個人情報の流出の場合、第一波として被害をこうむるのは
- その人がその企業や団体を利用していた事実が広く第三者に流出する
- その人の住所や電話番号等といった個人を特定する情報が広く第三者に流出する
- その人の銀行口座やクレジットカードなど、その人の財産に直接関わる情報が流出する
といった辺りでしょう。
さらに悪いことに、大概の場合はこれらにとどまらず、
- 流出したクレジットカード情報などを悪用し、別の第三者が嫌がらせや金銭搾取を試みる
- 別の第三者が流出情報を利用し、悪戯心~悪意をもって当該被害者になりすまし、ネット上等で行動する
- 被害を受けていない第三者が好奇心から首を突っ込み過ぎたせいで、自らの個人情報を流出したり、騒動が大きくなって2次、3次災害が発生する
などなど、さらなる被害の拡大が生じてしまいます。
そしてこうしたケースでは、事件を起こした組織は、現実問題として被害者でありながらも、流出した情報の該当者本人が加害者になる、という点が重要です。個人情報を流出されてしまった人物にとって、加害者は紛れもなく漏えいを起こした相手です。それは法的にも同様です。従って事件を起こした組織は(プライバシー権侵害や契約違反による)損害賠償請求の対象となり、被害者の損失を補てんする責任があります。
また、事件を起こした組織は、個人情報保護法によって「5000件以上の個人情報を個人情報データベースなどとして所持し事業に用いている事業者は個人情報取扱事業者とされます。個人情報取扱事業者が主務大臣への報告やそれに伴う改善措置に従わないなどの適切な対処を行わなかった場合は、事業者に対して刑事罰が科される(Wikipedia「個人情報の保護に関する法律」より引用)」ことになります。