- 締切済み
個人情報保護法
まだ法的な運用面での実例がないのは承知してますが、どの程度の対策をすべきかを考える参考にしたくて回答をお願いします。 1、情報漏れが発生した場合に情報主体が受けた二次的損害までの賠償責任はあるのか? (直接損害以外の拡大損害の責任についてです) 2、データセンターなどはそれと知らずに発注元の処理データに個人情報が入ってても数にはいれなくていい。 となってますが、これは漏洩事故があっても責任は問われないと解釈できますか? 3、2で発注元から個人情報が入ったデータの処理を委託していることを告げられた場合は(これからすべての請負処理でこういわれると考えてます)当社自身はこの個人情報は直接には全く事業には使っていなく、利益を得ていなくても同じレベルの責任を負うのか? 情報主体が訴えるのは自由でしょうが、発注者と同じくらいの連帯責任が発生するでしょうか? この法律の運用に参考になる他の事例でも結構ですからご教授ください。
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- jyamamoto
- ベストアンサー率39% (1723/4318)
no.1です。 外注のデータ処理も長期の継続的な作業でなければ、適用事業者としての条件である5000件カウントから除外されます。(確か6ケ月以上保管されるものが対象だったと思います) となると、個人情報保護法の適用事業者からは外れることが可能になるのかもしれませんが、あなたが心配されている「信用失墜」「損害賠償」というリスクからは逃れることはできません。 個人情報保護法の問題とは別次元の話で、データの管理や取り扱いに対する社内体制を見直して、万が一情報漏えいがあっても「会社に重大な過失はない」と言い切れるように、企業防衛しておかない限り、ご心配されている事項を回避する手立ては無いのではないでしょうか。
- jyamamoto
- ベストアンサー率39% (1723/4318)
まず最初に、「個人情報保護法」を知りたいのであれば、法の原文かガイドラインに一度は目を通しましょう。 「個人情報保護法」と賠償責任とは直接的には関係ありません。賠償責任は「プライバシー侵害」に関して民事訴訟が熱田場合の話で、「個人情報保護法」は適用対象の事業者が守るべきことが書いてあって、それに違反した場合は、行政罰(罰金や禁固刑等)が課せられる法律です。 従って、プライバシー侵害で訴えられた時に補完的に使われることはあっても、1,3の質問で直接的に損害賠償云々の話にはならないのではないでしょうか。 2.については、どういうデータを言っているのか不明ですが、「数に入れなくて良いデータ」は法の適用外です。 3.について、発注元からデータ処理を委託されたら、その数はカウントされますから、「個人情報保護法」の適用を受けます。(ただし、賠償責任については上で述べたとおりです)
補足
原文、ガイドラインともに見終わってますが罰金は30万円以下なので取るに足りない金額です。 民事訴訟が問題です。 問題視してるのは社会適信用失墜と損害賠償だけで今回は損害賠償に関する質問です。 情報件数が数百万もあれば敗訴すれば莫大な賠償を負う可能性があります。 一個人の損害は少なくても団体訴訟で賠償対象を大きく認定されると金額は青天井です。 この可能性が少なければ保険加入時の金額も少なくてすみます。 自社のデータなら責任を負うのは当然ですが、請負で依頼主と同等な義務を負うのはたまりませんよね、どの程度の責任を負うのか? 契約形態での変化は? などとケーススタディーをしてますのでこの面からの回答をお願いします。