情報漏洩によって起こる損害賠償と従業員の責任について詳しく解説

近年、情報漏洩（じょうほうろうえい）に関連するトラブルが増加しています。企業が保有する個人情報や機密情報が流出すると、損害賠償や信頼の喪失など、重大な影響を及ぼす可能性があります。

特に、企業としての管理責任に加えて、漏洩の原因となった従業員個人にも責任が問われるケースが増えており、対応の在り方が強く求められています。

情報漏洩の対応を誤ると、被害が拡大しやすく、損害賠償や法的責任、さらには取引先や顧客からの信用まで失うリスクがあります。

本記事では、情報漏洩によって企業や従業員が負う責任と損害賠償の仕組み、最近の具体的な事例、漏洩が引き起こす影響、損害額の目安、そして効果的な対策について詳しく解説します。

＼匿名相談OK・ご相談前にNDA締結可能／

情報漏洩による企業の損害賠償責任

企業に情報漏洩が発生してしまった場合、以下の責任を負う可能性があり、情報の取り扱いに関して適切な対策がなかった場合は、法的な責任が問われることになります。

民事上の責任

企業が情報漏洩を起こした場合、民事上の責任として損害賠償請求を受ける可能性があります。主な責任の類型は以下のとおりです。

債務不履行責任

企業が顧客や取引先と交わす契約には、「個人情報を適切に管理する」などの情報管理に関する条項が含まれていることが多く、この場合、企業には情報を安全に取り扱う契約上の義務（債務）が発生します。

この義務を怠り、結果として情報漏洩が発生し、顧客などに損害が生じた場合には、その不履行と損害との間に因果関係が認められれば、企業は債務不履行責任に基づく損害賠償義務を負う可能性があります。

たとえば、「個人情報を厳重に管理する」と契約に明記されていたにもかかわらず、企業がアクセス制御や暗号化といった基本的な安全管理措置を講じておらず、その結果として情報漏洩が発生し、顧客に損害が生じた場合、企業は契約上の義務違反（債務不履行）として損害賠償責任を問われる可能性があります。

不法行為責任

契約が存在しない場合であっても、個人情報や営業秘密など、法的に保護される権利・利益を侵害したと認められた場合には、不法行為として損害賠償請求を受ける可能性があります。

特に、セキュリティ上の不備によって顧客情報が漏えいし、実際に被害（なりすまし、詐欺など）が生じたケースが典型的です。

使用者責任

従業員や業務委託先が業務中に情報漏洩を引き起こした場合、企業は民法第715条に基づき「使用者責任」を問われる可能性があります。

この条文では、ある業務について他人を使用する者（使用者）が、その業務に関して被用者（従業員など）が第三者に損害を与えたときは、原則として使用者がその損害を賠償しなければならないと定められています。

つまり、情報漏洩が従業員のミスや過失によって発生した場合でも、それが業務の範囲内であれば、企業側に損害賠償責任が及ぶ可能性があります。

たとえば、従業員が業務データを私物のUSBメモリに保存し、それを紛失して個人情報が漏えいしたようなケースでは、企業の管理体制の不備が問われ、被害者から損害賠償請求を受けるリスクがあります。

ただし、企業が従業員の選任および監督について相当な注意をしていたと認められる場合には、例外的に使用者責任を免れることもありますが、実務上この免責が認められることは少なく、日常的な管理体制の整備が重要です。

出典：e-Gov法令検索

刑事上の責任

企業や関係者が重大な過失や故意により個人情報を漏えいさせた場合、刑法や個人情報保護法に違反する行為として、懲役や罰金などの刑事罰が科される可能性があります。

たとえば、従業員が顧客情報を無断で外部に提供したケースでは、漏洩を行った本人だけでなく、管理体制に問題があった企業側にも責任が及ぶ場合があります。

このように、情報漏洩は民事だけでなく刑事責任にも発展するリスクがあるため、企業全体での厳格な管理体制が求められます。

個人情報保護法違反

個人情報取扱事業者が安全管理措置を怠ったり、第三者提供の制限に違反した場合、個人情報保護委員会からの命令に従わなければ、個人には1年以下の懲役または100万円以下の罰金が科される可能性があります（個人情報保護法第173条・第175条）。

また、法人が命令に違反した場合は、最大1億円以下の罰金が科されることがあります（同法第178条）。さらに、従業者が個人情報データベース等を不正に提供した場合にも、1年以下の懲役または50万円以下の罰金の対象となります。

これらの罰則は2022年4月の法改正によって強化されており、従来の「努力義務」的な扱いから、明確な義務違反＝刑事罰の対象となるケースが増えています。

そのため、企業・個人を問わず、個人情報の取り扱いに対しては法的・技術的な両面からの厳格な管理体制が求められます。

出典：個人情報保護委員会公式サイト

不正競争防止法違反

営業秘密（秘密として管理され、有用かつ非公知の情報）を不正に取得・使用・開示（漏えい）した場合、不正競争防止法違反となります。罰則として、違反者には10年以下の懲役または2,000万円以下の罰金、またはその両方が科されます（第21条）。

