専門家コラム
Expert Column

今回は個人情報保護法に従わなかった場合のペナルティに的を当ててお話ししたいと思います。

個人情報保護法は2020年と2021年に改正され2022年4月1日に全面施行されました。改正項目は多岐にわたりますので、詳細は別稿に譲りますが、大きく注目を集めたのが2020年12月一部先行して施行された罰則の強化でした。

個人情報保護で罰則強化 法人の罰金上限を1億円に!

「個人情報保護で罰則強化 法人の罰金上限を1億円に!」これは、2020年2月27日のNHK政治マガジンの見出しです。改正個人情報保護法は2020年の国会で成立しましたので、改正法案の方針が示された当時このような見出しで大きく取り上げられました。ご記憶の方も多いと思います。
1億円というその金額もさることながら、改正前の罰金上限である30万円に対する引き上げ幅の大きさが世間を驚かせました。

1億円は非常にインパクトのある金額ですが、法人に対する罰金の上限ですので、誰にでもこの金額が課せられる訳ではありません。罰則が課せられる前の手続きも定められています。
個人情報保護法に従わない場合、どの様な違反にどの様な罰則がどの様に課せられていくのか、確認して行きます。

個人情報保護法の監視役「個人情報保護委員会」

個人情報取扱事業者の監督及び監視を行っているのは個人情報保護委員会(以下委員会)です。
先ず、委員会には、事業者の義務等を定めた一定範囲の規定の施行に必要な範囲で、個人情報取扱事業者に対し報告を求め、立入検査をすることが出来、必要な指導及び助言をすることが出来ることを知っておくべきだと思います。

これらは、違法行為があったからという理由ではなく、法に定められた範囲において、個人情報保護委員会の権限と判断に基づいて行われるものです。
指導・助言に従うか従わないかについては、事業者の任意という事になります。
指導・助言の対象となるのは法第四章です。第四章は個人情報取扱事業者の義務を定めた法の根幹とも言える部分で、ここには罰則の対象になる「義務規定」の他「努力義務規定」も含まれています。「努力義務規定」にも指導が入ることがある、ということについて頭に入れておく必要があると思います。
また、従うか従わないかは任意ですが、実際には委員会が指導を行った場合において、その内容(立入検査等の経緯を含む)について、個人情報保護委員会のホームページに「お知らせ」として事業者名入りで掲示されるケースもある様ですので注意が必要です。
また、あとで出てきますが、報告及び立入検査に対し、虚偽報告、妨害等の行為を行った場合については罰金が課せられます。
この罰金は、今回の法改正で個人も法人も50万円に引き上げられました。(改正前は30万円)

これは、個人情報保護法の各義務規定の実効性確保の仕組みとして行われています。

個人情報保護法に違反した場合の対応とは

次に、個人情報取扱事業者が法に違反した場合の対応は以下の流れとなります。
尚、罰則の対象となるのは「義務規定」で、「努力義務」は対象外です。

  1. 勧告
    委員会は、個人情報取扱事業者が一定の規定に違反した場合、その事業者に対し、違反行為の中止その他違反を是正するために必要な措置をとるべき旨を「勧告」することができます。(法148条1項)

  2. 命令
    上記1の「勧告」を受けたにもかかわらず、個人情報取扱事業者等が正当な理由なく、その勧告に係る措置をとらなかった場合、委員会は、個人の重大な権利利益の侵害が切迫していると認めるときは、その措置を「命ずる」ことができます。(法148条2項)

  3. 緊急命令
    さらに1の「勧告」が為されていない場合でも、委員会が個人の重大な権利利益を害する事実があるために「緊急に」措置をとる必要があると認めるときは、個人事業者事業者に対し違反行為の中止その他必要な措置をとることを「命ずる」ことができます。(法148条3項)

そして、この「命令」「緊急命令」に従わなかった場合、公表の対象となるほか、罰則の適用対象となります。

法人には1億円以下の罰金

罰則は個人と法人で分かれています。
法人の場合は、個人の規定が行為者(責任者・担当者など)個人に適用され、両罰規定として法人の罰金が法人そのものに課せられます。

  1. 個人に対する罰金
    「命令」「緊急命令」に違反した場合 ⇒1年以下の懲役、または100万円以下の罰金(法178条)
    ※改正前の30万円から100万円に引き上げられました。

  2. 法人に対する罰金
    法人の従業者が違反した場合 ⇒法人に対して1億円以下の罰金(法184条1項)
    ※改正前は個人と同額の30万円でしたが、1億円に引き上げられました。

もっと深刻なその他のリスク

ここまで行政からの指導、違反した場合の罰則について見て来ました。金額にインパクトはありますが、かなり手続きを踏んで課せられることはお分かり頂けたと思います。

大事なのは、どこで是正を図れるか!ということではないでしょうか。

個人情報保護法に違反してしまった場合、そしてそれを放置してしまった場合、行政の指導通りに対応しなかった場合等、企業経営において、罰則よりももっと深刻なリスクにつながることがあります。

「訴訟リスク」
  • 法に違反した挙句放置して「個人情報の流出」という事態を引き起こしたら、損害賠償請求といった民事上の訴訟リスクは避けることができません。個人情報流出は一人当たりの賠償額が大きくない場合でも被害者の人数によっては多額の賠償金になる可能性もあります。

「レピュテーションリスク」
  • これまで見て来た通り罰金が課せられるずっと手前の委員会による指導の段階から「公表」の対象になる可能性を孕んでいます。ずるずると違反状態を放置したり、委員会の指導通りに対応しなかった場合には、当然公表され、マスコミで大きく取り上げられることも十分に考えられます。社会的信用を失ってしまい、顧客離れなど事業活動に大きな支障を来すことにもなりかねません。

この様な事態を招かない為にも、
「社内に個人情報保護方針と個人情報取扱規定を確りと定めて、プライバシーポリシーとして公表し顧客の信頼を得る事」、そして「作りっぱなしではなく、社内の監査と教育を継続していくこと」、さらに「法改正や社会的要請の変化に敏感に対応しプライバシーポリシーを見直し、社内にフィードバックさせ、より適正な個人情報の取り扱いを実践していくこと」がとても大切であることがお分かり頂けると思います。
プライバシーポリシーに不安を感じたら、是非DOUII(ドウイ)にご相談下さい。