インターネットが普及したことで新たなビジネスモデルが誕生したり、業務が効率化され便利になっています。
一方で、インターネットは誤操作や外部からの攻撃などにより簡単に情報が盗まれたり流出したりしてしまいます。情報が漏洩してしまうと取り返しのつかない事態になります。
本記事では情報漏洩による損害賠償の事例を紹介し、企業に与える影響と対策を徹底解説します。

情報漏洩とは？

情報漏洩とは個人や組織の機密情報が外部に流出することを指します。個人情報保護委員会が定めるガイドラインでは次のような事例が挙げられています。

• 個人情報が記載された書類を第三者に誤送付した場合
• 個人情報を含むメールを第三者に誤送信した場合
• システムの設定ミスなどによりインターネット上で個人情報の閲覧が可能な状態となっていた場合
• 個人情報が記載・記録された書類・媒体などが盗難された場合
• 不正アクセスなどにより第三者に個人情報を含む情報が窃取された場合

出典：個人情報の保護に関する法律についてのガイドライン｜個人情報保護委員会

損害賠償とは？

損害賠償には「債務不履行による損害賠償」と「不法行為による損害賠償」の2種類があります。
情報漏洩の場合は後者に該当し、故意または過失によって被害者の権利や利益を侵害した場合に生じる損害を賠償することを指します。

損害賠償金の設定基準項目

損害賠償金として設定されることが多い項目を紹介します。

• 直接的損害：流出したデータの価値、リコールや製品の修正にかかる費用など
• 間接的損害：ブランドイメージの毀損、将来の収益減少など
• 対応費用：情報漏洩による顧客対応、顧客への通知費用、法的な対応費用など
• 個人への影響：精神的苦痛やプライバシーの侵害に対する賠償費用

個人への影響については漏洩した情報の特性によって変わります。
例えば、個人名や連絡先だけであれば一定額で収まりますが、思想・信条・病歴・信用情報など「個人の内面」に関する情報は高額になります。

実際の損害賠償の事例5選

株式会社ネットシステム

新生ネット株式会社（原告）、株式会社ネットシステム（被告①）、Aさん（被告②）

原告の元代表取締役である被告②が、原告の営業秘密である早見表の数値等を不正の利益を得る目的で被告①に開示。被告①は、図利加害目的があることを知りながら原告の営業秘密を取得し業務へ利用した。
不正競争防止法の違反にあたるとし、被告らは原告に対し連帯して12,402,000円及び年3％の割合による金員を支払うこととなった。

出典：令和３年（ワ）第４４３９号 損害賠償等請求事件

ベネッセコーポレーション

2014年、ベネッセコーポレーションが顧客の個人情報を漏洩。管理するデータベースから個人情報が社外に不正に持ち出されていた。
不正競争防止法違反の容疑で、弊社のシステム開発・運用を行っているグループ会社・株式会社シンフォームの業務委託先元社員を逮捕することとなった。

• サービス登録者の名前、性別、生年月日
• 保護者または子供の名前、性別、生年月日、続柄
• 郵便番号
• 住所
• 電話番号
• FAX番号（登録者のみ）
• 出産予定日（一部のサービス利用者のみ）
• メールアドレス（一部のサービス利用者のみ）

該当者には500円分の金券をお詫びの品として発送。
顧客らは1人当たり5万5千円の損害賠償を求めた訴訟を起こし、4,027人に1人当たり3,300円、総額で約1,300万円を支払うよう命じた。

出典：事故の概要

Yahoo!BB

顧客情報として保有管理されていた原告らの氏名・住所等の個人情報が外部に漏洩。
共同して同サービスを提供しているBBテクノロジー株式会社が個人情報の適切な管理を怠った過失等により、自己の情報をコントロールする権利が侵害されたとして損害賠償の支払いを求めた。

• 氏名
• 住所
• 電話番号
• メールアドレス、ヤフーメールアドレス
• ヤフーID
• サービス申込日

裁判所は1人あたりの損害賠償額を5,500円とした。

出典：平成16(ワ)5597 　損害賠償請求事件

コインチェック株式会社

2018年、コインチェック株式会社が管理していた顧客の資産が不正アクセスされ、約580億円相当金額が不正に外部へ送金された。
顧客の一部が同社と経営幹部に対して損害賠償を求める訴訟を起こした。
結果、該当者である約26万人全員に対して総額約460億円を返金することとなった。

出典：平成30(ワ)5899 　仮想通貨送信等請求事件

TＢC

2002年、インターネット上の電子掲示板を通じて、TBCのWebサイトで実施したアンケートのデータ約5万件が閲覧できる状態であることが発覚。
流出したデータを悪用した二次被害も確認され、誰でもインターネット上で該当ファイルを入手できる状態が続いた。
顧客らはプライバシーを侵害されたとして被害者14人が1人当たり115万円の損害賠償を求めた訴訟を起こした。裁判所は原告13名に1人当たり3万5000円、1名に2万2000円の賠償金を支払うように命じた。

出典：ＴＢＣの個人情報流出で３万５０００円の賠償命令

情報漏洩が企業に与える影響

情報漏洩が企業に与える影響は様々です。代表的な3つを紹介します。

賠償金の支払い

情報漏洩の被害を受けた個人や組織に対して生じます。
先の事例で紹介したように規模と漏洩項目によっては、賠償金が数百万円から数十億円にまで膨れ上がる場合もあります。
財務状況に大きな打撃を与えるのはもちろんのこと、競合に対する価格競争力を下げざるを得なくなります。

