1 個人情報保護法違反による行政的監督・刑事罰とその他のリスク
2 個人情報保護法に関する個人情報保護委員会の監督
3 措置命令違反への罰則
4 報告懈怠・虚偽報告への罰則
5 利益目的での提供・盗用の罰則
6 個人情報保護法違反(情報漏えい)によるリスクの全体像

1 個人情報保護法違反による行政的監督・刑事罰とその他のリスク

個人情報保護法により,個人情報の利用が制限されています。
詳しくはこちら|個人情報保護法の規制(個人情報の第三者提供禁止・訂正や利用停止の請求)
この制限に違反した場合には法的責任が生じます。また,それ以外にも,いろいろなリスクやコストが生じます。
個人情報保護法違反による法的責任のうち,民事責任(損害賠償)の具体例については別の記事で説明しています。
詳しくはこちら|個人情報漏洩・流出の民事的責任(賠償金額)の実例と基準や相場
本記事では,法的責任のうち,行政的な監督と刑事罰と,法的責任以外のリスクやコストについて説明します。

2 個人情報保護法に関する個人情報保護委員会の監督

個人情報保護法のルールの監督機関として個人情報保護委員会が作られています。
監督の内容としては,法的拘束力がない指導・助言・措置勧告と,違反へのペナルティがある措置命令があります。

<個人情報保護法に関する個人情報保護委員会の監督>

あ 指導・助言

個人情報保護委員会は,個人情報取扱事業者の義務の履行に関して
個人情報取扱事業者に対し,必要な指導・助言をすることができる
※個人情報保護法41条

い 措置勧告

個人情報保護委員会は,個人情報取扱事業者が一定の違反をした場合において
個人の権利利益を保護するため必要があると認める時は
個人情報取扱事業者等に対し,違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる
※個人情報保護法42条1項

う 措置命令

個人情報取扱事業者が措置勧告(い)の措置をとらなかった場合
→個人情報保護委員会は,勧告に係る措置を命じる(措置命令)ことができる
緊急の必要がある場合,措置勧告なしで措置命令をすることができる
※個人情報保護法42条2項,3項

3 措置命令違反への罰則

措置命令は法的拘束力のある処分です。つまり,前記のように,違反に対して罰則が適用されるのです。

<措置命令違反への罰則>

あ 構成要件

措置命令に違反した

い 法定刑

懲役6か月以下or罰金30万円以下
※個人情報保護法84条

う 両罰規定

『あ』の場合,法人に対しても罰金刑を科する
※個人情報保護法87条1項

4 報告懈怠・虚偽報告への罰則

個人情報保護委員会の監督を強化するための罰則は,措置命令違反だけではありません。個人情報保護委員会による調査への一定の不適切な対応についても,罰則が適用されます。

<報告懈怠・虚偽報告への罰則>

あ 構成要件

個人情報保護委員会による報告の要求に対して報告や資料の提出をしない
個人情報保護委員会による質問に対して回答しない
報告の要求や質問に対して虚偽の報告や虚偽の回答をした
個人情報保護委員会による検査を拒んだor妨げた

い 法定刑

罰金30万円以下
※個人情報保護法85条1号

う 両罰規定

『あ』の場合,法人に対しても罰金刑を科する
※個人情報保護法87条1項
 

5 利益目的での提供・盗用の罰則

個人情報保護委員会の監督とは関係ない罰則もあります。
代表的なものは,個人情報取扱事業者の役員や従業員が個人情報を名簿業者に売却するような不正な利益目的での提供です。この行為自体が罰則の対象,つまり犯罪とされているのです。

<利益目的での提供・盗用の罰則>

あ 構成要件(対象行為)

個人情報取扱事業者(の役員)orその従業員orこれらであった者が
その業務に関して取り扱った個人情報データベース等を
自己or第三者の不正な利益を図る目的で提供したor盗用した

い 法定刑

懲役1年以下or罰金50万円以下
※個人情報保護法83条

う 両罰規定

『あ』の場合,法人に対しても罰金刑を科する
※個人情報保護法87条1項

6 個人情報保護法違反(情報漏えい)によるリスクの全体像

以上のように,個人情報保護法によるルールに関しては,行政的な監督が行われます。また,違反があると刑事罰が適用されることもあります。
これとは別に,個人情報の漏えい(流出)によって被害を受けた者が,民事的な賠償請求をすることもあり得ます。
さらに,法律面以外でも,個人情報を流出させた事業者はリスク(コスト)を負うこともあります。流出の原因解明や問い合わせ(苦情)への対応や,信用の低下のことです。

<個人情報保護法違反(情報漏えい)によるリスクの全体像>

あ 直接的損害(リスク)

ア 刑事責任
イ 行政責任
行政処分はない
監督に関する違反に対して刑事罰(ア)の責任が生じることがある
ウ 民事責任(賠償)
詳しくはこちら|個人情報漏洩・流出の民事的責任(賠償金額)の実例と基準や相場

い 間接的損害(リスク)

ア 信用低下(レピュテーションリスク)
イ 復旧コスト
システムやデータの検証に要するコスト
具体的内容=社内エンジニアの手間or外注費の発生
ウ 問い合わせへの対応
例=問い合わせが殺到して業務効率が低下する

本記事では,個人情報保護法による行政的な監督と刑事罰と,個人情報の管理(流出)に関する法律以外のリスク(コスト)を説明しました。
実際に,個人情報を扱う際には,このように幅広いリスクを踏まえて,情報の入手段階を含めて適切な情報管理の設計をする必要があります。
実際に,個人情報に関する問題に直面されている方は,みずほ中央法律事務所の弁護士による法律相談をご利用くださることをお勧めします。