個人情報保護法違反が身近に起きるケースとは？事例や起きないための予防策も解説

コンプライアンス

2024年10月21日(月)

情報化の進展によって個人の権利や利益が侵害される危険性が高まっています。こうした背景から2022年4月1日より改正個人情報保護法が施行、法規制が一層強化され、違反した場合の罰則もさらに厳しくなりました。本稿では、起こりがちな個人情報保護法違反について、その罰則内容も含めて解説していきます。

＼社員教育はeラーニングと集合研修で／

資料をダウンロードする

個人情報保護法とは

「個人情報の保護に関する法律」（以下「個人情報保護法」）は、2003年5月に公布され、2005年4月に全面施行されました。同法は、個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的としています。

この法律でいう個人情報とは、「生存する個人に関する情報であって、その情報に含まれる氏名、生年月日その他の記述等により当該情報が誰の情報であるかを識別することができるもの（他の情報と容易に照合することができ、それにより個人が誰であるかを識別することができることとなるものを含む）」と定義されています。

その後、情報通信技術の発展、企業活動のグローバル化などに対応するため、2017年5月に改正法が施行。これによって個人情報の保有件数を問わず、個人情報データベースを事業の用に供する者は、すべて「個人情報取扱事業者」に該当することになりました。また、この改正では3年ごとの見直し規定が設けられています。

2020年にはその一環として、保有個人データの利用停止、消去などの請求権の拡充、漏えいなどが発生した場合の個人情報保護委員会への報告および本人通知の義務化などがあらたに盛り込まれた改正法案が公示され、2022年4月に全面施行。

さらに2021年に改正された内容も一部が施行されました。従来、別々に定められていた民間事業者、国の行政機関、独立行政法人、地方公共団体の機関などのルールを集約、一体化することなどが定められたのです。このように個人情報保護法は、これまでに3度の大きな改正が行われてきたのです。

>企業が知るべき個人情報保護法のポイント！2022年4月の改正法も解説

事業者が守るべきルールとは

紙媒体・電子媒体を問わず、個人情報をデータベース化してその事業活動に利用している者を「個人情報取扱事業者」といい、ほとんどの事業者が該当します。個人情報取扱事業者が守るべき主なルールには、次のような事項があります。

①利用目的の明確化・利用目的による制限（法15条、16条）

個人情報を取扱うときは、利用目的をできる限り具体的かつ明確にしなければなりません。また、事前に決めた利用目的以外に個人情報を利用することはできません。

②個人情報の適正な取得・利用目的の通知、公表（法17条、18条）

個人情報を偽り、その他不正な手段によって取得することは禁止されています。個人情報を取得したときは、あらかじめ利用目的を公表している場合を除き、速やかに利用目的を本人に通知または公表しなければなりません。

また、本人から直接書面（電磁的方式を含む）で個人情報を取得するときは、あらかじめ本人に利用目的を明らかにする必要があります。

③個人情報の安全管理措置・従業者、委託先の適切な監督（法20条、21条、22条）

個人データの漏えいや滅失、毀損を防ぐために必要かつ適切な安全管理措置を講じる義務のほか、従業員に対する管理義務も定められています。個人データの取扱いを他の事業者に委託する場合も同様です。

④個人情報を第三者に提供する場合の制限（法23条～26条）

あらかじめ本人の同意を得ずに他の事業者などの第三者に個人データを提供することは禁止されています。

⑤利用目的等の公表・個人情報の開示、訂正、利用停止（法27条～34条）

事業者の氏名・名称、保有個人データの利用目的、開示などに必要な手続き、苦情の申出先について本人に公表すべきことなどが定められています。

⑥苦情の処理（法35条）

個人情報の取扱いについて苦情の申出があった場合、適切かつ迅速な処理に努める必要があります。

起こりがちな個人情報保護法のヒヤリハット事例

個人情報保護法上、重大事故につながる危険のあるケースにはどのようなものがあるのでしょうか。ここでは利用目的、安全管理措置、第三者提供の3つのケースにおける具体例をみていきましょう。

