企業が個人情報保護法に違反するとどうなるの？

ここまで、個人情報保護法違反のリスクなどについてご説明してきました。個人情報保護法に違反した場合、企業にとってどのような不利益が生じるのでしょうか？

一番多いのは、個人情報保護委員会から行政指導を受けることです。行政指導自体は、個人情報保護委員会からの勧告や指導に従えば問題ありません。しかし、見過ごせないのは行政指導があったことが公表されることです。つまり、「この企業はこのような個人情報保護法違反がありましたよ」とインターネット上で公表されてしまうのです。近年、個人情報の取り扱いについては企業も消費者も非常にセンシティブになっています。そんな中で、個人情報保護法違反で行政指導を受けたことが公表されてしまうと、企業としては非常に大きなイメージダウンとなりうるでしょう。今回は、実際に企業が行政指導を受けた例をご紹介します。

人材会社に対する勧告等：勧告及び指導

2019年、個人情報保護委員会は、大手人材会社・A社に対し、行政指導を行いました。問題となったのは、企業に学生の内定辞退率を予測したデータを提供するサービスです。調査の結果、A社が法で求められる安全管理措置を適切に講じず、個人データを第三者に提供する際に必要な同意を得ずに第三者に提供していたことが発覚したのです。

A社は個人データの第三者提供の同意を得るため、プライバシーポリシーをウェブサイト上で公表し、必要な同意を得る仕組みとしていました。しかし、プライバシーポリシーを改訂した際の事務手続などの不備により、一部の会員から必要な同意を得ていない状態となっていたのです。

運用方法を変更する際などは、こうした対応のヌケモレや不備がないか、特に注意が必要です。

金融会社に対する個人情報の保護に関する法律に基づく行政上の対応：指導

2022年、個人情報保護委員会は、決済サービスを提供するB社に対し、行政指導を行いました。

B社は、決済代行業者として、加盟店を通じて一般消費者である顧客の決済情報を取り扱っているのみならず、 加盟店から任意で提供を受け、多数の個人データ(顧客の個人情報) についても恒常的に取り扱っている企業です。 このような性質を踏まえると、 個人データの適正な取扱いの確保について、組織としてより重点的に取り組む必要があると考えられるでしょう。

しかしB社では、情報セキュリティ基本規程上、 個人データを含む自社が保有する情報資産について棚卸しを実施することになっていたものの、情報資産管理台帳の整備がされておらず、棚卸しが適切に実施されていませんでした。どのシステムにおいて情報資産を取り扱っているかがきちんと把握されていなかったのです。 また、個人データの取扱状況についての監査点検も一部実施していないものがあり、その重要性に見合った取扱いも行われていないと判断されました。

さらに、内部監査規程などにおいて規程の外形のみ整備していたものの、それを実行するための適切な人員配置等の実質を伴わず、技術的安全管理措置を含む情報セキュリティに対する内部監査が機能していませんでした。そのうえ、不正侵入を検知した際のセキュリティアラートについての十分な検証を行っていないなど、技術的安全管理措置の観点での対策が不十分であったとされています。

今回、行政指導がなされた例をほんの一部だけ紹介しましたが、実は毎年多くの企業が、個人情報保護委員会から勧告指導を受け、その内容が公表されています。ニュースやサジェスト（検索エンジンの予測表示機能）に長く残ってしまうこともあり、一朝一夕では企業のマイナスイメージの払しょくは難しいものです。自社の個人情報に対する体制が問題ないか、今一度確認することが必要でしょう。

しかし、企業間の競争が激化する現在、お客様を真に喜ばせ、業績を向上させるには顧客データの活用が大きなカギとなります。

次回は、個人情報保護法を順守しながら顧客データを活用する、そのポイントについて解説します。

[PR]提供：Tealium Japan