また、これらの行為が法人の業務として行われた場合には、両罰規定により法人に対しても最大5億円以下の罰金が科されます（第22条）。営業秘密の保護には、「秘密管理性」「有用性」「非公知性」の3要件がすべて満たされている必要があります（第2条6項）。

出典：経済産業省

情報漏洩による従業員の損害賠償

企業において情報漏洩が発生した際、その原因が従業員個人の意思または当然である場合、当該従業員に対して法的・社内的な責任が問われることがあります。以下は、情報漏洩を起こした従業員に対して企業が取りうる主な責任追及の種類です。

損害賠償責任

情報漏洩によって企業や第三者に損害が生じた場合、その原因となった従業員や委託先に対して、損害賠償責任が問われることがあります。

これは、主に民法第709条に基づく不法行為責任、または契約関係にある場合には民法第415条に基づく債務不履行責任が法的根拠となります。

企業は管理者としての責任を負う立場にありますが、一般的には、従業員個人に故意または重過失が認められる場合に限り、企業が損害賠償を請求することがあります。実際の賠償額や責任の範囲は、以下の要素をもとに過失相殺や信義則に基づき裁判所が判断します。

• 過失・故意の有無と程度
• 担当業務の内容および権限
• 漏洩情報の性質（個人情報／営業秘密／機微情報など）
• 企業側の管理体制や監督義務の履行状況

一般的には、当事者間の過失割合に応じて賠償額が決まるのが通常です。

刑事責任

従業員が営業秘密や個人情報を不正に持ち出したり、第三者に漏えいさせた場合、状況によっては刑事責任を問われる可能性があります。

営業秘密に関しては、不正競争防止法第21条により、秘密を不正に取得・使用・開示した者には、10年以下の懲役または2,000万円以下の罰金、またはその両方が科される可能性があります。

行為が法人の業務として行われた場合、法人に対しては5億円以下の罰金が科されます（同法第22条）。

また、個人情報を漏えいさせた場合も、個人情報保護法に違反する行為とみなされると、1年以下の懲役または100万円以下の罰金が科されることがあります（個人情報保護法第173条・第175条など）。

これらの罰則は、重大な情報の不正利用や管理義務違反を防ぐために設けられており、企業と従業員の両方に法的リスクがある点を理解しておく必要があります。

出典：経済産業省

懲戒処分

従業員が情報漏洩を行った場合、企業は就業規則や社内規程に基づき、懲戒処分（戒告、減給、出勤停止、降格、懲戒解雇など）を科すことができます。

懲戒処分を有効に行うためには、以下の要件が必要です。

• 就業規則等に懲戒事由として情報漏洩が明記されていること
• 就業規則等が従業員に対して周知されていること（労基法施行規則第52条の2）
• 処分が社会通念上相当であること（懲戒権の濫用防止）

重大な違反である場合には懲戒解雇も選択肢となりますが、違法・無効とされないよう、適正な手続と合理的理由が求められます。

情報漏洩の損害賠償事例

情報漏洩が発生した場合、企業には重大な社会的・法的責任が問われることになります。その中でも特に注目されるのが、被害者に対して支払われる損害賠償です。

ここでは、過去に発生した情報漏洩事件のうち、実際に損害賠償が認められた２つの代表的な事例をご紹介します。

1. Yahoo!BBの事例

2004年、ソフトバンクBBが提供するインターネット接続サービス「Yahoo! BB」の顧客情報が大量に流出し、社会的に大きな問題となりました。流出した情報には、顧客の氏名や住所、電話番号などが含まれていました。

この件では、利用者が精神的苦痛を受けてソフトバンクBBに損害賠償を求め、一時的に発展しました。

出典：朝日新聞

2. TBCの事例

TBCでは、原告13名に対して賠償金が支払われました。1名に3万5,000円、1名に2万2,000円と、損害の内容によって賠償額が異なりました。このケースでは、個人情報の漏洩がプライバシーの侵害として認定され、賠償が行われました。

出典:日経XTECH

3. ベネッセコーポレーションの事例

ベネッセコーポレーションでは、情報漏洩の被害者に対して500円相当の金券が提供され、その後の訴訟によって1人当たり3,300円、合計約1,300万円の支払いが確定しました。この事例は、多数の顧客情報が漏洩し、社会的に大きな影響を与えたケースです。

出典:ベネッセ/日本経済新聞

情報漏洩によって企業に起こる影響

情報漏洩が発生した場合、企業は単に技術的な対応だけでなく、金銭的・経営的・社会的にさまざまな悪影響を受けることになります。ここでは、実際に企業が直面する主な影響についてご紹介します。

賠償金の支払い

個人情報が漏えいし、当該本人が精神的苦痛などの被害を受けた場合には、企業が損害賠償責任を問われることがあります。実際に過去の判例では、1人あたり数千円から数万円規模の賠償金支払いが命じられた事例も存在しています。

