個人情報保護法は、直近では2020年6月5日に大きな改正が行われ、2022年4月1日より、この改正法は全面施行されています。
本稿では、この個人情報保護法に関連し、法律に違反した場合の罰則について解説します。
第1 個人情報保護法に関する基礎知識
1 個人情報保護法とは
個人情報保護法(正式名称:個人情報の保護に関する法律)は、平成15年に成立した法律です。
この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。
平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。
2 個人情報とは(概要)
個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。
したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。
また、法人(企業や団体など)は生きている個人ではないため、法人情報も「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。
第2 個人情報保護法改正に伴う法定刑の引き上げ
令和2年の個人情報保護法の改正に伴い、同法における法定刑が引き上げられました。なお、この法定刑の引き上げは、他の改正項目に先立って、令和2年12月12日より施行されています。
主な変更点としては、個人情報保護委員会による命令への違反や、個人情報保護委員会への虚偽報告等の法定刑の引き上げが挙げられます。また、法人に対する罰金刑の上限が、大幅に引き上げられている部分があります。
※ なお、施行日より前の行為に対しては、改正前の個人情報保護法が適用されます。
1 個人情報保護委員会からの命令等に対する違反
⑴ 個人情報保護委員会からの命令等とは
ア 勧告
個人情報保護法では、個人情報取扱事業者に一定の個人情報保護法違反があった場合、個人情報保護委員会は、当該事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を「勧告」することができます(個人情報保護法第148条第1項)。
なお、個人情報保護委員会は、個人情報保護法ガイドラインを公表し、個人情報保護法に関する一定の考え方を示しています。
この個人情報保護法ガイドラインによれば、個人情報保護法に違反していると判断された場合において、実際に個人情報保護委員会が「勧告」を行うのは、個人の権利利益を保護するため必要があると同委員会が認めたとき、とされています。
また、この「勧告」に際しては、是正措置のための一定の期間が与えられます。
イ 命令
上記の勧告を受けたにもかかわらず、個人情報取扱事業者が正当な理由がなく、その勧告に係る措置をとらなかった場合において、個人情報保護委員会が、個人の重大な権利利益の侵害が切迫していると認めるときは、当該事業者に対し、その勧告に係る措置をとるべきことを「命ずる」ことができます(個人情報保護法第148条第2項)。
なお、個人情報保護法ガイドラインによれば、「命令」は、単に「勧告」に従わないことをもって発せられることは無いとされています。あくまでも、条文に規定されているように、正当な理由がなく「勧告」に係る措置をとらなかった場合において、個人情報保護委員会が、個人の重大な権利利益の侵害が切迫していると認めたときに発せられることになります。
ウ 緊急命令
さらに、上記の勧告がなされていない場合でも、一定の場合において、個人情報保護委員会が、個人の重大な権利利益を害する事実があるため「緊急に」措置をとる必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを「命ずる」ことができます(個人情報保護法第148条第3項)。
なお、「命令」や「緊急命令」については、これらに従わなかったか否かを明確にするため、個人情報保護委員会は、「命令」や「緊急命令」に係る措置を講ずべき期間を設定するとされています。
そして、その期間中に措置が講じられない場合は、公表の対象となるほか、この後の(2)や(3)で解説する罰則が適用される可能性があります。
⑵ 個人に対する法定刑の引き上げ
法改正の前は、命令や緊急命令に違反した者は、6か月以下の懲役又は30万円以下の罰金に処すると規定されていました。
法改正の後は、命令や緊急命令に違反した者は、1年以下の懲役又は100万円以下の罰金に処すると規定されました(個人情報保護法第178条)。
⑶ 法人等に対する法定刑の引き上げ
法改正の前は、法人の従業者等が、その業務に関して命令や緊急命令に違反したときは、法人等に対しても、30万円以下の罰金刑が科される旨規定されていました。
法改正の後は、法人の従業者等が、その業務に関して命令や緊急命令に違反したときは、法人等に対しても、1億円以下の罰金刑が科される旨規定されました(個人情報保護法第184条第1項第1号)。
2 個人情報保護委員会への虚偽報告等
⑴ 個人情報保護委員会への報告等
個人情報保護委員会は、一定の規定の施行に必要な限度において、個人情報取扱事業者等その他の関係者に対し、個人情報等の取扱いに関し、必要な報告もしくは資料の提出を求めることができます。
また、個人情報保護委員会は、同委員会の職員に、当該個人情報取扱事業者等その他の関係者の事務所その他の必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、もしくは帳簿書類その他の物件を検査させることができます(個人情報保護法第146条第1項)。
⑵ 虚偽報告等への罰則
