従って、刑事事件としては立件、捜査されない場合でも、重大なプライバシー侵害が起きた場合などでは立入検査がある可能性がある(例えば、個人情報保護委員会に届け出ていない、悪質な第三者提供があった場合などが考えられる)。
企業などの危機管理という視点で見た場合、特に事業の内容が個人情報に大きく依存する分野・形態である場合は、個人情報に関連する事件・事故を想定した対応のプロセスに立入検査への対応も組み込んでおく必要があるだろう。
個人情報保護の強化
改正案では不正な利益を図る目的による個人情報データベース提供罪が新設されている。これは個人情報取扱事業者、もしくはその従業者(過去従業者であった者を含む)が、その業務に関して取り扱った個人情報データベースなど(その全部又は一部を複製し、又は加工したものを含む)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は50万円以下の罰金に処するというものである。
改正案条文:
第八十三条 個人情報取扱事業者(その者が法人(法人でない団体で代表 者又は管理人の定めのあるものを含む。第八十七条第一項において同じ)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベースなど(その全部又は一部を複製し、又は加工したものを含む)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。
この両罰規定の新設によって企業にとっては、内部犯行による個人情報漏えい事件が起きた際には企業自身にも処罰が及ぶリスクが生まれるということになる。もっとも罰金そのものは高額ではないので金銭的なリスクは大きくない。むしろ処罰を受けたことによる信用の失墜などのレピュテーション関連リスクの方が深刻なものになるだろう。
本稿では個人情報保護法改正案の内容から、企業の実務に影響を及ぼすと考えられる点を3つ、"要配慮個人情報の取り扱い" "個人情報保護委員会との関わり""個人情報保護の強化を目的としたデータベース提供罪の新設"について述べた。次回以降、これらを踏まえた内部犯行による個人情報漏えいの防止、抑止やマイナンバーについて取り上げる予定である。
- デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員 北野晴人
- 二種通信事業者、外資系通信機器ベンダーなどを経て、2001年から2013年春までリレーショナル・データベース、アイデンティティ管理を中心にセキュリティ関連製品の販売戦略・ビジネス開発などを担当。その後、セキュリティ技術と法律、マネジメントをつなぐコンサルティングを提供中。情報セキュリティ大学院大学博士前期課程修了(情報学)、(ISC)2アジア・パシフィック・アドバイザリーボードメンバー。公認情報システムセキュリティプロフェッショナル(CISSP)日本行政情報セキュリティプロフェッショナル(JGISP)