個人情報データベース等を漏えいした場合の刑事罰

IT・情報セキュリティ

 改正個人情報保護法により、個人情報データベース等を漏えいした場合に刑事罰が適用されることになるのですか。

 個人情報取扱事業者またはその従業者またはこれらであった者が、その業務に関して取り扱った個人情報データベース等を自己もしくは第三者の不正な利益を図る目的で提供し、または盗用したときは、1年以下の懲役または50万円以下の罰金に処することとされています。

解説

目次

  1. 改正の背景
  2. 改正内容

※本QAの判例は注の通りです1

改正の背景

 平成26年6月に発覚した、株式会社ベネッセコーポレーション(ベネッセ)の委託先の元社員が名簿業者にベネッセの会員情報を提供したことを契機として、不正な利益を得る目的で個人情報を漏えいした者に対しては、犯罪抑止の観点で直接の刑事罰を科することが必要と考えられるようになりました。

 改正前の個人情報保護法には、個人情報を不正に提供した者に対する直接の刑事罰はありません。①個人情報保護法上の義務に違反し、主務大臣から勧告(改正前個人情報保護法34条1項)を受け、当該勧告にかかる措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認められるときに、主務大臣から措置命令をした場合(改正前個人情報保護法34条2項)、または②主務大臣が、個人情報取扱事業者が個人情報保護法上の義務に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときに、措置命令をした場合(改正前個人情報保護法34条3項)において、かかる措置命令に違反した者に対して、6か月以下の懲役または30万円以下の罰金に処せられることとされていました(改正前個人情報保護法74条)。
 いわゆる間接罰しか置かれていないのです。また、個人情報保護法上、実際に漏えい行為をした従業員等を処罰することは予定されていません。

 なお、現行刑法の窃盗罪は原則として財物を客体としており、情報は財物に含まれません。会社から個人情報を盗用した者に対しては、個人情報そのものではなく情報が化体した文章、テープ、フロッピー等といった媒体物を盗んだ場合に窃盗罪の成立を認めています。

 さらに、企業の営業機密に属する電子データの持ち出しに関しては、不正競争防止法において、不正の競争の目的で、営業秘密を不正に取得し、使用し、または開示する事が要件となっています(不正競争防止法2条1項5号等)。ただし、対象となるデータが「営業秘密」と認められるためには、当該データに対し適切なアクセス権限の設定や保護が行われていることが必要という問題があります。

改正内容

 改正個人情報保護法では、個人情報取扱事業者(その者が法人(法人でない団体で代表者または管理人の定めのあるものを含む。)である場合において、その役員、代表者または管理人)もしくはその従業者またはこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部または一部を複製し、または加工したものを含む。)を自己もしくは第三者の不正な利益を図る目的で提供し、または盗用したときは、1年以下の懲役または50万円以下の罰金に処することとされています(改正個人情報保護法83条)。

 さらに、当該従業者等の所属する法人にも両罰規定として50万円以下の罰金が科されます(改正個人情報保護法87条)。

 ここにいう「従業者」には、事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいいます。具体的には、従業員のほか、取締役、監査役、理事、監事、派遣社員等が含まれます。


    • 個人情報保護法、改正個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
    • 改正前個人情報保護法:全面改正前の個人情報の保護に関する法律

    ↩︎

無料会員にご登録いただくことで、続きをお読みいただけます。

1分で登録完了

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する