令和2年6月5日、改正個人情報保護法が国会において可決され、令和4年4月1日より全面施行されています。本稿では、改正個人情報保護法において改正された項目のうち、個人情報保護法違反に関する罰則が強化された点について解説します。

第1 個人情報保護法に関する基礎知識

1 個人情報保護法とは

個人情報保護法は、平成15年にできた法律です。
この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。
また、平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する立入検査などをおこなっています。

2 個人情報とは

個人情報保護法では、「個人情報」とは、生きている個人に関する情報で、①特定の個人であると分かるもの及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法2条1項)。
したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。また、法人(企業など)は生きている個人ではないため、法人情報は「個人情報」に含まれません。もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。

第2 個人情報保護法改正に伴う法定刑の引き上げ

令和2年の個人情報保護法の改正に伴い、同法における法定刑が引き上げられました。なお、この法定刑の引き上げは、他の改正項目に先立って、令和2年12月12日より施行されています。
主な変更点としては、個人情報保護委員会による命令違反や、個人情報保護法への虚偽報告等の法定刑の引き上げが挙げられます。また、法人に対する罰金刑の上限が、大幅に引き上げられている項目があります。
なお、施行日より前の行為に対しては、改正前の個人情報保護法が適用されることになります。
また、今回の法改正では、ペナルティとしての課徴金制度の創設も検討されたようですが、最終的には見送られています。

1 個人情報保護委員会からの命令等に対する違反

⑴ 個人情報保護委員会からの命令等とは

ア 勧告
個人情報保護法では、一定の個人情報保護法違反があった場合、個人情報保護委員会は、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を「勧告」することができます(個人情報保護法第145条第1項)。
なお、個人情報保護委員会は、個人情報の保護に関する法律についてのガイドライン(通則編)(いわゆる「個人情報保護法ガイドライン(通則編))を公表し、個人情報保護法に関する一定の考え方を示しています。この個人情報保護法ガイドラインによれば、個人情報保護法に違反していると判断された場合において、実際に個人情報保護委員会が「勧告」を行うのは、個人の権利利益を保護するため必要があると同委員会が認めたとき、とされています。

イ 命令
上記の「ア」の勧告を受けたにもかかわらず、個人情報取扱事業者等が正当な理由がなく、その勧告に係る措置をとらなかった場合において、個人情報保護委員会が、個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者等に対し、その勧告に係る措置をとるべきことを「命ずる」ことができます(個人情報保護法第145条第2項)。
なお、個人情報保護法ガイドラインによれば、「命令」は、単に「勧告」に従わないことをもって発せられることは無いとされています。あくまでも、条文に規定されているように、正当な理由がなく「勧告」に係る措置をとらなかった場合において、個人情報保護委員会が、個人の重大な権利利益の侵害が切迫していると認めたときに発せられるとの見解が示されています。

ウ 緊急命令
さらに、「ア」の勧告がなされていない場合でも、一定の場合において、個人情報保護委員会が、個人の重大な権利利益を害する事実があるため「緊急に」措置をとる必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを「命ずる」ことができます(個人情報保護法第145条第3項)。

なお、「命令」や「緊急命令」については、これらに従わなかったか否かを明確にするため、個人情報保護委員会は、「命令」や「緊急命令」に係る措置を講ずべき期間を設定するとされています。そして、その期間中に措置が講じられない場合は、公表の対象となるほか、この後の(2)や(3)で解説する罰則が適用されることになります。

⑵ 個人に対する法定刑の引き上げ

法改正の前は、命令や緊急命令に違反した者は、6か月以下の懲役又は30万円以下の罰金に処すると規定されていました。
法改正の後は、命令や緊急命令に違反した者は、1年以下の懲役又は100万円以下の罰金に処すると規定されました(個人情報保護法第173条)。

⑶ 法人等に対する法定刑の引き上げ

法改正の前は、法人の従業者等が、その業務に関して命令や緊急命令に違反したときは、法人等に対しても、30万円以下の罰金刑が科される旨規定されていました。
法改正の後は、法人の従業者等が、その業務に関して命令や緊急命令に違反したときは、法人等に対しても、1億円以下の罰金刑が科される旨規定されました(個人情報保護法第179条第1項第1号)。

2 個人情報保護委員会への虚偽報告等

⑴ 個人情報保護委員会への報告等

個人情報保護委員会は、一定の規定の施行に必要な限度において、個人情報取扱事業者等その他の関係者に対し、個人情報等の取扱いに関し、必要な報告もしくは資料の提出を求めることができます。
また、個人情報保護委員会は、同委員会の職員に、当該個人情報取扱事業者等その他の関係者の事務所その他の必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、もしくは帳簿書類その他の物件を検査させることができます(個人情報保護法第143条第1項)。

⑵ 虚偽報告等への罰則

上記の(1)において、
・報告や資料の提出をしない
・虚偽の報告をする
・虚偽の資料を提出する
・個人情報保護委員会の職員の質問に対して答弁をしない
・虚偽の答弁をする
・検査を拒む、妨げる、忌避する
等の行為をした場合、罰金刑が科されます。