上記の報告等において、
・報告や資料の提出をしない
・虚偽の報告をする
・虚偽の資料を提出する
・個人情報保護委員会の職員の質問に対して答弁をしない
・虚偽の答弁をする
・検査を拒む、妨げる、忌避する
等の行為をした場合、罰金刑が科される可能性があります。
法改正の前は、これらの行為をした、または、しなければならない行為をしなかった個人や法人等に対し、それぞれ30万円以下の罰金刑が科される旨規定されていました。
法改正の後は、これらの行為をした、または、しなければならない行為をしなかった個人や法人等に対し、それぞれ50万円以下の罰金刑が科される旨規定されました(個人情報保護法第182条第1号、第184条第1項第2号)。
3 個人情報データベース等の不正提供等
⑴ 個人情報データベース等の不正提供等とは
個人情報取扱事業者やその従業者、またはかつてこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものも含まれます。)を、自己もしくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、刑事罰が科されます(個人情報保護法第179条)。
⑵ 不正提供等における罰則
不正提供等を行った者については、法改正の前から、1年以下の懲役または50万円以下の罰金に処すると規定されていました。不正提供等を行った者についての罰則の規定は、法改正の後も同じです(個人情報保護法第179条)。
一方、法改正の前は、法人の従業者等が、その業務に関して個人情報データベース等の不正提供等をしたときは、法人等に対して、50万円以下の罰金刑が科される旨規定されていました。
これが、法改正の後は、法人等に対しては、1億円以下の罰金刑が科される旨規定されました(個人情報保護法第184条第1項第1号)。
4 まとめ
以上のように、個人情報保護法の改正によって法定刑が引き上げられました。
特に、個人情報保護委員会からの命令等に対する違反の場合や、個人情報データベース等の不正提供等の場合における、法人等の法定刑は、1億円以下の罰金という非常に厳しい内容になっています。
第3 刑事罰以外の影響
ここまでは、個人情報保護法に違反した場合における刑事罰について説明しました。
もっとも、個人情報保護法に違反した場合に、刑事罰だけが問題になるわけではありません。
1 民事上の責任
例えば、個人情報データベースが不正に第三者に提供された場合、自らの個人情報を流出させられてしまった被害者が発生します。
この被害者からは、加害者である法人に対して、損害賠償請求がなされる可能性があります。
仮に、1人あたりの損害額がそれほど大きくない場合でも、被害者の人数が多ければ、賠償額の総額は多額になる可能性も十分にあります。
2 社会的信用の低下
また、個人情報保護法に違反するような個人情報の取り扱いをした場合、報道等により、その事実が大きく拡散されてしまう可能性があります。
現に、個人情報を不適切に扱っていたことが報道され、大きな社会的反響を呼んだケースもあります。
このようなことが起こると、消費者は当該企業に対し、自らの個人情報を渡すことを躊躇し、結果として事業活動に影響が出かねません。
また、企業のイメージダウンにより採用活動がうまくいかなくなる、取引先との関係が悪化するなど、思わぬ方面にも影響が出る可能性があります。
3 まとめ
このように、個人情報は、その取り扱いを間違えると、企業に大きな影響が生じてしまいます。
そして、その影響は長期化する可能性もあります。場合によっては、企業の存続にも関わってくる可能性すらあります。
第4 法改正後の刑事罰の引き上げを受けて、企業が準備すべきこと
1 法令遵守の徹底
当然ですが、個人情報保護委員会からの命令等を受けた場合や、報告を求められた場合には、適切に対応しなければなりません。すでに説明したように、これらに反した場合には、法人には最大で1億円の罰金刑が科される可能性があります。
また、そもそも個人情報保護委員会からの命令等は、法人等が個人情報保護法に違反する行為を行ったことがきっかけとなります。つまり、個人情報保護法を遵守していれば、個人情報保護委員会からの命令等を受けることはないはずです。
いま一度、社内の個人情報の取り扱いに関する規定を見直し、整備することが必要です。
2 従業員等に対する教育
これまで見てきたように、個人情報保護委員会からの命令等に対する違反、個人情報保護委員会への虚偽報告等、個人情報データベース等の不正提供等では、当該行為を行った行為者のみならず、法人等に対しても罰金刑が科される可能性があります。
そのため、従業員や役員に対し、これらの違法行為はもちろんのこと、個人情報の保護に関する教育を徹底する必要があります。
3 判断に迷った場合の相談窓口を確認する
個人情報保護法違反が疑われる事態が生じた場合、どのように対処すればよいのかわからないという場合もあると思います。
そのような場合に、遅滞なく対応するために、どの弁護士に相談するか決めておくとよいでしょう。
なお、個人情報保護法の解釈や個人情報保護制度についての一般的な質問については、個人情報保護委員会が設置する「個人情報保護法相談ダイヤル」に問い合わせるという方法もあります。
第5 最後に
企業が直面する様々な法律問題については、各分野を専門に担当する弁護士が対応し、契約書の添削も特定の弁護士が行います。企業法務を得意とする法律事務所をお探しの場合、ぜひ、当事務所との顧問契約をご検討ください。
※ 本コラムの内容に関するご相談・ご質問は、顧問会社様、アネット・Sネット・Jネット・保険ネットの各会員様のみ受け付けております。