経営・信用への長期的ダメージ

情報漏洩が起きると、企業はただ復旧コストや賠償責任を負うだけでなく、社会的信用や顧客・取引先との関係性も大きく損ねる可能性があります。これは、長期的な収益や事業継続に深刻なダメージを与えます。

こうした負の連鎖が起きると、単発の出費では済まず、将来的な利益や成長機会そのものを失うことになります。情報が企業の資産となる今、漏洩は信用の毀損に直結し、企業の命取りになると心得るべきです。

出典：日本ネットワークセキュリティ協会（JNSA）

情報漏洩による復旧コストがかかる

情報漏洩が発生すると、原因の調査費用、システムの再構築費用、問い合わせ対応のための費用など復旧コストが高額となる場合があります。具体的に想定される復旧コストにはいかのものがあります。

復旧対応・原因調査コスト

漏洩原因の調査、被害の範囲特定、システムの修復、再発防止対策の導入などにコストがかかります。たとえ漏洩自体が小規模でも、安全確保のための見直しにはかなりのコストを覚悟しなければなりません。

通知・報告・対外対応コスト

顧客・取引先への通知、監督当局への報告、広報や謝罪、問い合わせ窓口やコールセンターの設置などの対応には、人的資源・時間・外部委託の費用などがかかります。

こうした深刻な影響を最小限に抑えるためには、早期かつ的確な初動対応が重要です。

私たちデジタルデータフォレンジック（DDF）は、情報漏洩の調査から報告書作成までワンストップで対応しており、官公庁・大企業をはじめとする豊富な実績があります。まずは状況をお聞かせください。

＼“匿名相談に対応 法人様はWeb打ち合わせも可能／

損害賠償額の大きさ

情報漏洩が発生した場合、被害者1人あたりに課される損害賠償額の水準は、漏洩した情報の種類、漏洩規模、二次被害の有無、企業の対応状況などによって大きく異なります。

日本ネットワークセキュリティ協会（JNSA）が実施した「インシデント損害賠償額調査」（2016〜2018年）によれば、1人あたりの平均想定損害賠償額は28,308円と報告されています。これはあくまで平均であり、実際の事案では大きく上下する可能性があります。

特に、漏えいした情報が健康情報、金融情報、マイナンバー、ログイン認証情報などセンシティブなものであった場合、または漏えい後になりすまし被害や詐欺被害などの二次被害が発生した場合は、損害賠償額はさらに高額化します。

JNSAの報告書では、被害の内容や対応の遅れなどにより、企業が負担する損害賠償総額が数千万円から数億円規模に達するケースもあるとされています。特に訴訟に発展した場合や、被害者数が多い場合には、企業にとって極めて深刻な経済的打撃となります。

出典：日本ネットワークセキュリティ協会（JNSA）

このように情報漏洩が発生した場合、復旧対応や対外的な報告、社内体制の見直しなどに多大なコストが発生します。

そのため初動対応とともに、専門的なフォレンジック調査を行い、原因と影響範囲を迅速に定めることが、復旧コストを考慮して重要な鍵となります。

私たちデジタルデータフォレンジック（DDF）は、情報漏洩の調査から報告書作成までワンストップで対応しており、官公庁・大企業をはじめとする豊富な実績があります。 まずは状況をお聞かせください。

＼24時間365日無料相談受付中／

情報漏洩調査はフォレンジック調査の専門家にご相談ください

情報漏洩に対する対策と予防

情報漏洩を防ぎ、万一発生した際にも被害を考慮するためには、技術面・組織面・運用面において多層的な対策が重要であることが重要です。以下は、実務上効果が高いと代表される対策項目です。

1.セキュリティシステムの導入

情報資産を保護するためには、従来のウイルスソフト対策に加えて、EDR（Endpoint Detection and Response）やDLP（Data Loss Prevention）といった高度なセキュリティ製品の導入が有効です。

これらのツールを活用することで、端末の端末の挙動を常時監視し、不審な通信やデータの持ち出しといった異常を自動で検知・隔離することが可能です。 結果として、サイバー攻撃や漏えいの早期発見・対応が実現できます。

2.アクセス管理の強化

情報漏洩の多くは、内部不正や正当なアクセス権の付与によって与えられます。そのため、アクセス権限を正しく管理し、必要最低限のアクセス権限のみを付与する「最小限の権限の原則」を徹底することが重要です。

さらに、特権IDの利用状況を監査し、アクセスログを取得・分析することで、不正アクセスの早期発見や抑止につなげることができます。

3.インシデント対応計画の策定

情報漏洩などのインシデントは、発生することを事前に備えておく必要があります。

CSIRT（Computer Security Incident Response Team）の設置や、インシデント対応フローの明文化、緊急時の連絡体制の構築、定期的な訓練の実施など具体的な対策として挙げられます。

4.情報管理を徹底し、ルールを決める

情報管理に関する規則や秘密保持契約（NDA）、セキュリティポリシーなどを明文化し、全従業員に対して周知・教育を行うことが基本となります。

また、定期的なセキュリティ教育や啓発活動、情報漏洩リスクに対する従業員の認識を高め、組織全体のリスク耐性を向上させることが求められます。

出典：IPA