ケース1：利用目的

「経営する飲食店で人手不足で困っていたところ、ポイントサービスに登録している顧客名簿から人選し、電話でアルバイトの勧誘をすることを思いついた」

顧客名簿がある以上、個人情報取扱事業者に該当します。本人の同意なく、利用目的の達成に必要な範囲を超えて個人情報を扱うことはできません。

このケースでは、ポイントサービスのための顧客名簿を勝手にアルバイト採用に利用しようとしており、利用目的の明確化・利用目的による制限に触れると判断されます。

ケース2：安全管理措置

「顧客リストの整理をするため、USBメモリーを会社の施錠されたキャビネットから取り出してパソコンで作業をしていたが、途中で来客があり、USBメモリーを挿入した状態でフロアに行った」

顧客リストは会社の財産ともいえる重要な個人データであり、このケースでも施錠したキャビネットで管理しています。

しかし、従業員が放置している間に悪意のある第三者が抜いて情報を盗む可能性もあります。厳格な管理を徹底させる必要があるでしょう。

ケース3：第三者提供

「家電売場で商品を購入した顧客から不良品だったとの連絡があり、メーカーに伝えたところ、直接、代替品を送りたいとの申出があった。顧客からは住所と電話番号を伝えられているが、メーカーに住所を教える同意は得ていない」

あらかじめ本人の同意を得ずに第三者に個人データを提供することは禁止されています。このケースでは、住所については同意を得ていないため、メーカーに住所を伝えることについて同意を得る必要があります。

次いで知っておきたい情報セキュリティ10大脅威

2024年2月にIPA独立行政法人情報処理推進機構が発行した「情報セキュリティ10大脅威2024（PDF）」から、「組織」に向けた脅威を表で見てみましょう。

順位	「組織」向け脅威	初選出年	10 大脅威での取り扱い（2016 年以降）
1	ランサムウェアによる被害	2016 年	9 年連続 9 回目
2	サプライチェーンの弱点を悪用した攻撃	2019 年	6 年連続 6 回目
3	内部不正による情報漏えい等の被害	2016 年	9 年連続 9 回目
4	標的型攻撃による機密情報の窃取	2016 年	9 年連続 9 回目
5	修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）	2022 年	3 年連続 3 回目
6	不注意による情報漏えい等の被害	2016 年	6 年連続 7 回目
7	脆弱性対策情報の公開に伴う悪用増加	2016 年	4 年連続 7 回目
8	ビジネスメール詐欺による金銭被害	2018 年	7 年連続 7 回目
9	テレワーク等のニューノーマルな働き方を狙った攻撃	2021 年	4 年連続 4 回目
10	犯罪のビジネス化（アンダーグラウンドサービス）	2017 年	2 年連続 4 回目

出典元：IPA独立行政法人情報処理推進機構「情報セキュリティ10大脅威2024（PDF）」

ここからは表に取り上げられたうち上位5つについて、手口と対策を解説します。

【1位】ランサムウェアによる被害

【個人情報保護を脅かすランサムウェアの手口】

ランサムウェア攻撃者は、個人情報保護が不十分なシステムの脆弱性を狙います。主な感染経路は4つです。

VPNなどの脆弱性を悪用したネットワーク経由の侵入
公開サーバーへの不正アクセス
メールの添付ファイルやリンクを利用した感染
改ざんされたWebサイトを通じた感染

これらの手口により、攻撃者はセキュリティの弱点を突き、システム全体に侵入し、個人情報を含む重要データを危険にさらします。

【個人情報保護を強化するランサムウェア対策】

ランサムウェア対策には、組織全体での取り組みが重要となります。有効なのは、下記のような対応です。

多要素認証の設定
不審なメールやリンクへの注意
適切なアクセス権管理
定期的なバックアップ

被害発生時は、適切な報告・連絡・相談と、バックアップからの復旧を試みましょう。身代金支払いは推奨されません。個人情報保護を含む総合的なセキュリティ戦略の立案と実行が、ランサムウェア対策の要となります。

【2位】サプライチェーンの弱点を悪用した攻撃

【個人情報保護を脅かすサプライチェーン攻撃の手口】

サプライチェーン攻撃は、個人情報保護に深刻な脅威をもたらすものです。攻撃者は、以下のような攻撃を行います。

セキュリティの弱い取引先や委託先を狙い、そこから標的組織の機密情報を窃取
ソフトウェア開発元やサービス提供者を攻撃し、製品やサービスにマルウェアを仕込んで、多数の組織に一度に攻撃を仕掛ける