法改正の前は、これらの行為をした(または、しなければならない行為をしなかった)個人や法人等に対し、それぞれ30万円以下の罰金刑が科される旨規定されていました。
法改正の後は、これらの行為をした(または、しなければならない行為をしなかった)個人や法人等に対し、それぞれ50万円以下の罰金刑が科される旨規定されました(個人情報保護法第177条第1号、第179条第1項第1号)。

3 個人情報データベース等の不正提供等

⑴ 個人情報データベース等の不正提供等とは

個人情報取扱事業者やその従業者、またはかつてこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものも含まれます。)を、自己もしくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、刑事罰が科されます(個人情報保護法第174条)。

⑵ 不正提供等における罰則

不正提供等を行った者については、法改正の前から、1年以下の懲役または50万円以下の罰金に処すると規定されていました。不正提供等を行った者についての罰則の規定は、法改正の後も同じです(個人情報保護法第174条)。
一方、法改正の前は、法人の従業者等が、その業務に関して個人情報データベース等の不正提供等をしたときは、法人等に対して、50万円以下の罰金刑が科される旨規定されていました。
これが、法改正の後は、法人等に対しては、1億円以下の罰金刑が科される旨規定されました(個人情報保護法第179条第1項第1号)。

4 まとめ

以上のように、個人情報保護法の改正によって、さまざまな場合の法定刑が引き上げられています。
とくに、個人情報保護委員会からの命令等に対する違反の場合や、個人情報データベース等の不正提供等の場合における、法人等の法定刑は、1億円以下の罰金という非常に厳しい内容になっています。
なお、法人と個人で罰金刑の最高額に大きな差がついている理由は、法人と個人の間には資力の差があるためとされています。

第3 刑事罰以外の影響

ここまでは、個人情報保護法に違反した場合における刑事罰について説明しました。
もっとも、個人情報保護法に違反した場合に、刑事罰だけが問題になるわけではありません。

1 民事上の責任

例えば、個人情報データベースが不正に第三者に提供された場合、自らの個人情報が流出してしまった被害者が発生します。
これらの被害者からは、加害者である法人に対して、損害賠償請求がなされる可能性があります。
仮に、1人の損害額がそれほど大きくない場合でも、被害者の人数が多ければ、賠償額の総額は多額になる可能性も十分にあります。

2 社会的信用の低下

また、個人情報保護法に違反するような個人情報の取り扱いをした場合、報道等により、その事実が大きく拡散されてしまう可能性があります。
現に、個人情報を不適切に扱っていたことが報道され、大きな社会的反響を呼んだケースもあります。
このようなことが起こると、顧客は当該企業に対し、自らの個人情報を渡すことを躊躇し、結果として事業活動に影響が出かねません。
また、事業活動のみならず、企業のイメージダウンにより採用活動がうまくいかなくなる、取引先との関係が悪化するなど、思わぬ方面にも影響が出る可能性があります。

3 まとめ

このように、個人情報は、その取扱いを間違えると、企業に大きな影響が生じてしまいます。そして、その影響は長期化する可能性もあります。場合によっては、企業の存続にも関わってくる可能性すらあります。

第4 法改正後の刑事罰の引き上げを受けて、企業が準備すべきこと

1 法令遵守の徹底

当然ですが、個人情報保護委員会からの命令等を受けた場合や、報告を求められた場合には、適切に対応しなければなりません。すでに説明したように、これらに反した場合には、法人には最大で1億円の罰金刑が科されます。
また、そもそも個人情報保護委員会からの命令等は、法人等が一定の個人情報保護法に違反する行為を行ったことがきっかけとなります。つまり、個人情報保護法を遵守していれば、個人情報保護委員会からの命令等を受けません。
今一度、社内の個人情報の取り扱いに関する規定を見直し、整備することが求められます。

2 従業員等に対する教育

これまで見てきたように、個人情報保護委員会からの命令等に対する違反、個人情報保護委員会への虚偽報告等、個人情報データベース等の不正提供等では、当該行為を行った行為者のみならず、法人等に対しても罰金刑が科されます。
そのため、従業員や役員に対し、これらの行為はもちろんのこと、個人情報の保護に関する教育を徹底するべきでしょう。

3 判断に迷った場合の相談窓口を確認する

個人情報保護法違反が疑われる事態が生じた場合、どのように対処すればよいのかわからないという場合もあると思います。
そのような場合に、遅滞なく適切に対応するために、どの弁護士に相談するか決めておくとよいでしょう。
個人情報保護法の解釈や個人情報保護制度についての一般的な質問については、個人情報保護委員会が設置する「個人情報保護法相談ダイヤル」に問い合わせるという方法もあります。

ご相談 ご質問
グリーンリーフ法律事務所は、設立以来30年以上の実績があり、18名の弁護士が所属する、埼玉県ではトップクラスの法律事務所です。
また、各分野について専門チームを設けており、ご依頼を受けた場合は、専門チームの弁護士が担当します。まずは、一度お気軽にご相談ください。

■この記事を書いた弁護士
弁護士法人グリーンリーフ法律事務所
弁護士 赤木 誠治
弁護士のプロフィールはこちら