顧客データ紛失…!なにか罰が与えられるの??
【回答】
まず最初に、個人情報保護法は、個人情報取扱事業者を規制の対象としており、個人情報を取り扱う者であっても個人情報取扱事業者に該当しない場合は、個人情報保護法の規制を受けることはない、ということを頭に入れておくと良いでしょう。
そして、個人情報の漏洩における法律上の責任について第一にご理解いただきたい点は、個人情報保護法の規制を受けない場合や個人情報保護法の定めを守っていた場合であっても、個人情報が漏洩したことにより損害を与えた場合には、個人情報を漏洩した者が民事上の損害賠償義務を負担することがあるということです。
このように個人情報保護法と民事上の損害賠償の問題は、直接には関係がないことに注意する必要があります。
次に、個人情報取扱事業者が、個人情報の取扱いについて個人情報保護法に定める義務を守らない場合には、どのような責任を負うのかについて説明します。
個人情報保護法では、個人情報取扱事業者を所管する省庁の大臣(以下「主務大臣」といいます)は、個人情報取扱事業者に対して、必要に応じて報告を求めたり、助言を行ったり、違反行為に対して勧告や命令を行うことができます。
そして、個人情報取扱事業者が、
- 主務大臣の命令に違反した場合、
- 主務大臣から報告を求められたにもかかわらずそれに応じない場合や嘘の報告をした場合
には、刑罰を科されることになります。
刑罰の内容は、(1)については6月以下の懲役又は30万円以下の罰金で、(2)については30万円以下の罰金となっています。
このように、個人情報保護法では、この法律に違反した場合にいきなり刑罰が科されるわけではありません。また、刑罰の内容としても重い部類に属するものではありません。
よって、この質問への回答としては、『紛失自体は刑罰に当たるものではなく、紛失したことにより個人情報が漏洩し、損害を与えた場合に民事上の損害賠償義務を負う』という、個人情報保護法とは別の、民事上の問題になります。
個人情報保護法の観点で問題を捉えるとしたら、上記にある主務大臣の勧告、命令に反した場合に上記の刑罰が科されるということになります。しかし、この刑罰は個人情報取扱事業者のみならず、個人情報取扱事業者が法人の場合はその代表者、個人情報取扱事業者の従業者についても、罰金刑の範囲で科されることとなりますので、刑罰が重くないからといって高を括り、個人情報の保護を怠って個人情報保護法違反の前科者とならないように、しっかりと法令を遵守すべきことはいうまでもありません。
