2025年6月2日

経営法務
企業におけるプライバシーガバナンス
第10回 プライバシーリスクへの対応
関原 秀行
関原法律事務所 代表弁護士
1.プライバシーリスクへの対応
プライバシー問題に起因するリスクには様々なものがある。企業がそれらのプライバシーリスクに対して十分に対処することなく、そのリスクが顕在化した場合、インシデントや炎上事案等が発生しうる。今回は、そのようなプライバシーリスクへの対応を概観する。
2.プライバシーリスクの類型
プライバシーリスクをどのように類型化するかについては正解があるわけではないが、わかりやすさの観点から、以下のような責任に分類して見ていくこととする。
(法的リスク)
● 行政上の責任を問われるリスク
● 民事上の責任を問われるリスク
● 刑事上の責任を問われるリスク
(それ以外のリスク)
● 社会的責任を問われるリスク
行政上の責任を問われるリスク
個人情報保護委員会や関係省庁といった行政機関から、行政指導や行政処分といった形でペナルティを課されるリスクのことである。例えば、民間企業が個人情報保護法に違反した不適正な個人情報の取扱いを行った場合や個人データの安全管理措置が不十分であったことに起因して大規模漏えい事故が発生したような場合、個人情報保護法が定める義務に違反したということで、同法を所管する個人情報保護委員会や関係省庁から行政指導や行政処分を受けるような場合が典型例である。行政指導が行われた場合、行政機関から企業に対する指導文が公表されることが通例であり、それによって対象企業による法律違反の内容も公となり、また報道などによって、それが拡散されることにより企業のレピュテーションの低下や株価下落、サービス停止などにつながるほか、行政指導に対応するために本来は事業などに向けられるはずであったリソースやコストを費やすことになる。
また、行政指導より重いペナルティとして業務改善命令がある。これは強制力をもって企業に対して業務の改善を命じられるものであり、行政指導と比較して、よりレピュテーションが低下する可能性が高く、加えて、業務改善命令に対応するためのリソースやコストも、行政指導と比較して大きなものとなりかねない。
民事上の責任を問われるリスク
企業の法律違反等に起因してサービスを利用するユーザーに被害が生じた場合、ユーザーから企業に対して損害賠償等の民事上の責任追及をされるリスクのことである。例えば、企業におけるデータ管理に関するセキュリティ対策の不備によって個人情報の漏えい事故が発生した場合、それに起因してユーザーに金銭的被害が生じたときには、当該ユーザーから企業に対して、ユーザーが被った金銭的被害の相当額について、契約責任や不法行為責任といった法的責任を根拠として、損害賠償請求や慰謝料請求等がなされる可能性がある。
刑事上の責任を問われるリスク
個人情報保護法に違反する行為によって、刑事責任を問われる可能性もある。例えば、従業者が、所属企業が管理する個人情報データベースを不正な利益を図る目的で、外部提供・盗用した場合、当該従業者に対して懲役刑又は罰金刑が科される可能性があるほか、雇い主である企業も最大1億円の罰金刑を科される可能性がある。
社会的責任を問われるリスク
以上のような法的責任を問われるリスクの有無に関わらず、それとは別に、企業が提供するサービス・システム等がプライバシーに十分配慮していないことを理由として、いわゆる炎上事案が起こることがある。これは法律に違反しているかどうかと必ずしも一致するわけではなく、法的に違法性がない場合であっても起こりうる。炎上が発生した場合、本来提供しようとしていたサービス・システムが停止・終了する事態に至る可能性やレピュテーションの低下、株価下落といった事態を引き起こす可能性もある。
3.プライバシーリスクへの対応時期と手段
プライバシーリスクに対しては、「事前」と「事後」の2つのタイミングで対処することが望ましい。
「事前」の対処とは、サービス・システム等を外部にリリースする前のタイミングで、プライバシーリスクを評価・対処するものである。
「事後」の対処とは、サービス・システム等がリリースした後、定期的に潜在するプライバシーリスクを評価・対処するものである。
事前の対処が最も効果的である。リリースした後ではすでにプライバシーリスクが顕在化している可能性が高く、事後的な対処しかできないからである。事前にプライバシーリスクに対応しておけば、リリースのタイミングでは、そのリスクが除去・低減されており、企業に与えるネガティブな影響が小さくなる。
事前の対処方法としては、PIA(プライバシーインパクトアセスメント)の手法が用いられることが少なくない。PIAとは、サービスやシステムがリリースする前の段階で、当該サービス・システムがプライバシーに与える影響を評価した上、その評価結果としてプライバシーリスクがあることが確認できた場合には、そのリスクを除去・低減する対処法のことをいう。
PIAについては日本の法令では、マイナンバー法において行政機関や地方公共団体等に実施を義務付ける制度はあるものの、民間事業者に対して義務付ける制度は存在しない。
法制度以外では、個人情報保護法を所管する個人情報保護委員会は、「個人情報の保護に関する基本方針*1 」においてデータガバナンスの構築に当たり、PIAが有効であると述べるとともに、PIAの意義や実施手順の参考となるドキュメントとして「PIA の取組の促進について―PIA の意義と実施⼿順に沿った留意点―*2 」を公表しており、実務上参考になる。また、規格としては「ISO/IEC 29134: 2023」が存在する。PIAの具体的な手法は企業ごとにカスタマイズする必要があるため、前述したドキュメントや他社の事例を参考にして、自社に最適な手法を導入・検討していくことになると思われる。
次に、事前のPIAのほか、事後のリスクアセスメントも重要である。それは、リリースするサービス・システム等に対して、全件PIAを行うことはリソースとの関係で現実的ではないケースがあり、そのような場合、一定の案件についてはPIAが実施されず、リスクが潜在している可能性がある。PIAを実施していたとしても、評価は人間が行うものであるから、十分な評価がなされなかったケースもあるかもしれない。また、PIAを実施した当時はリスクの評価結果としてハイリスクではなかったとしても、プライバシーリスクというものは法令の制定・改定や時代の移り変わりによって変化する。数年前までは企業側では気にもとめていなかった事柄が、現時点ではプライバシー問題となるケースはあり得る。
そのため、リリース後のサービスやシステムついても定期的にリスクアセスメントを行い、リスクを除去・低減する活動が必要となる。
このような場合にリスクアセスメントの手法としては、「リスクの発生可能性×リスクが発生した場合の重大性」をもとにリスクを洗い出して、ハイリスクのものから対処する手法や、社内の関係者で議論して、トップリスクを洗い出し、それらに一定期間で対処する手法等が考えられる。
*1 https://www.ppc.go.jp/files/pdf/20220401_personal_basicpolicy.pdf
*2 https://www.ppc.go.jp/files/pdf/pia_promotion.pdf
2025年6月2日