これらの手法は、直接攻撃が困難な組織への侵入口として利用されます。個人情報の大規模流出につながる危険性もあるでしょう。

【個人情報保護を強化するサプライチェーン対策】

個人情報保護を含むサプライチェーンのセキュリティ強化には、組織全体での取り組みが不可欠です。主な対策として、取引先の選定基準の厳格化、契約内容の明確化、定期的な監査の実施があります。

また、SBOM（ソフトウェア部品表）の導入やセキュリティ認証の取得も有効です。被害発生時には、迅速な報告・連絡・相談と、関係組織との連携が重要となります。これらを通じて、サプライチェーン全体での個人情報保護体制を構築することが求められているのです。

【3位】内部不正による情報漏えい等の被害

【個人情報保護を脅かす内部不正の手口】

内部不正は個人情報保護に深刻な脅威をもたらします。主な手口として挙げられるのは、下記のとおりです。＋

アクセス権限の悪用：付与された権限を使って重要情報を窃取や改ざん
退職者による旧アカウントの悪用：削除されていない旧アカウントでの不正アクセス
内部情報の持ち出し：USBメモリーやクラウドストレージなどを使用した情報の外部流出

これらの行為は、組織の信用失墜や経済的損失を引き起こし、個人情報の大規模流出につながる危険性があります。

【個人情報保護を強化する内部不正対策】

個人情報保護を含む内部不正対策には、組織全体での取り組みが不可欠です。主な対策として、下記のようなものがあります。

基本方針の策定と経営層の関与
重要情報の管理と保護（アクセス権管理、DLPツールの導入）
物理的管理（入退室管理、外部媒体の制限）
従業員教育とコンプライアンス徹底
システム操作履歴の監視
インシデント発生時の迅速な対応体制の整備

これらを通じて、組織全体で個人情報保護の意識を高め、内部不正のリスクを最小化することが求められています。

＼社員教育はeラーニングと集合研修で／

資料をダウンロードする

【4位】標的型攻撃による機密情報の窃取

【個人情報保護を脅かす標的型攻撃の手口】

標的型攻撃は、個人情報を含む機密情報の窃取や業務妨害を目的とした巧妙な手法で、主な手口として下記のようなものがあります。

偽装メール：業務関連を装った添付ファイルやリンクでウイルス感染を誘導
水飲み場型攻撃：ひんぱんに利用するWebサイトを改ざんしてウイルスを仕込む
不正アクセス：クラウドサービスやVPN装置の脆弱性を悪用して侵入

攻撃者は長期潜伏して活動することもあり、個人情報の大規模流出や事業継続への重大な影響をもたらす可能性があります。

【個人情報保護を強化する標的型攻撃対策】

個人情報保護を含む標的型攻撃対策には、組織全体での多層的な取り組みが不可欠といえます。主な対策として挙げられるのは下記のとおりです。

情報の適切な管理と暗号化
継続的な脅威情報の収集と従業員教育
インシデント対応訓練の実施
サーバー、クライアント、ネットワークの適切なセキュリティ対策
アプリケーション許可リストの整備
取引先や海外拠点のセキュリティ対策確認

また、従業員レベルでは不審なメールやリンクへの注意が重要です。これらの対策を通じて、組織全体で個人情報保護の意識を高め、標的型攻撃のリスクを最小化することが求められています。

【5位】修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）

【個人情報保護を脅かすゼロデイ攻撃の手口】

ゼロデイ攻撃は、ソフトウェアの脆弱性が公開される前に行われる攻撃で、個人情報保護に深刻な脅威をもたらします。攻撃者は未公開の脆弱性を悪用し、DDoS攻撃、不正なスクリプト実行、特権アカウント作成などを行うのです。

たとえば、2023年にはHTTP/2プロトコルの脆弱性を利用した大規模DDoS攻撃や、WinRARの脆弱性を悪用したスクリプト実行攻撃が発生しました。これらの攻撃は、個人情報を含む機密データの漏えいやシステム停止を引き起こす可能性があり、対策が困難なためとくに危険です。

