆる「相場」が形成されています。具体的な金額は以下の要素を基準に判断されます。
| ・漏洩した個人情報の内容(どれくらいセンシティブか) ・漏洩の態様(アクセス、拡散が容易な態様か等) ・情報の回収困難性や二次被害の有無 等 |
【過去の裁判例】
| 事件名 | 概要 | 賠償額(1人あたり) | |
| 東京高判H16.3.23 | 早稲田大学江沢民事件 | 講演会参加者の学籍番号、氏名、住所、電話番号を大学側が警察に提供 | 5000円+遅延損害金 |
| 大阪地判H18.5.16 | Yahoo!BB事件 | 申込み住所、氏名、申込電話番号、申込日、メールアドレスが外部からの不正アクセスにより漏洩 | 5000円+弁護士費用1000円 |
| 大阪高裁R1.11.20 | ベネッセ事件 | 子供や保護者の氏名、住所、電話番号、性別、生年月日等の情報を業務委託先の社員が不正に持出し売却
※情報が漏れたとの不快感も慰謝料の対象(最判H29.10.23) |
1000円+遅延損害金 |
| 東京高判H19.8.28 | TBC事件 | 氏名、住所、電話番号、メールアドレス、職業、年齢、性別、関心を有していたエステコース、スリーサイズ等を含むアンケート回答を、インターネット上で第三者による閲覧が可能な状態に置いて流出させたことにより、迷惑メール、ダイレクトメール及びいたずら電話といった二次被害が発生 | 3万円+弁護士費用5000円
|
| 東京地判H25.3.28 | 乳がん臨床写真流出事件 | 患者の病気に関する情報、患者名が入った臨床写真等のデータを医師が院内規定に従わずに複製、これを含むパソコンを車内に置いていたところ車上荒らしに遭い、個人情報が流出 | 30万円+遅延損害金 |
| 東京高判H27.4.14 | 公安テロ情報流出事件 | 警察が一部のイスラム教徒をテロ予備軍としてデータベース化(信仰内容や前科等を含む)していたところ、その内容が漏洩、インターネット上に流出・拡散 | 500万円+弁護士費用50万円 |
政治的信条や具体的な病状といったセンシティブな情報については高額になる傾向がありますが、氏名や住所等の基本情報では数千円程度に留まります。
お詫び(謝罪金)
損害賠償金とは別に、事業者側自らお詫び(謝罪金)という名目で金員を支払うこともあります。なお、支払いがあっても、当該企業が漏洩を発生させた法的な責任があることを認めたことにはならない点に注意が必要です。基本的には個人情報が流出したすべてのユーザーに対して、事業者から金券や電子マネー、ポイント等が配布されます。
金額は、氏名や住所、メールアドレスといった基本情報については500円~1000円程度、年収区分や職業・役職、クレジットカード情報のような秘匿性の高い情報には1万円程度(三菱UFJ証券事件、アリコジャパン事件等)となっています。
ユーザーにとって納得のいく金額であるかは疑問ではありますが、訴訟に発展した場合のコストや社会的ダメージを考えた措置と言えます。
4. 個人でもできる情報漏洩対策
最後に、情報を預けている個人の側ができる対策を紹介します。
| サービスを利用する前に立ち止まって考えてみる |
信頼できるサービスかどうか、メールや他サイトからリンクをたどった場合にドメイン名が公式と同じか、必要以上に個人情報の登録を求められていないか等を確認し、違和感があれば登録しないことが大切です。
| アカウントの取扱いに注意する |
インターネット上でアカウント作成する際には、英数字や記号を組み合わせて第三者が推測しにくいパスワードを設定、パスワードの使い回しも避けましょう。管理が煩わしければ、パスワード管理ソフトの利用がお勧めです。
| 情報を安易に放置・廃棄しない |
書類を廃棄する際にはシュレッダーにかける、パソコンやスマホの画面を開いたまま離席しない、重要な情報は施錠できる場所に保管するなど、少しの手間が情報漏洩を防ぎます。
| OSやアプリを最新の状態に保つ |
コンピューターウイルスや不正アプリはシステムの脆弱性を突いてきます。OSやアプリの更新通知があればすぐに更新し、常に最新の状態を保ちます。
| 利用明細やダイレクトメールに注意する |
心当たりのない請求書や登録した覚えのない会社から頻繁に連絡がくるようになったら、個人情報が漏れた可能性大です。損害の拡大を食い止めるためにも早期発見に努めましょう。
また、漏洩が発生した場合は事業者から郵便又は電子メールで通知されます。こちらも見落とさないように注意して下さい。
| ダークウェブリポート |
ダークウェブ上に自分の個人情報がリークされていないかをチェックできるGoogle上の機能が、2024年7月から全ユーザーを対象に、無料で利用できるようになりました。定期的にチェックするのもよいでしょう。
参考:https://support.google.com/googleone/answer/13632847?hl=ja
人気記事