信用の低下

BtoBビジネスでもBtoCビジネスでも「信用」は非常に重要です。
どの企業と契約するのか、その製品を安心して利用できるかは「信用」をもとに判断をされていると言っても過言ではありません。情報漏洩によって信用が低下すると、顧客や取引先との関係悪化もそうですが採用などにも影響が出てきます。
信用回復には時間がかかるため「情報漏洩は絶対に起こさない」ようにしたいものです。

情報の悪用

漏洩した情報が悪意ある第三者に利用される可能性があります。
個人情報を盗用したり企業の機密情報を競合他社へ売却したり、インターネットが当たり前になった現代社会では一度漏洩した情報を完全に削除することは困難です。

情報漏洩の原因

情報漏洩の原因も多岐にわたりますが、過去の事例を振り返ると大きく次の5つが挙げられます。

不正アクセス・ウイルス感染

不正アクセスとは外部からシステムやネットワークに侵入されてしまうこと、ウイルス感染は悪意のあるソフトウェア（マルウェア）がシステムに侵入することを指します。
ログインIDやパスワードが単純な文字列だったり、従業員のセキュリティ意識が低くフィッシング詐欺に引っかかったりなどが主な原因です。
セキュリティソフトを導入したり、セキュリティ意識を高めるための定期的な研修などが必要になります。

人為的ミス

BCCにすべきところCCでメールを送信してしまったり、メールの宛先ミスで他人の個人情報を漏洩してしまったりなど人為的ミスによる情報漏洩は多くあります。
また些細なことから情報漏洩に繋がってしまうことから「自分はそんなことない」と慢心していると発生してしまうこともあります。
作業プロセスを見直したり、仕組化することによってヒューマンエラーを防止することが必要になります。

デバイスの紛失

人為的ミスと近いですが、社用携帯やタブレット、PCなどを紛失してしまうことでデバイスに保存されていた情報が漏洩・悪用されてしまうことがあります。特に年末年始や新年度は飲み会が多くなり、酔っぱらってデバイスを紛失してしまうことが多々あります。
そもそも危機意識を持つこともそうですが、紛失した際の対応次第で漏洩につながるか決まることもあるため、研修や教育によって周知していくことが必要です。

盗難

物理的な盗難も情報漏洩の原因となりえます。
オフィスへの侵入や外出先でPCを置いたまま席を外してしまうことで、デバイスが盗難され機密情報が盗まれることがあります。
物理的なセキュリティ対策を徹底しつつ、外部でのセキュリティ意識を高める研修が必要です。

内部不正

悪意を持った従業員によって顧客情報や機密情報が盗まれ、悪用・売却されてしまう可能性もあります。
機密情報にアクセスするには複数名の承認を必要としたり、外部へ持ち出しできないセキュリティ対策が必要になります。

情報漏洩の予防方法

情報漏洩のリスクは身近に潜んでいます。情報漏洩を防ぐには日々の啓蒙や意識をアップデートしていく必要があります。
ここでは代表的な予防方法を3つ紹介します。

セキュリティシステムの導入

インターネットが普及した現代では、サイバー攻撃やウイルス感染など外部からの脅威が身近になっています。
ほとんどの企業ではセキュリティシステムを導入されているかと思いますが、充分な機能を兼ね備えていますか？
もし、まだ導入されていない場合は早急に導入を進めましょう。システム費用は発生しますが、情報漏洩により莫大な損害賠償金を支払ったり顧客や取引先からの信用が地に落ちてしまうことを考えると、費用対効果は高いといえます。もしお困りの方はお気軽にご相談ください。

従業員の教育

人為的ミスやデバイスの紛失を予防するために従業員の教育を行いましょう。
潜在的なリスクやコンプライアンスなどのセキュリティ研修を実施したり、過去の事例を集めてヒヤリハットを共有することも効果的です。
もし社内で研修の内容を設計するのが難しい場合は外部研修を活用しましょう。専門家が作った内容のため網羅的で、ITリテラシーが低い方でも理解できるよう作られています。

情報管理のルールを定める

内部不正などを防止するために情報管理のルールを決めましょう。特に機密情報や個人情報を利用する場合のルールを厳密に設計します。
必要な人のみがアクセスできるようアクセス権限を整理し、データ共有時のルールや注意点を規定します。
複数名の承認を必要としたり、USBへの転記ができないようにしたり、特に派遣社員がいる場合は契約形態ごとに情報管理ルールを決めておきましょう。

情報漏洩してしまったら？

どれだけ完璧な対策をしていても情報漏洩のリスクを0にすることは困難です。
例えば、取引先で漏洩が起きたことで自社に影響することも考えられます。取引先の情報漏洩リスクまでを自社でカバーするのは現実的ではありません。
しかし、情報漏洩を100％防ぐことは困難でも、情報漏洩した際にすぐ発見し、迅速な対策を打てば、漏洩による被害を最小化することはできます。

そこでおすすめなのがSMSデータテックが提供する「ダークウェブアイ」です。
ダークウェブアイはダークウェブの脅威から会社を守る情報漏洩監視ツールです。自社に関連する情報がダークウェブ内に流通しはじめたら、即時に検知して通知してくれます。さらに漏洩後の対応策の提示、対応の進捗管理まで可能です。セキュリティ担当者の負担を大きく軽減できます。

まとめ

情報漏洩は機密情報が外部に流出することを指し、漏洩した企業には損害賠償金や信用低下、情報の悪用などの影響が生じます。ヒューマンエラーでも情報漏洩が起きてしまうため、セキュリティシステムを導入したり従業員の研修が重要になってきます。
また、情報漏洩リスクを完全に0にできないため、可能な範囲で予防をしつつ「漏洩した際に気付ける仕組み」も重要です。
SMSデータテックが提供する情報漏洩監視ツール「ダークウェブアイ」を活用し、情報漏洩後の対策も行いましょう。