【個人情報保護を強化するゼロデイ攻撃対策】

個人情報保護を含むゼロデイ攻撃対策には、予防と迅速な対応が重要といえます。主な対策として挙げられるのは下記のようなものです。

セキュリティサポートが充実したソフトウェアの使用
脆弱性情報の継続的収集と管理
適切なセキュリティ対策の実施
インシデント対応体制の整備

脆弱性が公開されたときは即時に回避策や緩和策を適用し、必要に応じてソフトウェアの使用を一時停止します。そして修正プログラムがリリースされたら速やかに適用し、被害が発生したら影響調査と対策強化を進めていきます。

これらを通じて、組織全体で個人情報保護の体制を強化し、ゼロデイ攻撃のリスクを最小化することが求められているのです。

個人情報保護法に違反した場合の罰則とは

個人情報取扱事業者が個人情報保護法に違反した場合、どのような罰則があるのでしょうか。今回の改正で、違反に対する罰則は強化されていますが、違反があった場合でもいきなり罰則が適用されるわけではありません。

まず、個人情報保護法の義務規定に違反し、不適切な個人情報の取扱いを行っている場合、個人情報保護委員会が個人情報取扱事業者に対し、違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができます（法148条1項）。

そして勧告を受けたにもかかわらず、正当な理由がなく、その勧告にかかわる措置をとらなかった場合、個人情報保護委員会が個人の重大な権利利益の侵害が切迫していると認めたときは、その勧告にかかわる措置をとるべきことを命令することができます。

このとき、個人情報保護委員会は、命令にかかわる措置を講ずべき期間を設定します。その期間中に措置が講じられない場合は公表の対象となるほか、個人の場合は1年以下の懲役または100万円以下の罰金、法人の場合は1億円以下の罰金刑が科されることがあります（法178条）。

さらに報告徴収・立入検査に応じなかった場合、または報告徴収に対して虚偽の報告をした場合、個人や法人などに対し、それぞれ50万円以下の罰金刑が科されることがあります（法182条）。

個人情報保護法違反が起きないための対処法

前述した例でもご紹介した通り、個人情報保護法違反は、意外に身近なところで起きやすく、企業のコンプライアンスの観点からも個人情報保護法違反とならないように、適切な安全管理措置を講じることが必要です。ここでは、個人情報保護法違反を防ぐための具体的な安全管理措置についてみていきましょう。

①組織体制の整備

社内の責任者を決め、各部署でも担当者と役割を明確化し、組織体制を整備します。

②規程類の整備

従業員がバラバラに安全管理するのではなく、個人データの取得、利用、保管、廃棄などについて会社としてルールを定めておくことが重要です。

③個人データ取扱状況の把握

社内で扱う個人データをしっかり把握することが不可欠となります。その上で個人情報取扱台帳を整備します。

④電子媒体の取扱管理

USBメモリーなどは施錠したキャビネットなどに保管する必要があります。従業員が業務で使用するときには、持ち出した記録を付けなければなりません。社外に持ち出すときの管理については、従業員に管理を徹底させることが重要になります。

⑤セキュリティ対策

パソコンのウィルス対策を万全にすることはもちろんですが、データ送信時の個人データの暗号化やパスワードを定期的に変更することも大切です。また、社内で情報アクセス権は限定した従業員だけに与えましょう。

＞情報セキュリティリスクとは？企業が行うべき対策を解説

⑥個人情報保護研修

個人情報の重要性や個人データの安全管理について社内報や文書で通達するだけでは効果はあまり期待できません。定期的に個人情報保護に特化した研修を実施し、その重要性を全社員が共有することが大切です。

>個人情報保護研修とは？実施内容と押さえておきたいポイントを解説
 >個人情報保護教育とは？改定で必要性が増した社員教育のポイントや方法を解説

IPAによる個人情報保護を含んだ情報セキュリティ対策の基本

2024 年 2 月にIPA独立行政法人情報処理推進機構が発行した「情報セキュリティ10大脅威2024（PDF）」では、情報セキュリティ対策の基本として下記のような表を発表しています。

攻撃の糸口	情報セキュリティ対策の基本	目的
ソフトウェアの脆弱性	ソフトウェアの更新	脆弱性を解消し攻撃によるリスクを低減する
ウイルス感染	セキュリティソフトの利用	攻撃をブロックする
パスワード窃取	パスワードの管理・認証の強化	パスワード窃取によるリスクを低減する
設定不備	設定の見直し	誤った設定を攻撃に利用されないようにする
誘導（罠にはめる）	脅威・手口を知る	手口から重要視すべき対策を理解する