個人情報漏えい対策の重要性と企業の責任 -最新裁判例から学ぶ教訓
1. 個人情報漏えいのリスク
2014年のベネッセ情報漏えい事件では、数千万件の個人情報が流出し、企業の信頼を大きく損ないました。また2024年には角川が大規模なサイバー攻撃を受け、多数の個人情報流出が報道されました。このような事例を通じて、個人情報漏えいは企業の信用を揺るがす重大なリスクとして広く認識されています。
企業の法務や総務担当者として、個人情報漏えいのリスク管理は避けて通れない課題です。今回は、最新の裁判例を参考に、個人情報漏えい事案への適切な対応策について、具体的に必要となる手続きや、それにかかる金額等の項目も含めて詳しく解説いたします。
2. 裁判例の概要(令和5年2月17日前橋地裁判決 NBL 1266号69頁)
X市は、被告会社との間で、X市情報教育ネットワークのデータセンターの移管設計および構築業務に係る委託契約を締結しました。
その後、何者かが教育資料公開サーバにバックドアを設置しました。バックドアとは、利用者に気づかれないようにシステムに仕込まれた、セキュリティを回避して遠隔操作を行うための隠し通路のことです。
不正アクセス者は、このバックドアを利用して、内部ネットワークに侵入し、不正ツールを保存しました。また、不正アクセス者は、多数の個人情報が保存されたファイル共有サーバから各種ファイルを圧縮し、教育資料公開サーバに収集して保存しました。
結果として、多数の個人情報が流出した可能性が高いことが判明しました。これを受けて、X市は被告会社に対し、債務不履行または不法行為にもとづき損害賠償金等の支払いを求めました。
3. 裁判例の判断内容
裁判所は被告会社に対して債務不履行責任を認めました。その理由は、被告が適切な通信制限を行わず、ファイアウォールの設定に不備があったことにあります。これにより、多数の個人情報が不正アクセスによって流出する事態を招いたと認定されました。
4. 損害賠償として認められた項目
裁判所は以下の損害賠償項目を認めました。これは、個人情報漏えい時に必要となる費用項目の具体例として参考になります。
- デジタルフォレンジック対応の業務委託料:918万円
- インシデント対応支援のコンサルティング業務委託料:540万円
- 保護者・教職員宛て通知のための郵送料等:370万0766円
- 職員時間外勤務手当分等:455万8066円
- 第三者委員会委員報酬等:112万8560円
- 各種外部ネットワーク調査業務(Web調査)委託料:1107万円
- X市情報教育ネットワークの校務系端末復旧作業の業務委託料:3242万5380円
- X市情報教育ネットワークの学習系端末復旧作業の業務委託料:4349万8080円
- 連絡手段確保のためのノートPCリース代:248万6484円
- X市情報教育ネットワークの再構築業務委託料:1653万4886円
- 弁護士費用:損害合計の1割(本件は訴訟となっているため、弁護士費用も認められています。)
5. 個人情報漏えい時の実務的ポイント
2022年4月より、個人情報保護法に基づいて一定の個人データ漏えい等の事案について個人情報保護委員会への報告が義務づけられました。この報告にあたっては、事実経過、原因、被害、対応、再発防止策などの詳細な記載が求められます。そのため企業にとって、これらの対応は不可避です。
また、上記裁判例では、システムの復旧・再構築など一般的に想定される費用の他に、以下のような費用も認められました。
デジタルフォレンジック対応
- 個人情報漏えいの疑いが生じた場合、まずは調査を行わなければ、その原因や規模を特定することはできません。デジタルフォレンジックは、サイバー攻撃や情報漏えいの原因究明と証拠保全のための専門的な調査です。これによって、情報漏えいの経路や規模を明確にし、適切な対策を講じることが必要です。
- また、上述した個人情報保護委員会への報告のためにも、デジタルフォレンジック調査による原因究明等が必要な場合が多いところです。
インシデント対応支援のためのコンサルティング費用
- サイバー攻撃や情報流出といったインシデント時には、これまでネットワーク管理を任せていた委託先を信用できなくなる、といった事態が生じます。
- そのため、インシデント対応支援のために、サイバー攻撃や情報漏えいが発生した際の対応策などについて、ネットワーク技術に関する専門家に依頼する必要が生じることがあります。
第三者委員会、調査委員会等の費用
- 不正アクセスの原因究明にあたり、独立した第三者委員会または調査委員会を設置することがあります。外部専門家による客観的な調査は、信頼回復に向けた重要なステップとなります。
- 上記の裁判例では110万円ほどの費用ですが、私の実務感覚では、もっと多額になるという印象です。この裁判例における第三者委員会は、限定された事項についてのみ調査をしたに過ぎないケースではないか、と推察します。
外部ネットワーク調査(Web調査)の費用
不正アクセスにより流出した情報がインターネット上に存在するかどうか調査するための費用です。被害規模の確定、ステークホルダーへの説明、および事実関係の明確化のために、このような調査が必要となることがあります。
関係者への通知・連絡のための費用
個人情報の漏えいが発生した場合、被害者に対して通知や公表を行う義務があります。そのため、郵送や印刷などの費用がかかります。
その他
その他、問合せ対応やメディア対応のために、コールセンター設置費用、メディア対応に詳しい法律専門家への費用や、従業員らへの残業代等の支出が想定されます。
6. まとめ
ご紹介した裁判例は、インシデント対応に必要なサービスとその費用の具体的な事例として参考になります。また、インシデント時にはこのような費用や外部依頼の必要が生じることを前提に、平常時から準備や保険の検討を行うことで、対応の効率化と費用の低減が可能になります。
個人情報漏えいのリスクを管理するためには、予防策の強化とともに、インシデント発生時の迅速かつ適切な対応が求められます。企業の法務や総務担当者は、これらのポイントを踏まえて対策することが重要です。